Door Tom van Bolhuis

Digitaal ondertekenen is voor veel kantoren een actueel item. Steeds meer processen verlopen digitaal en het steeds opnieuw moeten uitprinten en inscannen van PDF documenten om een handtekening te verkrijgen is inefficiënt en inmiddels overbodig.

Digitaal ondertekenen staat overal wel ergens op de agenda of men werkt er zelfs al mee. In beide gevallen merk ik dat er bij heel veel kantoren onduidelijkheid en verwarring heerst over het onderwerp. Vragen als: welke niveaus zijn er?, wanneer heb ik welk niveau nodig?, bestaat daar wetgeving over of mag ik dat zelf bepalen?, komen als eerste naar voren.

Als je alleen offertes en contracten ondertekent met je klanten is dat misschien niet zo’n issue, maar als je corebusiness het leveren van zekerheid is die voortvloeit uit een beroepstitel is dat wél een issue. Bij deze daarom een helder overzicht.

Op 1 juli 2016 is de Europese eIDAS-Verordening in werking getreden. In die Verordening wordt onderscheid gemaakt tussen drie vormen van digitaal (elektronisch) ondertekenen:

  1. De normale elektronische handtekening
    Dit is de simpelste vorm van elektronisch ondertekenen en bestaat uit niet meer dan een plaatje van je handtekening onder een document, of zelfs alleen je naam.
  2. De geavanceerde elektronische handtekening
    Deze vorm van elektronisch ondertekenen moet voldoen aan de volgende eigenschappen:
    • De handtekening is op unieke wijze aan de ondertekenaar verbonden;
    • De handtekening maakt het mogelijk de ondertekenaar te identificeren;
    • De handtekening komt tot stand met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken;
    • De handtekening is op zodanige wijze aan de daarmee ondertekende gegevens verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.
  3. De gekwalificeerde elektronische handtekening
    Dit is het hoogste niveau van elektronisch ondertekenen en moet voldoen aan de volgende eisen:
    • De handtekening is aangemaakt door een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen;
    • De handtekening is gebaseerd op een gekwalificeerd persoonlijk certificaat, uitgegeven door een gekwalificeerde verlener van vertrouwensdiensten in de EU.

Je mag dus een normale of geavanceerde elektronische handtekening opvoeren als bewijs voor een handtekening in een rechtszaak. Je bent echter zelf verantwoordelijk om te bewijzen, dat jij ook daadwerkelijk diegene bent die de handtekening heeft gezet.

En dat is nog niet zomaar bewezen. Voor een geavanceerde elektronische handtekening moet er een audit-trail beschikbaar zijn met geverifieerde persoonlijke gegevens van de ondertekenaar en dan nóg is het de vraag in hoeverre dat bewijst dat dit alleen onder iemands ‘uitsluitende controle‘ is gebeurd. Want hoe toon je zoiets uitsluitend aan?

Daar komt nog bij dat de audit-trail in veel gevallen niet sluitend is. Verre van zelfs. Ik ken genoeg situaties waar binnen één bedrijf of afdeling één account wordt gebruikt voor het ‘geavanceerd’ ondertekenen van documenten, zonder extra verificatie van de ondertekenaar. Hoe weet je dan ooit als tweede partij wie er getekend heeft? Zo’n handtekening is dus praktisch waardeloos en biedt nauwelijks zekerheid.

De handtekening verbinden aan de ondertekende gegevens om wijzigingen achteraf onmogelijk te maken, is gelukkig eenvoudiger. Dat kan in principe met elk PKI certificaat, maar bij voorkeur met een elektronisch zegel, een zogenaamde eSeal, die uitgegeven wordt door een (gekwalificeerde) verlener van vertrouwensdiensten en beschikbaar wordt gesteld aan de ondertekenaar door óf de eigen organisatie óf een externe partij, bijvoorbeeld een ondertekendienst.

Zelfs áls de audit-trail redelijk sluitend is én er met een betrouwbaar eSeal is verzegeld, levert het nog steeds niet persé een handtekening op die gelijk staat aan de ‘natte’ handtekening. Dit geldt voor zowel de gewone als de geavanceerde elektronische handtekening en heeft te maken met het rechtsgevolg zoals vastgelegd in artikel 3:15a BW:
ze hebben “…dezelfde rechtsgevolgen als een handgeschreven handtekening, indien voor deze beide elektronische handtekeningen de methode voor ondertekening die gebruikt is voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische handtekening is gebruikt en op alle overige omstandigheden van het geval.”

