Welke mate van security wil ik van een (digitale) handtekening?

Een contract is toch pas geldig als er een handtekening onder staat? Of toch niet? Dat soort vragen worden regelmatig gesteld aan juristen. Maar in het digitale tijdperk contracteren we ook digitaal. Hoe zetten we een handtekening onder een volledig digitaal contract? En wat is nu meer ‘secure’, een handtekening van inkt op papier, of een elektronische handtekening? In dit blogbericht probeer ik daar wat opheldering over te geven.

Handtekeningen zijn in principe niet verplicht

Mijn collega Arnoud heeft in zijn blogs al vaker uitgelegd dat handtekeningen niet algemeen vereist zijn om geldige overeenkomsten te sluiten. Je kunt ook mondeling een geldige overeenkomst sluiten. Of afspreken (mondeling of schriftelijk) dat een contract pas geldig is als er een (al dan niet elektronische) handtekening is gezet.

Maar wel nuttig als (dwingend) bewijs

Maar hoe bewijs je dat je iets met iemand anders bent overeengekomen? Gangbaar is om een contract op te stellen en daar een handtekening onder te zetten. Het is de bedoeling dat de krabbel uniek is en de zetter identificeert. Gek genoeg stelt de wet daar geen eisen aan.

Het is de gewoonte, maar niet meer dan dat, om te proberen handtekeningen zo te maken dat je die snel en haast gedachteloos kunt zetten en dat ze in enige mate complex zijn, zodat de handtekening en de manier waarop je die zet, uniek zijn voor jou. Als de handtekening hieraan voldoet, zal de kans ook groter zijn dat een handschriftdeskundige met enige zekerheid kan stellen of een bepaalde handtekening echt of vervalst is.

Hoewel de kunst van het analyseren en vergelijken van handschriften en handtekeningen niet onomstreden is en foutpercentages van ongeveer 7% tot wel 22% op diverse plaatsen opduiken, hechten rechters in de praktijk wel vaak waarde aan het oordeel van een handschriftdeskundige.

Een ondertekend stuk waarvan de echtheid van de handtekening(en) niet wordt betwist, levert volgens de wet dwingend bewijs op. Dat wil zeggen dat de rechter wettelijk gebonden is om aan te nemen dat de zetter van de handtekening de juistheid onderschrijft van datgene wat in het ondertekende stuk wordt verklaard.

Elektronische handtekeningen vs inkthandtekeningen

Een elektronische handtekening kan volgens de wet dezelfde bewijskracht hebben als een geschreven handtekening, maar alleen als de methode voor authenticatie ‘voldoende betrouwbaar’ is. Als is voldaan aan een heel stel eisen, waaronder in het bijzonder dat een gekwalificeerd digitaal certificaat en een ‘veilig middel’ zijn gebruikt, geldt er een wettelijk vermoeden van voldoende betrouwbaarheid. Gekwalificeerde digitale certificaten worden uitgegeven door certificatiedienstverleners (CSP’s), die daarmee als een soort digitale notarissen fungeren. (Ja, op de náám Diginotar was weinig aan te merken.)

De wettelijke inbedding van elektronische handtekeningen lijkt op deze manier wel vrij gekunsteld en hier en daar circulair. De slotsom lijkt dat een digitale handtekening pas dwingende bewijskracht heeft als die voldoende betrouwbaar is, terwijl zelfs als er is voldaan aan een hele reeks eisen, waaronder dat er een gekwalificeerd certificaat en een ‘veilig middel’ zijn gebruikt, uiteindelijk slechts een weerlegbaar vermoeden van betrouwbaarheid bestaat. Ehm ja.

Toch is er misschien wel een redelijke verklaring voor dat de wetgever huiveriger lijkt om dwingende bewijskracht toe te kennen aan digitale gegevens dan aan inkthandtekeningen. Digitale gegevens zijn in algemeenheid immers toch gemakkelijker te manipuleren dan fysieke documenten. In dat opzicht is het misschien ook wel logisch dat er de facto een ‘digitale notaris’ aan te pas moet komen om digitale handtekeningen te kunnen zetten die voor de wet gelijk zijn aan inkt op papier.

En dat het zelfs met het stelsel van gekwalificeerde certificaten en ‘veilige middelen’ nog mogelijk is om valse digitale handtekeningen te zetten, is in de Diginotar-affaire óók bewezen. Dus het vermoeden van betrouwbaarheid, móet ook wel weerlegbaar zijn. Maar gezien de toch wel aanmerkelijke kans dat een handschriftdeskundige een valse handtekening voor echt aanziet, en andersom, valt af te vragen waarom de wet daar niet uitdrukkelijk van een weerlegbaar vermoeden spreekt.

