image

Is een digitale handtekening wel altijd rechtsgeldig?

woensdag 11 november 2020, 14:35 door Arnoud Engelfriet, 17 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik las dat de rechter een digitaal getekend contract ongeldig heeft verklaard. Moet ik dat nu zo lezen dat digitale handtekeningen eigenlijk toch niet rechtsgeldig zijn?

Antwoord: Inderdaad, in een recent vonnis verwees de rechtbank Zeeland-West-Brabant een borgtochtovereenkomst naar de prullenbak, omdat de digitaal geplaatste handtekening niet betrouwbaar was. Daarmee kon niet worden bewezen dat de wederpartij daadwerkelijk deze had getekend, zodat de borgtocht niet kon worden opgeëist.

De eisende partij had in 2018 voor zijn bedrijf een geldlening aangevraagd bij Swishfund, waarbij hij persoonlijk zich borg stelde voor de lening. Daarvoor werd een digitaal contract ondertekend, en wel met Adobe Sign dat een heel proces heeft voor tekenen:

Het contract wordt naar het e-mailadres van de aanvrager gestuurd. Alvorens deze het document kan openen en digitaal kan ondertekenen dient hij een verificatiecode in te voeren. Deze code wordt per SMS naar het door de aanvrager opgegeven telefoonnummer gestuurd. Nadat de aanvrager het document heeft geopend kan hij parafen en een handtekening plaatsen door deze te typen, tekenen of door een afbeelding in te voegen. De aanvrager kan zelf kiezen welke van deze methoden hij gebruikt. Wanneer het ondertekenen is afgerond wordt het document door Adobe Sign voorzien van een zegel. Hierdoor kan het document niet meer worden gewijzigd.

In 2019 ging het bedrijf failliet, waarna Swishfund de borgsteller uiteraard aansprak. Die liet de zaak lopen, waardoor hij bij verstek werd veroordeeld tot betaling. Daar kwam hij vervolgens tegen in verzet, met het argument dat hij nooit een rechtsgeldige borgovereenkomst had getekend. Dat is belangrijk, want in art. 7:859 BW staat dat een borgovereenkomst alleen kan worden bewezen met een door de borgsteller ondertekend geschrift. Wat je dus online allemaal zegt of aanvinkt, is dus niet van belang als er geen handtekening onder een (elektronisch of papieren) geschrift staat.

Nou, laat maar zien dan. Swishfund had inderdaad een digitaal ondertekend document, en meende sterk te staan: zij stelde dat de handtekening een gekwalificeerde elektronische handtekening betreft in de zin van artikel 3, onderdeel 12, van de eidas-verordening. Die term wijst op de hoogste en meest veilige vorm van digitaal ondertekenen, namelijk

een geavanceerde elektronische handtekening die is aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen [dat dus voldoet aan de strengste eisen uit de wet] en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen [dus dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten, dus eentje die voldoet aan de strengste wettelijke eisen];"

Ik vat hier de wet enorm samen. Maar de kern komt erop neer dat je voor zo ongeveer elke component van je handtekeningenproces een wettelijke eis hebt, en dat niet zomaar iedere partij even dergelijke krabbels kan faciliteren. Ik ben vast weer te cynisch als ik zeg dat dat zelden goed gaat; laten we het hier er dan op houden dat Swishfund niets had aangedragen waaruit blijkt dat zij met deze bureaucratische wirwar aan eisen had gewerkt. (Dit soort bewijs vergeten gebeurt opmerkelijk vaak; toevallig las ik gisteren nog een vrij ernstige geval waarin eiser Ziggo überhaupt niet eens een contractstekst had overlegd, laat staan bewijs dat het contract aanvaard was.)

Geen gekwalificeerde handtekening dus. Maar dat is niet perse een ramp, want de wet benoemt expliciet dat dit niet mag betekenen dat er geen geschrift ondertekend is (artikel 25 lid 1 eidas-verordening):

Het rechtsgevolg van een elektronische handtekening en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet."

