Waarom zetten wij eigenlijk handtekeningen op papier?

handtekening.jpgRegelmatig vragen lezers me: waarom doen wij als bedrijf nog steeds zo moeilijk met handtekeningen op stukken papier? Ons hele bedrijf is geautomatiseerd, alleen bij sommige acties moeten er dingen uitgeprint, getekend en weer ingescand zijn. En soms wordt dan zelfs dat stuk papier nog bewaard. Is dat nu echt juridisch nodig?

Juridisch bepalen of een stuk papier écht nodig is, is vaak een hele kluif. Hoofdregel is: het hoeft niet op papier. De wet kent namelijk slechts zelden een harde eis dat iets pas rechtsgeldig is als het op papier staat. Wie er meer weet dan de volgende, mag het zeggen: de koop van een woning (art. 7:2 BW), huurkoop (7A:1576i BW), timesharing (7:50c lid 1 BW), pacht (7:317 lid 1 BW), vrijwillige garantietoezeggingen (7:6a lid 3 BW), verkoop van IE-rechten (art. 2 Auteurswet) en sinds juli 2014 de overeenkomst tot dienstverlening na telefonische acquisitie (6:230v sub 6 BW). De arbeidsovereenkomst hoeft alleen schriftelijk als er een proeftijd (7:652 lid 2 BW), concurrentiebeding (7:653 lid 1 BW) of boetebeding (7:650 lid 2 BW) is opgenomen. Een factuur hoeft niet schriftelijk.

Meestal wil men graag stukken papier omdat dit sterk bewijs oplevert. Met een akte (een ondertekende verklaring op papier) ontstaat ‘dwingend’ bewijs (art. 157 Rechtsvordering) van wat er is afgesproken. Onder voorwaarden is ook een elektronische akte rechtsgeldig (art. 156a Rechtsvordering). Kort gezegd is vereist dat de inhoud zodanig wordt vastgelegd dat deze ongewijzigd gereproduceerd kan worden voor zo lang als nodig. In de ICT-praktijk betekent dit een PDF-bestand en een goed ingericht proces voor het aanmaken en archiveren daarvan.

Heel vaak zijn dit soort bedrijfsprocessen er vooral omdat ze er altijd al waren. Men heeft altijd geleerd dat papier en handtekening “rechtsgeldig” zijn, of zelfs verplicht. Dus dat is het proces en dat blijft het proces. Daar verandering in brengen is niet eenvoudig, want “zo doen we het altijd al” is een van de sterkste argumenten uit de praktijk om iets te laten zoals het is.

Hoe elektronisch zijn jullie met contracten en documenteren?

Arnoud

Is een vinkje ook goed of moet het echt een handtekening zijn?

handtekening-zosh-iphone.pngKennelijk is er weer eens een workshop Digitaal contracteren geweest of zo, want ik kreeg deze week een aardig stapeltje mails met vragen hoe je digitaal mensen akkoord kunt laten gaan met een of ander. Vaak gaat het dan over privacyspecifieke zaken, maar ook zaken als ontvangstbevestigingen of gewoon akkoord op een contract wil men het liefst zo eenvoudig mogelijk doen, dus graag met een digitaal vinkje.

Hoofdregel uit de wet is dat rechtshandelingen vormvrij zijn. Oftewel, alle handelingen die juridisch enig gevolg hebben, mogen worden verricht op elke wijze die je maar kunt bedenken, ténzij in de wet staat dat het op een specifieke manier (vorm) moet. Ik kan bijvoorbeeld akkoord geven op een contract door “ja” te zéggen in plaats van een krabbel te zetten op papier. Ook zou ik rooksignalen kunnen sturen vanaf het dak van mijn huis, maar de vraag is of de wederpartij dat ziet – en natuurlijk moet een handeling wel aankomen bij de wederpartij.

Je mag hier als partijen van afwijken. De wederpartij bij dat contract kan bepalen dat er pas een contractsluiting is wanneer ik die krabbel zet, en mijn mondelinge “ja” is dan niet rechtsgeldig. Maar dat hoeft niet. Alleen bij een paar heel specifieke contracten is een geschrift vereist: koop van een huis, een arbeidscontract met concurrentiebeding en, eh, een verzekeringspolis. Meer kan ik er eigenlijk niet bedenken.

Er is dus geen enkele reden om per se een handtekening op papier te eisen. Nou ja, eentje dan: een stuk papier met handtekening levert sterker bewijs op. Wat op dat stuk papier – een akte – staat, is in principe dwingend bewijs tussen de partijen over de afspraak. “Jamaar ik had het anders bedoeld dan het er staat” is na ondertekening dus geen argument meer.

