De juridische erkenning van de elektronische handtekening Jos Dumortier en Sofie Van den Eynde 1 Abstract: Door de wetten van 20 oktober 2000 en 14 juni 2001 werden in België de eerste stappen gezet in de omzetting van de Europese richtlijn betreffende elektronische handtekeningen. De principiële erkenning van de elektronische handtekening in het burgerlijk recht blijft voorlopig beperkt tot het bewijs van onderhandse akten. Voor de authentieke akte verandert in dit stadium nog niets. Eerder erkende de wetgever reeds het gebruik van de elektronische handtekening in specifieke sectoren zoals de sociale zekerheid. Er wordt verwacht dat de elektronische handtekening progressief ook zijn intrede zal doen in andere sectoren van het recht. Daarvoor zijn specifieke wetswijzigingen nodig, zowel op federaal niveau als op het niveau van gemeenschappen en gewesten. Eerst moet echter het kader voor de gekwalificeerde elektronische handtekening nog verder uitgebouwd worden in de vorm van uitvoeringsbesluiten. I.
INLEIDING EN S ITUERING
Op 22 december 2000 werd de wet van 20 oktober 2000 tot invoering van het gebruik van telecommunicatiemiddelen en van de elektronische handtekening in de gerechtelijke en de buitengerechtelijke procedure (verder: de wet Bourgeois) in het Belgisch Staatsblad bekendgemaakt. Daarmee is de langverwachte juridische erkenning van de elektronische handtekening een feit geworden. Het wetsvoorstel Bourgeois had oorspronkelijk enkel tot doel de gerechtelijke en de buitengerechtelijke procedure aan te passen aan de nieuwe telecommunicatiemiddelen, waardoor het onder andere mogelijk wordt gemaakt om juridische akten geldig per fax of per e-mail te versturen. Het wetsvoorstel was echter een gelegenheid om tegelijk ook de regels van het Burgerlijk Wetboek inzake het bewijs aan te passen aan de noden van de hedendaagse informatiemaatschappij. In amendement nr. 12 op dit wetsvoorstel culmineren de wetgevende initiatieven die op dit vlak vroeger reeds door de vorige regering waren genomen.2 Dit amendement bij de wet Bourgeois 3 moet samen met de wet van 14 juni 2001 houdende vaststelling van bepaalde regels in verband met het juridisch kader voor elektronische handtekeningen en certificatiediensten (verder: de wet certificatiediensten)4 bijdragen tot de omzetting van Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen.5 In deze bijdrage bekijken we de belangrijkste bepalingen van beide wetten.
II.
WAT IS EEN ELEKT RO NIS CHE HANDT EK ENING?
Stempels, zegels, handtekeningen, aangetekende zendingen (met of zonder ontvangstbewijs), watermerken, de voor eensluidend verklaarde kopie, legalisatie van handtekeningen, enz. zijn slechts enkele van de vele methoden die ons recht rijk is en waarmee getracht wordt om de communicatie tussen partijen, burgers zowel als overheden, op een veilige en juridisch afdwingbare wijze te laten verlopen. We stellen echter vast dat een steeds groter deel van het rechtsverkeer niet meer via de
1
Jos Dumortier is gewoon hoogleraar aan de Faculteit Rechtsgeleerdheid van de K.U.Leuven, directeur van het Interdisciplinair Centrum voor Recht en Informatica.(ICRI) en redacteur van dit blad. Sofie Van den Eynde is wetenschappelijk medewerkster aan het ICRI en verricht onderzoek over juridische aspecten m.b.t elektronische archivering.
1
klassieke papieren weg verloopt, maar via allerhande telecommunicatienetwerken, zoals het Internet. Daarom is de juridische wereld, en de wetgever op de eerste plaats, op zoek gegaan naar alternatieven om het elektronisch rechtsverkeer minstens even veilig te laten verlopen. Ieder elektronisch substituut voor de klassieke handgeschreven handtekening, is een elektronische handtekening. Het is een handtekening in juridische zin die op een elektronische wijze is geplaatst. Deze omschrijving is slechts een werkdefinitie, want het begrip ‘elektronische handtekening’ komt in de wet Bourgeois niet voor. De wet certificatiediensten spreekt, in navolging van de Europese richtlijn, over de elektronische handtekening als ‘elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authentificatie’. Zo geformuleerd, wordt het begrip elektronische handtekening natuurlijk veel ruimer en omvat het alle technieken aan de hand waarvan men in een elektronische omgeving de identiteit van ‘entiteiten’ kan verifiëren. Geheime codes en paswoorden zouden dan eveneens als een elektronische handtekening kunnen beschouwd worden. Deze technieken zijn echter geenszins het voorwerp van de wet Bourgeois. De term ‘elektronische handtekening’ was volgens ons dan ook niet de juiste keuze om de verzameling van deze technieken aan te duiden en was beter voorbehouden voor de handtekeningen juridische zin. Wij gebruiken deze term verder enkel in deze betekenis. Het begrip ‘elektronische handtekening’ in juridische zin is technologieneutraal. Elke techniek die een substituut voor de handgeschreven handtekening kan creëren, kan een elektronische handtekening opleveren. Een veel gebruikte techniek, is de techniek van ‘de gedigitaliseerde handgeschreven handtekening’. De ondertekenaar kopieert de gedigitaliseerde, grafische weergave van de handgeschreven handtekening (bitmap) naar het tekstverwerkingsbestand dat het document bevat dat hij wil ondertekenen bijv. door inscanning van de handgeschreven handtekening. Deze techniek leunt het dichtst aan bij het concept van de handgeschreven handtekening en dit soort elektronische handtekening zal men dan ook het best herkennen als een handtekening. Daarnaast bestaan er nog vele andere soorten elektronische handtekeningen. De techniek van ‘de digitale handtekening’ is op dit moment de meest geavanceerde techniek. Deze techniek wordt ‘digitale handtekening’ genoemd omdat ze zo nauw de functies van de handgeschreven handtekening benadert. Met het concept van een handgeschreven handtekening heeft een digitale handtekening echter niet veel meer te maken. Het begrip ‘digitale handtekening’ heeft al voor heel wat spraakverwarring gezorgd.6 De digitale handtekening is een techniek, geen handtekening. Maar deze techniek kan wel gebruikt worden om een elektronische handtekening te creëren. De digitale handtekening kan echter ook aangewend worden voor andere doeleinden, zoals de veilige archivering van elektronische documenten, of het garanderen van het vertrouwelijk karakter van documenten.7 In feite is een digitale handtekening een klein, versleuteld computerbestand dat door de afzender van het bericht wordt meegezonden met dat bericht. Dat klein, versleuteld bestand kan beschouwd worden als een reeks van cijfers en letters. Een digitale handtekening wordt geproduceerd door een hashingalgoritme toe te passen op het elektronisch document dat men wil ondertekenen. Hashing is een techniek waarmee men elektronische bestanden kan herleiden tot een unieke code van beperkte lengte. Het hashing-algoritme voor deze bijdrage zou er als volgt kunnen uitzien: “vervang elke letter van het alfabet door een getal en herschrijf deze bijdrage aan de hand van de getallen die met de letters overeenstemmen. Tel vervolgens al die getallen op en begin opnieuw te tellen vanaf nul telkens als de som van die getallen één miljoen wordt”. Uiteindelijk zal er een getal overblijven dat kleiner is dan 1 miljoen. Dat getal is de hashing-code. Als je echter één letter in de tekst zou veranderen, dan ziet de hashing-code er totaal anders uit.