Wat je vervolgens doet, is kijken hoe er dan wél een krabbel is gezet en hoe betrouwbaar je dat gezien de omstandigheden mag beschouwen. Een simpel voorbeeld is de krabbel voor ontvangst van een pakketje. Dat is echt alleen maar een tekening met je vinger, vaak zelfs zonder verificatie tegen je identiteitsbewijs of het lijkt op je 'echte' handtekening. (Ja, haha of het lijkt, nee precies. En sterker nog, je 'echte' handtekening bestaat niet eens.) In de omstandigheden - vastleggen dat het aan de deur is afgegeven - vind ik dat echter een prima betrouwbare handtekening. Rechtsgeldig bewijs dus.

Hier ging het om een overeenkomst tot borgstelling, wat natuurlijk ietsje meer impact heeft dan tekenen voor een pakketje. Daarom kijkt de rechter een stuk strenger naar het proces:

Het enige direct aan [eiser] te relateren document waarover Swishfund beschikt is het kopie van zijn identiteitsbewijs. Vast staat dat er voorafgaand aan het sluiten van de overeenkomsten op geen enkel moment direct persoonlijk contact is geweest tussen Swishfund aan de ene kant en [eiser] aan de andere kant, terwijl ook niet is gebleken dat partijen eerder zaken met elkaar hebben gedaan. Swishfund stelt weliswaar telefonisch te hebben gesproken met [eiser] , maar deze stelling is tegenover de betwisting door [eiser] onvoldoende onderbouwd. Hoewel geen enkele ondertekeningsmethode bestand zal zijn tegen alle mogelijke vormen van misbruik, levert de door Swishfund gevolgde methode een groot risico op van misbruik door personen die de beschikking hebben over de e-mailadressen en de bankgegevens van een vennootschap en over de persoonsgegevens van haar bestuurders.

Oftewel, een oplichter zou vrij eenvoudig een borgtocht kunnen afsluiten als ze die gegevens uit de laatste zin hebben, en de digitale handtekening van Swishfund verandert daar niets aan. Daar had dus meer verificatie tussen moeten zitten, bijvoorbeeld een videogesprek waarbij je foto en persoon vergelijkt en dan de handtekening laat zetten.

Die meer verificatie is waar we de definitie van "geavanceerde digitale handtekening" voor hebben. Daar zit onder meer de eis in dat je "gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken" gebruikt. Dat zou hier dan de SMS met code zijn, maar als je alleen een webformulier gebruikt dan weet je natuurlijk niet van wie dat nummer is of zelfs maar dat alleen de aanvrager die telefoon kan lezen. Dat is dus niet genoeg.

Dus kortom, geen superveilige wettelijk gekwalificeerde handtekening, geen unieke middelen voor ondertekening dus ook geen geavanceerde handtekening en gezien de omstandigheden ook geen vrije of eenvoudige digitale handtekening. (IT-ers die laatst zeiden dat ze een training IT-recht bij me willen doen, dit is niveautje op de helft, nog steeds interesse?) Daarmee is het stuk dus niet ondertekend door meneer, en vanwege die wettelijke eis is de borgtocht dus niet bewezen. En zelfs als het geen "particuliere borg" is, dan vindt de rechter het ondertekeningsproces niet betrouwbaar genoeg om desondanks van aanvaarding door meneer te spreken.

Zijn hiermee nu digitale handtekeningen ongeldig verklaard, zoals diverse tipgevers me vroegen. Nee, zeer zeker niet. Het zit hem (zoals zo vaak) in de slechte implementatie. Het proces gaat er te makkelijk vanuit dat je de juiste persoon tegenover je hebt, en dat is specifiek bij deze zware verplichting (een borg van totaal iets van 25k) een onoverkomelijk probleem. Heb je minder ernstige verplichtingen, zoals een arbeidscontract waarbij je weet dat je de juiste persoon tegenover je hebt, dan was deze zelfde technologie en proces helemaal prima geweest.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (17)
11-11-2020, 14:57 door spatieman
in klaartext, digitale handtekeningen zijn fraude gevoelig, de so hold handtekeninghouder kan zeggen, is niet van mij.
11-11-2020, 15:44 door Anoniem
Door spatieman: in klaartext, digitale handtekeningen zijn fraude gevoelig, de so hold handtekeninghouder kan zeggen, is niet van mij.