Dit geldt ook bij toestemming onder de privacywet. De regels voor zulke toestemming zijn strenger dan voor ‘gewoon’ een rechtshandeling: de privacywet eist “vrije, specifieke en op informatie berustende” toestemming. Maar ook hier geldt niet dat die toestemming schriftelijk moet zijn gegeven of dat deze pas gegeven is als men een krabbel op papier heeft geproduceerd. Wederom, die handtekening is handig als bewijs, maar dat is het dan.

Maar Arnoud, waarom doet iedereen dan zo moeilijk over digitale handtekeningen en certificaten en PKI-infrastructuren? Tsja, ik heb werkelijk géén idee. Juridisch nodig is het bepaald niet. Technologie-fetishisme noemde ik het eens: het zo leuk vinden van techniek dat we er allerlei regeltjes voor gaan maken om het “goed te regelen” zonder dat iemand zich nu afvraagt of dit wel geregeld moet worden of waarom. Menig organisatie heeft bérgen regels en bijbehorende compliancedocumenten voor digitale handtekeningen, terwijl voor de krabbel op papier er zelden meer is dan “deze moet worden gezet”. Zucht.

Arnoud

Digitale handtekeningen op je iPhone

handtekening-zosh-iphone.pngIn Apple’s App Store is een applicatie verschenen waarmee je documenten kunt verzenden met je handtekening eronder, meldde iPhoneclub gisteren. De applicatie, Zosh, zou hierdoor een vervanger kunnen zijn van de fax, dat nog steeds de snelste manier is om ondertekende documenten te verzenden. De patent pending signature tool komt neer op een PDF editor die één ding kan, namelijk een plaatje van je handtekening in een PDF invoegen. Dit “let’s you” (sic) een handtekening zetten met je vinger op je iPhone.

Laat ik de discussie over rechtsgeldigheid meteen voor zijn: ja, dit is rechtsgeldig, en wel omdat de wet helemaal nergens eist dat contracten of formulieren ondertekend worden. Die handtekening is dus een leuk stukje dikdoenerij om een afspraak net wat meer gewicht te geven, maar formeel is het nergens voor nodig.

Deze applicatie kan nut hebben als de wederpartij per se een ondertekend document wil hebben, maar dat is puur en alleen een onderlinge wens waar je al of niet aan toe kunt geven. Maar met wettelijke rechtsgeldigheid heeft dat niet zo veel te maken.

En inderdaad, er staan allemaal regels over elektronische en digitale handtekeningen in de wet. Waarom die er staan, is me nog steeds niet duidelijk, en ik ben nog wel op t onderwerp afgestudeerd. In een cynische bui noem ik ’t wel eens technologiefetishisme, het zo leuk vinden van techniek dat we er allerlei regeltjes voor gaan maken om het “goed te regelen” zonder dat iemand zich nu afvraagt of dit wel geregeld moet worden of waarom.

Arnoud

Eerste digitale burgerinitiatief naar Tweede Kamer

Het eerste digitale burgerinitiatief wordt vandaag bij de Tweede Kamer ingediend, meldde Nu.nl gisteren. Intrigerend, want in maart vorig jaar werd een e-petitie nog ongeldig verklaard omdat de handtekeningen digitaal en niet op papier gezet waren. Het reglement van de Commissie Burgerinitiatieven is in de tussentijd niet aangepast, dus waarom mag het nu ineens?

De crux blijkt te zitten in de evaluatie van deze regeling die eind november verscheen. Daarin blijkt dat de eis om inktstrepen op papier te verlangen bij petities echt een probleem is en nu eindelijk eens afgeschaft moet worden. Op zijn ambtenaars:

Continuering van de regeling voor onbepaalde tijd noodzaakt daarom te onderzoeken hoe de Kamer in de gelegenheid kan worden gesteld elektronische handtekeningen te verifiëren.

In de tussentijd gaat men over op een compromismodel: petities mogen zonder fysieke handtekeningen worden aangeboden, maar de commissie kan steeksproefgewijs mensen op de lijst alsnog een handtekening laten zetten. Voor de meelezende wiskundigen en statistici nog een interessante passage:

Deze steekproefsgewijze controle moet op basis van statistische regels minimaal 385 fysieke handtekeningen omvatten. Om ervan uit te kunnen gaan dat 95% van alle digitale steunbetuigingen juist is, mogen er in deze controlegroep maximaal 19 fouten zitten, dat wil zeggen de gegevens van naam, adres en woonplaats onjuist zijn. Dan kan met 95% waarschijnlijk- heid mogen worden gesteld dat het benodigde aantal steunbetuigingen van 40 000 geldig is. Het aantal van 385 handtekeningen is ook nodig als sprake is van 55 000 of 70 000 handtekeningen.