2
Het resultaat van de hashing-operatie, nl. de hashing-code, wordt vervolgens versleuteld met behulp van een cryptografische sleutel die enkel door de afzender van het bericht gekend is, de private sleutel. 8 De versleutelde hashing-code noemt men de digitale handtekening. Die digitale handtekening kan enkel worden ontsleuteld met de publieke sleutel van de afzender, omdat beide sleutels een sleutelpaar vormen dat onlosmakelijk met elkaar verbonden is. De publieke sleutel kan door iedereen worden opgevraagd.9 Wanneer de ontvanger een ‘digitaal ondertekend’ bericht ontvangt, heeft hij een dubbele garantie. Enerzijds kan hij nagaan of het gaat om een authentiek bericht dat door de beweerde afzender is ondertekend. Indien de publieke sleutel past op de private sleutel, die enkel de afzender kende, weet hij zeker dat het bericht afkomstig is van de afzender. Anderzijds weet hij ook zeker dat er aan het document sinds het moment van de ‘ondertekening’ niets is gewijzigd, indien de beide hashing-codes dezelfde zijn (nl. de hashing-code die in versleutelde vorm werd meegestuurd en de hashing-code die door de computer van de ontvanger opnieuw wordt berekend op het moment van de verificatie van de digitale handtekening). 10 Het is echter nog niet voldoende om over de publieke sleutel te beschikken van de andere partij om zeker te zijn van de authenticiteit van het bericht. Iedereen kan namelijk een sleutelpaar aanmaken en zich uitgeven voor een andere persoon. Daarom is het noodzakelijk dat men zich op voorhand laat identificeren door een derde partij, een vertrouwensderde. In de Internetwereld wordt deze derde ‘certificatiedienstverlener’ genoemd.11 Deze derde partij zal naar de buitenwereld toe garanderen dat een bepaalde publieke sleutel aan een bepaalde persoon toebehoort. De certificatiedienstverlener reikt een certificaat uit dat een aantal identificatiegegevens bevat. Dit certificaat kan vergeleken worden met een elektronische identiteitskaart en wordt door de verzender telkens met het bericht meegestuurd. Het certificaat is elektronisch ondertekend door de certificatiedienstverlener, zodat de ontvanger van het bericht kan nagaan door welke certificatiedienstverlener het certificaat werd uitgereikt. Door het gebruik van digitale handtekeningen in combinatie met een certificaat kan men er dus zeker van zijn dat een elektronisch document, zoals een bestelling of een betalingsorder, van een bepaalde persoon komt (identificatie en toe-eigening) en door niemand gewijzigd is (integriteit). Dankzij deze eigenschappen, is de techniek van de digitale handtekening uiterst geschikt als elektronisch alternatief voor de handgeschreven handtekening.12
III. S UPREMAT IE VAN H ET G ES CHREVEN BEWIJS : DE AKT E Het burgerlijk bewijsrecht is een gereglementeerd bewijsregime. Dit houdt in dat de wet de toegelaten bewijsmiddelen limitatief opsomt, dat zij er de bewijswaarde van bepaalt en een bepaalde hiërarchie vestigt tussen deze bewijsmiddelen.13 In deze hiërarchie bekleedt het geschrift een hoge positie. De wet heeft immers een wettelijke bewijswaarde 14 toegekend aan bepaalde geschriften nl. aan de akten (zowel aan de authentieke als aan de onderhandse akte). De rechter is verplicht hun inhoud te geloven. Hij moet akten als voldoende bewijs aanvaarden tot het tegendeel wordt bewezen. Bovendien vereist art. 1341 B.W. dat voor het bewijs van rechtshandelingen die een waarde van meer dan 15 000 BEF vertegenwoordigen, een ‘akte’ wordt voorgelegd. Het bewijs door getuigen en vermoedens is dus in principe niet toegelaten voor belangrijke rechtshandelingen. Art. 1341 B.W. bevat ook een nog een tweede regel die een verbod bevat om de inhoud van een akte te weerleggen met getuigen en vermoedens, ongeacht het bedrag van de rechtshandeling.
3
Zowel uit het feit dat van de geschriften enkel de akten bekleed zijn met wettelijke bewijswaarde, als uit de regels opgelegd door art. 1341 B.W., blijkt dat het principe van de suprematie van het schriftelijk bewijs enkel betrekking heeft op de geschriften die als akten kunnen gekwalificeerd worden. Er moet inderdaad een onderscheid gemaakt worden tussen gewone geschriften en akten. Nergens in de wet vinden we echter een definitie van het begrip ‘akte’, maar algemeen aanvaardt men dat de enige maar essentiële bestaansvoorwaarde voor een akte, het er op voorkomen van een handtekening is. Ook van het begrip handtekening geeft de wet geen definitie. Traditioneel wordt door de (Cassatie)rechtspraak en de rechtsleer de handtekening beschouwd als het rechtstreeks op de papieren drager en met de hand in het eigen handschrift plaatsen van zijn naam. 15 Het is de handtekening die aan de akte zijn volle juridische waarde verschaft; de handtekening maakt de akte tot een origineel. De rechtsleer kent aan de handtekening unaniem de dubbele functie toe van identificatie van de ondertekenaar en van toeeigening van de inhoud van het ondertekende stuk door de ondertekenaar. Een derde functie vloeit voort uit het gebruik van papier als drager van de handtekening: papier heeft als eigenschap dat elke latere verandering aan de akte onmiddellijk kan opgemerkt worden en draagt op die manier bij tot de integriteit van de inhoud van de akte. Een van de belangrijkste juridische belemmeringen voor het stellen van rechtshandelingen via elektronische weg, was vóór de wetswijziging precies gelegen in de moeilijke confrontatie met het principe van de suprematie van de akte als bewijsmiddel. De handtekening was tot voor kort immers nauw verbonden met de papieren omgeving. Rechters waren gebonden aan de strikte rechtspraak van het Hof van Cassatie en konden elektronisch ondertekende gegevens niet aanvaarden als onderhandse akte bij gebrek aan een geldige handtekening. Bijgevolg verkeerden partijen in de principiële onmogelijkheid om hun rechtshandelingen met een waarde van meer dan 15 000 BEF te bewijzen. Art. 1341 B.W. liet daarover geen twijfel bestaan. Partijen waren er op aangewezen om te roeien met de riemen die de wetgever ter beschikking had gesteld om toch maar aan de rigoureuze toepassing van art. 1341 B.W. te kunnen ontsnappen. In de rechtsleer werd voorgesteld om een beroep te doen op de uitzonderingen op het principe van de suprematie van het geschreven bewijs. Er werd aangevoerd dat elektronische bewijsstukken als begin van bewijs door geschrift in de zin van art. 1347 B.W. konden gelden.16 Andere auteurs beweerden dan weer dat het niet ondenkbaar zou zijn geweest dat de rechter het ruime en niet-limitatieve toepassingsgebied van art. 1348 B.W. zou inroepen om te kunnen besluiten dat de partijen, door hun keuze voor een elektronisch communicatiesysteem, zich in de onmogelijkheid bevonden om een schriftelijk bewijs op te stellen.17 In beide gevallen kwam het de rechter toe om de elektronische bewijsmiddelen op hun bewijswaarde te beoordelen en er eventueel feitelijke vermoedens uit afleiden om een rechtshandeling als bewezen te beschouwen. Zonder wetgevend ingrijpen zou het principe van de suprematie van het geschreven bewijs volledig zijn uitgehold om de strikte rechtspraak over het ‘papieren’ handtekeningbegrip geen geweld aan te doen. Door de onverantwoord ruime interpretatie van de uitzonderingen op art. 1341 B.W. zou immers elk elektronisch bewijsmiddel als voldoende bewijs kunnen aanvaard worden, waardoor de akte en diens wettelijke bewijswaarde in een elektronische omgeving van geen enkele betekenis meer zou zijn en waardoor men naar een stelsel van vrijheid van bewijs zou evolueren, waarbij de rechter volgens zijn eigen appreciatie de bewijswaarde van de hem voorgelegde (elektronische) bewijsmiddelen beoordeelt.
4
IV.
EEN NIEUW H ANDTEK EN INGB EG RIP
a) Functionele benadering De verdienste van de geamendeerde wet Bourgeois is gelegen in het feit dat daarmee het pad wordt geëffend voor het gebruik van elektronische handtekeningen, door de handtekening niet meer alleen als ‘met de hand geschreven’ te beschouwen. Art. 2 van de wet Bourgeois vult art. 1322 van het Burgerlijk Wetboek in die zin aan. Het nieuwe tweede lid van art. 1322 luidt als volgt: “Kan, voor de toepassing van dit artikel, voldoen aan de vereiste van een handtekening, een geheel van elektronische gegevens dat aan een bepaalde persoon kan worden toegerekend en het behoud van de integriteit van de akte aantoont.” Een handtekening in de zin van art. 1322 B.W. kan voortaan18 ook een geheel van elektronische gegevens zijn, indien deze elektronische gegevens aan een bepaalde persoon kunnen worden toegerekend en het behoud van de integriteit van de akte aantonen. Deze voorwaarden zijn ingegeven door de functies die de handtekening traditioneel geacht wordt te vervullen in de papieren context. De identificatiefunctie, de toe-eigeningsfunctie en de integriteitsfunctie moeten dus ook in een elektronische context vervuld worden opdat er van een geldige elektronische handtekening sprake kan zijn. Op dit moment kan men enkel met de techniek van de digitale handtekening een elektronische handtekening produceren die deze functies vervult. Het functionele handtekeningbegrip is echter niet beperkt tot het procédé van de digitale handtekening. Met de ruime omschrijving van art.1322 lid 2 B.W. heeft de wetgever nieuwe technieken de kans willen geven zich te ontwikkelen. Op die manier wordt ook vermeden dat het Burgerlijk Wetboek moet aangepast worden telkens er zich een nieuwe techniek ontwikkelt die geldige handtekeningen kan opleveren.
