image

Juridische vraag: wat is een authentieke handtekening?

woensdag 31 juli 2013, 11:28 door Arnoud Engelfriet, 19 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: De wachtwoorden van een aantal van onze computersystemen worden in een archiefkast bewaard. Om de auditors enigszins gelukkig te maken wordt de toegang tot deze kast onder meer gecontroleerd met een handtekeningformulier. Wie de kast open wil doen, moet naam en handtekening (en tijdstip) vermelden. Hoe kunnen en mogen wij nagaan dat wij de authentieke handtekening hebben van deze personen?

Antwoord: Ik ga nu iets zeggen dat voor veel mensen verrassend is: er is geen wet die vastlegt of regelt wat iemands authentieke handtekening is!

Een handtekening is een krabbel op een stuk papier waarmee de plaatser aangeeft dat de inhoud juist is of dat hij daarmee akkoord gaat. De wet bepaalt echter nergens hoe een handtekening eruit moet zien of hoe je “de” handtekening van de plaatser herkent. Je bent dus formeel vrij om naar verschillende instanties toe verschillende handtekeningen te gebruiken, zolang je maar goed onthoudt per instantie wat je handtekening daar is.

In securitytaal: een handtekening zetten is het papieren equivalent van een pincode intypen. "Something you can do" in plaats van "something you know", als het ware. Wie de handtekening kan zetten, wordt geacht de betreffende persoon te zijn.

In de praktijk is het natuurlijk volstrekt ingeburgerd dat je met één handtekening werkt, en dat we met z’n allen doen alsof handtekeningen niet triviaal te vervalsen zijn. De wet zegt over handtekeningen eigenlijk niet veel meer dan wat in artikel 159 Rechtsvordering staat. Een ondertekend document is tegen de ondertekenaar bewijs van de inhoud (tenzij hij tegenbewijs aanlevert). Enkel roepen dat je het zo niet had bedoeld of dat er een fout is gemaakt, gaat je niet helpen. Echter, ontken je stellig dat je dat document nooit getekend hebt, dan moet eerst bewezen worden van wie de ondertekening afkomstig is.

En ja, dat is alles dat de wet hierover zegt. Niets over bewijsvermoedens wanneer vulpennen zijn gebruikt, of dat een betrouwbaar middel voor het overbrengen van inkt moet zijn gebruikt of dat minstens twee door TNO gecertificeerde getuigen aanwezig waren. Het is me dan ook al jaren een doorn in het oog dat we voor digitale handtekeningen een heel raamwerk hebben opgetuigd waarin dat allemaal wél wordt geëist. Met als uitsmijter dat als je dat allemaal doet je “vermoedelijk” een rechtsgeldige handtekening hebt gezet.

Hoe dan ook. Een handtekening is dus handig om bewijs te verzamelen, in dit geval van het feit dat persoon X bij de archiefkast is geweest op tijdstip T. Om te verifiëren dat iemand is wie hij zegt dat hij is, kan het bedrijf vragen dat hij een controlehandtekening plaatst in een logboek. Men mag ook wel vergelijken met de bankpas of identiteitskaart, maar een kopie daarvan bewaren lijkt me niet echt nodig.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (19)
31-07-2013, 11:51 door Anoniem
Vergelijken met een bestaande handtekening zou voor mij een problem worden. Ik heb een lichte motorische storing, mijn handtekeningen zijn nooit identiek. Zelfs niet als ik er een paar achter elkaar maak.
31-07-2013, 13:08 door Arnoud Engelfriet
Heeft niet iedereen dat probleem? Ik ben er ook nog nooit in geslaagd twee keer exact dezelfde handtekening te maken. En het is me een raadsel hoe banken en instellingen nagaan dat wat ik zet, genoeg lijkt op wat er op mijn ID-kaart staat.

Sterker nog, in fraudezaken is het volstrekt identiek zijn van de handtekening vaak bewijs van vervalsing. Een vervalser tekent immers na (of scant en kopieert), een 'echte' persoon zet de handtekening uit de losse pols.
31-07-2013, 13:40 door Anoniem
In, ik meen, Japan werken ze met stempels en rode inkt. Die stempels zijn dan officieel geregistreerd, maar het is gebruikelijk dat je voor verschillende toepassingen verschillende stempels hebt.

