Een lezer vroeg me:
Laatst moest ik weer een handtekening zetten met zo’n online ondertekendienst. Ik krijg het noch met mijn muis noch met mijn vinger voor elkaar om iets te maken dat zelfs maar lijkt op wat in mijn paspoort als handtekening staat. Hoe is dit rechtsgeldig?Een zogeheten geavanceerde elektronische handtekening is rechtsgeldig niet omdat deze op je paspoort lijkt, maar omdat deze onlosmakelijk verbonden is met jouw identiteit en het document waar deze op staat. Dat is grofweg wat de wet (de eIDAS verordening) hierover zegt.
Veel online tools – zoals DocuSign, dat ik in de titel noemde – geven je de optie om een echte ’tekening’ te maken, om het gevoel te simuleren dat je krijgt bij het zetten van een natte of analoge handtekening. Maar meer dan dat is het niet. Je kunt vaak net zo goed een gestileerde versie van je voor- en achternaam laten verschijnen.
Een juridisch weetje dat maar weinigen weten, is dat er nergens in de wet staat dat je handtekening moet lijken op je “officiële” zoals in je paspoort of identiteitskaart staat. Sterker nog, er is geen regeling die iets zegt over wat nou echt je handtekening is.
De wet (art. 159 Rechtsvordering) zegt alleen dat
Een onderhandse akte waarvan de ondertekening door de partij, tegen welke zij dwingend bewijs zou leveren, stellig wordt ontkend, levert geen bewijs op, zolang niet bewezen is van wie de ondertekening afkomstig is. Is degeen tegen wie de akte wordt ingeroepen een ander dan hij die haar ondertekend zou hebben, dan kan worden volstaan met de verklaring, dat men de echtheid van de ondertekening niet erkent.Een manier om dat in te vullen, is bij het zetten te controleren of de handtekening lijkt op die uit het identiteitsbewijs van de plaatser. Het idee is dan dat alleen die persoon die kan plaatsen (niet lachen daar achterin), zodat je bewijs hebt dat de ondertekening afkomstig is van de persoon met die identiteit.
Even los van de sterkte van dit argument is dit natuurlijk niet de enige manier om bewijs tegen zo’n ontkenning te leveren. Een getuige die je de handtekening zag zetten en je daarbij herkende is ook een prima manier om bewijs te geven dat een ondertekend geschrift (akte) door jou ondertekend was. (Als die getuige werkt bij de wederpartij, ligt dat iets subtieler want die wordt als partijdig gezien.)
Arnoud
De “handtekening” die je in DocuSign kunt zetten is “juridische voodoo”. De waarde van een dienst als DocuSign ligt in het beheer van het document en de bevestiging van wat de twee partijen nu werkelijk overeengekomen zijn. DocuSign kan een verklaring als Dit is de akte die op [datum1] door [partij1] en op [datum2] door [partij2] geaccordeerd is. met haar procedures sterk maken.
Probleem (zoals vaker op Internet) is “Hoe stel je vast dat [partij1] en [partij2] die het document geaccordeerd hebben overeenkomen met partijen [A] en [B] die nu een conflict hebben?” Als je bij een notaris een akte ondertekent controleert zhij jouw identiteitsbewijs; op Internet is dat niet zo makkelijk. Mijn ervaringen met DocuSign (en een kritische blik op de procedures die DocuSign en haar klanten volgen) laat mij vermoeden dat er op het punt van identificatie van de ondertekenaar gaten zitten die misbruikt kunnen worden.
Een gekwalificeerde elektronische handtekening geeft meer zekerheid dan de “natte” handtekening die waarschijnlijk door directiesecretariaat in een Word-document is gecopypaste. Maar 100% zekerheid: nee natuurlijk niet. Met uitzondering van misschien er een notaris bij hebben die zelf een getekende kopie meeneemt voor in hun kluis (wel even ter plekke de drie kopieën vergelijken), is er geen 100 eeuhm ik bedoel 99% zekere methode.
En toch krijgen we het al vele eeuwen voor elkaar om voldoende vertrouwen te hebben in lakzegels, natte handtekeningen, scans in Word, en nu elektronische handtekeningen. He is een keten van vertrouwen, een die weer wat beter is dan de vorige keten.
