Zijn digitale handtekeningen ineens juridisch ongeldig verklaard?

| AE 12325 | Informatiemaatschappij, Ondernemingsvrijheid | 46 reacties

Elektronische handtekening niet voldoende betrouwbaar, kopte ITenRecht onlangs. In een recent vonnis verwees de rechtbank Zeeland-West-Brabant een borgtochtovereenkomst naar de prullenbak, omdat de digitaal geplaatste handtekening niet betrouwbaar was. Daarmee kon niet worden bewezen dat de wederpartij daadwerkelijk deze had getekend, zodat de borgtocht niet kon worden opgeëist. Opmerkelijk, want het hele punt van digitale handtekeningen was nu juist die betrouwbaarheid.

De eisende partij had in 2018 voor zijn bedrijf een geldlening aangevraagd bij Swishfund, waarbij hij persoonlijk zich borg stelde voor de lening. Daarvoor werd een digitaal contract ondertekend, en wel met Adobe Sign dat een heel proces heeft voor tekenen:

Het contract wordt naar het e-mailadres van de aanvrager gestuurd. Alvorens deze het document kan openen en digitaal kan ondertekenen dient hij een verificatiecode in te voeren. Deze code wordt per SMS naar het door de aanvrager opgegeven telefoonnummer gestuurd. Nadat de aanvrager het document heeft geopend kan hij parafen en een handtekening plaatsen door deze te typen, tekenen of door een afbeelding in te voegen. De aanvrager kan zelf kiezen welke van deze methoden hij gebruikt. Wanneer het ondertekenen is afgerond wordt het document door Adobe Sign voorzien van een zegel. Hierdoor kan het document niet meer worden gewijzigd.
In 2019 ging het bedrijf failliet, waarna Swishfund de borgsteller uiteraard aansprak. Die liet de zaak lopen, waardoor hij bij verstek werd veroordeeld tot betaling. Daar kwam hij vervolgens tegen in verzet, met het argument dat hij nooit een rechtsgeldige borgovereenkomst had getekend. Dat is belangrijk, want in art. 7:859 BW staat dat een borgovereenkomst alleen kan worden bewezen met een door de borgsteller ondertekend geschrift. Wat je dus online allemaal zegt of aanvinkt, is dus niet van belang als er geen handtekening onder een (elektronisch of papieren) geschrift staat.

Nou, laat maar zien dan. Swishfund had inderdaad een digitaal ondertekend document, en meende sterk te staan: zij stelde dat de handtekening een gekwalificeerde elektronische handtekening betreft in de zin van artikel 3, onderdeel 12, van de eidas-verordening. Die term wijst op de hoogste en meest veilige vorm van digitaal ondertekenen, namelijk

een geavanceerde elektronische handtekening die is aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen [dat dus voldoet aan de strengste eisen uit de wet] en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen [dus dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten, dus eentje die voldoet aan de strengste wettelijke eisen];
Ik vat hier de wet enorm samen. Maar de kern komt erop neer dat je voor zo ongeveer elke component van je handtekeningenproces een wettelijke eis hebt, en dat niet zomaar iedere partij even dergelijke krabbels kan faciliteren. Ik ben vast weer te cynisch als ik zeg dat dat zelden goed gaat; laten we het hier er dan op houden dat Swishfund niets had aangedragen waaruit blijkt dat zij met deze bureaucratische wirwar aan eisen had gewerkt. (Dit soort bewijs vergeten gebeurt opmerkelijk vaak; toevallig las ik gisteren nog een vrij ernstige geval waarin eiser Ziggo überhaupt niet eens een contractstekst had overlegd, laat staan bewijs dat het contract aanvaard was.)

Geen gekwalificeerde handtekening dus. Maar dat is niet perse een ramp, want de wet benoemt expliciet dat dit niet mag betekenen dat er geen geschrift ondertekend is (artikel 25 lid 1 eidas-verordening):

Het rechtsgevolg van een elektronische handtekening en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet.

Wat je vervolgens doet, is kijken hoe er dan wél een krabbel is gezet en hoe betrouwbaar je dat gezien de omstandigheden mag beschouwen. Een simpel voorbeeld is de krabbel voor ontvangst van een pakketje. Dat is echt alleen maar een tekening met je vinger, vaak zelfs zonder verificatie tegen je identiteitsbewijs of het lijkt op je ‘echte’ handtekening. (Ja, haha of het lijkt, nee precies. En sterker nog, je ‘echte’ handtekening bestaat niet eens.) In de omstandigheden – vastleggen dat het aan de deur is afgegeven – vind ik dat echter een prima betrouwbare handtekening. Rechtsgeldig bewijs dus.

