Juridische vraag: is een digitale handtekening rechtsgeldig?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Als onder een koopovereenkomst een digitale handtekening staat, en de plaatser achteraf claimt dat hij dit niet was, is de overeenkomst dan ook rechtsgeldig? En maakt het dan uit of de digitale handtekening 'gekwalificeerd' is of een 'gewone'?
Antwoord: Over digitale handtekeningen is al sinds medio jaren negentig een heleboel te doen, en ik snap steeds minder waarom. Handtekeningen zijn namelijk zelden tot nooit nodig in het handelsverkeer. Akkoord is akkoord, of je dat nu met een handtekening zet of door "akkoord" te zeggen.
Bewijsbaarheid is vaak wel een punt, en daar helpt een ondertekend document wel bij. Zo'n document is een akte, en aktes leveren 'dwingend bewijs' op tussen partijen. Wat daarin staat is waar, behalve wanneer je op een paar bijzondere manieren tegenbewijs kunt leveren.
In tegenstelling tot de handtekening op papier kent de elektronische handtekening drie verschillende vormen. Alle drie de vormen zijn rechtsgeldig, mits aan bepaalde voorwaarden is voldaan.
1. De gewone elektronische handtekening is de eenvoudigste variant. Denk hierbij aan een een gescande handtekening op papier, die bijvoorbeeld onder een e-mail geplakt kan worden als afbeelding. Deze variant wordt meestal niet aangeraden omdat hij eenvoudig te vervalsen is. Maar als de betrouwbaarheid voldoende vaststaat (bijvoorbeeld bij e-mail binnen een bedrijf), dan is zo’n handtekening rechtsgeldig.
2. De geavanceerde elektronische handtekening maakt gebruik van wiskundige technieken om een unieke code aan een bericht te koppelen. Deze code wordt afgeleid uit het bericht zelf en uit de identiteit van de afzender. Daarmee is de code niet te gebruiken bij een vervalst bericht, zodat zo’n geavanceerde elektronische handtekening al snel als betrouwbaar en dus rechtsgeldig wordt gezien. Deze vorm wordt ook wel aangeduid als de “digitale handtekening”.
3. De gekwalificeerde elektronische handtekening is de zwaarste variant. Hierbij wordt een geavanceerde elektronische handtekening gecontroleerd met behulp van een certificaat dat door een erkende certificatiedienstverlener wordt uitgegeven. Het certificaat wordt pas na identiteitscontrole uitgegeven. (En nee, het gemiddelde SSL-certificaat voldoet dus niet aan deze definitie.) Erkenning en inschrijving van zulke dienstverleners gebeurt door de telecomtoezichthouder OPTA.
Bij een elektronische akte eist de wet een elektronische handtekening, maar er staat niet in de wet welke van deze drie nodig is. Dat hangt af van doel en omstandigheden waarbinnen de akte wordt opgesteld.
Bij alle drie is de overeenkomst rechtsgeldig gesloten. Echter, bij de gekwalificeerde elektronische handtekening geldt een "rechtsvermoeden van betrouwbaarheid" oftewel die is echt tenzij de plaatser kan bewijzen van niet. Bij de andere handtekening moet de wederpartij bewijzen dat deze echt is. En dat kan uitmaken - afhankelijk van het soort conflict dat je hebt natuurlijk.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Mij lijkt voor de bewijsbaarheid dat eigenlijk alleen een handtekening hoort te worden gebruikt, waarvan te verifieren is, dat hij echt van de ondertekenaar af komt en is geplaatst met de bedoeling de overeenkomst te bevestigen.
Kan je wat specifieker zijn?
Stel: ik treed namens iemand op die een conflict heeft met de overheid (die in gebreke is).
Is mijn altijd digitaal (met certificaat van - vooralsnog - vooraanstaande uitgever) getekende email correspondentie dan rechtsgeldig?
Wie moet wat dan bewijzen?
Dit is een ECHT probleem als de rechters (niet de kantonrechter, maar in dit geval bestuursrechter) niet weet hoe het technisch werkt...
Mij lijkt voor de bewijsbaarheid dat eigenlijk alleen een handtekening hoort te worden gebruikt, waarvan te verifieren is, dat hij echt van de ondertekenaar af komt en is geplaatst met de bedoeling de overeenkomst te bevestigen.
je hebt het hier over 2 verschillende zaken.
Er bestaan al jaren oplossingen waar je met een speciaal soort tablet een handtekening kunt plaatsen, bijvoorbeeld van Wacom (nee ik werk er niet). In het geval dat je noemt wordt gewoon je handtekening opgeslagen als plaatje.
Je kunt er echter ook een certificaat aan hangen (een self signed (dat neigt naar optie 2) of een gekocht certificaat, (optie 3)). Dan kun je wel degelijk een document (PDF) ondertekenen en ook allerlei opties aangeven. Je ziet een echte handtekening, die je er niet zomaar uit kunt halen en waarbij door hashes ook nog eens aangetoond kan worden dat het document niet gewijzigd is.
Ik zat deze week met dat zelfde probleem. Wegens een vermiste zending van PostNL kreeg ik een mailtje met een platte tekst eronder die ik moest invullen en ondertekenen ter bevestiging dat de zending ook niet retour gegaan was.