b) Beperkte draagwijdte van het functionele handtekeningbegrip Het nieuwe tweede lid bepaalt dat ‘een geheel van elektronische gegevens voor de toepassing van dit artikel kan voldoen aan de vereiste van een handtekening’. Art. 1322 vinden we in het Burgerlijk Wetboek terug onder het opschrift “EERSTE AFDELING: SCHRIFTELIJK BEWIJS §2 De onderhandse akte”. Volgens de formulering van art. 1322 lid 2 B.W. kan de rechter elektronische gegevens dus enkel in het geval van een onderhandse akte en enkel in het kader van het bewijsrecht als een geldige handtekening beschouwen. De aanvulling van art. 1322 B.W. betekent dus niet dat voor de toepassing van alle mogelijke rechtsregels nu opeens elektronische handtekeningen mogelijk zijn. Het elektronisch ondertekenen van zijn belastingaangifte bijvoorbeeld, is op dit moment op grond van de nieuwe bepaling nog niet mogelijk.19 Ook authentieke akten moeten vooralsnog handmatig ondertekend worden. Door zich te beperken tot art. 1322 B.W. bij het juridisch erkennen van de elektronische handtekening, heeft België de richtlijn slechts gedeeltelijk omgezet. De elektronische handtekening krijgt immers geen algemene rechtskracht, zodat de juridische status van een elektronische handtekening buiten het bewijsrecht nog onzeker blijft.20 De richtlijn specifieert niet voor de toepassing van welke rechtsregels de lidstaten elektronische handtekeningen moeten erkennen. De rechtsgeldigheid van elektronische handtekeningen moet in principe in alle gevallen en voor de toepassing van alle rechtsregels gegarandeerd worden.21 De beperking van het toepassingsgebied tot onderhandse akten in het kader van het bewijsrecht, is ingegeven door het feit dat vele rechtsregels ten aanzien van documenten bijkomende voorwaarden opleggen die vaak enkel kunnen vervuld worden indien met papieren documenten wordt gewerkt.22
5
Deze rechtsregels zullen dus in de toekomst één voor één op hun ‘digitaliseerbaarheid’ moeten getoetst worden, en indien nodig moeten de typische papieren vormvereisten geamendeerd worden. Het spreekt voor zich dat dit monnikenwerk niet tegen het einde van de omzettingstermijn van de richtlijn (19 juli 2001) klaar zal zijn. Ten tweede is het nieuwe elektronische handtekeningbegrip enkel van toepassing op alle onderhandse akten voorzover er geen specifieke reglementering van toepassing is. Overeenkomstig de rechtsspreuk “lex specialis derogat lex generalis” wordt er niet geraakt aan de bijzondere bepalingen omtrent het bewijs of de vormvoorschriften van bepaalde verbintenissen uit overeenkomst, zoals deze eventueel in specifieke reglementering is vastgelegd. Het sluiten van een contract met de overheid voor aanneming van werken, leveringen of diensten bijvoorbeeld, is onderworpen aan de reglementering inzake overheidsopdrachten. De strikte regels omtrent de aanbestedingsprocedure, die het sluiten van het contract moet voorafgaan, verhinderen immers dat het contract op elektronische wijze tot stand komt.23 Verder wordt er evenmin geraakt aan de verplichting van art. 1326 B.W., waarin staat dat in het geval van een eenzijdige verbintenis diegene die zich verbindt de onderhandse akte met de hand moet schrijven of tenminste zijn handtekening moet laten voorafgaan door een met de hand geschreven vermelding ‘goed voor’ of ‘goedgekeurd’. Voor het sluiten van eenzijdige verbintenissen zal men dus voorlopig een papieren drager moeten blijven gebruiken. En tenslotte blijft ook artikel 1328 B.W. gelden waarin wordt bepaald dat de onderhandse akte ten aanzien van derden een vaste datum verkrijgt, o.m. door de registratie ervan. Hoewel art. 1 van het Wetboek der registratie-, hypotheek- en griffierechten het wetgevend kader wel al voorziet, is momenteel nog geen elektronische registratie mogelijk. Er mag worden verwacht dat in de nabije toekomst initiatieven zullen genomen worden om dit wèl mogelijk te maken.
V.
O NDERS CHEID TUSS EN GEK WALIF IC EERDE EN ANDERE DAN G EK WALIF ICEERD E ELEKT RO NIS CHE HANDT EK ENING EN
Art. 1322 lid 2 bepaalt zoals gezegd aan welke twee voorwaarden een elektronische gegevensverzameling moet voldoen om als een geldige elektronische handtekening in juridische zin beschouwd te kunnen worden (nl. ze moet aan een bepaalde persoon kunnen toegerekend worden en ze moet het behoud van de integriteit van de inhoud van de akte aantonen). Het nieuwe tweede lid zegt echter niet dat een elektronische gegevensverzameling die aan deze voorwaarden voldoet, een elektronische handtekening is. Dit heeft voor gevolg dat de rechter de voorgelegde elektronische handtekening eerst op haar geldigheid moet beoordelen. Hij kan het elektronisch ondertekend stuk bijgevolg kwalificeren als een onderhandse akte (nl. als hij meent dat er een geldige elektronische handtekening voorligt), maar ook als een gewoon geschrift (als hij meent dat de elektronische gegevensverzameling die gehecht is aan het bestand waarop zij betrekking heeft, geen geldige elektronische handtekening is bijv. omdat aan één van de voorwaarden niet is voldaan 24 ). De partij die zich op een elektronisch ondertekend stuk beroept, komt op die manier als het ware terecht in de bewijspositie zoals die bestaat ten aanzien van een partij die een kopie voorlegt als bewijsmiddel25 : zolang de tegenpartij de geldigheid van de handtekening niet betwist, zal de rechter het elektronisch ondertekend stuk als een onderhandse akte beschouwen. De rechter in het burgerlijk proces is immers lijdelijk en mag bij de vorming van zijn overtuiging slechts rekening houden met de elementen die door de partijen werden aangebracht. Wordt de geldigheid van de handtekening wel betwist, dan zal er een tegensprekelijk debat plaatsvinden over de geldigheid van de handtekening, waarbij de partijen hun stelling kunnen bewijzen met alle middelen van recht. Het al dan niet voldaan zijn van de voorwaarden van art. 1322 lid 2 B.W. is immers een feitenkwestie. De rechter kan ook
6
steeds ambtshalve een deskundige aanstellen. Het is in ieder geval de rechter die in laatste instantie oordeelt in geval van betwisting. Die beoordelingsvrijheid valt weg wanneer het stuk een zgn. ‘gekwalificeerde elektronische handtekening’ bevat. De wet certificatiediensten omschrijft een ‘gekwalificeerde elektronische handtekening’ als ‘een geavanceerde elektronische handtekening, gerealiseerd op basis van een gekwalificeerd certificaat en aangemaakt door een veilig middel voor het aanmaken van een handtekening.’ 26 Een elektronische handtekening wordt ‘geavanceerd’ genoemd indien zij: 1. 2. 3. 4.
op een unieke wijze aan de ondertekenaar verbonden is het mogelijk maakt de ondertekenaar te identificeren tot stand komt met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden op zodanige wijze aan de gegevens waarop zij betrekking heeft, is verbonden dat elke latere wijziging van de gegevens kan worden opgespoord
Deze eigenschappen van een geavanceerde elektronische handtekening garanderen dat ze aan een bepaalde persoon kan toegerekend worden en dat ze het behoud van de integriteit van de inhoud van de akte aantoont. Een dergelijke handtekening kan, gezien de huidige stand van de techniek, enkel gecreëerd worden met de techniek van de digitale handtekening. Een certificaat is ‘gekwalificeerd’ wanneer het aan bepaalde voorwaarden voldoet, die zijn opgesomd in bijlage I van de wet certificatiediensten. Het moet onder andere de identiteitsgegevens van de ondertekenaar bevatten en de vermelding dat het een gekwalificeerd certificaat is. Het moet bovendien worden afgegeven door een certificatiedienstverlener die voldoet aan de eisen van bijlage II van de wet. De normen waaraan veilige middelen voor het aanmaken van een handtekening (nl. de software en de hardware) precies moeten voldoen, worden beschreven in bijlage III van de wet. Zo wordt er bijv. vereist dat de gegevens voor het aanmaken van handtekeningen met redelijke zekerheid niet mogen kunnen afgeleid worden. Bij gebruik van de techniek van de digitale handtekening komt dit er op neer dat de private sleutel niet mag te achterhalen zijn op basis van de publieke sleutel. Men zal dus voldoende sterke cryptografische algoritmes moeten gebruiken om het sleutelpaar te genereren. Om van een gekwalificeerde elektronische handtekening te kunnen spreken, wordt er ook vereist dat de gegevens voor het aanmaken van de handtekening door de ondertekenaar op een betrouwbare wijze moeten kunnen beschermd worden tegen gebruik door anderen. Dit gebeurt thans door de private sleutel op een chipkaart te bewaren, die beveiligd is met een pincode. Voor de toekomst kan de private sleutel wellicht nog beter afgeschermd worden met behulp van biometrische gegevens (bijv. een vingerafdruk die toegang geeft tot de inhoud van de chipkaart). Een gekwalificeerde elektronische handtekening is dus een elektronische handtekening die in dusdanige veiligheidsomstandigheden is aangemaakt, dat de wetgever geoordeeld heeft dat het niet langer nodig is om ze aan de voorafgaande controle door de rechter te onderwerpen. Art. 4 §4 van de wet certificatiediensten bevat een assimilatieclausule op grond waarvan een gekwalificeerde elektronische handtekening door de rechter gelijkgesteld moet worden met een handgeschreven handtekening.27 Zodra een handtekening door de rechter als gekwalificeerd wordt bevonden, worden de voorwaarden van art. 1322 lid 2 als vervuld beschouwd. De rechter beschikt dan niet over een beoordelingsbevoegdheid. In dat geval kan de rechter het elektronisch ondertekend stuk niet als een