Ik hoor graag of dit klopt of niet 🙂

En ik zit me nu af te vragen of er een systeem denkbaar is waarbij je ook zonder deze steekproef petities kunt organiseren zonder het al te makkelijk te maken om frauduleus 40.000 namen te genereren. Ik vrees dat je toch altijd uitkomt bij een eis om te controleren.

Hoewel, hoe gaat dat eigenlijk bij papieren petities? De paar keer dat ik zo’n ding teken (ik heb namelijk een hekel aan zeehondjes, of eigenlijk aan mensen die mij op zaterdagmiddag vragen of ik dat heb) is dat volgens mij best onleesbaar.

Arnoud

MD5-beveiligingsmechanisme achter vertrouwde websites gekraakt

Nou, mooi is dat. Ben ik net uit bed na een erg leuke oudejaarsavond, blijken een stel beveiligingsonderzoekers e-commerce gekraakt te hebben. Of nou ja, de beveiligingstechniek achter een hoop e-commerce sites. Dit omdat het MD5-algoritme, een klein maar cruciaal deel van de gebruikte beveiligingstechniek al drie -pardon, vier, het is 2009- jaar bijzonder zwak blijkt te zijn. Dankzij deze zwakte kan een aanvaller een nepsite voorzien van volstrekt authentiek uitziende certificaten, zodat niemand meer kan detecteren dat het een nepsite is.

Beveiligde websites, veel gebruikt bij e-commerce sites, maken gebruik van certificaten waarmee een browser kan vaststellen of hij met de echte site communiceert. Die certificaten worden uitgegeven door onafhankelijke instanties zoals CACert of Thawte, en zijn voorzien van hun digitale handtekening zodat er niet mee te knoeien valt.

De fout zit in het MD5-algoritme, dat gebruikt wordt bij het genereren van die digitale handtekening. MD5 genereert een hash, een korte code die uniek is voor het te signeren certificaat, en vervolgens wordt de handtekening geplaatst over die hash. Dit is veel sneller dan het hele certificaat zelf signeren. Het blijkt namelijk veel eenvoudiger dan gedacht om een tweede certificaat te genereren met inhoud naar keuze dat dezelfde hash heeft als het certificaat van zo’n instantie. En daarmee zal iedere browser dat nepcertificaat accepteren als authentiek.

Al in 2005 was bekend dat het MD5-algoritme deze zwakheid had, maar tot nu toe werd dit door veel mensen als een puur theoretische mogelijkheid afgedaan. Met deze publicatie wordt duidelijk dat dit een reële dreiging is. Gelukkig hebben zowel Microsoft als Mozilla maatregelen aangekondigd.

Klikken jullie trouwens ook al die irritante waarschuwingen over certificaten weg zonder ze te lezen? Ik zou het liever niet doen, maar soms heb je weinig keus als je een bepaalde website wilt gebruiken.

Arnoud

Petitie Vroeg Op Stap vanwege digitale handtekeningen ongeldig

De petitie van actiegroep Vroeg Op Stap blijkt ongeldig, meldt onder andere Nu.nl. De groep wil vervroegde horecasluitingstijden wettelijk laten vastleggen, en had daarvoor een website opgezet waar sympathisanten hun handtekeningen konden achterlaten. Met 40.000 handtekeningen kun je dan een wetsvoorstel op burgerinitiatief indienen.

Vroeg Op Stap had er meer dan 120.000. De commissie burgerinitiatieven weigerde het voorstel echter toch naar de Tweede Kamer te sturen, omdat de handtekeningen niet op papier stonden maar elektronisch waren. Ze waren daarom niet rechtsgeldig. Dat blijkt ook in de bij Postbus 51-folder te staan.

Wat flauw.

Artikel 9 van het reglement van deze commissie eist dat een burgerinitiatief van haar 40.000 of meer sympathisanten de “naam, adres, geboortedatum en handtekening” verzamelt. Er staat “handtekening”, en dat moet je in principe inderdaad lezen als “handgeschreven handtekening”. Digitale handtekeningen zijn toch rechtsgeldig, denkt u nu. Klopt, maar die regeling is gemaakt voor handtekeningen in het vermogensrecht en het handelsverkeer tussen burgers. Contracten, akten en dat soort zaken.

