De elektronische handtekening de effectiviteit van de elektronische handtekening in het kader van het Nederlands civiel bewijsrecht
Masterscriptie Privaatrechtelijke Rechtspraktijk
Auteur:
W.A. Smith
Studentnummer: Begeleider:
5828023
Dr. H.W. Wiersma
Medebegeleider: Mr. R.H. Groos Universiteit: Universiteit van Amsterdam Jaar: 2012; 11 juli
Inhoudsopgave 1. Inleiding .............................................................................................................................................. 3 1.2 Probleemstelling en deelvragen/onderzoeksvragen....................................................................... 4 1.3 Methode van onderzoek ................................................................................................................ 4 1.4 Opbouw van de scriptie ................................................................................................................. 4 2. De elektronische handtekening van art. 3:15a BW ............................................................................. 6 2. De gewone elektronische handtekening ............................................................................................ 11 3. De geavanceerde elektronische handtekening ................................................................................... 13 3.1 Analyse van de gangbare asymmetrische systemen van de hashwaarde ..................................... 14 4. De gekwalificeerde elektronische handtekening ............................................................................... 17 4.1 Certificaten .................................................................................................................................. 18 5. Duurzaamheid van elektronische handtekeningen ............................................................................ 23 6. Bewijskracht van digitale gegevens .................................................................................................. 27 6.1 De bewijskracht van de elektronische onderhandse akte ........................................................... 27 6.2 De bewijsovereenkomst .............................................................................................................. 30 7. Rechtsvergelijking met België .......................................................................................................... 33 8. Conclusie ........................................................................................................................................... 37 Literatuurlijst ......................................................................................................................................... 40
2
1. Inleiding In de huidige maatschappij wordt meer en meer gebruik gemaakt van het internet. Logisch gevolg hiervan is dat er meer en meer gebruik wordt gemaakt van de elektronische handtekening. Waar men vroeger vooral vertrouwde op ‘de post’, het verzenden van stukken op de oude vertrouwde manier, vertrouwt men in deze tijd steeds meer op het internetverkeer. Toch blijft voor veel mensen de vraag wat de juridische bewijskracht is van elektronische stukken. Dit komt onder andere door de ondertekening. Er wordt dan ook nog regelmatig gekozen voor het verzenden van stukken op de oude vertrouwde manier want daar weet men zeker van dat het stuk, met daaronder een handgeschreven handtekening, juridische bewijskracht heeft. Onder een elektronische stuk kan echter ook een elektronische handtekening geplaatst worden, maar de bewijskracht daarvan is met onzekerheid omgeven. De juridische mogelijkheden voor het gebruik van elektronische handtekeningen zijn vorm gegeven in de Europese Richtlijn 1999/93/EG. Vanaf dit moment bestaat er een algemene regeling voor het gebruik van elektronische handtekeningen in de Europese gemeenschap. In het Nederlandse recht is deze Richtlijn geïmplementeerd door de Wet elektronische handtekeningen, het Besluit en de Regeling elektronische handtekeningen uit 2003. Naar aanleiding daarvan zijn het Burgerlijk Wetboek en de Telecommunicatiewet aangepast zodat elektronische handtekeningen op juridisch geldige wijze mogelijk zijn. Er zijn verschillende vormen van de elektronische handtekening, met elk een eigen juridische betrouwbaarheid. De drie vormen van de elektronische handtekening zijn: de gewone elektronische handtekening, de geavanceerde elektronische handtekening en de gekwalificeerde elektronische handtekening; waarbij deze laatste vorm de meest betrouwbare vorm is. Elektronische communicatie wordt gestimuleerd door de wetgever. Daarom zijn er verschillende vormen van elektronische handtekeningen mogelijk, van een redelijk eenvoudige elektronische handtekening tot een hele uitgebreide vorm. Het ligt aan de omstandigheden van het geval welke elektronische handtekening het best gebruikt kan worden. Dit hangt bijvoorbeeld af van de vorm van de overeenkomst en de relatie tot de wederpartij. De gekwalificeerde elektronische handtekening is de meest betrouwbare vorm maar ook de meest dure. Wanneer er een eenvoudige overeenkomst wordt gesloten, kan een gewone elektronische handtekening effectief zijn. In deze scriptie staat de effectiviteit van de elektronische handtekening centraal. 3
1.2 Probleemstelling en deelvragen/onderzoeksvragen De probleemstelling van deze scriptie luidt als volgt: ‘In hoeverre is de elektronische handtekening effectief als bewijsmiddel in het kader van het Nederlands civiel bewijsrecht?’ Om tot de beantwoording van deze probleemstelling te komen, stel ik de volgende deelvragen/deelonderwerpen aan de orde. -
Welke criteria worden er aan de elektronische handtekening gesteld, zoals vermeld in art. 3:15a BW?
-
Heeft de rechter bij het toepassen van art. 3:15a BW veel keuzevrijheid?
-
Wat is de bewijskracht van elektronische gegevens; en meer in het bijzonder van de elektronische onderhandse akte en de bewijsovereenkomst?
-
Wat is de rol van de bewijsovereenkomst bij de elektronische handtekening?
-
Hoe wordt er met zekerheid in de vorm van certificaten omgegaan? Geven certificaten wel zekerheid?
-
Hoe maakt men onderscheid tussen functionele en technische criteria? Artikel 3:15a lid 2 sub a t/m d BW als inhoudelijke criteria; de vereisten die uit de definities voortvloeien als technische vereisten; gehanteerde methodes en de functionele criteria.
-
Inventarisatie van de problemen bij het digitale equivalent van de handgeschreven handtekening; lid 2 sub a t/m d van art 3:15a BW als naadloze aansluiting op de vereisten van de handgeschreven handtekening?
-
Analyse van gangbare asymmetrische systemen met de hashwaarde.
-
Rechtsvergelijkend onderzoek tussen België en Nederland.
1.3 Methode van onderzoek De methoden van onderzoek in deze scriptie bestaan uit het onderzoeken van literatuur, kamerstukken, wet- en regelgeving en een enkele keer jurisprudentie.
1.4 Opbouw van de scriptie In hoofdstuk 1 worden de probleemstelling en de daarmee samenhangende deelvragen/deelonderwerpen beschreven. Ook wordt in dit hoofdstuk de methode van onderzoek en de opbouw van de scriptie beschreven. In hoofdstuk 2 wordt ingegaan op de elektronische handtekening in het algemeen. Vervolgens worden in de hoofdstukken 3, 4 en 5 besproken wat de gewone, de geavanceerde en de gekwalificeerde elektronische handtekening inhoudt, mede met het oog op een bepaalde 4
techniek, die van de digitale handtekening. In hoofdstuk 5 wordt ingegaan op de duurzaamheid van de elektronische handtekening. In hoofdstuk 6 en 7 wordt ingegaan op de bewijskracht van digitale gegevens. In hoofdstuk 6 wordt de bewijskracht van de elektronische onderhandse akte besproken en in hoofdstuk 7 komt de bewijsovereenkomst aan de orde. Tot slot vindt in hoofdstuk 8 een rechtsvergelijking plaats tussen het Nederlandse en het Belgische recht met betrekking tot de elektronische handtekening. In het laatste hoofdstuk besluit ik met een conclusie.
