Zijn digitale handtekeningen ineens juridisch ongeldig verklaard?

| AE 12325 | Informatiemaatschappij, Ondernemingsvrijheid | 42 reacties

Elektronische handtekening niet voldoende betrouwbaar, kopte ITenRecht onlangs. In een recent vonnis verwees de rechtbank Zeeland-West-Brabant een borgtochtovereenkomst naar de prullenbak, omdat de digitaal geplaatste handtekening niet betrouwbaar was. Daarmee kon niet worden bewezen dat de wederpartij daadwerkelijk deze had getekend, zodat de borgtocht niet kon worden opgeëist. Opmerkelijk, want het hele punt van digitale handtekeningen was nu juist die betrouwbaarheid.

De eisende partij had in 2018 voor zijn bedrijf een geldlening aangevraagd bij Swishfund, waarbij hij persoonlijk zich borg stelde voor de lening. Daarvoor werd een digitaal contract ondertekend, en wel met Adobe Sign dat een heel proces heeft voor tekenen:

Het contract wordt naar het e-mailadres van de aanvrager gestuurd. Alvorens deze het document kan openen en digitaal kan ondertekenen dient hij een verificatiecode in te voeren. Deze code wordt per SMS naar het door de aanvrager opgegeven telefoonnummer gestuurd. Nadat de aanvrager het document heeft geopend kan hij parafen en een handtekening plaatsen door deze te typen, tekenen of door een afbeelding in te voegen. De aanvrager kan zelf kiezen welke van deze methoden hij gebruikt. Wanneer het ondertekenen is afgerond wordt het document door Adobe Sign voorzien van een zegel. Hierdoor kan het document niet meer worden gewijzigd.
In 2019 ging het bedrijf failliet, waarna Swishfund de borgsteller uiteraard aansprak. Die liet de zaak lopen, waardoor hij bij verstek werd veroordeeld tot betaling. Daar kwam hij vervolgens tegen in verzet, met het argument dat hij nooit een rechtsgeldige borgovereenkomst had getekend. Dat is belangrijk, want in art. 7:859 BW staat dat een borgovereenkomst alleen kan worden bewezen met een door de borgsteller ondertekend geschrift. Wat je dus online allemaal zegt of aanvinkt, is dus niet van belang als er geen handtekening onder een (elektronisch of papieren) geschrift staat.

Nou, laat maar zien dan. Swishfund had inderdaad een digitaal ondertekend document, en meende sterk te staan: zij stelde dat de handtekening een gekwalificeerde elektronische handtekening betreft in de zin van artikel 3, onderdeel 12, van de eidas-verordening. Die term wijst op de hoogste en meest veilige vorm van digitaal ondertekenen, namelijk

een geavanceerde elektronische handtekening die is aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen [dat dus voldoet aan de strengste eisen uit de wet] en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen [dus dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten, dus eentje die voldoet aan de strengste wettelijke eisen];
Ik vat hier de wet enorm samen. Maar de kern komt erop neer dat je voor zo ongeveer elke component van je handtekeningenproces een wettelijke eis hebt, en dat niet zomaar iedere partij even dergelijke krabbels kan faciliteren. Ik ben vast weer te cynisch als ik zeg dat dat zelden goed gaat; laten we het hier er dan op houden dat Swishfund niets had aangedragen waaruit blijkt dat zij met deze bureaucratische wirwar aan eisen had gewerkt. (Dit soort bewijs vergeten gebeurt opmerkelijk vaak; toevallig las ik gisteren nog een vrij ernstige geval waarin eiser Ziggo überhaupt niet eens een contractstekst had overlegd, laat staan bewijs dat het contract aanvaard was.)

Geen gekwalificeerde handtekening dus. Maar dat is niet perse een ramp, want de wet benoemt expliciet dat dit niet mag betekenen dat er geen geschrift ondertekend is (artikel 25 lid 1 eidas-verordening):

Het rechtsgevolg van een elektronische handtekening en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet.

