Dinsdag 26 april 2016

De betrouwbaarheid van de (elektronische) handtekening

‘Dan heb ik hier nog een krabbeltje van u nodig’, zegt de postbode die een pakketje komt afleveren. Nog niet zo lang geleden gebeurde het zetten van een handtekening nog met pen en papier, inmiddels met stilus en zakcomputer. Maar wat is nu precies de reden dat men bij aktes, facturen, pakketjes en dergelijke om een handtekening vraagt? 

Handtekeningen worden in het dagelijks leven gebruikt als bewijs dat de persoon iets heeft gelezen of ergens mee akkoord gaat en om de persoon te identificeren. In de wet staat echter niet met zoveel woorden aan welke eisen de handgeschreven handtekening moet voldoen om rechtsgeldig te zijn. Zij kan al snel dienen als bewijs. Zo stelt de wet het bijvoorbeeld niet verplicht dat je overal dezelfde handtekening gebruikt. Alleen in artikel 159 Wetboek van Burgerlijke Rechtsvordering, dat uitsluitsel geeft bij onenigheid over de vraag of een ondertekening wel toebehoort aan de betreffende persoon, wordt iets over de status van de handgeschreven handtekening bepaald. Hieruit valt namelijk af te leiden dat, zolang de partij die de handtekening onder een document heeft gezet niet stellig ontkent dat deze door hem is geschreven, de ondertekening als bewijs geldt voor de inhoud van het document. Doet de partij dat wel, dan biedt de akte geen bewijs, tenzij op andere wijze duidelijk wordt dat de handtekening toch van de betreffende persoon afkomstig is. Een manier hiervoor is om de handtekening forensisch te laten onderzoeken, bijvoorbeeld door het Nationaal Forensisch Instituut, om vast te stellen of het geschrift al dan niet is vervalst.

De elektronische handtekening

In principe is bewijs dat wordt geleverd in civiele procedures niet gebonden aan bepaalde eisen. Of het nou gaat om een WhatsApp-gesprek, e-mail, papieren brief, het kan allemaal als bewijs worden gebruikt als een geschil voor de rechter komt. Wel is het zo dat een bij de notaris opgemaakte akte dwingend bewijs biedt, zodat de rechter daaraan is gebonden. Dit in tegenstelling tot een papieren kopie van een e-mail dat als bewijs is ingediend, waaraan de rechter minder waarde zal hechten.

Er is een belangrijk onderscheid tussen de ‘digitale handtekening’ en de ‘elektronische handtekening’. De elektronische handtekening is een ruimer begrip en omvat vele methoden om de identiteit van een persoon te verifiëren, waarvoor niet altijd een handgeschreven handtekening is vereist. Zo vallen een faxbericht of gescande handtekening wel onder dit begrip, maar niet onder het begrip digitale handtekening.

Aan een elektronische handtekening wordt dezelfde waarde gehecht als aan een handgeschreven handtekening, zolang de gebruikte methode voldoende betrouwbaar is, gelet op het doel waarvoor de handtekening wordt gebruikt en de omstandigheden van het geval.((Artikel 15a van het derde boek van het Burgerlijk Wetboek)) Een elektronische handtekening wordt in principe vermoed voldoende betrouwbaar te zijn, wanneer de handtekening uniek aan de ondertekenaar is verbonden (sub a), zij de ondertekenaar kan identificeren (sub b), zij tot stand komt met middelen die alleen de ondertekenaar onder zijn controle kan houden (sub c) en zij zodanig verbonden is met het elektronisch bestand waarop zij betrekking heeft, dat elke wijziging in dat bestand kan worden opgespoord (sub d). Tot slot dient er een betrouwbaar certificaat te zijn gebruikt om de handtekening te maken (sub e) en moet er een veilig middel zijn gebruikt voor het maken van een elektronische handtekening (sub f).

Een simpele manier waarop in de praktijk een handtekening ‘elektronisch’ kan worden gezet, is door deze eerst op papier te schrijven en daarna dit papier in te scannen. Het gevaar hierbij is vrij duidelijk: de ontvanger kan deze handtekening gemakkelijk kopiëren en onder andere documenten plaatsen dan waarvoor de schrijver had bedoeld. Zelfs het gebruik van bepaalde veiligheidsmaatregelen (zoals het omzetten van het bestand in een pdf-bestandstype) is niet voldoende om misbruik van de handtekening te voorkomen. Bovendien is forensisch onderzoek bij een kopie minder effectief dan bij de handgeschreven ondertekening, nu de kwaliteit van scans het niet haalt bij de kwaliteit van een ‘natte’ handtekening. Zo is onder andere de intensiteit waarmee de pen op het papier is gedrukt niet goed meer te meten. De authenticiteit van een handtekening kan daardoor minder goed worden gecontroleerd.