5
2. De elektronische handtekening van art. 3:15a BW In art. 3:15a BW is een definitie gegeven van de elektronische handtekening. Dit is het enige artikel dat ingaat op het concept van de elektronische handtekening. Zowel de definitie van de elektronische handtekening, als de juridische erkenning hiervan, zijn in dit artikel geregeld. 1 Er zijn drie verschillende elektronische handtekeningen, te weten de ‘gewone’ elektronische handtekening, de gekwalificeerde elektronische handtekening en de geavanceerde elektronische handtekening. In dit hoofdstuk bespreek ik art. 3:15a BW aan de hand van een uitleg bij elk van de leden van dit artikel. In art. 3:15a lid 1 BW heeft de elektronische handtekening juridische status gekregen. Dit artikel bepaalt: ‘Een elektronische handtekening heeft dezelfde rechtsgevolgen als een handgeschreven handtekening, indien de methode die daarbij is gebruikt voor authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval.’ De methode voor authentificatie moet voldoende betrouwbaar zijn, terwijl uit het artikel blijkt dat er hiervoor gelet moet worden op het doel waarvoor de elektronische gegevens werden gebruikt en alle overige omstandigheden van het geval. Er wordt hier onderscheid gemaakt tussen verschillende handtekeningen. Of een elektronische handtekening dezelfde rechtsgevolgen heeft als een handgeschreven handtekening, hangt dus af van het doel waarvoor de elektronische gegevens worden gebruikt. Het kan zo zijn dat er in het ene geval een geavanceerde elektronische handtekening met een gekwalificeerd certificaat nodig is en in het andere geval een gewone elektronische handtekening. 2 In dit eerste lid wordt een norm gesteld, te weten dat een elektronische handtekening als juridisch gelijkwaardig beschouwd dient te worden aan een handgeschreven handtekening, indien deze gelet op de omstandigheden van het geval, met een voldoende mate van betrouwbaarheid dezelfde functies vervult als een handgeschreven handtekening. 3 De authentificatiefunctie houdt in dat er vastgesteld moet worden of een bepaald persoon ook daadwerkelijk degene is voor wie hij zich uitgeeft. 4
1
Lodder, Dumortier & Bol 2005, pag. 80. Lodder, Dumortier & Bol 2005, pag. 80/81. 3 Lodder, Dumortier & Bol 2005, pag. 81. 4 Van Stekelenburg 2010, pag. 28. 2
6
In het tweede lid van art. 3:15a BW wordt ingegaan op de methode die in het eerste lid wordt vermeld. Dit artikel bepaalt dat: Een in lid 1 bedoelde methode wordt vermoed voldoende betrouwbaar te zijn, indien een elektronische handtekening voldoet aan de volgende eisen: a. Zij is op unieke wijze aan de ondertekenaar (zie lid 5) verbonden b. Zij maakt het mogelijk de ondertekenaar te identificeren c. Zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; en d. Zij is op zodanige wijze aan het elektronische bestand, waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord; e. Zij is gebaseerd op een gekwalificeerd certificaat als bedoeld in artikel 1.1, onderdeel dd 5 Telecommunicatiewet (Tw); en f. Zij is gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen als bedoeld in artikel 1.1, onderdeel gg 6 Telecommunicatiewet. In dit lid wordt een wettelijk bewijsvermoeden neergelegd ten opzichte van de geavanceerde elektronische handtekeningen, welke gebaseerd zijn op een gekwalificeerd certificaat, ook wel de gekwalificeerde handtekening genaamd. Deze vorm van de elektronische handtekening voldoet namelijk aan alle eisen die hier zijn vermeld. De in lid 1 vermelde methode voor authentificatie wordt vermoed voldoende betrouwbaar te zijn als er cumulatief aan de zes criteria uit lid 2, welke hierboven zijn vermeld, wordt voldaan. Indien er slechts aan een aantal criteria uit dit tweede lid is voldaan, geldt niet van rechtswege het vermoeden van betrouwbaarheid van de methode van authentificatie. Het is echter ook niet zo dat er dan van rechtswege een vermoeden van onbetrouwbaarheid geldt. Het is aan de rechter om te beoordelen of de methode van authentificatie voldoende betrouwbaar is. De rechter moet dan toetsen of de methode voldoende betrouwbaar is. 7 Indien aan de zes criteria uit lid 2 is voldaan, moet de rechter de betrouwbaarheid aannemen, tenzij de wederpartij er met tegenbewijs in slaagt het vermoeden dat de methode van authentificatie voldoende betrouwbaar is, onderuit te halen. 8 Een elektronische handtekening
5
Dit is niet juist, er zou moeten staan: als bedoeld in art. 1.1 onderdeel tt Telecommunicatiewet. Dit is niet juist, er zou moeten staan: als bedoeld in art. 1.1 onderdeel ww Telecommunicatiewet. 7 Van Stekelenburg 2010, pag. 74 8 Kamerstukken II, 2000/2001, 27743, nr. 3. p. 16. 6
7
die voldoet aan alle eisen van lid 2, dus de gekwalificeerde elektronische handtekening, biedt de grootst mogelijke bewijszekerheid. Hiermee wordt de bewijspositie versterkt. 9 In het tweede lid van art. 3:15a BW is een onderscheid te maken tussen inhoudelijke en technische criteria. De subonderdelen a tot en met d zijn inhoudelijke criteria. De subonderdelen e en f zijn daarentegen technische criteria. Op de subonderdelen van lid 2 wordt in de volgende hoofdstukken specifiek ingegaan. In lid 3 van art. 3:15a BW wordt beschreven wanneer een in lid 1 bedoelde methode niet als onvoldoende betrouwbaar kan worden aangemerkt. Dit kan niet om de enkele reden dat de methode niet is gebaseerd op een gekwalificeerd certificaat als bedoeld in art. 1.1, onderdeel tt, van de Telecommunicatiewet. Ook kan de methode niet als onbetrouwbaar worden aangemerkt op de enkele grond dat deze niet is gebaseerd op een door een certificatiedienstverlener als bedoeld in artikel 18.16, eerste lid, Telecommunicatiewet afgegeven certificaat of niet is gebaseerd op een veilig middel voor het aanmaken van elektronische handtekeningen zoals bedoeld in artikel 1.1, onderdeel ww, van de Telecommunicatiewet. De criteria welke in lid 3 opgesomd zijn, zijn dezelfde als de criteria vermeld in sub e en sub f van lid 2 met als laatste criterium dat de methode niet als onvoldoende onbetrouwbaar kan worden aangemerkt indien deze niet met een veilig middel voor het aanmaken van elektronische handtekeningen is aangemaakt. Hieruit kan worden opgemaakt dat er een verschil is tussen de vereisten vermeld in lid 2 sub a-d en de vereisten vermeld in lid 2 sub e en f. Wanneer er niet voldaan wordt aan de vereisten vermeld in sub e of f kan om deze reden de methode nog niet als voldoende onbetrouwbaar worden aangemerkt. Dit houdt in dat als er niet aan deze criteria is voldaan, het wettelijk bewijsvermoeden uit lid 2 gewoon kan blijven bestaan. Indien er echter niet voldaan wordt aan een van de vereisten uit sub e én f kan het zo zijn dat het wettelijk bewijsvermoeden wel doorbroken wordt. Indien dit wettelijk bewijsvermoeden doorbroken wordt, moet de rechter de beslissing maken of hij de methode van authentificatie betrouwbaar vindt. 10 Volgens Dumortier e.a. blijkt dat in lid 3 aangegeven wordt wanneer een methode voor authentificatie kennelijk nog als voldoende betrouwbaar gezien kan worden. 11 Van 9