7
gewoon geschrift kwalificeren, maar is er sprake van een automatisme waarmee het stuk als een onderhandse akte moet aangenomen worden.28 Art. 4 §4 werd na evocatie tijdens de bespreking in de Senaat geamendeerd. Voorheen stelde de assimilatieclausule dat ‘een geavanceerde elektronische handtekening, gerealiseerd op basis van een gekwalificeerd certificaat en aangemaakt door een veilig middel voor het aanmaken van een handtekening (een gekwalificeerde elektronische handtekening) voldoet aan de vereisten van art. 1322 lid 2 B.W. ’. 29 Maar deze verwijzing naar art. 1322 lid 2 B.W. in de assimilatieclausule had voor gevolg dat, ook al was er geen discussie meer mogelijk over het al dan niet voldaan zijn van de voorwaarden, de rechter nog steeds een beoordelingsbevoegdheid had ten aanzien van de geldigheid van een gekwalificeerde elektronische handtekening. Art. 1322 lid 2 B.W. bepaalt zoals gezegd immers niet dat een elektronische gegevensverzameling die aan de voorwaarden voldoet, een geldige handtekening is, maar kan voldoen aan de vereiste van een handtekening. 30 De verwijzing naar art. 1322 lid 2 B.W. werd terecht geschrapt. Door het feit dat er nu geen verwijzing naar art. 1322 B.W. meer voorkomt in de assimilatieclausule, zou men zich kunnen afvragen of gekwalificeerde elektronische handtekeningen voor de toepassing van alle rechtsregels moeten gelijkgesteld worden met de handgeschreven handtekening. In het amendement werd een zinsdeel ‘zoals bedoeld in artikel 1322’ voorgesteld.31 Hoewel dit de duidelijkheid ten goede zou zijn gekomen, werd dit in de definitieve versie niet overgenomen. De verwijzing naar de artikelen 1323 e.v. B.W. laat echter geen ruimte voor interpretatie: de gelijkstelling geldt enkel voor de onderhandse akte in het kader van het bewijsrecht. Wanneer er in een burgerlijk proces een elektronisch ondertekend bewijsstuk wordt voorgelegd, kan dit thans de volgende scenario’s opleveren: -Ofwel wordt de geldigheid van de elektronische handtekening NIET betwist door de tegenpartij: de rechter zal de elektronische handtekening dan als een geldige handtekening aanvaarden en gelijkstellen met een handgeschreven handtekening. -Ofwel wordt de geldigheid van de elektronische handtekening WEL betwist door de tegenpartij, die beweert dat de handtekening niet aan de voorwaarden van art. 1322 lid 2 B.W. voldoet. Dan zijn er twee opties: • De rechter stelt vast dat het gaat om een gekwalificeerde elektronische handtekening op basis van de algemeen aanvaarde standaarden die daarover gepubliceerd zullen worden (zie verder): de voorwaarden van art. 1322 lid 2 B.W. worden geacht voldaan te zijn en de rechter moet de gekwalificeerde elektronische handtekening gelijk stellen met een handgeschreven handtekening. De tegenpartij kan het tegenbewijs niet leveren. • De rechter stelt vast dat het een andere dan een gekwalificeerde elektronische handtekening is. De rechter oordeelt dan zelf of de voorwaarden van art. 1322 lid 2 B.W. voldaan zijn. Indien hij oordeelt van wel, dan zal hij de elektronische handtekening gelijkstellen met een handgeschreven handtekening. Indien hij oordeelt van niet, dan is er geen sprake van een geldige elektronische handtekening en kan het stuk dat voorligt hoogstens als een gewoon geschrift gekwalificeerd worden. In Nederland heeft men voor een andere oplossing gekozen: de functionele voorwaarden waaraan een elektronische handtekening moet voldoen om geldig te zijn, worden er in de wet niet opgesomd, zoals bij ons in art. 1322 lid 2 B.W. is gebeurd. Art. 15 a) lid 1 Boek 3 B.W. bepaalt dat ‘een elektronische handtekening dezelfde rechtsgevolgen heeft als een handgeschreven handtekening, indien de methode die daarbij is gebruikt voor authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de
8
elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval’. Het is dan aan de rechter om uit te maken onder welke voorwaarden een elektronische gegevensverzameling voldoende betrouwbaar is om dezelfde rechtsgevolgen te krijgen als een handgeschreven handtekening. De formulering laat geen ruimte voor interpretatie: wanneer vastgesteld wordt dat de methode voldoende betrouwbaar is, moet de rechter er dezelfde rechtsgevolgen aan toekennen als aan een handgeschreven handtekening, en niet zoals in België het geval is, dat de rechter er dezelfde rechtsgevolgen kan aan toekennen. Een tweede verschilpunt met de Belgische wet is gelegen in het feit dat Nederland een weerlegbaar vermoeden heeft ingevoerd voor gekwalificeerde elektronische handtekeningen. Het is dus mogelijk om het tegenbewijs te leveren van het feit dat een gekwalificeerde elektronische handtekening betrouwbaar is. Onder Belgisch recht is dit tegenbewijs niet mogelijk. En tenslotte geldt in Nederland, in tegenstelling tot België, de juridische gelijkstelling van de elektronische handtekening ook voor de toepassing van andere rechtsregels (dan het vermogensrecht), voor zover de aard van de rechtshandeling of van de rechtsbetrekking zich daartegen niet verzet.32
VI.
JURIDIS CHE WAARD E VAN EEN G ELDIG E ELEKT RO NIS CHE HANDTEK ENING
Zodra voor de rechter is komen vast te staan dat een elektronische handtekening gelijkgesteld moet worden met een handgeschreven handtekening (automatisch in het geval van een gekwalificeerde elektronische handtekening, of na een tegensprekelijk debat in het geval van een andere dan een gekwalificeerde elektronische handtekening), dan krijgt het elektronisch ondertekend bewijsstuk automatisch dezelfde bewijswaarde als een papieren onderhandse akte. Er is daarbij geen verschil wat de juridische waarde betreft tussen een gekwalificeerde elektronische handtekening en een andere dan een gekwalificeerde elektronische handtekening. a)
Tussen partijen
Art. 1322 lid 1 bevat het principe: een onderhandse akte heeft tussen de ondertekenaars dezelfde bewijskracht als een authentieke akte, op voorwaarde dat de akte erkend is door diegene tegen wie men zich daarop beroept. Dit principe omvat twee aspecten:
•
De bewijskracht hangt af van de authenticiteit van de handtekening
Opdat de onderhandse akte wettelijke bewijskracht zou hebben, is het vereist dat er zekerheid bestaat over de origine van de handtekening. Men moet met andere woorden zeker zijn dat de handtekening echt de handtekening is van diegene waarvan de handtekening lijkt te zijn. Ontkent de ondertekenaar dat de handtekening de zijne is, dan verliest de ingeroepen onderhandse akte elke bewijskracht.33 Art. 1323 bepaalt dat diegene tegen wie men zich op een onderhandse akte beroept, verplicht is zijn schrift of zijn handtekening te erkennen of ontkennen. De erkenning zal echter meestal stilzwijgend gebeuren doordat de ondertekenaar niet uitdrukkelijk ontkent dat het zijn handtekening is. De reden waarom de bewijskracht van een onderhandse akte afhangt van een voorafgaande erkenning, is goed te begrijpen wanneer we de vergelijking maken met authentieke akten, waarvoor een dergelijke erkenning niet nodig is. De openbare ambtenaar controleert ter gelegenheid van de ondertekening de identiteit van de ondertekenaars. De handtekening van de openbare ambtenaar op de authentieke akte bevestigt bijgevolg de origine van de andere handtekeningen die erop voorkomen. Een onderhandse akte daarentegen bevat enkel onbekende handtekeningen waarvan de origine nooit gecheckt werd. De enige manier om zekerheid te krijgen over de origine, is via hetzij een vrijwillige, hetzij een gedwongen erkenning.