De gescande handtekening is een voorbeeld van de ‘gewone’ elektronische handtekening. Het is een gemakkelijke, goedkope en snelle methode om de identiteit van de afzender toe te voegen aan een e-mail, document of ander bestand. Daarnaast bestaat er de ‘geavanceerde’ elektronische handtekening, ofwel de ‘digitale handtekening’. Hiervan is sprake als de handtekening aan sub a tot en met d van artikel 15a, tweede lid, van het derde boek van het Burgerlijk Wetboek is voldaan.((G.R. Rutgers, GS Burgerlijke Rechtsvordering, artikel 156a, aant. 6)) De sterkste vorm van de geavanceerde handtekening is de gekwalificeerde elektronische handtekening. Hierbij wordt door de verzender een bestand ondertekend door middel van een private sleutel, die vervolgens door de ontvanger met behulp van een publieke sleutel kan worden gelezen en waarbij door middel van een gekwalificeerd certificaat nagegaan kan worden of het bericht ongewijzigd is aangekomen. Een voorbeeld hiervan is het  PKIoverheid-certificaat.((https://www.logius.nl/diensten/pkioverheid/detailinformatie/)) De sleutels worden uitgegeven door een zogeheten ‘Trusted Third Party’ (TTP), die ze ook in bewaring houdt en op juistheid kan controleren. Deze methode is in vergelijking met de gescande handtekening veel betrouwbaarder om de identiteit van een partij te kunnen verifiëren. Toch is het denkbaar dat een onbevoegde de private sleutel in zijn bezit krijgt, zodat hij zich voor kan doen als de verzender. Het kan bijvoorbeeld zo zijn dat de gebruiker slordig met de private sleutel omgaat door op een openbare computer in te loggen en vervolgens vergeet weer uit te loggen. Controle door de TTP biedt dan geen uitkomst, omdat de juiste sleutel is gebruikt, en de ontvanger zal denken dat hij met de eigenaar van de sleutel te maken heeft. Ook is het nog maar de vraag hoe betrouwbaar de TTP’s zelf eigenlijk zijn. Denk bijvoorbeeld aan de affaire rond DigiNotar. Hieruit blijkt namelijk dat ook TTP’s gehackt kunnen worden, dus ook het gebruik van digitale handtekeningen is niet zonder risico’s.((http://webwereld.nl/security/93-de-opkomst-en-ondergang-van-diginotar))

Verordening betreffende elektronische identificatie

Er vanaf 1 juli 2016 treedt een nieuwe verordening in werking met onder andere als doel om het vertrouwen in online-transacties binnen de interne markt te vergroten.((Verordening (EU) 910/2014)) Hierin wordt onder andere het toezicht op TTP’s, in de verordening wordt gesproken van ‘vertrouwensdiensten’, aangescherpt.((Verordening (EU) 910/2014, afdeling 3)) Zo moeten vertrouwensdiensten bij inbreuk van hun systemen onmiddellijk het toezichthoudend orgaan en de personen wiens gegevens door het systeem worden beheerd hiervan op de hoogte stellen. De vereisten van de elektronische handtekening zijn nagenoeg gelijk gebleven als de eisen die in het Burgerlijk Wetboek staan. De rechtsgevolgen hiervan zijn bovendien gelijk getrokken met die van de handgeschreven handtekening, zoals in Nederland ook al het geval was.

Conclusie

Met de komst van de nieuwe Verordening wordt getracht het vertrouwen van het publiek in de elektronische handtekening te vergroten. Vergelijken we de papieren handtekening met de elektronische, dan valt op dat de wet voor de papieren handtekening veel minder waarborgen biedt dan voor de elektronische, al helemaal zodra de nieuwe Verordening ingaat. Ligt het dan wel voor de hand dat de rechtsgevolgen van beide vormen zijn gelijkgetrokken? Of zou er misschien zelfs nog meer waarde gehecht moeten worden aan de elektronische handtekening?