Dat is natuurlijk wel erg kort door de bocht.
Het artikel heeft het over de regels die gelden rond de digitale handtekening. wanneer deze niet worden gevolgd, kan de rechten de ondertekening niet rechtsgeldig verklaren. Dit is juist om fraude te voorkomen.
Op dit moment worde documenten per post verstuurd, thuis getekend en weer terug gestuurd... waar is de veiligheid daarin.

De digitale handtekening bied de mogelijkheid om op afstand met enige zekerheid vast te stellen dat je met de juiste persoon te maken hebt. Dit kan met SMS-Tan, DigiD of iDIN (geavanceerd) of met vaststelling via ID of paspoort en certificaat (gekwalificeerd). Wanneer dit binnen een betrouwbaar systeem gebeurt, is dit veiliger dan de "natte" handtekening. Dit gaat zelfs zo ver dat er notarissen zijn die dit als directe bedreiging zien. Zij staan immers garant voor de rechtsgeldigheid van de handtekening.
11-11-2020, 16:07 door MathFox
Door Anoniem:
Het artikel heeft het over de regels die gelden rond de digitale handtekening. wanneer deze niet worden gevolgd, kan de rechten de ondertekening niet rechtsgeldig verklaren. Dit is juist om fraude te voorkomen.
Op dit moment worde documenten per post verstuurd, thuis getekend en weer terug gestuurd... waar is de veiligheid daarin.
In de tijd dat je met een (papieren) bestelformulier of antwoordkaartje van alles kon laten bezorgen werd daar ook misbruik van gemaakt. Hengelen naar bank- of girocheques was voor sommigen een stap in het doen van frauduleuze betalingen.

De digitale handtekening bied de mogelijkheid om op afstand met enige zekerheid vast te stellen dat je met de juiste persoon te maken hebt. Dit kan met SMS-Tan, DigiD of iDIN (geavanceerd) of met vaststelling via ID of paspoort en certificaat (gekwalificeerd). Wanneer dit binnen een betrouwbaar systeem gebeurt, is dit veiliger dan de "natte" handtekening. Dit gaat zelfs zo ver dat er notarissen zijn die dit als directe bedreiging zien. Zij staan immers garant voor de rechtsgeldigheid van de handtekening.
Waar het gaat om "natte handtekening zetten" zijn er verschillende gradaties van betrouwbaarheid: van iemand het thuis laten doen, via gezamenlijk in persoon tot bij de notaris na identiteitscontrole. Handschriftdeskundigen claimen vervalsingen te kunnen herkennen.
Ik denk het voor elektronische handtekeningen moeilijk wordt om het betrouwbaarheidsniveau van een notariële akte te halen. Maar ze zijn zeker nuttig om zaken op een (iets) lager niveau goed vast te leggen.
11-11-2020, 16:26 door Anoniem
Wanneer ik het vonnis leest, lees ik dat het volgens de rechter nog een gekwalificeerde nog een geavanceerde handtekening was. Ik ben het geheel eens met de schrijver van het stuk dat het ontbreekt aan een doordachte implementatie. SMS is een oplossing, identificatie was al vele malen beter geweest en wat mijn inziens ontbreekt is een toegevoegde audit trail (ik lees er niks over), waarbij ook via die weg kan worden bewezen dat een persoon de stukken onder ogen heeft gehad, vanaf welk IP adres was getekend, dat de persoon ook heeft getekend, eventueel nog aanvullende documenten (identiteit) hadden ook nog aan de transactie kunnen worden toegevoegd. Erg interessant.
11-11-2020, 17:09 door Erik van Straten
Door Arnoud Engelfriet: Een simpel voorbeeld is de krabbel voor ontvangst van een pakketje. Dat is echt alleen maar een tekening met je vinger, vaak zelfs zonder verificatie tegen je identiteitsbewijs of het lijkt op je 'echte' handtekening. (Ja, haha of het lijkt, nee precies. En sterker nog, je 'echte' handtekening bestaat niet eens.) In de omstandigheden - vastleggen dat het aan de deur is afgegeven - vind ik dat echter een prima betrouwbare handtekening. Rechtsgeldig bewijs dus.
Dat lijkt mij niet. Zodra ik zo'n "handtekening" heb gezet, kan de bezorger die "handtekening" reproduceren (wellicht door het aparaat te hacken of door mij een "lijkt op" apparaat onder de neus te drukken). Vervolgens kan die bezorger de door mij bestelde X-Box achterover drukken, hij beschikt immers over bewijs dat ik "daarvoor" getekend heb.