Van Stekelenburg 2010, pag 76. Van Stekelenburg 2010, pag. 78/79. 11 Lodder, Dumortier & Bol 2005, pag. 86. 10
8
Stekelenburg is het hier niet mee eens. Volgens hem stelt lid 3 dat er wanneer er niet is voldaan aan een of meer gronden de handtekening niet perse onbetrouwbaar is. Maar volgens van Stekelenburg wordt hiermee niets gezegd over de betrouwbaarheid van de elektronische handtekening. 12 In lid 1 is een algemene regel opgenomen, terwijl in lid 3 sprake is van een specifieke regel, namelijk dat wanneer er wel voldaan is aan lid 2 sub a-d maar niet aan sub e of sub f, dan wel dat er geen sprake is van een veilig middel, de methode niet als onvoldoende betrouwbaar kan worden aangemerkt. Lid 3 wijkt dus af van hetgeen in lid 1 staat. Dondorp stelt dat er niet kan worden afgeweken van art. 3:15a lid 1 BW, dus dat bij ieder gekozen middel uiteindelijk de betrouwbaarheidstoets door de rechter zal plaatsvinden. Hij stelt dat het afwijken door partijen van de leden 2 en 3 geen keuze is voor een specifiek betrouwbaarheidsniveau maar voor een ondertekeningsvorm, welke nog op betrouwbaarheid zal moeten worden getoetst door de rechter. 13 Als de elektronische handtekening wel aan de eisen a-d van lid 2 voldoet maar niet aan twee of meer eisen van e, f of aan die van het veilige middel uit lid 3, dan wel er sprake is van één van deze eisen en er zijn bijkomende omstandigheden waar een beroep op gedaan kan worden, dan zal de rechter weer gebruik kunnen maken van zijn discretionaire bevoegdheid tot het beoordelen van de betrouwbaarheid van de methode. Dit houdt in dat in dit laatste geval de specifieke regel van lid 3 doorbroken wordt en dat lid 1 dan weer voor zal gaan. De rechter kan de methode dan weer beoordelen aan de hand van het doel waarvoor de elektronische gegevens worden gebruikt en aan alle andere omstandigheden van het geval. 14 In art. 3:15a lid 4 BW wordt de definitie van de elektronische handtekening als volgt beschreven: ‘Onder een elektronische handtekening wordt een handtekening verstaan die bestaat uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authentificatie.’ Deze definitie is gebaseerd op art. 2 lid 1 van de Richtlijn. In dit artikel wordt een onderscheid gemaakt tussen elektronische gegevens en ‘andere’ elektronische gegevens. Hieruit blijkt dat het moet gaan om elektronische gegevens, aangezien er anders geen sprake kan zijn van een elektronische handtekening. Deze elektronische gegevens moeten zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens, wat inhoudt dat deze elektronische gegevens bepaalde toegangskenmerken bevatten, zodat de computer kan 12
Van Stekelenburg 2010, pag. 79. Dondorp 2011, pag. 193. 14 Van Stekelenburg 2010, pag. 79. 13
9
herkennen dat deze gegevens bij elkaar horen. 15 Als laatste moeten de elektronische gegevens gebruikt worden als middel voor authentificatie. Deze moeten dus gebruikt worden als bewijs dat de gegevens daadwerkelijk afkomstig zijn van de persoon waarvan gesteld wordt dat zij daarvan afkomstig zijn. 16 In dit lid wordt de suggestie gewekt dat een elektronische handtekening een elektronisch equivalent is van de handgeschreven handtekening, doordat er staat: ‘een handtekening verstaan die bestaat uit…’. Het is echter zo dat het begrip handtekening in deze definitie meer inhoudt dan een handtekening welke lijkt op de handgeschreven handtekening. Een elektronische handtekening kan namelijk wel gelijk zijn aan de handgeschreven handtekening, doordat het gaat om een gescande handtekening maar het kan ook zo zijn dat de elektronische handtekening in de vorm van codes wordt gegenereerd zodat deze dan ongelijk is aan de handgeschreven handtekening. 17 Uit art. 3:15a lid 5 BW blijkt dat onder ondertekenaar degene wordt verstaan die een middel voor het aanmaken van elektronische handtekeningen als bedoeld in artikel 1.1, onderdeel uu, van de Telecommunicatiewet gebruikt. De ondertekenaar hoeft niet dezelfde persoon te zijn als de persoon die de handtekening zet. Het kan zo zijn dat een elektronische handtekening rechtmatig gebruikt wordt door iemand anders dan de rechthebbende van de handtekening. Het gaat er dus om dat de rechthebbende van de handtekening gebonden kan worden aan hetgeen met behulp van zijn elektronische handtekening wordt ondertekend. 18 Uit art. 3:15a lid 6 BW blijkt dat er tussen partijen van het tweede en derde lid kan worden afgeweken. Hieruit blijkt dat de contractsvrijheid tussen private partijen wordt gerespecteerd. Partijen kunnen samen overeenkomen wat voor veiligheidsniveau zij vereisen voor de juridische gelijkstelling van een elektronische handtekening aan een handgeschreven handtekening. 19 Het afwijken van de leden 2 en 3 kan zelfs vormvrij geschieden. 20
15
Van Stekelenburg 2010, pag. 73. Van Stekelenburg 2010, pag. 73 17 Lodder, Dumortier & Bol 2005, pag. 89. 18 Lodder, Dumotier & Bol 2005, pag. 27. 19 Lodder, Dumortier & Bol 2005, pag. 90/91. 20 Snijders 2010 (a), pag. 812. 16
10