Grappig wel dat handtekeningen zo ongeregeld zijn. Het geeft aan dat je van alles maar vastleggen in de wet ook niet automatisch beter wordt--en als je doordenkt, de kans dat het er slechter van wordt is zeker niet nul. Meestal gaat het goed met handtekeningen, en als niet dan is er genoeg te bestuderen om tot een redelijk zekere conclusie te komen.

Overigens zou ik voor beheerswachtwoorden niet uitgaan van een kast met handtekeningen. Wil je kwaad, zet je lekker die handtekening niet en is het automatisch iemand anders zijn schuld.

Beter lijkt het om iedereen zijn eigen wachtwoord te geven (wat dan dus ook individueel ingetrokken kan worden!) en de "last resort" wachtwoorden achter, bijvoorbeeld, twee verschillende sloten waardoor er twee hoge omes tegelijk aanwezig moeten zijn om het te openen. En dan daarin een logboek met wie er waarom bij moest, maar dat heeft dan weer weinig met veiligheid te maken.

Veel van die auditingvereisten gaan ook helemaal niet over veilighed, zelfs niet over zien wat er gebeurt, maar over "cover your ass". Dat levert al snel constructies op die bruikbaar zijn om de schijn tegen anderen te creeren. Uiterst nuttig bij kantoorse vechtpolitiek, maar verder eigenlijk nergens goed voor. Beter nog maar even doordenken dan.
31-07-2013, 13:43 door Whacko
Mijn handtekening is door de jaren heen enigzins veranderd. Toen ik een spaarrekening opende bij mijn bank en daarvoor tekende werd ik vriendelijk verzicht om even mee te komen naar een achterkamertje. Omdat mijn handtekening niet klopte hoorde ik daar. Ik kon me natuurlijk identificeren, en heb de handtekening zo goed moegelijk neergezet zoals die ooit was. Maar het is toch een rare gewaarwording.
31-07-2013, 13:46 door Anoniem
Tsja, mijn handtekening had een uithaal, en dat mag dus niet. Voor allerlei (juist overheids-)formuliertjes willen ze een handtekening in een miniem hokje. Weet niet welke ambtenaar die alleen maar een kruisje kan zetten, dat heeft bedacht, maar het betekent dus dat ik word gedwongen (niet: aangezet, want dan zou er een 'moeilijk' alternatief zijn) om m'n handtekening te veranderen. C.q. te vervalsen ..?
31-07-2013, 14:11 door Briolet
Ik ben helemaal slordig met handtekeningen. Soms valt er een letter weg, maar ik nog nooit iemand horen klagen.

Een probleem van tegenwoordig vind ik de 'digitale' handtekening op een tablet. Bijna dagelijks moet ik er een zetten bij ontvangst van een paketje. Vaak zie ik dat hele stukken lijn wegvallen bij het zetten. En ook kan een handschrift deskundige er veel minder mee. Bij een balpen kun je nog iets zien hoeveel druk er op de verschillende letters uitgeoefend wordt, of hoe snel iets neergezet wordt aan de hand van het vloeien van de hoeveelheid inkt.
31-07-2013, 14:30 door AdHd
Door Arnoud Engelfriet: En het is me een raadsel hoe banken en instellingen nagaan dat wat ik zet, genoeg lijkt op wat er op mijn ID-kaart staat.
Het gaat niet zozeer om het eindresultaat, maar juist om de soort bewegingen, stand van de schrijf-punt en de druk die gezet wordt tijdens die vele kleine & snelle handelingen. Ook wordt gekeken naar tussenruimte's, verschillen t.o.v. de hoogtelijn, noem maar op. Wij hebben hier in het verleden al mee te maken gehad door fraude met facturen. In 2011 is een kennis van mijn vrouw nog gepromoveerd op gerelateerd onderzoek overigens:
http://www.rug.nl/news-and-events/news/archief2011/173_11


On Topic:
Ik snap de vraagstelling niet helemaal, betreft het hier een on-afgesloten archiefkast met gevoelige informatie (wachtwoorden) waarbij verder vrije toegang is??? Dat is geen hoofdpijn, maar migraine voor een auditor.