9
De vereiste van een voorafgaande erkenning blijft gelden voor elektronische handtekeningen. Opdat de elektronische onderhandse akte wettelijke bewijskracht zou hebben, moet er vooraf komen vast te staan dat het stuk ondertekend werd met de private sleutel van de beweerde ondertekenaar, en dus niet met andermans private sleutel. 34 Op het eerste zicht zou men kunnen denken dat deze vereiste had moeten geschrapt worden voor gekwalificeerde elektronische handtekeningen, omdat de origine van de handtekening blijkbaar wel gecheckt wordt nl. door de bevestiging door de certificatiedienstverlener in een certificaat van de band tussen het sleutelpaar en een geïdentificeerde certificaathouder. Een certificatiedienstverlener kan echter niet op een authentieke wijze de identiteit van een persoon vaststellen, zoals een notaris dit kan. Een certificaat (zelfs indien het uitgaat van een geaccrediteerde certificatiedienstverlener: zie verder) kan dus nooit op een onbetwistbare wijze vaststellen dat een sleutelpaar aan een bepaalde persoon toebehoort. De noodzaak van een voorafgaande erkenning bestaat dus ook ten aanzien van elektronische onderhandse akten. Indien de (elektronische) handtekening niet ontkend wordt door diegene tegen wie de akte wordt ingeroepen, geldt er een vermoeden van ondertekening in zijnen hoofde.35 In de voorbereidende werken bij de wet wordt dit uitdrukkelijk bevestigd. Men kan dit ook afleiden uit een vroegere ontwerpversie van de wet m.b.t. de certificatiedienstverleners. De oorspronkelijke versie van art. 11 van de wet handelde over de verplichtingen van de certificaathouder en luidde als volgt: ‘Vanaf de creatie van het sleutelpaar is de certificaathouder de enige verantwoordelijke voor de vertrouwelijkheid en de integriteit van de private sleutel. Elk gebruik ervan wordt, behoudens tegenbewijs, geacht een daad te zijn van diens houder.’ De Raad van State was van mening dat de wetgever met de formulering ‘behoudens tegenbewijs’, in het ongewisse liet of men met deze bepaling had willen afwijken van art. 1324 B.W. , en dat die kwestie in ieder geval in het Burgerlijk wetboek moet geregeld worden.36 In de latere versies heeft de wetgever de laatste zin geschrapt, zodat het vermoeden van ondertekening uit het Burgerlijk Wetboek ten volle geldt ten aanzien van elektronische onderhandse akten. De situatie is dan de volgende: een elektronisch ondertekend stuk heeft er alle schijn van de elektronische handtekening van X te dragen, maar eigenlijk is het Y die in naam van X een certificaat heeft aangevraagd en een document ondertekend heeft (vgl. het tekenen in iemand anders’ plaats door diens handtekening na te maken). Om het vermoeden te ontkrachten dat de elektronische handtekening werd aangemaakt met de private sleutel van X, is het niet voldoende dat X ontkent dat het zijn elektronische handtekening is. Het hele stelsel van elektronische handtekeningen staat of valt immers met het vertrouwen dat de eindgebruikers stellen in de certificatiedienstverleners, en men moet er dus in eerste instantie van uit gaan dat de identiteit van een certificaataanvrager op een betrouwbare wijze wordt gecontroleerd. Als iedereen, tegen wie een elektronische onderhandse akte wordt ingeroepen, zou kunnen volstaan met een simpele ontkenning van de elektronische handtekening, dan zou het noodzakelijke vertrouwen dat men stelt in de certificatiedienstverleners volledig ondermijnd worden. Om het vermoeden van ondertekening te ontkrachten, kan X wel een onderzoek naar de echtheid van de handtekening vragen overeenkomstig art. 1324 B.W. Er moet dan een rechterlijke uitspraak over de authenticiteit van de handtekening volgen. De rechter kan bijvoorbeeld een deskundige aanstellen, die moet nagaan of de private sleutel werkelijk aan de beweerde ondertekenaar toebehoort, maar hij is hiertoe niet verplicht. Dit zou in strijd zijn met de essentiële procedureregel dat de rechter zelf een expert is door de aard van zijn functie. Maar gezien de techniciteit van de materie, zal het in de meeste gevallen toch aangewezen zijn om het oordeel van een expert te vragen over de echtheid van de elektronische handtekening. Volgens de Memorie van Toelichting zou het onderzoek naar de echtheid van de handtekening moeten verlopen volgens de procedure van art. 883 Ger.W. betreffende het schriftonderzoek. 37 Het spreekt
10
voor zich dat dit in een elektronische context geen zin meer heeft. Deze procedure is immers gebaseerd op de herkenning van het handschrift van de ondertekenaar. De rechter kan overeenkomstig art. 884 Ger. W. de persoonlijke verschijning van de partijen vragen, ter gelegenheid waarvan zij vergelijkingsstukken voorleggen waarvan men zeker kan zijn dat zij van de ondertekenaar uitgaan. De fysieke aanwezigheid is vereist opdat de ondertekenaar het beeld van zijn handtekening, dat wordt bepaald door zijn eigen handschrift, zou herkennen. In een elektronische context heeft dit geen enkel nut meer. De handtekening is niet verbonden met de drager, maar met de inhoud van de akte. Het zou dus geen zin hebben om een ander stuk voor te leggen dat versleuteld werd met de private sleutel waarvan X wel erkent dat het zijn private sleutel is. De handtekening, die slechts een code is, zegt op zich niets over de identiteit van de ondertekenaar. Ook de schrijfproef kan niet meer dienen om uitsluitsel te verkrijgen over de identiteit van de ondertekenaar. De echtheid van de elektronische handtekening kan bewezen worden met alle middelen van recht. Het is immers een feitenkwestie of een private sleutel werkelijk aan een bepaalde persoon toebehoort.
•
Zelfde bewijskracht als een authentieke akte
Indien de origine van een elektronische handtekening komt vast te staan, dan krijgt de inhoud van de elektronische onderhandse akte tussen partijen dezelfde bewijskracht als een papieren onderhandse akte. Art. 1322 lid 1 laat verstaan dat een onderhandse akte dezelfde bewijskracht heeft als een authentieke akte, maar deze vergelijking gaat enkel op voor de niet-authentieke vermeldingen in de authentieke akte. 38 De inhoud van een onderhandse akte geldt als voldoende bewijs van het beweerde, tot bewijs van het tegendeel. De rechter mag met andere woorden niet meer twijfelen aan de waarheid van de inhoud. Het tegenbewijs kan overeenkomstig art. 1341 B.W. enkel geleverd worden door een ander ondertekend geschrift (tenzij er een begin van bewijs door geschrift aanwezig is: art. 1347 B.W.).
b) Ten aanzien van derden De elektronische onderhandse akte heeft ten aanzien van derden dezelfde bewijskracht als ten aanzien van de partijen, op twee preciseringen na. De klassieke regels blijven hier gelden. Derden kunnen de inhoud van een elektronische onderhandse akte weerleggen door alle middelen van recht, omdat art. 1341 B.W. niet geldt ten aanzien van hen. Bovendien is de datum van de akte hen slechts tegenstelbaar in de drie gevallen, opgesomd in art. 1328 B.W.
VII.WET C ERT IF ICAT IEDIENS TEN
a) Toepassingsgebied De wet is van toepassing op alle natuurlijke of rechtspersonen die diensten verlenen in verband met elektronische handtekeningen, en niet enkel op certificatiedienstverleners die certificaten uitreiken aan het publiek. 39 De wet is dus ook van toepassing op alle andere vertrouwensdiensten in verband met elektronische authentificatietechnieken, zoals biometrische identificatietechnieken. Hierdoor is de wet technologieneutraal. De wetgever heeft geen technologische keuze willen maken die beperkt is tot de techniek van de digitale handtekening. Op die manier wordt het risico vermeden dat binnen enkele jaren de wet zal moeten aangepast worden aan eventuele nieuwe authentificatietechnieken. De wet is bovendien zowel van toepassing op certificatiedienstverleners die opereren in een open netwerk, zoals
11
het Internet, als op certificatiedienstverleners die in een gesloten netwerk functioneren bijv. in de bankwereld. Ook deze laatste certificatiedienstverleners zouden dus onder de voorwaarden van de wet een accreditatie kunnen aanvragen om zich te kunnen beroepen op een hoog kwaliteits- en vertrouwensniveau (zie verder).
b) Gekwalificeerde certificaten 1. Bijlage I van de wet Een gekwalificeerde elektronische handtekening moet zoals gezegd gebaseerd zijn op een gekwalificeerd certificaat. Een gekwalificeerd certificaat moet voldoen aan de eisen van bijlage I van de wet. De inhoud ervan is bij wet vastgelegd en moet minstens de naam en voornaam van de certificaathouder bevatten, de vermelding dat het een gekwalificeerd certificaat is, de gegevens voor het verifiëren van de handtekening, zoals de publieke sleutel van de certificaathouder en de gebruikte algoritmes, de geldigheidsduur van het certificaat en de identiteitscode van het certificaat. Een gekwalificeerd certificaat moet tevens een aantal gegevens over de certificatiedienstverlener bevatten, zoals de geavanceerde elektronische handtekening van de certificatiedienstverlener die het certificaat afgeeft, de identificatie van de certificatiedienstverlener en het land waar hij gevestigd is. De wet voorziet dat er bijkomende informatie in het certificaat kan worden opgenomen, zoals een beroep of een bijzondere hoedanigheid. Dit zijn de zogenaamde attribuut-certificaten. Ook het recht om zich onder een pseudoniem kenbaar te maken, is uitdrukkelijk in de wet opgenomen.40 De certificatiedienstverlener is er echter toe gehouden om de ware identiteit van de certificaathouder mee te delen wanneer een strafrechtelijk onderzoek dit vereist.
2. Aanvraag van een certificaat Een gekwalificeerd certificaat kan door elke persoon worden aangevraagd. Het is de certificatiedienstverlener niet toegelaten om de afgifte naar goeddunken te weigeren. Hierdoor wil de wetgever het voor elke burger mogelijk maken om een gekwalificeerd certificaat te bekomen. De certificatiedienstverlener is verplicht om een identiteitscontrole uit te voeren van de kandidaatcertificaathouder alvorens een certificaat uit te reiken. Deze identificatieprocedure wordt ook wel ‘de registratie’ genoemd. In tegenstelling tot een vroegere ontwerpversie 41 , blijft de goedgekeurde tekst tamelijk vaag over hoe de certificatiedienstverlener deze identiteit dan wel moet controleren. Bijlage II van de wet bepaalt enkel dat de certificatiedienstverlener aan de hand van de passende en met het nationaal recht in overeenstemming zijnde middelen de identiteit en, in voorkomend geval, de specifieke attributen moet controleren van de persoon aan wie een gekwalificeerd certificaat wordt afgegeven. De certificatiedienstverlener kan daarvoor steunen op betrouwbare documenten of hij kan verschillende documenten toetsen die gegevens bevatten over de kandidaat-certificaathouder. Daartoe kan hij een beroep doen op de hulp van zogenaamde registratieoverheden, zoals de gemeenten, de Post, de Kamers van Koophandel enz.