Interessant daarbij is dat een digitale handtekening, of wat de wet dan noemt een elektronische handtekening, meer is dan alleen die moeilijke wiskunde met certificaten en zo. Een ingetypte naam kan namelijk een geldige digitale handtekening zijn. Daarvoor moet je naar het doel kijken waarvoor de handtekening nodig is. Bij een contract zou je zware eisen kunnen stellen, bij een blogpost heel wat minder. Die naamsvermelding onderaan mijn blogposts is dus een geldige digitale handtekening. Het doel daarvan is aan te geven dat ik auteur ben van die blogpost. En voor dat doel is in de context van bloggen het intypen van de tekst “Arnoud” voldoende.

Artikel 3:15c BW bepaalt dat de regeling over digitale handtekeningen ook buiten het vermogensrecht toepasbaar is, “voor zover de aard van de rechtshandeling of van de rechtsbetrekking zich daartegen niet verzet.” Dit is bijvoorbeeld uitgewerkt in art. 2:13 Algemene Wet Bestuursrecht, dat zegt dat berichten tussen burgers en de overheid elektronisch mogen worden verstuurd tenzij er een specifiek wettelijk verbod of vormvoorschrift dat anders bepaalt. Artikel 2:16 Awb zegt dat een digitale handtekening geaccepteerd moet worden als deze “voldoende betrouwbaar” is voor het doel van het bericht waar de handtekening op staat.

Het doel van de handtekeningen op de petitie is uiteraard dat de commissie (steekproefsgewijs) kan verifiëren dat de handtekeningen echt zijn. Dat zegt commissievoorzitter Johan Remkes ook bij 3voor12: “Papieren handtekeningen zijn beter te controleren. Als we dat willen uitbreiden naar digitale handtekeningen, moet de Tweede Kamer eerst ons reglement veranderen.”

Die logica volg ik niet. Een elektronische lijst met ingetypte namen en adressen lijkt me een stuk beter te controleren dan handgeschreven namen en geboortedatums. De petitie van Vroeg Op Stap laat mensen naast hun naam en e-mail ook hun adres, postcode en woonplaats invullen. En daarmee zijn de gegevens prima te verifiëren. Sterker nog, het lijkt me juist beter om het op deze manier te doen dan de manier van de Postbus 51-folder. Het is niet eens verplicht om je adres in te vullen bij een papieren petitie!

Deze petitie afwijzen enkel en alleen omdat de handtekeningen geen onleesbare krabbels op papier zijn, vind ik dan ook bijzonder weinig vooruitstrevend. We willen toch een E-overheid?

Arnoud

Legaal elektronisch factureren

Een digitale factuur bespaart 90.000 bomen per jaar, bericht Ewald Smits in Sync.

In Nederland worden er jaarlijks meer dan 1 miljard facturen geproduceerd en verstuurd. 69% van Nederlanders is actief met internetbankieren. Deze actieve groep ontvangt circa 80% van alle nota’s.

Maar is een digitale of elektronische factuur eigenlijk wel legaal?

Ja natuurlijk, was mijn eerste gedachte. Overeenkomsten mag je elektronisch sluiten (zelfs per e-mail), dus waarom niet de factuur? Nou ja, omdat de belastingdienst regels heeft over facturen. En meer in het bijzonder zijn er ook regels voor elektronische facturen:

  • De afnemer moet akkoord gaan met de factuur. Het is dus handig zoiets in je algemene voorwaarden te regelen.
  • <li><strong>Op de factuur moeten</strong> de <a href="http://www.belastingdienst.nl/zakelijk/omzetbelasting/ob02/">wettelijk verplichte gegevens</a> staan, met name de BTW.</li>
    
    <li><strong>De factuur moet authentiek en integer zijn.</strong> de afnemer moet er zeker van kunnen zijn dat de
    

    factuur werkelijk van de leverancier afkomstig is. Bovendien moeten beiden er zeker van zijn dat de factuur niet is veranderd.

    <li><strong>De Belastingdienst moet de factuur kunnen controleren.</strong> De gegevens van de factuur moeten dus worden bewaard. </li>
    

Met name dat stukje over “authentiek en integer” is de uitdaging. Op papier is het genoeg als je briefpapier met het bedrijfslogo gebruikt, maar voor elektronische facturen is een digitale handtekening gewenst, alhoewel de Belastingdienst ook “sommige andere methoden” goedkeurt.