2. De gewone elektronische handtekening De gewone elektronische handtekening is de meest laagdrempelige vorm van de elektronische handtekening. Deze vorm van ondertekening voldoet aan de algemene definitie zoals deze wordt gegeven in art. 3:15a lid 4 BW. Voor een beschrijving van deze definitie verwijs ik naar het vorige hoofdstuk. Voor deze gewone elektronische handtekening zijn veel technische varianten beschikbaar. Deze gewone elektronische handtekening is minder betrouwbaar dan de geavanceerde en de gekwalificeerde vorm maar het belang hiervan moet zeker niet worden onderschat. Wanneer er een relatie bestaat tussen de ondertekenaar en de ontvanger, is het minder noodzakelijk om een technisch geavanceerdere en dus ook duurdere, techniek te gebruiken. Wanneer twee partijen elkaar kennen en vertrouwen, kan de gewone elektronische handtekening goed gebruikt worden. De uiteindelijke juridische waarde van een elektronische handtekening wordt bepaald door de balans tussen de betrouwbaarheid van de methode enerzijds en het doel en de omstandigheden van het geval anderzijds. 21 Bij de gewone elektronische handtekening is er wel het risico van fraude. Om het gebruik van een elektronische handtekening te kunnen verantwoorden, moeten de risico’s van een handtekening die ten onrechte als betrouwbaar wordt gezien, laag zijn. Als er een bestaande relatie is tussen de ondertekenaar en de ontvanger, dan zijn de risico’s meestal laag. Doordat de kosten laag zijn bij het gebruik van de gewone elektronische handtekening, zal dit vaak het doorslaggevende argument zijn om van deze vorm gebruik te maken. 22 De gewone elektronische handtekening is een toepassing van de definitie uit art. 3:15a lid 4 BW. Dit betekent dat het moet gaan om ‘elektronische gegevens die worden gebruikt voor authentificatie’ en die ‘logisch zijn geassocieerd of vastgehecht aan’ het ondertekende. Omdat er geen nadere eisen aan de gewone elektronische handtekening worden gesteld, zijn er enorm veel mogelijkheden om hieraan te voldoen zoals: een scan van een conventionele handtekening, PIN-codes, een digitale foto et cetera. Wanneer er echter geen relatie bestaat tussen de verzender en de ontvanger, zal er minder snel voldaan worden aan de authentificatiefunctie. Een van de vormen van de gewone elektronische handtekening is dus de in gescande handtekening, welke ik hierna zal bespreken.
21 22
Dondorp 2011, pag. 28. Dondorp 2011, pag. 30.
11
In de Memorie van Toelichting bij de Wet elektronische handtekeningen staat dat een ingescande handtekening een gewone elektronische handtekening is. 23 Bij de gewone elektronische handtekening moet onderscheid gemaakt worden tussen de kwalificatie als elektronische handtekening en de beoordeling van de betrouwbaarheid van de authentificatie. De handtekening kan als elektronisch gekwalificeerd worden als de ondertekenaar met enige zekerheid kan worden aangewezen. Wat hiertegen als bezwaar kan worden aangevoerd, is dat de scan kan worden hergebruikt door de ontvanger. De ontvanger kan deze vervolgens manipuleren. 24 Dit is een steekhoudend bezwaar maar dat heeft verder niet met de kwalificatie als elektronische handtekening te maken. Een handtekening moet normaliter, in de offline omgeving, ‘garantie’ geven dat de desbetreffende handtekening ook daadwerkelijk de handtekening van de (rechtmatige) ondertekenaar is en dat het verzonden bericht door of namens hem verzonden is. De handgeschreven handtekening kan in een offline omgeving ter authentificatie dienen, aangezien deze namelijk geverifieerd kan worden met behulp van een legitimatiebewijs. 25 Uit de Memorie van Antwoord blijkt dat de controle voor authentificatie ook mogelijk is voor een document waarin de scan opgenomen is. De gescande handtekening kan worden vergeleken met een op schrift gezette handtekening. 26 De juridische waarde van een handgeschreven, gefaxte handtekening zou gelijk moeten zijn aan de juridische waarde van een gescande handtekening. 27
23
Memorie van Toelichting bij de Wet elektronische handtekeningen, Kamerstukken II, 27 743, pag. 2. Dondorp 2011, pag. 90. 25 Lodder, Dumortier & Bol 2005, pag. 51. 26 Memorie van Antwoord, Kamerstukken II, 27 743, nr. 35, pag. 3. 27 Huydecoper 1997, pag. 127. 24
12
3. De geavanceerde elektronische handtekening De geavanceerde elektronische handtekening stelt nadere eisen aan de gewone elektronische handtekening, zij wordt uitgebreid met de eisen zoals vermeld in artikel 3:15a lid 2 sub a – d . Hier worden de volgende eisen vermeld: -
zij is op unieke wijze verbonden aan de ondertekenaar;
-
zij maakt het mogelijk om de ondertekenaar te identificeren;
-
zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden;
-
en zij is op zodanige wijze aan het elektronische bestand waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.
Artikel 3:15a lid 2 sub a-d BW is gelijk aan de definitie van de geavanceerde elektronische handtekening uit art. 2 in de Richtlijn, op één uitzondering na. In sub 4 van art. 3:15a lid 2 BW wordt in de wet gesproken over het elektronisch bestand, terwijl er in de Richtlijn gesproken wordt over gegevens. Uit art. 3:15a lid 2 sub a BW blijkt dat de elektronische handtekening op unieke wijze aan de ondertekenaar verbonden moet zijn. Dit betekent dat niemand anders dan de ondertekenaar in verband gebracht moet kunnen worden met de gebruikte geavanceerde elektronische handtekening. 28 Het gaat hier om een geavanceerde elektronische handtekening omdat bij de ‘gewone’ elektronische handtekening de handtekening niet op unieke wijze aan de ondertekenaar verbonden is, aangezien verschillende personen bijvoorbeeld dezelfde naam kunnen dragen. Onder ondertekenaar kan volgens het vijfde lid van dit artikel worden verstaan: ‘degene die een middel voor het aanmaken van de elektronische handtekeningen als bedoeld in artikel 1.1, onderdeel uu 29, van de Telecommunicatiewet gebruikt.’ Het is hierbij niet van belang wie de handtekening zet, de ondertekenaar hoeft niet dezelfde persoon te zijn als de persoon die de handtekening zet. De ondertekenaar is dus degene die over een middel voor het aanmaken van de elektronische handtekening beschikt. Uit art. 2 lid 5 van de Richtlijn blijkt dat onder middel voor het aanmaken van handtekeningen moet worden verstaan: geconfigureerde software of hardware die wordt gebruikt om gegevens voor het aanmaken van handtekeningen te implementeren. Vervolgens blijkt uit art. 2 lid 4 dat gegevens voor het aanmaken van
28 29
Lodder, Dumortier & Bol 2005, pag. 26. Dit is niet juist, hier zou moeten staan: als bedoeld in art. 1.1, onderdeel vv.