Je weet in ieder geval dat aantoonbaar is getekend door degene die mail aan X@partijB.nl ontvangt. En dat het document niet is aangepast sinds tekenen.
DocuSign mag praten over “elektronische handtekening”, maar het is zeker geen gekwalificeerde elektronische handtekening omdat de persoonsverificatie die DocuSign doet niet aan de wettelijke eisen voldoet. Wanneer documenten op Internet met elektronische handtekeningen uit een goed opgezette Public Key Infrastructuur ondertekend gaan worden komen we een heel stuk dichter bij de 100% bewijsbaarheid.
Email is niet vertrouwelijk. Een ISP kan emails voor haar gebruikers onderscheppen. Mailboxes zijn over het algemeen slecht beschermd, met een voorspelbare gebruikersnaam en zwak wachtwoord. Dat de mail aan X@PartijA verstuurd wordt betekent niet dat die persoon ook de ondertekenaar is… Het zal in meer dan 95% van de gevallen wel zo zijn, maar de problemen zitten in de andere 5%.
Docusign of een andere, daar gaat het niet om. Punt is dat een QES en m.i. ook een AES meer zekerheid biedt dan een natte handtekening. Niet 100%. Wel meer.
Diezelfde mail wordt dan ook onderschept als er een gescande natte handtekening in zit. En in dat scenario wordt je fysieke printje ook gejat. Sja.
Eens dat gekwalificeerde en geavanceerde elektronische handtekeningen meer zekerheid bieden dan een natte, maar wat DocuSign (standaard?) aanbiedt voor ondertekening door particulieren is een gewone handtekening. Qua beveiliging niet beter dan een natte handtekening laten zetten op contracten die per post verstuurd worden.
P.S. Het is plezierig als je afkortingen de eerste keer uitschrijft. Bij AES dacht ik aan AES.
De identificatie op basis van een paspoort kan online tegenwoordig relatief goed en betrouwbaar plaatsvinden. Althans, het lijkt mij niet perse slechter dan ouderwets met een document naar een loketje gaan waarbij een nauwelijks getrainde persoon de echtheid van een document moet controleren. Online gebeurt dit bij belangrijke processen (zoals bankieren) veelal via een videoverbinding vanuit een app die al aan je persoonlijke account en gegevens gekoppeld is. Waarbij je zelf met je paspoort in beeld moet komen en je paspoort onder allerlei hoeken voor de camera moet houden. En het personeel dat de controle doet, doet vrijwel niets anders dan dit werk en is hierdoor vermoedelijk vaak beter getraind en ervaren dan een baliemedewerker die ook allerlei andere taken heeft.
De kans op misbruik c.q. documenten toch door anderen laten tekenen zit hem meer in het vervolg, lijkt mij. In de meeste systemen krijgt de beoogde eerder netjes geïdentificeerde ondertekenaar een e-mail met hyperlink naar een te accorderen document. Laat het nu net zo zijn dat veel beoogde ondertekenaars van belangrijke documenten hun e-mail door een assistent laten beheren. In de praktijk kan die assistent dus ook handtekeningen zetten of de e-mails doorsturen naar anderen zodat die kunnen tekenen. Misschien dat er soms een 2FA op zit via sms of een andere code; maar met instemming van de geïdentificeerde beoogde ondertekenaar (die de code doorstuurt of door de assistent door laat sturen), kan dan dus nog steeds ‘iedereen’ de ondertekenaar zijn. De wederpartij heeft dus meestal geen enkele zekerheid welke persoon er daadwerkelijk het document geaccordeerd c.q. de overeenkomst aanvaard heeft.
Eens, maar in een zakelijke context maakt het niet uit of de directeur zelf tekende of dat de assistent dat deed vanuit diens mailbox. Je mag er op vertrouwen dat de assistent geautoriseerd was om dat te doen. Of dat klopt, is niet jouw probleem. (Ook niet als de assistent niet bij de KVK als tekenbevoegd staat.)