En komt dat even mooi uit: elektronisch factureren via internetbankieren is een “sommige andere methode.”

Sinds maart van dit jaar kunnen die facturen over de digitale snelweg worden afgeleverd bij gebruikers van internetbankieren. De Digitale Nota is feitelijk een nieuwe wijze van factureren, betalen en communiceren. Via de Digitale Nota kunnen alle gebruikers van internetbankieren hun rekeningen voortaan digitaal ontvangen en betalen. De papieren versie verdwijnt hiermee.

Hoe werkt dit?

Nota bekijken
In internetbankieren ziet de klant een overzicht met alle nota`s. Deze staan op volgorde van datum. Ongelezen nota’s herkent men aan een gesloten envelop. Met een muisklik kan de notaspecificatie geraadpleegd worden. De digitale nota kan er precies zo uitzien als de papieren pendant die de klant vroeger ontving.

Nota betalen
Betalen van de nota vindt plaats op de vertrouwde manier. Hiermee is het overtypen van acceptgiro`s door de klant verleden tijd. De betaling wordt bevestigd via de normale identificatiemethode van internetbankieren.

Er staat zelfs een demo online.

Arnoud

ICTRecht Weblog » DigiD, een elektronische handtekening?

Digitale handtekeningen zijn rechtsgeldig, maar wanneer is iets een digitale handtekening? Steven Ras van ICTRecht pluist het uit voor de DigiD:

DigiD dient als middel voor authenticatie. DigiD als zodanig bestaat uit een gebruikersnaam en wachtwoord. Het verzorgt alleen niet zelf de vasthechting aan- of logische associatie met andere elektronische gegevens. Daarom is het niet aan te merken als een elektronische handtekening

Eerder vroeg Ras zich hetzelfde af voor OpenID. En de DigiD werd onlangs nog ingezet voor elektronische communicatie in Baarn.

Arnoud

Vraag het Mr. Ras op ISPam.nl

ISPam.nl heeft een nieuwe rubriek: “Vraag het Mr. Ras”, waarin de bezoekers van ISPam.nl juridische vragen kunnen stellen aan mr. Steven Ras van ICTRecht. Goeie actie Steven!

De eerste vraag die hij behandelt, is of een elektronische handtekening rechtsgeldig is. Dat is een andere dan de digitale handtekening trouwens. Een digitale handtekening gebruikt encryptie, certificaten en andere technische toestanden (en is rechtsgeldig). Een elektronische handtekening is een handtekening die, eh, elektronisch geplaatst wordt.

Dat kan bijvoorbeeld door met je muis een tekening te maken die lijkt op je papieren handtekening. Zo doen sommige Internetproviders het, bijvoorbeeld bij de aanvraagformulieren voor domeinnamen van de SIDN. Maar dat levert een probleem op:

Waarschijnlijk worden de elektronische gegevens van de applet vastgehecht aan andere elektronische gegevens (gegevens van bijvoorbeeld een contract). Het is nog maar de vraag of deze gegevens kunnen worden gebruikt als middel voor authentificatie. Het is naar mijn mening bijna onmogelijk om dezelfde elektronische handtekening nogmaals te zetten of daar een unieke schrijfwijze uit af te leiden. Daarbij wordt er geen druk/snelheid gemeten. De gegevens van de applet maken het dan ook niet mogelijk de ondertekenaar te identificeren.

En daarom is zo’n applet-(hand)tekening geen elektronische handtekening in de zin van de wet. Zoals Steven vorig jaar ook al schreef trouwens.

Arnoud<BR/> (UPDATE: enkele typos in het citaat gefixed)

ICTRecht Weblog » OpenID een elektronische handtekening?

Eén van de eisen voor een rechtsgeldige digitale handtekening is dat er een betrouwbaar middel voor identificatie van de plaatser gebruikt wordt. Een OpenID identiteit is een webadres of URL, met een mogelijkheid om te bewijzen dat jij eigenaar bent van die URL. Is deze nu geschikt voor een digitale handtekening? Steven Ras van ICTRecht vraagt het zich af:

Het is nog maar de vraag of OpenID kan worden gezien als betrouwbaar middel voor authentificatie. Een OpenID-account maak jezelf aan en is daarom niet direct betrouwbaar. Kort gezegd: een elektronische handtekening die je aan jezelf geeft is onbetrouwbaar.

Arnoud