Hier ging het om een overeenkomst tot borgstelling, wat natuurlijk ietsje meer impact heeft dan tekenen voor een pakketje. Daarom kijkt de rechter een stuk strenger naar het proces:

Het enige direct aan [eiser] te relateren document waarover Swishfund beschikt is het kopie van zijn identiteitsbewijs. Vast staat dat er voorafgaand aan het sluiten van de overeenkomsten op geen enkel moment direct persoonlijk contact is geweest tussen Swishfund aan de ene kant en [eiser] aan de andere kant, terwijl ook niet is gebleken dat partijen eerder zaken met elkaar hebben gedaan. Swishfund stelt weliswaar telefonisch te hebben gesproken met [eiser] , maar deze stelling is tegenover de betwisting door [eiser] onvoldoende onderbouwd. Hoewel geen enkele ondertekeningsmethode bestand zal zijn tegen alle mogelijke vormen van misbruik, levert de door Swishfund gevolgde methode een groot risico op van misbruik door personen die de beschikking hebben over de e-mailadressen en de bankgegevens van een vennootschap en over de persoonsgegevens van haar bestuurders.
Oftewel, een oplichter zou vrij eenvoudig een borgtocht kunnen afsluiten als ze die gegevens uit de laatste zin hebben, en de digitale handtekening van Swishfund verandert daar niets aan. Daar had dus meer verificatie tussen moeten zitten, bijvoorbeeld een videogesprek waarbij je foto en persoon vergelijkt en dan de handtekening laat zetten.

Die meer verificatie is waar we de definitie van “geavanceerde digitale handtekening” voor hebben. Daar zit onder meer de eis in dat je “gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken” gebruikt. Dat zou hier dan de SMS met code zijn, maar als je alleen een webformulier gebruikt dan weet je natuurlijk niet van wie dat nummer is of zelfs maar dat alleen de aanvrager die telefoon kan lezen. Dat is dus niet genoeg.

Dus kortom, geen superveilige wettelijk gekwalificeerde handtekening, geen unieke middelen voor ondertekening dus ook geen geavanceerde handtekening en gezien de omstandigheden ook geen vrije of eenvoudige digitale handtekening. (IT-ers die laatst zeiden dat ze een training IT-recht bij me willen doen, dit is niveautje op de helft, nog steeds interesse?) Daarmee is het stuk dus niet ondertekend door meneer, en vanwege die wettelijke eis is de borgtocht dus niet bewezen. En zelfs als het geen “particuliere borg” is, dan vindt de rechter het ondertekeningsproces niet betrouwbaar genoeg om desondanks van aanvaarding door meneer te spreken.

Zijn hiermee nu digitale handtekeningen ongeldig verklaard, zoals diverse tipgevers me vroegen. Nee, zeer zeker niet. Het zit hem (zoals zo vaak) in de slechte implementatie. Het proces gaat er te makkelijk vanuit dat je de juiste persoon tegenover je hebt, en dat is specifiek bij deze zware verplichting (een borg van totaal iets van 25k) een onoverkomelijk probleem. Heb je minder ernstige verplichtingen, zoals een arbeidscontract waarbij je weet dat je de juiste persoon tegenover je hebt, dan was deze zelfde technologie en proces helemaal prima geweest.

Arnoud

Gaat GPT-3 het contractenschrijven van ons overnemen? #legaltechtuesday

| AE 12321 | Innovatie | 6 reacties

Opmerkelijk nieuws uit de technologiewereld: de Engelse krant The Guardian had een column gepubliceerd die geheel door een robot geschreven was. Die robot heet GPT-3, en hoewel bleek dat de column wel gewoon eindredactie had ondergaan was de tekst behoorlijk lastig te herkennen als van een robot afkomstig. GPT-3 is geschreven als algemene tekstschrijfdienst, en is daarmee in alle sectoren inzetbaar. Ook de juridische?