Zo'n plaatje heeft net zoveel waarde als een afgedrukt (of voorgedrukt) JPG'tje als handtekening onder een standaardbrief.

Asymmetrische encrypie is enorm veel krachtiger, maar wordt zelden volledig begrepen. Bovendien, hoe zeker het is dat een public key (horende bij een private key die, als het goed is, alleen Pietje heeft) daadwerkelijk van Pietje is, is in de praktijk vaak erg lastig vast te stellen. Zelfs dat je dat zou moeten doen snapt niet iedereen (huh? zijn keyservers en/of sommige certificaatverstrekkers en/of hun werkwijze onbetrouwbaar?), laat staan dat veel mensen weten hoe ze dat zo goed mogelijk kunnen doen.

Ook authenticatie is zo betrouwbaar als de zwakste schakel.
11-11-2020, 17:39 door Anoniem
Arnout (of anderen - zie dat MathFox al een aardige voorzet gaf) -

Zijn er vergelijkbare gevallen van een papieren handtekening die succesvol betwist werd ?

Zoals ik het lees moet , naarmate het belang van de zaak groter wordt , het hebben van een overeenkomst met allerlei bijkomende zaken ondersteund worden , (lopende correspondentie over de voorwaarden, gespreksverslagen e.d) .
Of met notariele stempels ondersteund.

Het lijkt me dan dat een papieren brief met "ik sta borg , naam, woonplaats, datum, krabbel" out of the blue in een geval als dit ook betwist zou kunnen worden

Bijzonder bij een borgstelling is natuurlijk dat je er niks van merkt totdat het nodig is.
Bij een abonnement of levering wordt het snel duidelijk dat er in elk geval één partij is die denkt dat er een overeenkomst is .
11-11-2020, 18:58 door MathFox - Bijgewerkt: 11-11-2020, 19:04
12-11-2020, 08:52 door Anoniem
Alle geavanceerde handtekeningen die ik heb gezien doen feitelijk weinig meer dan bewijzen dat iemand toegang heeft gehad tot een e-mailadres en/of telefoon. Vaak zeggen aanbieders: "en we loggen ook het IP adres". Maar er is natuurlijk niemand die vervolgens valideert of de persoon die de handtekening moet zetten ook de enige is die dat adres mag gebruiken.

Maar zoals het stuk al zegt: voor een arbeidsovereenkomst is dit niet per definitie een probleem. Het feit dat iemand een maand op het werk komt opdagen zegt dat echter meer dan de niet sluitend te valideren digitale handtekening.

Wil je rechtszekerheid op basis van enkel de digitale handtekening? Gebruik dan een gekwalificeerde
12-11-2020, 10:02 door Anoniem
Is dit niet vergelijkbaar met wat we verder in de IT zien. Een malafide website kan wel een self-signed certificaat gebruiken, maar als er geen authenticatie (van een CA) heeft plaatsgevonden, beschouwen we dat soort sites als onbetrouwbaar.

Ik zie wel gelijkenissen met dit proces van ondertekenen.
12-11-2020, 11:16 door Erik van Straten
Door Anoniem: Een malafide website kan wel een self-signed certificaat gebruiken, maar als er geen authenticatie (van een CA) heeft plaatsgevonden, beschouwen we dat soort sites als onbetrouwbaar.
Malafide websites gebruiken zelden self-signed certificaten. Immers, cybercriminelen kunnen gratis (zonder follow-the-money sporen), binnen een oogwenk, Domain Validated certificaten (zoals van Let's Encrypt) verkrijgen. Waarbij "authenticatie" uitsluitend op de betrouwbaarheid van DNS gebaseerd is.
12-11-2020, 12:40 door Anoniem

bedankt - ik moet misschien wat meer oefenen in het zoeken van uitspraken.