3. Elektronisch register van certificaten De geldigheidsduur van een certificaat wordt beperkt in de tijd omdat het sleutelpaar, dat door het certificaat aan een bepaalde persoon wordt verbonden, na een bepaalde periode niet meer veilig is. Wiskundigen voorzien dat de cryptografische algoritmes die gebruikt worden om sleutelparen te creëren, na verloop van tijd zullen kunnen gekraakt worden door de snelle technologische evoluties. De gebruiksduur van een certificaat wordt daarom beperkt tot de periode waarin volgens de te verwachten technologische vooruitgang de algoritmes redelijkerwijze niet zullen kunnen gekraakt worden. Het is
12
van belang dat de ontvanger van een elektronisch bericht kan nagaan of het certificaat nog geldig is. Indien hij met een ongeldig certificaat te maken heeft, zal hij het elektronisch bericht immers niet meer vertrouwen. De overschrijding van de geldigheidsduur van een gekwalificeerd certificaat kan door de ontvanger op een eenvoudige wijze onderzocht worden, omdat de termijn in het certificaat is opgenomen. Het certificaat kan echter ook herroepen worden nog voor de geldigheidsduur is verstreken. Een herroeping betekent dat het certificaat vanaf dan definitief ongeldig wordt. De wet legt aan de certificatiedienstverlener de plicht op om het certificaat te herroepen indien er ernstige redenen bestaan om aan te nemen dat het certificaat werd afgegeven op basis van foutieve of vervalste gegevens, dat de in het certificaat opgenomen informatie niet meer met de werkelijkheid overeenstemt of dat de vertrouwelijkheid van de gegevens voor het aanmaken van een handtekening werd geschonden.42 Een herroeping staat uiteraard niet vermeld in het certificaat. De wet legt dan ook de verplichting op aan de certificatiedienstverleners om de herroeping van een certificaat openbaar te maken. De beslissing van de herroeping van het certificaat met de vermelding van het tijdstip, moet publiek beschikbaar zijn via elektronische weg zodat iedereen het certificaat van zijn communicatiepartner kan verifiëren. Daartoe schrijft de certificatiedienstverlener de vermelding van de herroeping in in het elektronisch register waarin hij alle certificaten bijhoudt die hij heeft uitgereikt.43
c) Certificatiedienstverleners die gekwalificeerde certificaten uitreiken
1. Bijlage II van de wet Certificatiedienstverleners die gekwalificeerde certificaten willen uitreiken, moeten voldoen aan de eisen van bijlage II van de wet. Zij dienen onder andere het bewijs te leveren dat ze voldoende betrouwbaar zijn om certificatiediensten te leveren, erop toe te zien dat de datum en het uur van uitgifte en herroeping van een certificaat nauwkeurig kunnen worden bepaald en alle relevante informatie over een gekwalificeerd certificaat te registreren gedurende een termijn van dertig jaar om een certificatiebewijs te kunnen voorleggen bij gerechtelijke procedures. Certificatiedienstverleners die certificaten uitreiken aan het publiek zijn vrij om al dan niet gekwalificeerde certificaten uit te reiken. Maar het spreekt voor zich dat de meeste certificatiedienstverleners ervoor zullen kiezen om ook gekwalificeerde certificaten uit te reiken, gezien het automatisme waarmee een gekwalificeerde elektronische handtekening als een geldige handtekening zal beschouwd worden. De in België gevestigde certificatiedienstverleners die gekwalificeerde certificaten wensen uit te reiken, moeten voor de aanvang van hun activiteiten een aangifte doen van hun identificatiegegevens bij het Ministerie van Economische Zaken om a posteriori controle te vergemakkelijken.
2. Aansprakelijkheid Voor de certificatiedienstverleners die gekwalificeerde certificaten uitreiken, voorziet de wet een bijzonder aansprakelijkheidsregime. Of een certificatiedienstverlener onder het toepassingsgebied van dit regime valt, wordt bepaald door de vermelding in het uitgereikte certificaat dat het om een gekwalificeerd certificaat gaat. Voor certificatiedienstverleners die gewone certificaten afgeven (d.w.z. het certificaat bestempelt zichzelf niet als gekwalificeerd), is het gemene aansprakelijkheidsrecht van toepassing. De specifieke regeling inzake aansprakelijkheid wordt ingevoerd om een evenwicht te creëren tussen de belangen van de certificatiedienstverleners en die van de gebruikers van certificaten.
13
Enerzijds wil men aan de gebruikers van certificaten een betrouwbare en geloofwaardige certificatieregeling bieden, maar anderzijds mag de ontwikkeling van certificatiediensten en van elektronische handel niet te zeer beperkt worden door een al te strikt aansprakelijkheidsregime. De aansprakelijkheidsregeling heeft enkel betrekking op de verhouding tussen certificatiedienstverleners die gekwalificeerde certificaten uitreiken en personen die vertrouwen hebben gesteld in een afgegeven certificaat. Het geldt dus niet voor aansprakelijkheidsvorderingen in de relatie tussen certificatiedienstverleners en certificaathouders of tussen certificatiedienstverleners en registratieoverheden. Er wordt een aansprakelijkheid ingesteld in hoofde van de certificatiedienstverleners die gekwalificeerde certificaten afgeven op drie punten44 : 1. De certificatiedienstverlener is vooreerst aansprakelijk voor de schade die voortvloeit uit de onjuistheid of de onvolledigheid van de gegevens die in het certificaat zijn opgenomen op het moment dat het certificaat werd uitgegeven ten aanzien van de persoon die op het certificaat vertrouwde. Men kan van een certificatiedienstverlener uiteraard niet verwachten dat hij de juistheid van die gegevens permanent blijft opvolgen (bijv. het beroep van een persoon in het geval van een attribuutcertificaat). Dit is de verantwoordelijkheid van de certificaathouder, die eventueel het certificaat zal moeten laten herroepen. 2. De certificatiedienstverlener moet eveneens garanderen dat de certificaathouder op het tijdstip van de afgifte van het certificaat de gegevens bezat voor het aanmaken van een handtekening overeenstemmend met de in het certificaat vermelde of geïdentificeerde gegevens voor het verifiëren van de handtekening en, indien de certificatiedienstverlener deze gegevens zelf genereert, dat deze gegevens complementair kunnen gebruikt worden. Of anders gezegd: de certificatiedienstverlener moet garanderen dat de certificaathouder bij de afgifte van het certificaat in het bezit was van de private sleutel die overeenstemt met de publieke sleutel die het certificaat bevat of waarnaar het certificaat verwijst, en, indien de certificatiedienstverlener het sleutelpaar zelf genereert, moet hij garanderen dat de private en de publieke sleutel onlosmakelijk met elkaar verbonden zijn. Wordt deze garantie ten onrechte gegeven en lijdt een persoon die erop vertrouwde daardoor schade, dan is de certificatiedienstverlener voor deze schade aansprakelijk. Deze aansprakelijkheid gaat echter niet zo ver dat de certificatiedienstverlener ook aansprakelijk is voor het ongeoorloofd gebruik achteraf van de gegevens die gebruikt kunnen worden voor het aanmaken van een handtekening, zoals de private sleutel. De wet bepaalt dat enkel en alleen de certificaathouder zelf verantwoordelijk kan gesteld worden voor de vertrouwelijkheid van deze gegevens vanaf het moment dat de certificaathouder ervan in het bezit werd gesteld.45 3. Tenslotte moet een certificatiedienstverlener erop toezien dat de datum en het uur van herroeping van een certificaat nauwkeurig kunnen worden bepaald. Dit gebeurt zoals gezegd aan de hand van een publiek elektronisch register. Zodra zijn certificaat herroepen is, mag de certificaathouder zijn private sleutel niet meer gebruiken om een elektronische handtekening te genereren.46 Doet de certificaathouder dit toch, en heeft de certificatiedienstverlener niet voorzien in een accuraat en publiek te raadplegen herroepingsregister, dan is de certificatiedienstverlener aansprakelijk voor de schade die een derde heeft opgelopen door toch te vertrouwen op het certificaat. De certificatiedienstverlener is dus aansprakelijk voor de schade veroorzaakt aan iedereen die rechtmatig vertrouwt op het certificaat en die voortvloeit uit het niet naleven van één van de hierboven
14
opgesomde verplichtingen, tenzij hij aantoont dat hij geen fout heeft begaan. Het is bijv. mogelijk dat de certificatiedienstverlener de herroeping van een certificaat wel degelijk had geregistreerd in een via zijn website toegankelijk register, maar dat derden door een oorzaak buiten zijn wil geen toegang hadden tot de website. De certificatiedienstverlener kan zijn aansprakelijkheid beperken. Twee soorten exoneratieclausules kunnen in het certificaat worden opgenomen. De certificatiedienstverlener kan de grenzen bepalen voor het gebruik van het certificaat.47 In die hypothese kan hij niet aansprakelijk worden gesteld voor de schade die voortvloeit uit het gebruik van het certificaat buiten de aangegeven grenzen. Daarnaast kan hij de maximumwaarde bepalen van de transacties waarvoor het certificaat kan worden gebruikt. Clausules die de certificatiedienstverlener zouden bevrijden van de essentiële verplichtingen van een certificatiedienstverleners die gekwalificeerde certificaten afgeeft, zoals hierboven beschreven, zijn uiteraard ongeldig. Het weigeren op zich te nemen van aansprakelijkheid voor de juistheid van de in het certificaat opgenomen informatie, kan als een dergelijke ongeldige clausule beschouwd worden. De juistheid van de verstrekte informatie maakt immers de essentie uit van het goed functioneren van een systeem van certificatie.
