Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Een bedrijf stuurt mij een contractvoorstel in PDF op ter ondertekening. Zij hebben de PDF digitaal ondertekend, met een X509 certificaat dat echter leidt naar een root CA van de leverancier, en niet tot een van de door Adobe erkende root CAs. Er is dus geen officiële erkenning van dit certificaat, en ik twijfel over de waarde van de handtekening. Is dit rechtsgeldig, mag ik een "natte" handtekening eisen?

Antwoord: Elektronische handtekeningen zijn geregeld in de eIDAS Verordening die sinds 2014 van kracht is. Deze hanteert als hoofdregel dat: Het rechtsgevolg van een elektronische handtekening en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet.

"Dit is elektronisch en dus niet rechtsgeldig" of "een van de regels over gekwalificeerde handtekeningen is niet gevolgd" is dus geen argument. Je hebt meer nodig, zoals een concreet vermoeden dat de handtekening nep is of een technische fout waardoor de validatie ter discussie komt te staan.

Wat is dan een gekwalificeerde handtekening? Daar hoort een hele lap definities bij die ik even niet ga herhalen; de kern is dat dit een digitale handtekening is waarbij een validatie-certificaat hoort dat is afgegeven door een erkende instantie. (De Nederlandse lijst daarvan staat bij de RDI). Expliciet staat in de wet dat deze handtekeningen rechtsgeldig zijn en dus erkend moeten worden door de rechter.

Vanwege die "niet worden ontkend"-hoofdregel uit de wet is de betekenis hier van beperkt. Wie aannemelijk kan maken dat zijn elektronisch tekenproces goed genoeg is voor de gekozen toepassing, heeft óók gewoon een rechtsgeldige handtekening. Dat staat weer in onze Nederlandse wet, art. 3:15a BW dat voortbouwt op de eIDAS Verordening: (...) een [elektronische handtekening] dezelfde rechtsgevolgen als een handgeschreven handtekening, indien voor deze beide elektronische handtekeningen de methode voor ondertekening die gebruikt is voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische handtekening is gebruikt en op alle overige omstandigheden van het geval.

Hoe netjes en volledig het technisch is opgezet, is dus een factor van belang maar niet de enige en niet de doorslaggevende. Voor iets simpels als een bezoekersregistratie bij de receptie zouden de eisen heel wat minder zwaar kunnen zijn dan een zakelijk leasecontract voor een bedrijf met 150 medewerkers, bijvoorbeeld.

De vraagsteller heeft het over een commercieel contract. Hij gaat daarmee financiële verplichtingen aan, en mag wat verwachten van die leverancier. Het is natuurlijk goed om te weten dat zowel hij als het bedrijf gebonden zijn, en een handtekening helpt daarbij. Maar bij contracten geldt in het algemeen niet de eis dat ze ondertekend moeten worden: genoeg is dat duidelijk is dat beide partijen akkoord waren.

Je mag natuurlijk áfspreken dat je pas gebonden bent als de handtekeningen staan, maar daaruit volgt dan niet dat de handtekening aan de hoogste eisen van gekwalificeerde elektronische handtekeningen moet voldoen. Ook als je op advies van een jurist gaat voor de sterke bewijskracht van de akte (art. 156 Rechtsvordering) is het niet nodig dat de handtekening een gekwalificeerde is.

Ik zie vaak bij contracteringsprocessen dat er wel iets met digitale handtekeningen gebeurt, maar dat is volgens mij vaker "omdat we vroeger op papier handtekeningen zetten" dan dat er echt een diepere juridische wens achter zit. Dat uit zich vaak in achterliggende processen zoals deze die rammelen. Men wilde een intern systeem voor krabbels, dat leek ook handig voor de klanten maar niemand had behoefte aan een dichtgetimmerde bewijsketen met een onafhankelijke externe instantie.

Uiteindelijk is het natuurlijk aan de vraagsteller of hij het ziet zitten, maar er is dus juridisch niets mis met hoe dit bedrijf werkt, en als beiden krabbelen in Adobe dan zitten ze eraan vast.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.