Ik zat me af te vragen hoe ik onder zo'n mailtje een handtekening moest zetten en hoe zij dat bedoelden. Handtekening inscannen en eronder plakken leek me grote onzin omdat iedereen dat kan doen. Uiteindelijk heb ik op eigen initiatief de tekst maar in een tekstverwerker gecopiëerd, geprint, ondertekend, ingescand en dat per mail terug gestuurd. Maar als je er goed over nadenkt kan daar nog steeds iedere sukkel mijn handtekening in plakken. Dus schijnveiligheid en is het eronder plakken van een gescande handtekening net zo (on)zinnig. Maar hier gaat het natuurlijk om bedragen van enkele tientjes en is een lager veiligheidsniveau misschien acceptabel.
Bij één transporteur hebben ze wat gevonden op de steeds zoekgeraakte tekenpennen: Gewoon geen pen meer gebruiken maar je nagel. Dat onder het motto: het is toch onleesbaar, dus daar kan een vingernagel ook niets meer aan verpesten.
Maar met zo'n tekentablet of ingescande handtekening, mis je elke informatie over penvoering en uitgeoeffende druk, waar een grafoloog normaal nog iets mee kan doen.
Ruim vijf jaar geleden heb ik eens bij ups geklaagd omdat de bezorder een paar keer achtereen een dun pakje zo in de bus gooide, zonder te laten tekenen. Bij navraag vertelde de telefoniste me dat ik wel getekend had, want ze had handtekeningen in het systeem voor die pakjes. RaRa.
Na uitleg dat die niet van mij konden zijn, is dit ook niet meer voorgekomen. Maar daar zullen intern vast wel de nodige woorden gevallen zijn. De bezorger wilde gewoon snel zijn en niet wachten totdat geopend werd, maar heeft zich natuurlijk wel schuldig gemaakt aan het vervalsen van handtekeningen.
Bijvoorbeeld bij pakketbezorgers.
Alleen kan ik op zo'n ding (glad en door de bezorger vastgehouden terwijl ik sta en met een pennetje in de hand)
geen handtekening zetten die lijkt op wat er uit komt als ik dit op een stuk papier zittend aan een bureau doe.
Maar dat ligt uiteraard aan mij, anders had de ontwerper dit wel bedacht toen hij dit appparaat ontwierp.
Dat is dus een handtekening van de 2e soort uit Arno's opsomming. Het digitaal ondertekenen van je belastingaangifte of van de banktransactie gebeurt door de applicatie van de belastingdienst (of de internetbankier-app) op de achtergrond, maar het effect is hetzelfde. Uit het digitale ondertekend bericht is overigens jouw pincode/verificatiecode/wachtwoord niet meer terug af te leiden, maar wel jouw unieke identifier (voor de belastingaangifte je BSN, voor de bank je rekeningnummer bijvoorbeeld). Hetzelfde geldt voor bijvoorbeeld een iDEAL betaling. Vandaar dat sommige bedrijven een iDEAL betaling van 1 cent vragen ter bevestiging van je instemming met bijvoorbeeld een online incassomachtiging: omdat de iDEAL betaling digitaal ondertekend wordt kan achteraf bij een conflict worden aangetoond dat jij deze hebt gedaan.
Mij lijkt voor de bewijsbaarheid dat eigenlijk alleen een handtekening hoort te worden gebruikt, waarvan te verifieren is, dat hij echt van de ondertekenaar af komt en is geplaatst met de bedoeling de overeenkomst te bevestigen.
Dan zou je elke handtekeing bij de notaris moeten zetten, maar om nou telkens wanneer er een pakketje voor je bezorgd wordt samen met de bezorger bij de notaris langs te gaan lijkt me ook niet echt een oplossing... Een digitale Notaris zou dan wel uitkomst bieden, waar de een zijn document naartoe stuurt, waar jij je handtekening op zet en daarna weer door de notaris ondertekend wordt teruggegeven aan de aanbieder. Die notaris zal dan een kopie van dat document moeten bewaren om later bij een conflict te kunnen verifiëren of het inderdaad hetzelfde document is waar die handtekeing onder staat.
- Externen (iedereen buiten domein @organisatie.nl) ontvangen de reguliere e-mailhandtekening;
- Collega's (iedereen binnen domein @organisatie.nl) ontvangen de beknopte e-mailhandtekening.
Gevolg hiervan is dat wanneer ik een e-mail naar een externe stuur, maar tevens een collega in Aan heb staan, dat mijn e-mail bij de externe met de reguliere e-mailhandtekening aankomt, maar bij mijn collega met de beknopte e-mailhandtekening. Als mijn collega vervolgens een reply-to-all stuurt op mijn e-mail, dan ontvangt de externe wederom de regulier e-mailhandtekening van mijn collega, maar van mijn eerdere e-mail die daaronder staat de beknopte e-mailhandtekening, terwijl de externe in eerste instantie mijn reguliere handtekening had ontvangen.
Hopelijk is bovenstaand verhaal nog te volgen, maar mijn juridische vraag is nu:
Kan het juridisch gezien een probleem worden (in geval van een geschil) dat niet alle ontvangers van een e-mail exact dezelfde informatie in hun inbox ontvangen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.