Je mag er normaliter, zonder tegenbericht, vast op vertrouwen inderdaad. Maar wat geldt er als de beoogde feitelijke ondertekenaar stellig verklaart dat hij de echtheid van de ondertekening niet erkent (conform art. 159 Rv). “Mijn e-mail was gehackt en een grappenmaker heeft vervolgens die offerte voor die miljoenenopdracht die ik niet wilde tekenen, toch getekend”. “Een stagiair/assistent dacht dat het de bedoeling was om ook dit contract te tekenen, terwijl alleen het andere contract getekend moest worden”. Als een rechter vervolgens aannemelijk acht dat er aldoende onbedoeld/onbevoegd getekend werd, doorkruist art. 159 Rv dan alsnog de eIDAS-Verordening waardoor de geldigheid en houdbaarheid van het contract toch nog discutabel kan worden?
Eens, als er stellig wordt ontkend (“dat was ik niet, een grappenmaker/hacker heeft getekend”) dan moet de wederpartij bewijzen dat het wel uit de organisatie komt. Als het Jansen van inkoop was die zijn bonus wilde scoren en de secretaresse even weglokte, dan zit het bedrijf er toch aan vast.
Was het inderdaad een hacker van buitenaf, dan wordt het ingewikkelder. Je kunt dan gaan via de eIDAS discussie of hier wel een voldoende betrouwbaar middel gezien het doel is gebruikt. Dat betekent niet perse dat je altijd een geavanceerde handtekening moet gebruiken, bij een handtekening voor ontvangst van een poststuk is zo’n krabbel op een display echt genoeg.
De vraag is vooral wat de wederpartij hiervoor had moeten vermoeden, en ik zou dan mee laten wegen wat er nog meer gedaan is. Voor mij is bijvoorbeeld belangrijk of er een voortraject was. Kwam dit contract uit de lucht vallen, of was het het sluitstuk van zes maanden onderhandelen en hadden de advocaten het al geheel handtekeningklaar aan beiden gepresenteerd bijvoorbeeld. Als er dán een gehackte handtekening komt, dan zou dat weinig meer uit moeten maken.
Volgens mij heeft dit meer te maken met dat een bedrijf gewoon aansprakelijk is voor het handelen van zijn werknemers. Een werknemer die een verkeerde order plaatst of een overeenkomst aangaat met groot verlies als gevolg, tja… Dat is ondernemersrisico. In een beperkt aantal gevallen kunnen werknemers aansprakelijk worden gesteld voor schade.
Kortom zorg ervoor dat een hacker, stagiair en assistent niet bij de mail van de directeur kunnen, of draag het risico voor de gevolgen. Is alles perfect geregeld en komt er dan toch een hacker bij de mail, dan kan er misschien een beroep gedaan worden op overmacht.
Een vraag die ik als rechter zou hebben in zo’n geval is waarom deze hacker dit zou doen. Welk voordeel haalt deze eruit?
Denk aan de “ransomware hackers” die vaak al een aantal weken op het bedrijfsnetwerk meekijken. Die zouden een contract voor “hersteldiensten” (met een of andere brievenbusfirma) op DocuSign kunnen zetten en dan via het bedrijfsnetwerk ondertekenen. (Voor de criminelen betekent dit “wit” geld.)
Hoe bewijs je dan als bedrijf, voor een Bulgaarse, Cypriotische of Turkse rechtbank dat de ondertekening niet door een van jouw medewerkers gedaan is? DocuSign geeft braaf het IP adres van jouw bedrijf op als plaats van de ondertekenaar.
Creatief! Maar dan moet die hacker vervolgens ook de factuur inboeken en betalen, anders heb je er alsnog niets aan. Ik zou het heel apart vinden als die Bulgaar dan gaat procederen en een vonnis tot betaling hier laat executeren, dat voelt als een stap met veel momenten waarop je exposed kunt worden als handlanger.
Het kan ook gewoon voor de lolz. Een hacker kan dan simpelweg alle niet-getekende contracten terugsturen met “dat is goed”.
Laatst was er op een blog dat ik wel eens lees een discussie over het ongeautoriseerd versturen van een mail dat je morgen kroketten uitdeelt. Dat is veel minder schadelijk, maar desondanks speelt het in op een zelfde gevoel van mensen pesten door hun leven lastig te maken.