d) Geaccrediteerde certificatiedienstverleners In art. 17 en 18 van de wet heeft de wetgever een vrijwillig accreditatieregime opgenomen ten behoeve van certificatiedienstverleners. Het gaat om een soort van kwaliteitslabel dat het Ministerie van Economische Zaken zal toekennen op basis van het resultaat van een evaluatie uitgevoerd door gespecialiseerde controleorganismen, de zgn. ‘entiteiten’. Enkel certificatiedienstverleners die gekwalificeerde certificaten uitreiken aan het publiek kunnen een accreditatie bekomen. De controleorganismen evalueren in welke mate de certificatiedienstverlener voldoet aan de eisen van de bijlagen I, II en III van de wet. Enkel een certificatiedienstverlener die volledig conform deze eisen functioneert, en dus beantwoordt aan een zeer hoog veiligheidsniveau, zal een accreditatie verkrijgen. Een Koninklijk Besluit moet deze eisen verder preciseren.48 De bijlagen bij de wet definiëren immers slechts in abstracte bewoordingen waaraan een gekwalificeerd certificaat, een certificatiedienstverlener die gekwalificeerde certificaten afgeeft en producten om elektronische handtekeningen aan te maken, moeten voldoen. In de toekomst zullen deze eisen verder uitgewerkt worden in technische standaarden. Momenteel zijn er onder andere een aantal standaarden in voorbereiding over gekwalificeerde elektronische handtekeningen. De wet bepaalt dat de deelname aan het accreditatiestelsel volledig vrijwillig is. In het kader van de Europese vrije markt wordt het verlenen van certificatiediensten immers opengesteld voor iedereen die dat wenst. De toegang tot deze dienstverlening mag dus ook niet beperkt worden door de kandidaatcertificatiedienstverlener op een onrechtstreekse manier aan een voorafgaande machtiging te onderwerpen, nl. door de accreditatie verplicht te stellen. Het vrijwillig karakter van het accreditatiestelsel heeft ook voor gevolg dat de bewijskracht van een gekwalificeerde elektronische handtekening niet verbonden is aan het feit of de certificatiedienstverlener al dan niet geaccrediteerd is. Een niet-geaccrediteerde certificatiedienstverlener die voldoet aan de eisen van bijlage II, kan eveneens een certificaat als gekwalificeerd uitreiken, daarbij gebruik makend van veilige middelen voor het aanmaken van elektronische handtekeningen. De rechter mag dan ook geen rekening houden met het al dan niet geaccrediteerd karakter van de certificatiedienstverlener om uit te maken of een elektronische handtekening gekwalificeerd is. Hij moet daarentegen de conformiteit van de elektronische handtekening met de algemeen aanvaarde standaarden onderzoeken.
15
VIII.
BES LUIT
Met deze twee wetgevende initiatieven is de juridische erkenning van de elektronische handtekening in het Belgisch recht een feit geworden. Het is nu afwachten op welke manier de rechtspraktijk de essentiële concepten en beginselen van ons bewijsrecht zal confronteren met deze ingrijpende wijziging. Een gouden regel is wellicht om goed voor ogen te houden dat met de wet van 20 oktober 2000 aan de klassieke regels van het bewijsrecht in wezen niets is veranderd. De enige wijziging is dat een elektronische handtekening voor bewijsdoeleinden voortaan gelijkgesteld kan / moet worden met de handgeschreven handtekening, waardoor het mogelijk is geworden om elektronische bewijsstukken als een onderhandse akte te aanvaarden in rechte. Bovendien is de wijziging voorlopig beperkt tot het bewijs van onderhandse akten. Aan de regels over de authentieke akte wordt in dit stadium niet geraakt. Hiervoor, en ook voor de erkenning van de elektronische handtekening in alle andere rechtsdomeinen zijn nog talrijke wetswijzigingen nodig, zowel op federaal niveau als op het niveau van gemeenschappen en gewesten. Nu de grote lijnen van het juridisch kader voor het gebruik van gekwalificeerde elektronische handtekeningen in de wet zijn vertaald in de wet van 14 juni 2001, kan werk gemaakt worden van de uitvoering ervan. Koninklijke besluiten zullen het voor dit domein bevoegde overheidsbestuur oprichten, de details regelen over het toezicht op certificatiedienstverleners, het accreditatieschema uitwerken en procedures opstellen voor de afleveren van conformiteitsverklaringen voor hardware en software waarmee gekwalificeerde handtekeningen kunnen worden gecreëerd.
2
3
4
5
6 7
8
9
Het aan de opmerkingen van de Raad van State aangepaste ontwerp van de vorige regering werd neergelegd in de Kamer van Volkvertegenwoordigers vlak voor het parlementaire reces van 1999. Zie: wetsontwerp van 14 april 1999 tot wijziging van sommige bepalingen van het Burgerlijk Wetboek met betrekking tot het bewijs van verbintenissen, Parl. St., Kamer, 1998-1999, nr. 2141/1. Dit wetsontwerp wordt onder meer besproken in VUYLSTEKE, B., ‘Het voorontwerp van wet over de herziening van het bewijsrecht’, in DUMORTIER, J. (ed.), Recente ontwikkelingen in informatica- en telecommunicatierecht, Brugge, Die Keure, 1999, 41-47. Verantwoording bij amendement nr. 12, wetsvoorstel tot introductie van nieuwe telecommunicatiemiddelen in de gerechtelijke en de buitengerechtelijke procedure, Parl. St., Kamer, 1999-2000, nr. 38/6. Op het ogenblik van het ter perse gaan van deze bijdrage, was de wet certificatiediensten nog niet gepubliceerd in het Belgisch Staatsblad. De wet zal in werking treden op de tiende dag na haar publikatiedatum. Pub. L13/12, 19 januari 2000. http://europa.eu.int/eurlex/nl/lif/dat/1999/nl_399L0093.html Deze richtlijn verplicht de lidstaten om tegen 19 juli 2001 rechtskracht te verlenen aan elektronische handtekeningen in het algemeen, en om hun toelaatbaarheid als bewijsmiddel te garanderen in het bijzonder. DUMORTIER, J. en VAN EECKE, P., ‘De Europese ontwerprichtlijn over de digitale handtekening: waarom is het misgelopen?’, Computerr., 1999, afl. 1, (3), 3-5. Om zeker te zijn dat enkel een bepaalde persoon toegang heeft tot vertrouwelijke stukken, dient men het bestand te versleutelen met de publieke sleutel van die persoon (en dus niet met zijn eigen private sleutel zoals bij de ondertekening). Enkel die persoon zal het bestand kunnen ontsleutelen, vermits alleen hij over zijn eigen private sleutel beschikt. De private sleutel die men moet gebruiken om een digitale handtekening aan te maken, wordt bewaard op de harde schijf van de computer of op een smart card. Momenteel wordt er vooral gebruik gemaakt van de smart card technologie om de geheime sleutel te bewaren zodat men niet gebonden is aan zijn eigen computer. Bijvoorbeeld in publiek toegankelijke databanken op het Internet. Meestal is de publieke sleutel echter opgenomen in het certificaat. Dit is zelfs een voorwaarde om van een gekwalificeerd certificaat te kunnen spreken (zie verder).