13
handtekeningen de volgende gegevens zijn: unieke gegevens, zoals codes of cryptografische privé-sleutels, die door de ondertekenaar worden gebruikt om een elektronische handtekening mee aan te maken. 30 Niemand anders dan de ondertekenaar moet in verband kunnen worden gebracht met de elektronische handtekening. Uit sub b van art. 3:15a lid 2 BW blijkt dat het mogelijk moet zijn om de ondertekenaar te identificeren. Hier gaat het weer om de ondertekenaar, dus ook hier hoeft het niet van belang te zijn wie de handtekening heeft aangebracht. Het moet mogelijk zijn om met de handtekening de identiteit van degene die de handtekening heeft gezet, te identificeren. 31 Uit sub c van art. 3:15a lid 2 BW blijkt dat de elektronische handtekening tot stand moet komen met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden. Het gaat hier om de middelen zoals beschreven in art. 2 lid 5 van de Richtlijn: de geconfigureerde software of hardware die wordt gebruikt om gegevens voor het aanmaken van handtekeningen te implementeren. Deze moeten uitsluitend onder de controle van de ondertekenaar zijn. 32 Uit sub d van art. 3:15a lid 2 BW blijkt dat de elektronische handtekening op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft, verbonden is, dat elke wijziging van de gegevens achteraf kan worden opgespoord. Hier gaat het om de integriteit van de gegevens die verbonden zijn met de elektronische handtekening. 33 De technologie die gebruikt is bij de handtekening, moet garanderen dat elke wijziging die aangebracht wordt, achterhaald kan worden. Van de informatie die met de handtekening verstuurd wordt, moet kunnen worden vastgesteld dat deze niet te veranderen is. 34
3.1 Analyse van de gangbare asymmetrische systemen van de hashwaarde Aan de verschillende elektronische handtekeningen ligt encryptie ten grondslag. Dit is een proces waarbij leesbare gegevens door middel van een wiskundige berekening worden versleuteld in gegevens die niet leesbaar zijn. Binnen de encryptie zijn twee verschillende vormen mogelijk, namelijk symmetrische en asymmetrische encryptie. 35 Ik ga alleen in op de asymmetrische encryptie, aangezien symmetrische encryptie niet echt geschikt wordt bevonden voor elektronische handtekeningen.
30
Lodder, Dumortier & Bol 2005, pag. 27. Van Stekelenburg 2010, pag. 77. 32 Van Stekelenburg 2010, pag. 77. 33 Van Stekelenburg, pag. 77. 34 Lodder, Dumortier & Bol 2005, pag. 29. 35 Lodder, Dumortier & Bol 2005, pag. 15. 31
14
De techniek die het meest gebruikt wordt voor de geavanceerde elektronische handtekening is die van de digitale handtekening. Volgens Lodder was dit tot 2005 de enige techniek. 36 Deze specifieke techniek is gebaseerd op asymmetrische encryptie. Hierbij wordt gebruik gemaakt van sleutelparen. Een sleutelpaar bestaat uit een geheime en een openbare sleutel. De geheime sleutel is alleen voor degene aan wie deze sleutel toebehoort. Tot de publieke sleutel daarentegen heeft iedereen in beginsel toegang. Elke private en publieke sleutel zijn aan elkaar gekoppeld. Wanneer informatie versleuteld is met een publieke sleutel dan kan deze alleen met behulp van de bijbehorende privé-sleutel de informatie ontsleuteld worden. Of vice versa. 37 Als informatie wordt beveiligd tegen uitlekken, spreekt met van ‘verhulling’. Verder wordt informatiebeveiliging verkregen met eigenschappen die met authenticiteit, integriteit en onloochenbaarheid worden aangeduid. 38 Onder authenticiteit wordt verstaan dat de ontvanger van een bericht zekerheid verkrijgt over de afzender van het bericht. Onder integriteit wordt verstaan dat de ontvanger van een bericht zekerheid erover verkrijgt dat de door hem ontvangen inhoud van het bericht werd ondertekend. Onder onloochenbaarheid wordt verstaan dat de ontvanger van een bericht achteraf tegen een derde partij kan bewijzen dat de afzender het heeft gestuurd. Bij een digitale handtekening moet er aan alle drie de eigenschappen zijn voldaan. Om aan de eigenschap ‘onloochenbaarheid’ te voldoen, moet er gebruik gemaakt worden van publickeycryptografie. 39 Hier kom ik later in dit hoofdstuk op terug. Over het algemeen wordt bij asymmetrische encryptie gebruik gemaakt van zeer grote priemgetallen die niet gemakkelijk te herleiden zijn tot de beginwaarden. Wanneer er een heel groot priemgetal wordt gebruikt is het moeilijker om de code te kraken. Een bezwaarlijk punt hiervan is dat het versleutelen en ontsleutelen bij een heel groot priemgetal veel tijd kost. Tevens nemen de versleutelde bestanden in omvang toe. Om deze bezwaarlijke punten te beperken, wordt bij digitale handtekeningen niet de complete te versturen informatie versleuteld maar er wordt een unieke waarde, een aangeduide
36
Lodder, Dumortier & Bol 2005, en Dondorp 2011, pag. 103. Lodder, Dumortier & Bol 2005, pag. 16. 38 Tel 2006, pag. 102. 39 Tel 2006, pag. 102/103. 37
15
hashwaarde, aan de te versturen informatie toegekend. Deze unieke hashwaarde, ook wel ‘message digest’ genoemd, wordt dan vervolgens versleuteld verstuurd. 40 Doordat de hashwaarde uniek is, is elke wijziging in een bericht detecteerbaar. De hashwaarde klopt na een wijziging niet meer. Er bestaan verschillende methoden om tot een hashwaarde te komen: SHA en MD5. Deze hashfuncties zijn snel en de gebruikte operaties hebben weinig structuur. Over de veiligheid van deze functies is niet veel te bewijzen, doordat het ontbreekt aan goede structuur, aldus Tel. 41 Dondorp maakt nog een onderscheid in SHA-1 en SHA-2. SHA-2 is op dit moment de meest betrouwbare methode. Bij SHA-1 en MD5 zijn zwakheden aangetoond. Bij deze methoden kan er collisie optreden: het effect dat twee verschillende berichten tot dezelfde hashwaarde leiden. 42 Een digitale handtekening werkt als volgt: een bericht wordt verstuurd door de verzender. Deze verstuurt het bericht met een hashwaarde die is versleuteld met zijn private sleutel. De ondertekening van het bericht bestaat uit de hashwaarde en tevens is de verzender de enige die deze private sleutel kan gebruiken. De ontvanger ontsleutelt de hashwaarde met de publieke sleutel van de verzender. Hij vergelijkt de hashwaarde van de verzender met die welke hij zelf genereert. Als deze waarden gelijk zijn, dan weet de ontvanger dat dit bericht is getekend door de verzender. De ontvanger weet nu ook dat de inhoud niet is gewijzigd. 43
40
Lodder, Dumortier & Bol 2005, pag. 18. Tel 2006, pag. 114. 42 Dondorp 2011, pag. 105. 43 Dondorp 2011, pag. 106. 41
16