Omdat dit bijzonder onduidelijk is en er weinig jurisprudentie bestaat, weet dus eigenlijk niemand precies welke doelen en omstandigheden passen bij welke niveaus van elektronisch ondertekenen.

Er wordt in de markt algemeen geaccepteerd, dat de elektronisch geavanceerde handtekening met audit-trail, voldoende zekerheid biedt voor een wilsverklaring bij bijvoorbeeld offertes en opdrachtbevestigingen, maar zeer waarschijnlijk niet voor een accountantsverklaring of een notariële akte. Dat is niet alleen zo vanwege het belang van deze documenten maar ook omdat een beroepstitel helemaal niet geverifieerd kan worden bij een geavanceerde elektronische ondertekening en dus ook niet in de audit-trail staat.

Daarvoor is een handtekening op basis van een PKIoverheid Beroepscertificaat nodig die alleen uitgegeven wordt aan leden in het register van de beroepsorganisatie. Met dit certificaat plaats je een gekwalificeerde elektronische handtekening

Het rechtsgevolg van de gekwalificeerde handtekening is volgens de Verordening (eIDAS art. 25) als volgt: “Een gekwalificeerde elektronische handtekening heeft hetzelfde rechtsgevolg als een handgeschreven handtekening.”

De gekwalificeerde elektronische handtekening is dus gelijkgesteld aan de handgeschreven handtekening ongeacht doel of omstandigheden. Dit betekent dat de rechtsgeldigheid van de handtekening wordt aangenomen. Jij hoeft dit dus niet meer te bewijzen en er is geen audit-trail nodig. Dit zullen de meeste ondertekendiensten je echter niet uitleggen. Jij leest ‘rechtsgeldig’ en denkt: “prima, geregeld!” De werkelijkheid is helaas een stuk complexer.

Zijn wij bij PKIsigning dan het beste jongetje van de klas? Misschien..: we geloven in wat we doen en we staan achter onze visie: altijd op het hoogst mogelijke niveau ondertekenen, zeker waar dit vanuit een beroepstitel gebeurt!

Kun je dan met PKIsigning niet geavanceerd ondertekenen? Jawel, maar op onze manier:

1. In plaats van onduidelijke en lastig controleerbare certificaten die door miljoenen ondertekenaars worden gedeeld, hebben we een eigen eSeal aangeschaft dat in Nederland wordt beheerd. Als je de handtekening controleert in bijvoorbeeld Adobe Reader, zal er bovenaan staan: ‘gecertificeerd door PKIsigning’, voorzien van al onze gegevens.

  1. De audit-trail is altijd zichtbaar op het moment van ondertekenen en wordt versleuteld opgeslagen in het PDF-document. Je kunt elk document dat met PKIsigning is ondertekend via onze openbare service valideren om de audit-trail te kunnen inzien. Met andere woorden, de audit-trail is voor alle partijen beschikbaar, zolang ze over het document beschikken.
  2. Je kunt bij ons geen documenten opslaan. Nadat een document door alle partijen is ondertekend blijft het een week op onze servers beschikbaar en wordt dan verwijderd. Voor partijen met hogere eisen aan de opslag van hun vertrouwelijke documenten, hebben we opslag in extern beheer beschikbaar.
  3. PKIsigning zal altijd het hoogst beschikbare niveau van ondertekenen gebruiken. Als je dus beschikt over een persoonlijk (beroeps)certificaat, zul je daar ook altijd mee ondertekenen. We zijn daarnaast hard aan het werk om gekwalificeerd ondertekenen makkelijker te maken. November 2019 nog is onze aansluiting op de HSM van Quovadis gereed en kunnen PKIsigning gebruikers als éérste gekwalificeerde G3-certificaten vanuit de Cloud gaan gebruiken zónder die onhandige USB- tokens.

Ook vanuit de overheid zal de roep om op een hoog niveau te ondertekenen steeds meer toenemen. Het eerste voorbeeld hiervan is de verplichtstelling voor middelgrote rechtspersonen om via SBR Assurance te deponeren bij de KvK. PKIsigning was de eerste ondertekenoplossing die in staat was om de XBRL publicatiestukken gekwalificeerd te kunnen ondertekenen vanuit de Cloud.

Dit sluit precies aan bij onze visie. Wij zijn een ondertekenplatform en we nemen ondertekenen serieus! Op elk niveau, op elke plek en bij elk document. Kwaliteit en zekerheid voorop en waar het kan zo makkelijk mogelijk.

Tom van Bolhuis is directeur van PKIsigning