GPT-3, oftewel Generative Pre-trained Transformer 3, is een taalvoorspellend neuraal netwerk ontwikkeld door de Californische stichting OpenAI dat is getraind op 500 miljard tokens afkomstig van het gehele internet. In gewone taal: GPT-3 heeft internet in haar geheugen geladen en schrijft nu zinnen gebaseerd op dit onvoorstelbaar grote voorbeeld van alle mogelijke menselijke kennis.

Hiermee kun je de dienst bijvoorbeeld een vraag stellen, waarna deze een antwoord componeert dat griezelig vaak gewoon klopt. Feitelijke vragen over welk onderwerp dan ook blijken geen probleem. Maar het neuraal netwerk kan ook gedichten componeren, al dan niet in de stijl van Shakespeare, en zelfs software schrijven op basis van een omschrijving van wat de software moet doen.

Eerdere modellen in deze trant liepen vaak tegen de lamp doordat ze onzin produceerden, of niet ver van het bronmateriaal af wisten te stappen. Maar GPT-3 ontstijgt haar voorgangers fundamenteel; slechts zelden valt op dat de tekst niet door een mens geschreven is.

Dit riekt naar wat technologen general AI of artificial general intelligence noemen: de hypothetische intelligentie van een machine die de capaciteit heeft om elke intellectuele taak die een mens kan begrijpen of te leren. Als een computer iedere tekst kan schrijven die we nodig hebben, zou je die computer dan intelligent kunnen noemen?

Misschien wel. Daar staat natuurlijk tegenover dat die computer niet écht nadenkt, althans niet op de manier waarop mensen nadenken. Heel oneerbiedig naar haar ontwikkelaars toe zeg je hier dat GPT-3 herschikt en produceert wat zij eerder heeft aangetroffen. Er is geen eigen creatieve inbreng, er is alleen zó veel invoer dat het lijkt op iets nieuws. Dit is iets te kort door de bocht, want GPT-3 kijkt niet alleen maar naar voorbeeldzinnen maar ook naar thema’s en woordgebruik in de breedte. Maar er zit inderdaad nul woord- of zinsbegrip in.

Juristen produceren ook veel teksten, met name natuurlijk in contractenland. Maar ook een dagvaarding is natuurlijk een behoorlijke lap tekst. Met genoeg voorbeelden zou GPT-3 ook in staat moeten zijn om dergelijke teksten te schrijven. Moeten wij daar nu bang voor zijn, gaat deze tekstrobot ook ons werk vervangen?

Nee, dat denk ik niet. En niet omdat het opstellen van dergelijke teksten zo creatief is dat zelfs een met 500 miljard tokens  geladen Artificial Intelligence ze niet kan maken. Nee, juist omdat teksten zo standaard zijn dat dit volgens mij niet eens nodig zou moeten zijn. Waarom elke keer opnieuw dezelfde onderwerpen beschrijven met nieuwe taal? Zelfs een robot zou daar weinig trek in hebben.

Ik heb het al vaker gezegd, maar het blijft de moeite van het herhalen waard: juist door de opkomst van steeds meer van dit soort technologie zal meer standaardisatie ontstaan. Dan hoef je niet meer in detail op te schrijven welke aansprakelijkheid je uitsluit of welke eis je stelt, maar kun je simpelweg verwijzen naar variant X of model Y. En een robot weet dan wat je bedoelt en kan dat gericht aanvullen. Dat is de toekomst van juridische teksten.

Arnoud

Kan ik mijn data van de laptop van mijn opdrachtgever laten wissen?

| AE 12163 | Ondernemingsvrijheid | 18 reacties

Een lezer vroeg me:

Ik werk als zzp’er voor een verzekeraar. Tijdens mijn klus (waarbij ik een hoop gegevens moest verzamelen en verwerken) ging mijn laptop stuk, en vanwege de deadline kreeg ik toen een laptop van de opdrachtgever te leen. Daarop mocht ik ook privédata opslaan, dit staat expliciet in de leenovereenkomst. Echter, daarna ontstond ruzie en werd de overeenkomst opgezegd, waarna men van op afstand de laptop vergrendelde!  Nu kan ik niet meer bij de privédata die ik daar mocht opslaan. Bovendien ontdekte ik daarna dat men bepaalde resultaten toch ging gebruiken (ik zie ze terug in publicaties). Mag dat zomaar?
Het is nogal cru, maar ik zou zeggen dat een opdrachtgever inderdaad gerechtigd is de geleende laptop op te eisen als de opdracht ineens eindigt. Dat men deze nu op afstand vergrendelt, is het cyber-equivalent daarvan. Dat je de laptop voor privédoeleinden mocht gebruiken, impliceert voor mij nog niet dat je ook recht had op toegang tot de data na einde opdracht. Zoiets moet expliciet in de overeenkomst opgenomen zijn.