4. De gekwalificeerde elektronische handtekening Om te voldoen aan de eisen van de gekwalificeerde handtekening, moet er aan alle vereisten van art. 3:15a lid 2 BW voldaan worden, dus ook aan de onderdelen e en f. Uit onderdeel e van art. 3:15a lid 2 BW blijkt dat de elektronische handtekening gebaseerd moet zijn op een gekwalificeerd certificaat als bedoeld in art. 1.1, onderdeel ss, van de Telecommunicatiewet. 44 Dit criterium is er om misbruik van de elektronische handtekening op een zo goed mogelijke manier tegen te gaan. 45 Op de certificaten kom ik nader terug in hoofdstuk 4.1. Uit sub f van art. 3:15a lid 2 BW blijkt dat de elektronische handtekening gegenereerd moet zijn door een veilig middel voor het aanmaken van elektronische handtekeningen als bedoeld in artikel 1.1, onderdeel vv 46, van de Telecommunicatiewet. Aan welke eisen een veilig middel moet voldoen, blijkt uit art. 5 van het Besluit elektronische handtekeningen. Uit art. 2 lid 5 van de Richtlijn blijkt dat een middel ‘geconfigureerde software of hardware is die wordt gebruikt om de gegevens voor het aanmaken van handtekeningen te implementeren. In art. 5 van het Besluit elektronische handtekeningen is bepaald dat het ‘veilige middel’ moet voldoen aan de volgende eisen: a. de gegevens voor het aanmaken van elektronische handtekeningen in de praktijk slechts eenmaal kunnen voorkomen en de vertrouwelijkheid daarvan redelijkerwijs gegarandeerd is; b. met redelijke zekerheid de gegevens voor het aanmaken van elektronische handtekeningen niet kunnen worden afgeleid en dat de elektronische handtekening beschermd is tegen vervalsing met de op het tijdstip van het afgeven van de verklaring beschikbare technieken; c. de gegevens voor het aanmaken van elektronische handtekeningen door de legitieme ondertekenaar op betrouwbare wijze kunnen worden beschermd tegen gebruik door anderen; d. de te ondertekenen gegevens ongewijzigd blijven en belet niet dat die gegevens vóór de ondertekening aan de ondertekenaar worden voorgelegd.
44
Lodder, Dumortier & Bol 2005, pag. 84. Lodder, Dumortier & Bol 2005, pag. 95. 46 Uit art. 1.1, onderdeel vv Telecommunicatiewet blijkt wat moet worden verstaan onder een ‘middel’. Uit art. 1.1, onderdeel ww Telecommunicatiewet blijkt wat moet worden verstaan onder een ‘veilig middel’. 45
17
Uit sub a blijkt dat de private sleutel uniek moet zijn, want het moet zo zijn dat er maar één persoon met een sleutel kan ondertekenen. Ook de message digest, ofwel de hashwaarde, moet uniek zijn. Het mag niet zo zijn dat twee verschillende documenten tot dezelfde message digest leiden. 47 Uit sub b blijkt dat het cryptosysteem garantie moet geven dat de private sleutel niet op te maken is uit een ondertekend object. De ‘redelijke zekerheid’ en de ‘beschikbare technieken’ die hier vermeld worden, duiden op de technieken die op het moment gebruikt worden. Het is mogelijk dat de sleutel op een later moment te kraken is. 48 Uit sub c blijkt dat de ondertekenaar zijn private sleutel privaat moet kunnen houden. Om de betrouwbaarheid te kunnen garanderen, is het belangrijk dat de sleutel niet makkelijk door anderen kan worden gebruikt. 49 Uit sub d blijkt dat de te ondertekenen gegevens ongewijzigd moeten blijven. Hieraan wordt voldaan op het moment dat de digitale handtekening wordt gebruikt. Voor een uitleg hiervan verwijs ik naar hoofdstuk 3.1. 50
4.1 Certificaten Certificaten zijn er om misbruik van elektronische handtekeningen zo goed mogelijk tegen te gaan. Er zijn twee soorten certificaten, te weten een gekwalificeerd certificaat en een nietgekwalificeerd certificaat. Het certificaat kan gezien worden als een elektronische bevestiging. Bij de geavanceerde elektronische handtekening wordt er een cryptografische publieke sleutel aan de ondertekenaar verbonden door het certificaat en bij een gewone elektronische handtekening wordt er een code aan de eigenaar verbonden, waardoor de identiteit van de ondertekenaar kan worden bevestigd. 51 Een certificaat wordt uitgegeven door een certificaatdienstverlener. Deze verlenen diensten die in relatie staan tot elektronische handtekeningen. Ze geven onder andere certificaten af. Certificatiedienstverleners worden ook wel TTP’s genoemd, Trusted Third Party’s. Er zijn verschillende soorten certificatiedienstverleners, te weten certificatiedienstverleners die gekwalificeerde certificaten uit mogen geven, en ‘gewone’ certificatiedienstverleners die geen
47
Dondorp 2011, pag. 116. Dondorp 2011, pag. 117 49 Dondorp 2011, pag. 117. 50 Dondorp 2011, pag. 118. 51 Lodder, Dumortier & Bol 2005, pag. 95/96. 48
18
gekwalificeerde certificaten uit mogen geven. Als derde type bestaat ook nog de geaccrediteerde certificatiedienstverlener. 52 Bij de elektronische handtekening gaat het er voornamelijk om dat er vertrouwen wordt gewekt door de waarborgen die het gebruik van de elektronische handtekening omgeven. 53 De rol van de certificatiedienstverlener is hierbij erg belangrijk aangezien deze betrouwbaar moet zijn. Een certificatiedienstverlener wordt in de Richtlijn 1999/93/EG omschreven als: een dienst of een natuurlijke of rechtspersoon die certificaten afgeeft of andere diensten in verband met elektronische handtekeningen verleent. Een klein verschil met de Nederlandse wetgeving is dat volgens de Richtlijn door zowel een dienst als een natuurlijke of rechtspersoon de rol van certificatiedienstverlener vervuld kan worden, terwijl in de Nederlandse wetgeving het begrip dienst niet is opgenomen. 54 Een verschil tussen certificatieverleners die gekwalificeerde certificaten afgeven en certificatieverleners die ‘gewone’ certificaten afgeven is dat de eerstgenoemde een registratieplicht hebben. Dit blijkt uit artikel 2.1 lid 3 Telecommunicatiewet. Tevens geldt voor deze eerste groep de uitgebreide aansprakelijkheidsregeling uit art. 6:196b Burgerlijk Wetboek. De certificatiedienstverlener is aansprakelijk tenzij deze bewijst dat hij niet onzorgvuldig heeft gehandeld. Dit is beide a contrario af te leiden uit de wetsbepalingen. Uit art. 1.1, onderdeel ss 55 van de Telecommunicatiewet blijkt dat onder een ‘gewoon’ certificaat het volgende wordt verstaan: elektronische bevestiging die gegevens voor het verifiëren van een elektronische handtekening met een bepaalde persoon verbindt en de identiteit van die persoon bevestigt. Onder een gekwalificeerd certificaat wordt verstaan: een certificaat dat voldoet aan de eisen, gesteld krachtens art. 18.15, tweede lid, van de Telecommunicatiewet en is afgegeven door een certificatiedienstverlener die voldoet aan de eisen, gesteld krachtens art. 18.15, eerste lid, van de Telecommunicatiewet. Dit blijkt uit art. 1.1, onderdeel tt van de Telecommunicatiewet.