Anders ligt de primaire verantwoordelijkheid voor identiteitsverificatie toch bij de sleutelhouder?
Ik snap dat bij grotere bedrijven je niet iedere collega bij naam en toenaam kunt kennen, maar daar zijn dan weer badges voor.
31-07-2013, 14:55 door Anoniem
Echter, ontken je stellig dat je dat document nooit getekend hebt

Dan beken je dus dat je getekend hebt ;-)
31-07-2013, 15:02 door Anoniem
Wachtwoorden in een archiefkast bewaren? Dat is toch niet meer van deze tijd? Wat een wassen neus maatregel is het vastleggen van het admin wachtwoord op papier in een archiefkast. Net of degene die het password gebruikt dat daarna ook vergeten is. Als auditor moet je jezelf flink achter je oren krabben of je niet een beetje achterloopt als je serieus dit soort zaken nog in een audit meeneemt. Een digitale kluis is al veel beter met daarbij een mechanisme dat een eenmaal gebruikt wachtwoord direct na gebruik automatisch wijzigt zodat het oude wachtwoord niet meer te gebruiken is. Als systemen goed zijn ingericht heb je een administrator wachtwoord ook nooit nodig. Zo'n digitale kluis is veel beter te beveiligen dan een analoge. Met een auditrail is veel beter aan te tonen wie er in de digitale kluis geweest is en wie het heeft geprobeerd om er in te komen.
31-07-2013, 15:20 door Anoniem
Door Whacko: Mijn handtekening is door de jaren heen enigzins veranderd. Toen ik een spaarrekening opende bij mijn bank en daarvoor tekende werd ik vriendelijk verzicht om even mee te komen naar een achterkamertje. Omdat mijn handtekening niet klopte hoorde ik daar.
Ja bij banken doen ze gauw moeilijk, ik heb dat ook wel eens gehad toen ik me alsnog moest authenticeren voor
een al vele jaren lopende rekening.
Mijn probleem is vooral dat ik tegenwoordig heel weinig meer schrijf en handtekeningen zet. "vroeger" had je
betaalcheques en van die creditcard apparaten waar je moest tekenen op een carbon copie van je kaart, en dat
was dan een regelmatige oefening. Nu is het nog maar een paar keer per jaar en dan meestal in onmogelijke
omstandigheden:
- op de achterkant van een pasje of creditcard: ielig smal strookje waar je met de pen vanaf schiet en bij het
terug erop komen verplaatst je pen
- in een klein vakje op een of ander aanvraagformulier wat ze dan scannen en weer op een document zetten
(paspoort, rijbewijs, toegangspas etc)
- zoals al gemeld op die apparaten waar postbestellers tegenwoordig mee rondlopen

Ik kan mijn handtekening niet zomaar in ieder gewenst (steeds kleiner) formaat zetten, en op een glad
schermpje wat iemand anders vasthoudt terwijl ik zelf sta dat gaat ook niet goed,
Dus het resultaat lijkt meestal nergens op. Dat is ook niet zo belangrijk meestal, maar dat laat wel de deur
naar vervalsingen wijd open natuurlijk.
01-08-2013, 09:54 door Anoniem
Mja, ik denk dan het volgende: als ik zakelijk iets wil afspreken met mijn werkgever, dan wil die daar geen handtekening onder zetten, met als argument dat een "emailtje ook rechtsgeldig is".

Dan vraag ik me af: wat is dan voor een rechter het verschil tussen een door beide partijen ondertekende overeenkomst (zoals het netjes hoort in mijn beleving, noem me maar ouderwets :-)), en een emailtje, dat ik dan reply met "akkoord" (cc aan mezelf)?

Pikant detail is wel dat als mijn werkgever iets van mij wil, dat ik dan wel word geacht om een handtekening te zetten, maar goed...
02-08-2013, 13:27 door Anoniem
Nog even terugkomend op de digitale handtekening, waar een heel PKI apparaat voor is opgetuigd, met certificaten enzovoorts. Super veilig....

Maar wie gelooft daar nog in?
Als de NSA zegt dat ze de private keys NIET hebben, wie gelooft dat nog in deze tijden? Dan moet je toch wel behoorlijk naïef zijn, aangezien gebleken is dat ze eigenlijk overal over liegen.

Het enige waar je nog een klein beetje geloof in kunt hebben is in de PGP-key van iemand. Die heeft hij/zij tenminste nog zelf gemaakt, hopelijk op een onbesmette machine.
02-08-2013, 18:43 door Anoniem
Door Anoniem:
Als de NSA zegt dat ze de private keys NIET hebben, wie gelooft dat nog in deze tijden? Dan moet je toch wel behoorlijk naïef zijn, aangezien gebleken is dat ze eigenlijk overal over liegen.

