Een lezer vroeg me:
Als inkoper werk ik dagelijks met digitale handtekeningen. Nu vraagt een nieuwe leverancier mij om met EU-QES van Docusign te werken. Dit kost 9 euro per maand, is dat juridisch nu echt verstandig?Een QES of Qualified Electronic Signature is binnen het Europese juridische kader (eIDAS) het hoogste niveau van betrouwbaarheid. Zoals ik in 2023 blogde, de EIDAS Verordening kent drie soorten elektronische handtekening:
- de gewone elektronische handtekening, zeg maar een plaatje van een krabbel;
- de geavanceerde elektronische handtekening, het enorme verhaal met grote priemgetallen en certificaten waar de naam in staat die erbij zou horen;
- de gekwalificeerde elektronische handtekening, de geavanceerde maar dan is dat certificaat met de naam uitgegeven door een onafhankelijke instantie die instaat voor de juistheid.
Ik zie hoe dat in het algemeen nuttig klinkt. Specifiek bij zakelijk onderhandelen ben ik niet overtuigd van de meerwaarde. In die situatie ken je je wederpartij al. Je hebt kennisgemaakt, je weet wie je moet benaderen en je krijgt zoveel harde en softe informatie dat je ook zonder een QES wel overtuigd bent dat je met persoon A van X werkt.
Natuurlijk, A kan onbevoegd zijn. Maar daar helpt een QES niet bij. Het enige dat je daarmee vaststelt, is dat je écht A tegenover je hebt. En dat is in een zakelijke inkoopsituatie gewoon niet zo’n belangrijk punt.
Arnoud
Wat betekent dat concreet? Ik zie het zo 1-2-3 niet, anders dan de nietszeggende FAQ. Als A’ tekent voor een miljoenencontract vermoed ik niet dat Docusign zich aansprakelijk acht voor de schade, als A’ de account van A heeft “gehackt” en die ook niet het spreekwoordelijke pistool op de borst heeft.
Wat dat betreft zie ik ook juist risico’s bij tekenen met QES, als de bewijslast dan schijnbaar wordt omgedraaid t.o.v. een natte handtekening.
Een QES is juridisch juist precies hetzelfde als een natte handtekening, per definitie. En inderdaad, als Docusign tekortschoot in haar verplichting als identiteitsverificator dan is zij aansprakelijk voor de gevolgen. Daar helpen geen kleine lettertjes aan. Tegelijk is wat Docusign doet best goed dicht te timmeren, niet elke onjuiste identificatie is daarmee automatisch een tekortkoming. Uitlenen van je pasje bijvoorbeeld is niet Docusign te verwijten.
Verschil tussen electronisch en inkt met getuigen is wel dat als het spreekwoordelijke pistool een letterlijk mes op de keel of pistool is, dat er getuigen van zullen zijn.
Kan je als bedrijf electronische handtekeningen uitsluiten voor alje overeenkomsten en staan op in persoon met een pen?
Alles kan. De vraag is waarom je wederpartij dan nog zaken met je wil doen.
Vervolgvraag is dan of een mogelijke hack van de werkplek van de ondertekenaar een tekortkoming is van de ondertekenaar, of van Docusign haar verificatieprocedure.
Gelijk aan handtekening: dan ligt cf. art. 159 lid 2 Rv na ontkenning dat ik zelf de QES heb gezet, de bewijslast dat er geen “hacker” was bij de ontvanger van de handtekening? Stellig ontkennen dat ik tekende is vormvrij.
Er is toch nog best wat te zeggen voor het ouderwetsche photo-op contract-tekenmomentje met slagroomtaart.
Docusign doet niets fout: het certificaat is van X en volgens de procedure heeft X zich aangemeld. De security-omgeving van de werkgever van X is buiten die scope lijkt me.
Inderdaad is stellig ontkennen vormvrij. De wederpartij kan dan zeggen “het was een QES en de procedures daarvan zijn kwalitatief goed” onder verwijzing naar Docusign. En dan krijg je de bal weer terug volgens mij.
Als ik gebruik maak van een QES, zal de aanbieder zoals Docusign moeten valideren dat ik het echt ben, en daarvoor dus persoonsgegevens verwerken. Kan een werkgever mij verplichten daaraan mee te werken als een QES niet echt noodzakelijk is voor m’n werkzaamheden? In dat geval zal Docusign immers onnodig persoonsgegevens verwerken.
Hoe zie je dat anders dan dat de mailserverprovider die je persoonsgegevens ‘krijgt’ als je een mailadres hebt om die offerte te mailen?
Ja (mits nette afspraken etc). Je werkgever bepaalt je arbeidsmiddelen.
Als contracten ondertekenen noodzakelijk is voor je werkzaamheden dan is contracten ondertekenen noodzakelijk voor je werkzaamheden. Of die je een pen geeft of een licentie is aan hen.
Dat hangt er vanaf op welke manier Docusign verifieert wie je bent. Als dat op basis van een identiteitsbewijs is, zie ik daar nog wel wat haken en ogen. Als die controle aan de kant van de werkgever blijft is het niet echt een issue.
Als ik het goed lees ben je er niet met die 9 euro per maand. De ‘Gekwalificeerde elektronische handtekening (QES)’ lijkt een betaalde add-on BOVENOP het abonnement van 9 euro per maand en kost 10 euro PER ONTVANGER.
Het is me echter TOTAAL onduidelijk of die 10 euro eenmalig per ontvanger, per maand per ontvanger of per handtekening is.
Ik denk dat die 10 Euro per verstrekking van een certificaat aan een specifiek persoon is. Dat zal eenmalig voor de levensduur van het certificaat zijn. (Ik vind het een leuk bedrag voor een verzameling bits met een digitale handtekening: een QES verschilt in principe niet van een TLS (https) certificaat dat je gratis kunt krijgen.)
Ja, DocuSign zal wel wat meer controles uitvoeren dan Let’s Encrypt, maar ik vrees dat de QES handel, net als de TLS certificaat handel ook een “race to the bottom” gaat worden. En er blijft het probleem dat je jouw certificaten op jouw computer zowel goed moet beveiligen als af en toe ook gebruiken, “infostealers” liggen op de loer.