Diverse varianten van digitale handtekeningen

Hoe kunnen we de ‘waarde’ van een handtekening op papier dan verder afzetten tegen die van een elektronische? Zo eenvoudig is dat nog niet.

Dat komt ook omdat er schier-oneindig veel manieren zijn om iets digitaal te ondertekenen. Je kunt bijvoorbeeld een geschreven handtekening scannen. Maar omdat iedereen dat kan, is een gescande handtekening op zichzelf, bijvoorbeeld geplakt in een ander digitaal bestand, niet bepaald overtuigend. Iedereen die ook maar één document met mijn handtekening heeft, kan een foto of scan maken en vervolgens kan iedereen met zo’n scan deze verveelvoudigen, afdrukken op wat voor document dan ook en verder verspreiden.

Een e-mailbericht als zodanig, kan ook als handtekening worden beschouwd, omdat ik normaal gesproken de enige ben die mails stuurt vanuit het account m.vanbergen[at]ictrecht.nl. Maar een hacker (of zelfs een ‘script-kiddie’) kan mijn account ook ‘spoofen’ en daarnaast zijn mijn werkgevers feitelijk ook in staat om mijn werk-account te gebruiken. Ook bij e-mails is de zekerheid dat ìk het ben geweest, dus vrij beperkt.

Je kunt ook een contract in zijn geheel uitprinten, paraferen, ondertekenen, scannen en heen en weer e-mailen.  (Waarom dat vaak een ‘natte’ handtekening wordt genoemd is me niet echt duidelijk. Iets met vulpen of een ganzeveer tekenen en dan als de inkt nog nat is het papier door de scanner halen, lijkt me juist niet zo handig.)

In de professionele praktijk is deze manier van ondertekenen inmiddels vrij gangbaar. Door de pixels van de scan en andere bestandseigenschappen te analyseren, zal het vaak ook wel te achterhalen zijn als de handtekening achteraf in het afbeeldingsbestand zou zijn geplakt of gephotoshopt. Het is dus ook wat zekerder dan alleen tekst in een e-mail zelf, of een .doc met een afbeelding van een handtekening daarin, die vervolgens als pdf kan zijn opgeslagen (maar niet is uitgeprint en nooit zelf met inkt is ondertekend).

Het analyseren van de echtheid van een digitale scan van een contract met handtekening, zou een combinatie van traditioneel handtekeningenonderzoek en digitaal forensisch onderzoek kunnen vergen. Zeker als de resolutie voldoende hoog is, zou de handschriftexpert genoeg informatie over kunnen houden om de digitale scan van het contract en de handtekening op soortgelijke manier te analyseren als een papieren exemplaar.

Bij aanbestedingszaken, waar een ondertekeningsvereiste geldt, is door de rechter ook al eens beslist dat het versturen van een document via een account waar normaal alleen de inschrijver de login-gegevens voor heeft, toch (gek genoeg, misschien) niet voldoet aan het ondertekeningsvereiste. Aanbestedingsdocumenten kun je vooralsnog dus maar beter printen, tekenen, scannen en versturen, óók als dat digitaal gebeurt.

De handelingen van printen, scannen en mailen, vormt misschien ook in voldoende mate een ‘ritueel’ om de wil om gebonden te worden te bezegelen. Hoe langer de reeks handelingen is die je moet uitvoeren, hoe onwaarschijnlijker het is dat je het per ongeluk of onbewust hebt gedaan. Ook is een scan van een ondertekend contract praktisch gemakkelijk te onderscheiden van eerdere concepten die als .doc of .odt over en weer zijn gevlogen. Zo houd je gemakkelijk zicht op de daadwerkelijk geldende versie. En als je moderne scansoftware gebruikt, is de tekst ook gewoon doorzoekbaar, net als wanneer je de .doc direct als .pdf zou opslaan.

Uiteraard kun je ook een contractenbeheerapplicatie gebruiken en gebruikers laten ondertekenen met behulp van een gekwalificeerd certificaat en een token. Dat biedt nog meer zekerheid, maar is ook aanzienlijk kostbaarder.

Meer weten over aandachtspunten van ICT-contracten en digitaal contracteren? Kom naar de praktische trainingen van ICTRecht Academy voor advocaten en algemeen publiek.

 

 

Terug naar overzicht