52
Lodder, Dumortier & Bol 2005, pag. 107. Lodder, Dumortier & Bol 2005, pag. 97. 54 Lodder, Dumortier & Bol 2005, pag. 136. 55 In Lodder, Dumortier en Bol staat op pag. 103 dat het zou gaan om art. 1.1 onderdeel cc van de Telecommunicatiewet. Dit is echter niet juist. Het gaat om art. 1.1 onderdeel ss van de Telecommunicatiewet. 53
19
Uit art. 18.15 lid 2 van de Telecommunicatiewet blijkt dat de gekwalificeerde certificaten moeten voldoen aan de eisen die gesteld worden bij of krachtens algemene maatregel van bestuur. De eisen kunnen bij of krachtens algemene maatregel van bestuur gesteld worden, want de techniek die gebruikt wordt bij gekwalificeerde certificaten, ontwikkelt zich heel snel. Algemene maatregelen van bestuur zijn makkelijk te wijzigen aangezien het lagere regelgeving is. 56 De eisen die aan een gekwalificeerd certificaat worden gesteld, zijn terug te vinden in art. 3 Besluit elektronische handtekeningen. 57 De volgende eisen worden in dit artikel vermeld: a. de vermelding dat het certificaat als gekwalificeerd certificaat wordt afgegeven; b. de identificatie en het land van vestiging van de afgevende certificatiedienstverlener; dit gaat om de naam waaronder de certificatiedienstverlener is geregistreerd bij de OPTA; c. de naam van de ondertekenaar of een als zodanig geïdentificeerd pseudoniem; d. ruimte voor een specifiek attribuut van de ondertekenaar, dat indien nodig, afhankelijk van het doel van het gekwalificeerde certificaat, wordt vermeld; e. gegevens voor het verifiëren van de handtekening die overeenstemmen met de gegevens voor het aanmaken van de handtekening die onder controle van de ondertekenaar staan; f. vermelding van het (de) tijdstip(pen) van het begin en van het einde van de geldigheidsduur van het gekwalificeerde certificaat; g. de identiteitscode van het gekwalificeerde certificaat; h. de elektronische handtekening van de afgevende certificatiedienstverlener die voldoet aan de criteria van artikel 15a, tweede lid, onderdeel a tot en met d, van Boek 3 van het Burgerlijk Wetboek; i. eventuele beperkingen betreffende het gebruik van het gekwalificeerde certificaat; dit is van belang bij de aansprakelijkheidsregeling van art. 6:196b Burgerlijk Wetboek; indien er geen beperkingen zijn aangebracht bij het toepassingsbereik, dan fungeert het certificaat als een aan het publiek afgegeven certificaat; 58
56
Lodder, Dumortier & Bol 2005, pag. 104. Stb. 2003, 200, p. 4. 58 Stb. 2003, 200, pag. 24. 57
20
j. en eventuele grenzen met betrekking tot de waarde van de transacties waarvoor het gekwalificeerde certificaat kan worden gebruikt. Door de eis die in sub a wordt gesteld, kan de ontvanger van het bericht met een redelijk grote zekerheid uitgaan van de identiteit van de afzender aangezien deze door middel van het certificaat geverifieerd is. Sub b geeft aan dat certificatiedienstverleners zich moeten identificeren. Ook moeten zij aangeven in welk land zij gevestigd zijn. Het land waar de certificatiedienstverlener is gevestigd, is van belang omdat aan de hand hiervan duidelijk is welk recht van toepassing is. In Nederland moet de certificatiedienstverlener geregistreerd staan bij de OPTA, welke afkorting staat voor: De Onafhankelijke Post- en Telecommunicatie Autoriteit. De OPTA is een instantie welke de registratie van certificatiedienstverleners die gekwalificeerde certificaten af willen geven regelt. 59 Uit sub c blijkt dat de naam van de ondertekenaar of een als zodanig geïdentificeerd pseudoniem onder het gekwalificeerd certificaat moet staan. Dit is voor het verifiëren van de identiteit noodzakelijk. Er is geen sprake van een gekwalificeerd certificaat als de ondertekenaar een pseudoniem gebruikt terwijl dit niet blijkt uit het certificaat. De wederpartij moet namelijk weten waar hij aan toe is. Ofwel hij weet met wie hij van doen heeft, of hij weet dat er een pseudoniem is gebruikt, dus dat de eigen identiteit niet bekend gemaakt wordt. Sub d is een facultatieve eis. Er kan extra informatie over de ondertekenaar in het certificaat worden opgenomen. Uit sub e blijkt dat het gekwalificeerd certificaat gegevens moet bevatten voor het verifiëren van de handtekening die overeenstemmen met de gegevens voor het aanmaken van de handtekening die onder controle van de houder staan. Wanneer een certificaat afgegeven wordt, wordt er gegarandeerd dat er een binding is tussen een publieke sleutel en de privé sleutel. De privé sleutel hoort bij een bepaald persoon. Het certificaat is als het ware een verklaring van de certificatiedienstverlener dat de publieke sleutel aan een bepaald persoon toebehoort. Uit sub f blijkt dat certificaten een begin en een einde hebben qua geldigheidsduur. Wanneer er voldoende tijd beschikbaar is, is iedere beveiliging te kraken. Des te meer tijd er verstrijkt, na het begin van het gebruiken van het certificaat, des te onveiliger wordt het om te gebruiken. Uit sub g blijkt dat het certificaat een identiteitscode moet hebben. Ieder certificaat heeft een unieke code nodig. Het mag niet zo zijn dat twee certificaten dezelfde code hebben. Uit sub h blijkt dat de certificatiedienstverlener een geavanceerde elektronische handtekening moet hebben. Hierdoor wordt de echtheid van het certificaat gegarandeerd. Het certificaat moet zijn ondertekend door de certificatiedienstverlener. Het bevat dus de identificatie van de 59
Lodder, Dumortier & Bol, 2005, pag. 156.