Maar anyway - duidelijk dat ook een overeenkomst met papieren handtekening ondersteund moet worden als het er echt op aan komt.
12-11-2020, 14:29 door MathFox
Door Anoniem: Alle geavanceerde handtekeningen die ik heb gezien doen feitelijk weinig meer dan bewijzen dat iemand toegang heeft gehad tot een e-mailadres en/of telefoon. Vaak zeggen aanbieders: "en we loggen ook het IP adres". Maar er is natuurlijk niemand die vervolgens valideert of de persoon die de handtekening moet zetten ook de enige is die dat adres mag gebruiken.

Maar zoals het stuk al zegt: voor een arbeidsovereenkomst is dit niet per definitie een probleem. Het feit dat iemand een maand op het werk komt opdagen zegt dat echter meer dan de niet sluitend te valideren digitale handtekening.

Wil je rechtszekerheid op basis van enkel de digitale handtekening? Gebruik dan een gekwalificeerde
Bij arbeidscontracten wordt het "interessant" als de werkgever een andere (ondertekende) versie heeft als de werknemer. Op rechtspraak.nl vind je daar ook wel uitspraken over... Mijn voorkeur heeft het om ter plekke (na doorlezen van het contract) de handtekening te zetten, mogen ze gelijk een kopie van mijn paspoort maken.
12-11-2020, 23:06 door Erik van Straten - Bijgewerkt: 12-11-2020, 23:25
Aanvulling op mijn posting van 11:16 m.b.t. de onbetrouwbaarheid van DV certificaten: https://www.bleepingcomputer.com/news/security/dns-cache-poisoning-attacks-return-due-to-linux-weakness/

En als cybercriminelen validatie-mails voor het verkrijgen van certificaten voor digitale handtekeningen, via een DNS-aanval, naar een mailserver onder hun controle kunnen laten sturen, kunnen zij dat soort (low trust) certificaten op naam van anderen verkrijgen.
13-11-2020, 08:32 door Anoniem
Door Erik van Straten: Aanvulling op mijn posting van 11:16 m.b.t. de onbetrouwbaarheid van DV certificaten:
Niet dat het geen interessant onderwerp is, maar dat is niet waar deze juridische vraag over gaat. Mag ik je eraan herinneren dat je zelf nogal geërgerd raakt als bij een forum-topic dat jij gestart hebt mensen over een ander onderwerp gaan discussiëren en dan suggereert dat ze een eigen topic over dat onderwerp starten?
13-11-2020, 11:53 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Aanvulling op mijn posting van 11:16 m.b.t. de onbetrouwbaarheid van DV certificaten:
Niet dat het geen interessant onderwerp is, maar dat is niet waar deze juridische vraag over gaat. Mag ik je eraan herinneren dat je zelf nogal geërgerd raakt als bij een forum-topic dat jij gestart hebt mensen over een ander onderwerp gaan discussiëren en dan suggereert dat ze een eigen topic over dat onderwerp starten?
Je hebt gelijk, maar ik heb een (wellicht zwak) excuus: 1) ik reageerde aanvankelijk op iemand die het e.e.a. vergeleek met webservercerts, 2) zoals ik schreef kan een DNS-aanval ook leiden tot onterecht uitgegeven certificaten voor digitale handtekeningen, en 3) ik heb overwogen om een nieuw topic te starten over de "SAD DNS" aanval (echt wel een dingetje) maar wilde niet het gras voor de voeten van de redactie wegmaaien (naast dat ik al veel "lopende' topics heb).
14-11-2020, 09:37 door Poppe
Met deze cases blijkt weer dat alleen een gekwalificeerde digitale handtekening, uitgegeven door een door eIDAS gekwalificeerde Trust Services Provider geldig is en geen problemen geeft.
Al het andere is leuk, maar stelt niets voor omdat een ieder er zijn eigen interpretatie aan geeft.
Wil je geen problemen sta alleen een gekwalificeerde digitale handtekening toe.
11-01-2021, 14:44 door Anoniem
Door spatieman: in klaartext, digitale handtekeningen zijn fraude gevoelig, de so hold handtekeninghouder kan zeggen, is niet van mij.

natte handtekeningen zijn dan net zo fraude gevoelig
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.