Voor mij persoonlijk wel onacceptabel. Ik ga niet een app installeren en die mijn paspoort laten scannen. Ik ga ook geen “document-onderteken-dienst app” installeren en die mijn daadwerkelijke, correcte, persoonsgegevens geven. Ik ga ook niet via een videoverbinding in beeld komen, en ik ga geen paspoort-selfie maken. Ik besef me terdege dat de meeste mensen hier niet zoveel moeite mee hebben overigens.
Bedrijven moeten eens stoppen met doen alsof iedereen bereid is om voor elk wissewasje een app te installeren. #Rant, maar ik was pas geleden bij een Amerikaans fastfoodrestaurant, waar ik statiegeld moest betalen voor de beker frisdrank. So far so good. Maar als ik statiegeld moet betalen, dan wil ik ook statiegeld terug. Ik werd naar een automaat verwezen, waar dan een kaartje uitkwam met een QR-code waarmee je dan een app kon installeren om je statiegeld terug te krijgen. Het idee is dus dat je een app moet installeren om je statiegeld-euro terug te krijgen. Het is te debiel voor woorden; als ze mijn contant geld accepteren als betaling, dan kunnen ze ook een losse euro teruggeven voor het statiegeld. (is uiteindelijk ook gebeurd trouwens, de manager heeft uit zijn portemonnee een euro opgediept en die gegeven in ruil voor het kaartje.
Hier ben ik laatst ook een keer geweest en tegenaan gelopen. De betreffende burgerverkoper waar de klant niet de koning is, doet ook aan ’terugpinnen’ bij de toonbank, zo bleek. Je moet er wel even op aandringen, dan haalt men de manager erbij die dit mag goedkeuren.
Vraagje: Kan je (in het consumentenrecht, ik begrijp dat je simpelweg kan weigeren om gebruik te maken van de dienst van het bedrijf dat zo’n online tool gebruikt) weigeren gebruik te maken van zo’n online ondertekendienst? Ik bedoel dus, kan je als gebruiker of klant eisen dat je een papieren document krijgt per post, of dat je het digitale document zelf print, je handtekening zet met een pen en het vervolgens per post terug stuurt?
Er is geen rechtsregel waarmee je kunt eisen dat men afziet van een elektronische handtekening en een ‘natte’ accepteert. Wel moet vooraf aangegeven zijn (technisch: moet als algemene voorwaarde gesteld zijn) dat deze vorm vereist is om de overeenkomst te mogen sluiten. Dit is zeg maar hetzelfde als “bij ons uitsluitend pinnen” of “geen biljetten van 200/500 euro”. Dat mag, maar het moet wel vooraf gemeld zijn.
Dat mag in de praktijk nu nog wel. Maar hoe lang nog? Als de acceptatieplicht voor contant geld bij kleine betalingen (< € 3.000,-) wet wordt (zoals het politieke plan is, zie: https://open.overheid.nl/documenten/ad59de2d-d83d-4842-9aa9-e2f0cc728766/file ), verandert dit voor veel situaties. Dit roept leuke vragen op. Want als cash betalen (op veel plekken) een recht is; dan moet dat dus waarschijnlijk met alle coupures kunnen?
Als de beoogde wetswijziging doorgang vindt, wordt de vraag of het dan eventueel wel toegestaan is om prijsonderscheid te maken op basis van betalingsvorm. Of korting te bieden aan pinbetalers. En als dat niet mag, mag je dan wel kortingsbonnen voor een volgende aankoop geven alleen aan pinbetalers? Of loten voor een loterij? Of in een grote winkel heel veel pin only kassa’s hebben en maar één cashkassa waar de traagst werkende medewerker werkt etc. Leuk onderwerp voor een apart blogbericht?
Ook als het bijv een arbeidscontract betreft, of een addendum + bijgewerkte versie van de arbeidsvoorwaarden? Dan heb je niet echt voorwaarden waarin dit vast ligt toch zoals tussen een consument en een bedrijf e.d.? Ik kan nog wel een paar voorbeelden bedenken van tekenen zonder dat er voorwaarden zijn.