Los daarvan mag de opdrachtgever natuurlijk niet zomaar die data gebruiken, dat mag pas als uit de overeenkomst blijkt dat deze bruikbaar is. Zonder overeenkomst is hij niet bevoegd daarmee te werken. Zeker omdat op die data een databankrecht rust (mag u van me aannemen). Ik zou hem sommeren de data te vernietigen.

Het maakt natuurlijk nogal uit wat de reden is voor de ruzie. Als dat bijvoorbeeld gaat over dat er te veel is gefactureerd, dan zie ik wel hoe de opdrachtgever zou denken dat hij de resultaten mag gebruiken. Maar als de klacht is dat er prutswerk is geleverd, dan is het natuurlijk onzin om vervolgens wél met die data verder te werken.

Arnoud

Een kopie identiteitsbewijs bewijst niet dat je een contract sloot

| AE 11895 | Ondernemingsvrijheid | 42 reacties

Leuk als je via internet contracten sluit en mensen kopie identiteitsbewijs laat opsturen, maar het bewijst niets. Dat vonniste de rechtbank Rotterdam onlangs. Telecombedrijf Tele2 dacht zo’n 1800 euro te krijgen van een internetklant wegens niet-betaalde abonnementskosten en restprijs telefoon, maar liep tegen het bekende probleem aan dat iedereen wel via internet een contract kan… Lees verder

Kunnen wij onze niet-tekenende partner toch houden aan de groepssamenwerking?

| AE 11891 | Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me: Al een tijdje onderhandel ik met vijf partijen om tot een samenwerking te komen, waarbij we een opensourcepakket gaan exploiteren onder gezamenlijke winstdeling. Het contract ondertekenen is blijven liggen vanwege de crisis, maar we zijn wel al soort van begonnen. Nu stelt een van de partijen dat hij het eigenlijk toch… Lees verder

Kan ik me op overmacht beroepen vanwege het coronavirus?

| AE 11837 | Ondernemingsvrijheid | 10 reacties

Menig ondernemer worstelt hoe verder te werken nu het coronavirus de hele maatschappij opschudt. Thuiswerken is het devies, maar lang niet bij alle vormen van ict-dienstverlening is dat een werkbare oplossing. Daardoor komen deadlines in gevaar, komen projecten niet af zoals gewenst of wordt bestelde apparatuur niet geleverd. En dan gaan mensen, alle verhalen over… Lees verder

“Mijn werkgever wil me een contract met boete over de AVG laten tekenen, is dat normaal?”

| AE 10680 | Ondernemingsvrijheid, Privacy | 6 reacties

Diverse lezers tipten me (dank) over deze vraag op Reddit: Mijn werkgever wilt mij een contract laten tekenen ivb met de nieuwe privacywet (avg). Is dit normaal? Wie het contract in kwestie leest, ziet dat het een addendum is op een arbeidscontract waarbij de werknemer geheimhouding opgelegd krijgt, en belooft netjes met persoonsgegevens om te… Lees verder

Deze ondernemer verhoogde zijn aansprakelijkheid. Wat er toen gebeurde, zal je verbazen.

| AE 10647 | Ondernemingsvrijheid | 8 reacties

Voor veel ondernemers is het een reflex om beperkt aansprakelijk te willen zijn. Aansprakelijkheid kan immers tot grote claims leiden, en dat kan het faillissement van je bedrijf inluiden. Zeker in de ICT, waar het lange tijd erg moeilijk was om je activiteiten te verzekeren. Je ziet dan ook juist in de ICT altijd zeer… Lees verder

Github introduceert werknemersvriendelijk IP-contract

| AE 9359 | Ondernemingsvrijheid | 4 reacties

Broncodebeheerbedrijf Github staat sinds kort toe dat hun werknemers de rechten (IP) op eigen werk mogen houden als ze die met bedrijfsmiddelen of onder werktijd hebben gemaakt, meldde QZ onlangs. Hiermee wijkt men werknemersvriendelijk af van de standaard in de VS: gebruikelijk daar is dat alle IP toekomt aan de werkgever van alles dat ook… Lees verder