16
10
11
12
13
14
15
16
17
18 19
20
21 22
23
24
25
De gebruiker kan zelf zijn sleutelpaar aanmaken met bestaande software. De laatste versies Internetbrowsers (MS Internet Explorer, Netscape) hebben deze mogelijkheid zelfs ingebouwd. Het sleutelpaar wordt ook vaak meegegeven aan de gebruiker. Dit is meestal het geval bij gesloten gebruikersgroepen, zoals in de bankwereld. Certificatiedienstverleners zijn beter bekend onder hun Engelse benaming ‘Trusted Third Party’. De richtlijn spreekt van ‘Certification Service Providers’. Momenteel zijn er reeds een aantal Belgische certificatiedienstverleners actief waaronder Globalsign (http://www.globalsign.net), Isabel (http://www.isabel.be) en Belgacom (http://www.e-trust.be). Verisign (http://www.verisign.com) is de belangrijkste buitenlandse onderneming die wereldwijd certificatiediensten aanbiedt. De techniek van de digitale handtekening wordt onder andere besproken in: DUMORTIER, J. en VAN EECKE, P., ‘De nieuwe wetgeving over digitale en elektronische handtekeningen’, in DUMORTIER, J. (ed.), Recente ontwikkelingen in informatica- en telecommunicatierecht, Brugge, Die Keure, 1999, 1-26; DUMORTIER, J, VAN EECKE, P. en ANNE, I., The legal aspects of digital signatures, European Commission, Gent, Mys & Breesh, 1999, Vol. 2, 21-48; VAN DER HOF, S., De juridische status van de digitale handtekening, IteR, Alphen a/d Rijn, Samson, 1997, 7-10. DE PAGE, H., Traité élémentaire de droit civil belge. Tome III Les Obligations (seconde partie), Brussel, Bruylant, 1967, nr.708 C.; BALLON, G., ‘Het bewijs en de moderne technieken’, DA/OR, n° 14, 66; Cass., 11 december 1969, R.C.J.B., 1975, 708, noot VAN OMMESLAGHE, P. ‘Bewijswaarde’ heeft betrekking op het geloof dat de rechter aan een bewijsmiddel hecht. Het is pas als de rechter aan een bewijsmiddel bewijswaarde heeft toegekend, dat er van een bewijs kan worden gesproken. ‘Bewijskracht’ houdt in dat de beoordeling van de bewijswaarde van een bewijsmiddel aan de beoordeling van de rechter wordt onttrokken. Over het handgeschreven karakter van de handtekening bestaat er constante rechtspraak van het Hof van Cassatie: zie o.a. Cass. 24 februari en 3 november 1910, Pas., 1910, I, 241 en 475; Cass., 1 maart 1917, Pas., 1917, I, 118; Cass., 7 januari 1957, Pas., 1955, I, 456. Zie voor een zeer volledige uiteenzetting over wat er traditioneel onder het begrip ‘handtekening’ wordt begrepen, de schitterende noot van VAN QUICKENBORNE, M., ‘Quelques réflexions sur la signature des actes sous seing privé’, onder Cass. 28 juni, 1982, R.C.J.B., 1985, 65-104. SYX, D., Juridische facetten van het elektronisch geldverkeer, Brussel, Kredietbank, 1982, 79-88; VAN DER STICHELE, G., ‘Bewijsproblematiek van elektronisch verwerkte verbintenissen in het kader van het burgerlijk bewijsrecht’, Jura. Falc., 1984-85, (402), 404-405. Zie o.a. AMORY, B. en POULLET, Y., ‘Bewijsrecht, Informatica en Telematica: een rechtsvergelijkende benadering’, Computerr., 1985, nr. 7, (24), 30; CORNELIS, L. en SIMONT, L., ‘Bewijsrecht en technologische evolutie: enkele overwegingen’, in X., Technologie en recht, De Vroede (ed.), Kluwer, 1987, 158. Contra: BALLON, G., l.c., 85. Sinds 1 januari 2001, de datum van inwerkingtreding van art. 2 van de wet Bourgeois. Art. 307 §5 W.I.B. voorziet wel in de mogelijkheid om, onder de door de Koning bepaalde voorwaarden, de in het aangifteformulier gevraagde gegevens te verstrekken bij middel van computerafdrukken of van elektronische informatiedragers. Het uitvoerings-K.B. is tot op heden echter nog niet verschenen. STORME beweert ten onrechte dat de gelijkstelling met een akte zowel geldt wanneer de akte ad validitatem is voorgeschreven, als waneer ze slechts ad probationem wordt gebruikt. STORME, M., ‘De invoering van de elektronische handtekening in ons bewijsrecht – een inkadering van en commentaar bij de nieuwe wetsbepalingen’, R.W., 2000-2001, nr. 41, (1505), randnummer 33. Art. 5.2 van de richtlijn. Verantwoording bij amendement nr. 12 bij het wetsvoorstel tot introductie van nieuwe telecommunicatiemiddelen in de gerechtelijke en de buitengerechtelijke procedure, Parl. St., Kamer, 1999-2000, nr. 38/6, 10. Bijv. art. 89 van het K.B. van 8 januari 1996, dat bepaalt dat de inschrijver zijn offerte op een speciaal daartoe ontworpen formulier moet opmaken en dat dit door de inschrijver of zijn gemachtigde moet ondertekend worden (B.S. 26 januari 1996). Door het gebruik van de term ‘kan’ in art. 1322 lid 2 B.W., blijft er onzekerheid bestaan over de vraag of de rechter een elektronische handtekening als een ongeldige handtekening kan kwalificeren, ook al heeft hij vastgesteld dat aan de voorwaarden voldaan is. De wet lijkt hier aan de rechter een beoordelingsmarge te geven, hoewel een dergelijke interpretatie zou indruisen tegen de bedoeling van de wet nl. het invoeren van een functioneel handtekeningbegrip. Art. 1334 B.W. zelf is natuurlijk niet van toepassing. Het bestaan of het bestaan hebben van twee stukken (het origineel en de kopie) is een toepassingsvoorwaarde voor art. 1334 B.W., terwijl er
17
26 27
28
29 30
31 32 33
34
35 36
37 38 39 40 41
42 43 44 45
46 47 48
hier duidelijk slechts sprake is van één stuk. Zie: CORNELIS, L. en SIMONT, L., ‘Bewijsrecht en technologische evolutie: enkele overwegingen’, in X., Technologie en recht, De Vroede (ed.), Kluwer, 1987, 157. Art. 4 §4 wet certificatiediensten. ‘Onverminderd de artikelen 1323 en volgende van het Burgerlijk Wetboek wordt een geavanceerde elektronische handtekening, gerealiseerd op basis van een gekwalificeerd certificaat en aangemaakt door een veilig middel voor het aanmaken van een handtekening, geassimileerd met een handgeschreven handtekening’. Een gekwalificeerde elektronische handtekening wordt weliswaar automatisch gelijkgesteld met een handgeschreven handtekening op een onderhandse akte voor bewijsdoeleinden. Maar dit wil natuurlijk niet zeggen dat elke gekwalificeerde elektronische handtekening per definitie een geldige handtekening is. Net zoals voor de handgeschreven handtekening zal de rechter onder andere moeten onderzoeken of er geen wilsgebrek bestond in hoofde van de ondertekenaar, of de ondertekenaar bekwaam was om te tekenen enz. Dit geldt ook voor andere dan gekwalificeerde elektronische handtekeningen. Zie voor de tekst die werd overgezonden aan de Senaat: Parl. St., Kamer, 2000-2001, nr. 322/5. Zie voetnoot 24. DE GROOTE vraagt zich terecht af of art. 4 §4 van het toenmalige wetsontwerp het onderscheid tussen gekwalificeerde en andere dan gekwalificeerde elektronische handtekeningen op correcte wijze implementeert. DE GROOTE, B., ‘Het bewijs in de elektronische handel – enkele bedenkingen’, A.J.T., 2000-01, (881), randnummer 42. Parl. St., Senaat, 2000-2001, nr. 662/2, amendement nr. 4 van de heer STEVERLYNCK. Tweede Kamer, vergaderjaar 2000-2001, 27 743, nrs. 1-2. LAURENT, F., Cours élémentaire de droit civil, Brussel, Bruylant, 1878, nr. 267; Vred. Brugge, 28 november 1985, T.B.R., 1986, 50. Om ruimte te laten voor de technieken die zich in de toekomst zullen ontwikkelen, spreekt men beter in het algemeen over ‘de middelen voor het aanmaken van een elektronische handtekening’ in plaats van over ‘de private sleutel’. Cass., 5 januari 1961, R.W., 1960-61, 1673. Advies van de Raad van State, 16 september 1998, wetsontwerp betreffende de werking van de certificatiedienstverleners met het oog op het gebruik van elektronische handtekeningen, Parl. St., Kamer, 1999-2000, nr. 322/1, 64. Parl. St., Kamer, 1999-2000, nr. 38/6, 12. DE PAGE, H., o.c., nr. 747. Art. 2 10° van de wet. Art. 8 §2 en art. 5 §2 van de wet. Art. 7 §3 lid 2 van het wetsontwerp van 16 december 1999 betreffende de werking van de certificatiedienstverleners met het oog op het gebruik van elektronische handtekeningen, Parl. St., Kamer, 1999-2000, nr. 322/1, 73. Daarin was voorzien dat er tenminste een ontmoeting tussen de kandidaat-certificaathouder en de certificatiedienstverlener moest plaatsvinden om een efficiënte identificatie mogelijk te maken en dat de Koning de uitvoeringsmodaliteiten voor deze identificatie verder bepaalt. Art. 12 §2 van de wet. Art. 13 §2 en art. 10 van de wet. Zie bijvoorbeeld http://secure.globalsign.net/en/find/ Art. 14 van de wet. Art. 19 §2 van de wet. Dit heeft echter niets te maken met de situatie die we hierboven bespraken en waar het ging om de vraag of de handtekening geplaatst werd met de private sleutel van de beweerde ondertekenaar. Hier staat vast dat het de private sleutel van de beweerde ondertekenaar is die werd gebruikt, maar is het een derde die deze private sleutel heeft gebruikt om te ondertekenen. Het voeren van de procedure van art. 1323 B.W. (ontkenning van de handtekening) tegen de partij die de akte inroept, heeft hier geen zin, want het is wel degelijk de handtekening van de beweerde ondertekenaar. Hij zal zich tegen de derde moeten keren, waarvan hij vermoedt dat deze op ongeoorloofde wijze gebruik heeft gemaakt van zijn private sleutel. Art. 19 §3 van de wet. Art. 14 §3 en §4 van de wet. Art. 17 §2 van de wet. Bijlage II punt b) bepaalt bijvoorbeeld dat de certificatiedienstverlener een veilige en snelle herroepingsdienst moet garanderen. Maar wanneer kan men spreken van een snelle herroeping? Hoe lang nadat werd vastgesteld dat het certificaat niet meer betrouwbaar is, moet de
18
herroeping plaats vinden? 5 minuten nadien? 1 uur nadien? En hoe lang nadat het certificaat herroepen werd, moet dit openbaar zijn via het elektronisch register?
19