Een bedrijf kan je haar arbeidscontract via DocuSign aanbieden en het staat je vrij om dat daar dan wel of niet te tekenen. Je kunt je toekomstig werkgever ook vragen of ze een natte handtekening accepteren, maar die hoeft daar niet op in te gaan.
(Als een uitkering hebt kan de uitkeringsinstantie aan jou vragen waarom een arbeidscontract sluiten via DocuSign niet acceptabel is… Ik zou daar geen goed antwoord op weten.)
De wet zegt niets over hoe een arbeidscontract aanvaard moet worden. Je kunt dus samen afspreken dat je dat met een digitale handtekening wil doen. Je komt dan bij de algemene regels van aanbod en aanvaarding, je mag een aanbod onder voorwaarden doen en “alleen akkoord geven met digitale handtekening” is dan mogelijk – omdat het niet verboden is. Ik zie hoe dit onredelijk overkomt als dit na een lang onderhandeltraject en assessment ineens gemeld wordt, maar formeel klopt het omdat het contract het “aanbod” is dat je daar en dan mag aanvaarden. Alles daarvoor is onderhandelen.
Komt dan de redelijkheid en billijkheid niet om de hoek kijken? Het is bijvoorbeeld onredelijk bezwarend om dit van digitaal onvaardige kandidaten te verwachten.
Het is bijvoorbeeld ook onredelijk om dit, gezien de machtspositie van de werkgever ten opzichte van de werknemer, pas laat in het onderhandelingstraject te vermelden. De benodigde ‘goede trouw’ is dan ver te zoeken.
Er zit misschien ook nog wel een AVG-kantje aan: De elektronische handtekening bevat waarschijnlijk meer persoonsgegevens van de ondertekenaar dan de werkgever strict nodig heeft voor de bekrachtiging van de overeenkomst, en zou alleen daarom al geweigerd moeten kunnen worden. (immers, de werkgever heeft alleen de handtekening nodig. Datum, uur en seconde van ondertekening zijn niet nodig. Plaats/IP adres van ondertekening zijn niet nodig voor de werkgever. MAC adres idem dito. Waarschijnlijk worden die echter wel geregistreerd. Misschien wordt er nog wel meer geregistreerd bij een electronische handtekening, ik weet het niet).
En zit er niet ook een Haviltex kantje aan? Als er op een gegeven moment een melding komt dat de sollicitieprocedure positief beeindigd is en er contract zal worden opgesteld ter ondertekening, is dat op zichzelf al geen overeenkomst die beoordeeld moet worden op basis van de verwachtingen die beide partijen redelijkerwijs hadden? (je kunt het nog extremer stellen: is het overeenkomen om sollicitatiegesprekken op te starten al geen overeenkomst op zich, waarbij ongebruikelijke voorwaarden niet verwacht hoefden te worden door de sollicitant?)
Het contract dat ik moet ondertekenen, blijkt na eerste keer doorlezen al automatisch ondertekend te zijn. Zonder dat ik me daar bewust van was. In feite zonder mijn uitdrukkelijke fiat. Vast handig en betrouwbaar zo’n “electronische” handtekening. Een goed gevoel heb ik er echter niet over.
“Een juridisch weetje dat maar weinigen weten, is dat er nergens in de wet staat dat je handtekening moet lijken op je “officiële” zoals in je paspoort of identiteitskaart staat. Sterker nog, er is geen regeling die iets zegt over wat nou echt je handtekening is.”
Een behoorlijke omissie in het recht toch? Als ik de handtekening per paspoortverlenging verander, dan heb ik een rechtsgeldige handtekening en kan ik beweren, dat oude handtekeningen ongeldig zijn.
De bedoeling van het systeem is dat de wederpartij verifieerde dat jij het was die de krabbel zette, niet waar deze op leek. Dat is verschoven naar dat laatste maar dat werkt inderdaad niet denderend.
“Het idee is dan dat alleen die persoon die kan plaatsen (niet lachen daar achterin), zodat je bewijs hebt dat de ondertekening afkomstig is van de persoon met die identiteit.”
In het bijzin van degene, die je handtekening ‘ontvangt’ is dat toch een goede werkwijze geweest. Dan ziet de persoon, of je dat ding een beetje vlot zet of dat je je flink moet concentreren. Gebeurde zo bij reischeques.