Het enige waar je nog een klein beetje geloof in kunt hebben is in de PGP-key van iemand. Die heeft hij/zij tenminste nog zelf gemaakt, hopelijk op een onbesmette machine.
De private key van een certificaat toch ook?
Wat is het verschil dan?
04-08-2013, 09:25 door Anoniem
Door Anoniem: Wachtwoorden in een archiefkast bewaren? Dat is toch niet meer van deze tijd?
Hoezo? Waarom neem je aan dat (1) het nu niet meer van deze tijd zou zijn en dus (2) het ooit wel acceptabel zou zijn geweest?

Je moet je goed afvragen waarom je zoiets doet. En er zijn best situaties te bedenken waar dat een goed idee zou kunnen zijn. Ja, ook vandaag de dag. Desalniettemin heb ik ernstige bedenkingen bij wat hierboven beschreven wordt. Maar dat is in de uitvoering, niet in principe. Papier is geduldig.


Net of degene die het password gebruikt dat daarna ook vergeten is.
Bijvoorbeeld: 20 hoofd- en kleine letters, cijfers, andere tekens. Je kan het vast uit het hoofd leren, maar... eh.


Een digitale kluis is al veel beter met daarbij een mechanisme dat een eenmaal gebruikt wachtwoord direct na gebruik automatisch wijzigt zodat het oude wachtwoord niet meer te gebruiken is.
Dat mechanisme zit niet in de kluis. Dat zit in het stuk code dat de wachtwoorden accepteerd. En dan kun je net zo goed een groot aantal enkelgebruikswachtwoorden uitprinten en die in een mechanische kluis bewaren. Eventueel op individuele papiertjes, wellicht op een dispenserrol... in een gepantserde dispenserkist. Je kan daar ook de boel lekker ingewikkeld maken hoor.

Belangrijker is dat een "digitale kluis" werkt niet als de kompjoeter waar'ie op staat het niet doet. En hij moet nog steeds afgesloten worden. Met een sleutel. Wat, je wilde een wachtwoord? Beetje kip/ei, niet?

Ik denk dat je een beetje met je hoofd vastzit in "digitaal is altijd veel beter". Dat is het niet. Zeker niet als het onder alle omstandigheden moet werken, beschikbaar moet zijn. Dat is gewoon niet zo.
05-08-2013, 12:24 door Anoniem
Het is dus ook perfect mogelijk een handtekening te vervalsen door het origineel ondersteboven te leggen en dan gewoon na te tekenen. Je herzenen zien er dan geen letters meer in waardoor een handschrift deskundige er ook niets meer mee kan.
05-08-2013, 15:00 door Patio
Anoniem schreef 31 juli: Overigens zou ik voor beheerswachtwoorden niet uitgaan van een kast met handtekeningen. Wil je kwaad, zet je lekker die handtekening niet en is het automatisch iemand anders zijn schuld.
Dan gaat de kast niet open. Een geautoriseerde handtekening is samen met datum-tijdstempel een soort sleutel/index in het historisch logboek, winst voor iedereen: management, personeel, auditors en natuurlijk (het belangrijkste!) de klanten.
06-08-2013, 09:37 door Anoniem
"Om de auditors enigszins gelukkig te maken wordt de toegang tot deze kast onder meer gecontroleerd met een handtekeningformulier"

Is dat werkelijk de enige reden waarom je een procedure zou hanteren om toegang tot gevoelige informatie te controleren ?

"Als de NSA zegt dat ze de private keys NIET hebben, wie gelooft dat nog in deze tijden? "

De enige bedreiging die jij ziet in de wereld is de NSA ?

Doe jij je auto en je huis niet op slot, omdat dat slot de politie niet zal tegenhouden ? ;)
08-08-2013, 13:43 door Patio
Door Anoniem: "Om de auditors enigszins gelukkig te maken wordt de toegang tot deze kast onder meer gecontroleerd met een handtekeningformulier"

Is dat werkelijk de enige reden waarom je een procedure zou hanteren om toegang tot gevoelige informatie te controleren ?

"Als de NSA zegt dat ze de private keys NIET hebben, wie gelooft dat nog in deze tijden? "

De enige bedreiging die jij ziet in de wereld is de NSA ?


Als een auditor in haar/zijn rapport schrijft dat je bedrijf niet aan de eisen voldoet kun je de zaak sluiten is het einde verhaal voor jou, je medewerkers, Nog meer werklozen erbij...
15-08-2013, 18:10 door Anoniem
Uit artikel:Echter, ontken je stellig dat je dat document nooit getekend hebt
Volgens mij moet dit zijn: Echter, ontken je stellig dat je dat document ooit getekend hebt
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.