Wat je vervolgens doet, is kijken hoe er dan wél een krabbel is gezet en hoe betrouwbaar je dat gezien de omstandigheden mag beschouwen. Een simpel voorbeeld is de krabbel voor ontvangst van een pakketje. Dat is echt alleen maar een tekening met je vinger, vaak zelfs zonder verificatie tegen je identiteitsbewijs of het lijkt op je ‘echte’ handtekening. (Ja, haha of het lijkt, nee precies. En sterker nog, je ‘echte’ handtekening bestaat niet eens.) In de omstandigheden – vastleggen dat het aan de deur is afgegeven – vind ik dat echter een prima betrouwbare handtekening. Rechtsgeldig bewijs dus.

Hier ging het om een overeenkomst tot borgstelling, wat natuurlijk ietsje meer impact heeft dan tekenen voor een pakketje. Daarom kijkt de rechter een stuk strenger naar het proces:

Het enige direct aan [eiser] te relateren document waarover Swishfund beschikt is het kopie van zijn identiteitsbewijs. Vast staat dat er voorafgaand aan het sluiten van de overeenkomsten op geen enkel moment direct persoonlijk contact is geweest tussen Swishfund aan de ene kant en [eiser] aan de andere kant, terwijl ook niet is gebleken dat partijen eerder zaken met elkaar hebben gedaan. Swishfund stelt weliswaar telefonisch te hebben gesproken met [eiser] , maar deze stelling is tegenover de betwisting door [eiser] onvoldoende onderbouwd. Hoewel geen enkele ondertekeningsmethode bestand zal zijn tegen alle mogelijke vormen van misbruik, levert de door Swishfund gevolgde methode een groot risico op van misbruik door personen die de beschikking hebben over de e-mailadressen en de bankgegevens van een vennootschap en over de persoonsgegevens van haar bestuurders.
Oftewel, een oplichter zou vrij eenvoudig een borgtocht kunnen afsluiten als ze die gegevens uit de laatste zin hebben, en de digitale handtekening van Swishfund verandert daar niets aan. Daar had dus meer verificatie tussen moeten zitten, bijvoorbeeld een videogesprek waarbij je foto en persoon vergelijkt en dan de handtekening laat zetten.

Die meer verificatie is waar we de definitie van “geavanceerde digitale handtekening” voor hebben. Daar zit onder meer de eis in dat je “gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken” gebruikt. Dat zou hier dan de SMS met code zijn, maar als je alleen een webformulier gebruikt dan weet je natuurlijk niet van wie dat nummer is of zelfs maar dat alleen de aanvrager die telefoon kan lezen. Dat is dus niet genoeg.

Dus kortom, geen superveilige wettelijk gekwalificeerde handtekening, geen unieke middelen voor ondertekening dus ook geen geavanceerde handtekening en gezien de omstandigheden ook geen vrije of eenvoudige digitale handtekening. (IT-ers die laatst zeiden dat ze een training IT-recht bij me willen doen, dit is niveautje op de helft, nog steeds interesse?) Daarmee is het stuk dus niet ondertekend door meneer, en vanwege die wettelijke eis is de borgtocht dus niet bewezen. En zelfs als het geen “particuliere borg” is, dan vindt de rechter het ondertekeningsproces niet betrouwbaar genoeg om desondanks van aanvaarding door meneer te spreken.

Zijn hiermee nu digitale handtekeningen ongeldig verklaard, zoals diverse tipgevers me vroegen. Nee, zeer zeker niet. Het zit hem (zoals zo vaak) in de slechte implementatie. Het proces gaat er te makkelijk vanuit dat je de juiste persoon tegenover je hebt, en dat is specifiek bij deze zware verplichting (een borg van totaal iets van 25k) een onoverkomelijk probleem. Heb je minder ernstige verplichtingen, zoals een arbeidscontract waarbij je weet dat je de juiste persoon tegenover je hebt, dan was deze zelfde technologie en proces helemaal prima geweest.

Arnoud

Waarom hebben we eigenlijk nog steeds handtekeningen op papier?

| AE 8769 | Informatiemaatschappij | 21 reacties

handtekening-willem-van-oranjeHet is buitengewoon merkwaardig dat we anno 2016 nog steeds onleesbare krabbels op papier zetten met de gedachte dat dat juridisch belangrijk is. Date las ik bij Slate en ik ben het er helemaal mee eens. Juridische cargoculterij, dat is het.

We zetten allemaal elke dag wel onze handtekening een keer. Een pakketje aannemen, een order bevestigen of ergens inchecken. Het voelt als een formeel moment en daarom doen we het ook. Maar het betekent eigenlijk niets. We doen het omdat we dat altijd al zo doen. Cargoculterij: voor sommige heel formele dingen (zoals een notariële akte of invoering van een wet) is een handtekening nodig om rechtskracht te scheppen, dus als we een handtekening zetten dan krijgt de handeling rechtskracht.

Onzin natuurlijk. Om bijvoorbeeld een contract te sluiten is een handtekening niet nodig; iedere handeling waaruit blijkt dat je dat contract wil, is genoeg. Je hand opsteken, op “Akkoord” klikken of iets dergelijks, meer dan genoeg.

Heel soms zijn er vormvereisten, zoals de wet dat noemt. Een huis kopen moet op papier, en online iets kopen moet via een knop “Bestelling met betalingsverplichting”, anders zijn die niet rechtsgeldig. Maar dat zijn uitzonderingen.

Waarom doen we het dan? Het gaat uiteindelijk om bewijs. Een stuk papier met handtekening is sterker bewijs dan “hij zei destijds ‘joe’ met zijn duim omhoog, echt waar”. De wet noemt een ondertekend stuk papier een akte, en die levert “dwingend bewijs” op – wat daarop staat, is de afspraak en niets anders. Dus dat is handig om te hebben. Maar is het echt nodig? Volgens mij echt niet. Ga je echt ontkennen dat je een arbeidscontract hebt? Dat je in die kamer geslapen hebt?

Dus nee, wat mij betreft is het écht overbodig om steeds met handtekeningen te werken. Het is geschuif met stapels papier en een krabbel met inkt, waar niemand op zit te wachten. Want laten we eerlijk zijn: dat papier wordt daarna gescand en vernietigd, en dat vinden we eigenlijk allemaal prima.

Arnoud

Waarom zetten wij eigenlijk handtekeningen op papier?

| AE 8053 | Privacy | 28 reacties

handtekening.jpgRegelmatig vragen lezers me: waarom doen wij als bedrijf nog steeds zo moeilijk met handtekeningen op stukken papier? Ons hele bedrijf is geautomatiseerd, alleen bij sommige acties moeten er dingen uitgeprint, getekend en weer ingescand zijn. En soms wordt dan zelfs dat stuk papier nog bewaard. Is dat nu echt juridisch nodig?

Juridisch bepalen of een stuk papier écht nodig is, is vaak een hele kluif. Hoofdregel is: het hoeft niet op papier. De wet kent namelijk slechts zelden een harde eis dat iets pas rechtsgeldig is als het op papier staat. Wie er meer weet dan de volgende, mag het zeggen: de koop van een woning (art. 7:2 BW), huurkoop (7A:1576i BW), timesharing (7:50c lid 1 BW), pacht (7:317 lid 1 BW), vrijwillige garantietoezeggingen (7:6a lid 3 BW), verkoop van IE-rechten (art. 2 Auteurswet) en sinds juli 2014 de overeenkomst tot dienstverlening na telefonische acquisitie (6:230v sub 6 BW). De arbeidsovereenkomst hoeft alleen schriftelijk als er een proeftijd (7:652 lid 2 BW), concurrentiebeding (7:653 lid 1 BW) of boetebeding (7:650 lid 2 BW) is opgenomen. Een factuur hoeft niet schriftelijk.

Meestal wil men graag stukken papier omdat dit sterk bewijs oplevert. Met een akte (een ondertekende verklaring op papier) ontstaat ‘dwingend’ bewijs (art. 157 Rechtsvordering) van wat er is afgesproken. Onder voorwaarden is ook een elektronische akte rechtsgeldig (art. 156a Rechtsvordering). Kort gezegd is vereist dat de inhoud zodanig wordt vastgelegd dat deze ongewijzigd gereproduceerd kan worden voor zo lang als nodig. In de ICT-praktijk betekent dit een PDF-bestand en een goed ingericht proces voor het aanmaken en archiveren daarvan.

Heel vaak zijn dit soort bedrijfsprocessen er vooral omdat ze er altijd al waren. Men heeft altijd geleerd dat papier en handtekening “rechtsgeldig” zijn, of zelfs verplicht. Dus dat is het proces en dat blijft het proces. Daar verandering in brengen is niet eenvoudig, want “zo doen we het altijd al” is een van de sterkste argumenten uit de praktijk om iets te laten zoals het is.

Hoe elektronisch zijn jullie met contracten en documenteren?

Arnoud

Maakt de ‘1’ toets op je telefoon een overeenkomst schriftelijk?

| AE 7051 | Informatiemaatschappij | 29 reacties

Ik had ‘m gemist maar een tijdje terug bleek telecombedrijf Pretium bij TROS Radar in de uitzending te zijn geweest. Pretium ligt onder vuur omdat ze via telefonische acquisitie contracten sluit, en daarbij de schriftelijkheidseis uit de wet voor dat soort contracten creatief invult: druk op de ‘1’ toets op je telefoon om te bevestigen… Lees verder

Is een vinkje ook goed of moet het echt een handtekening zijn?

| AE 5425 | Privacy | 15 reacties

Kennelijk is er weer eens een workshop Digitaal contracteren geweest of zo, want ik kreeg deze week een aardig stapeltje mails met vragen hoe je digitaal mensen akkoord kunt laten gaan met een of ander. Vaak gaat het dan over privacyspecifieke zaken, maar ook zaken als ontvangstbevestigingen of gewoon akkoord op een contract wil men… Lees verder

Is Diginotar aansprakelijk voor de schade uit frauduleuze certificaten?

| AE 2683 | Ondernemingsvrijheid, Security | 63 reacties

Auw. Iraans verkeer naar Gmail kon worden afgetapt dankzij een door Diginotar goedgekeurd certificaat, zo bleek deze week. Alle grote browsers revoceerden meteen het certificaat van Diginotar, hoewel Firefox later een uitzondering maakte voor DigiD. Na enig getreuzel kwam Diginotar-eigenaar Vasco met een verklaring dat men in juli was gehackt, waarna bleek dat in ieder… Lees verder

Digitale handtekeningen op je iPhone

| AE 2051 | Informatiemaatschappij | 13 reacties

In Apple’s App Store is een applicatie verschenen waarmee je documenten kunt verzenden met je handtekening eronder, meldde iPhoneclub gisteren. De applicatie, Zosh, zou hierdoor een vervanger kunnen zijn van de fax, dat nog steeds de snelste manier is om ondertekende documenten te verzenden. De patent pending signature tool komt neer op een PDF editor… Lees verder

Eerste digitale burgerinitiatief naar Tweede Kamer

| AE 1471 | Informatiemaatschappij | 7 reacties

Het eerste digitale burgerinitiatief wordt vandaag bij de Tweede Kamer ingediend, meldde Nu.nl gisteren. Intrigerend, want in maart vorig jaar werd een e-petitie nog ongeldig verklaard omdat de handtekeningen digitaal en niet op papier gezet waren. Het reglement van de Commissie Burgerinitiatieven is in de tussentijd niet aangepast, dus waarom mag het nu ineens? De… Lees verder

MD5-beveiligingsmechanisme achter vertrouwde websites gekraakt

| AE 1391 | Ondernemingsvrijheid, Security | 8 reacties

Nou, mooi is dat. Ben ik net uit bed na een erg leuke oudejaarsavond, blijken een stel beveiligingsonderzoekers e-commerce gekraakt te hebben. Of nou ja, de beveiligingstechniek achter een hoop e-commerce sites. Dit omdat het MD5-algoritme, een klein maar cruciaal deel van de gebruikte beveiligingstechniek al drie -pardon, vier, het is 2009- jaar bijzonder zwak… Lees verder

Petitie Vroeg Op Stap vanwege digitale handtekeningen ongeldig

| AE 937 | Informatiemaatschappij | 5 reacties

De petitie van actiegroep Vroeg Op Stap blijkt ongeldig, meldt onder andere Nu.nl. De groep wil vervroegde horecasluitingstijden wettelijk laten vastleggen, en had daarvoor een website opgezet waar sympathisanten hun handtekeningen konden achterlaten. Met 40.000 handtekeningen kun je dan een wetsvoorstel op burgerinitiatief indienen. Vroeg Op Stap had er meer dan 120.000. De commissie burgerinitiatieven… Lees verder