21
certificatiedienstverlener en het bevat ook de publieke sleutel van een vertegenwoordiger van de certificatiedienstverlener. Bovendien moet de ondertekenaar volgens de Richtlijn een natuurlijk persoon zijn. 60 Uit sub i en sub j blijkt dat er beperkingen aan het gebruik van een certificaat kunnen worden gesteld; ook dit zijn facultatieve eisen. Een certificatiedienstverlener dient op grond van artikel 18.15 lid 1 Tw te voldoen aan art. 2 Besluit Elektronische handtekeningen. 61 In dit artikel worden 19 eisen gesteld aan certificatiedienstverleners die gekwalificeerde certificaten afgeven. Certificaten hebben een begrensde duurzaamheid. Dit komt doordat met een toekomstige stand van de techniek de sleutel later gekraakt zou kunnen worden. 62 Het certificaat wordt dus ondertekend door de certificatiedienstverlener. Het certificaat van de certificatiedienstverlener is ondertekend door de instantie die de certificatiedienstverlener heeft geaccrediteerd. Hieruit blijkt dat er een hiërarchie van certificaten ontstaat. Degene die als hoogst in de hiërarchie staat, moet eenvoudigweg door iedereen worden vertrouwd. 63
60
Dondorp 2011, pag. 115. Lodder, Dumortier en Bol 2005, pag. 137. 62 Dondorp 2011, pag. 117. 63 Dondorp 2011, pag. 115. 61
22
5. Duurzaamheid van elektronische handtekeningen Uit art. 3:15a BW blijkt dat het ondertekende document wordt beoordeeld op betrouwbaarheid. Wanneer de authentificatie echter niet direct na ontvangst van de documenten moet plaatsvinden maar op een later tijdstip, ofwel de authentificatie moet op een later tijdstip nog een keer plaatsvinden, dan moet er voorzien worden in de duurzaamheid van de ondertekening en ook in de duurzaamheid van de informatie die boven de ondertekening staat. Er zijn in een elektronische omgeving twee duurzaamheidsproblemen, te weten: de duurzaamheid van de elektronische drager en de duurzaamheid van de informatie zelf. 64 De duurzaamheid van de elektronische drager doelt hierop dat iedere vorm van een elektronische drager, zoals een CD, DVD of floppy, slechts een paar jaar meegaat. De drager zelf vergaat, of de apparatuur waarmee de drager kan worden uitgelezen, kan niet meer worden gefabriceerd en onderhouden. Dit laatste kan worden opgelost door geregeld gegevens over te zetten naar moderne dragers. Het probleem van de duurzaamheid van de informatie doelt op het bestandsformaat waarin de informatie is gecodeerd. Er is voor ieder bestandsformaat een specifieke toepassing nodig om het bestand te interpreteren en de informatie te presenteren in het bestand. Het is echter vaak zo dat dergelijke toepassingen intellectueel eigendom zijn van commerciële bedrijven. Deze bedrijven kunnen echter failliet gaan of zij kunnen uit commercieel oogpunt besluiten te stoppen met de ondersteuning voor verouderde software. Wanneer de software verouderd is, is het technisch wel mogelijk om met programmatuur de hardware van oudere systemen na te bootsen. Daardoor is het mogelijk om deze verouderde software alsnog te gebruiken. Maar de techniek die hiervoor gebruikt wordt, is erg duur. 65 Het probleem van duurzaamheid is voor elektronisch ondertekende documenten in de eerste plaats aan de orde omdat het om elektronische documenten gaat. Echter voor de ondertekening spelen drie aanvullende problemen een rol, namelijk: 1. de techniek die voor ondertekening werd gebruikt, is technologieafhankelijk; 2. het integriteitsvereiste staat op gespannen voet met conversie voor duurzame toegang; 3. de contextuele informatie moet mede behouden blijven. 66
64
Dondorp 2011, pag. 122. Dondorp 2011, pag. 123. 66 Dondorp 2011, pag. 124. 65
23
De Richtlijn en de Nederlandse implementatie stellen als vereisten voor de gekwalificeerde en geavanceerde handtekening dat wanneer de ondertekening en/of het document gewijzigd word(t)(en), de wijzigingen kunnen worden gedetecteerd. Er moet een unieke hashwaarde van het document worden gemaakt welke gebaseerd is op de bitreeks van het te ondertekenen bestand. Wanneer voor het behoud van de opgeslagen informatie het document wordt omgezet naar een moderner bestandsformaat, dan zal de bitreeks van het nieuwe bestand helemaal anders zijn dan de bitreeks van het oude bestand. Het gevolg hiervan is dat de digitale handtekening vervalt, want deze hoorde bij de hashwaarde van het ‘oude’ bestand. Dat de digitale handtekening is vervallen, hoeft niet te betekenen dat de inhoud van het document is gewijzigd. Het kan goed zijn dat de juridische inhoud welke de ondertekenaar aan zich wilde verbinden, hetzelfde is; dit is namelijk zelfs de bedoeling van het omzetten. Na de conversie heeft het ondertekende document geen bewijswaarde meer. Alhoewel het wel duidelijk is dat de ondertekenaar iets getekend heeft, zoals kan worden afgeleid uit de bewaargegevens, is het ondertekende document niet meer leesbaar, terwijl het geconverteerde document (wat dus nog wel leesbaar is), niet meer is ondertekend. De conclusie die hieruit getrokken kan ofwel moet worden, is dat de ondertekening niet meer vastgehecht of logisch geassocieerd is aan het document. 67 Voor dit probleem ziet Boudrez 68 vier oplossingen, te weten: het hertekenen van documenten door een vertrouwde derde, registratie van de validatie, certificering van de migratie en het bewaren van het originele bestand inclusief alle gegevens, software en certificaten om de validatie te kunnen blijven uitvoeren. Bij de eerste oplossing, het hertekenen van documenten door een vertrouwde derde, verklaart een onafhankelijke derde dat het resultaat na de conversie overeenkomt met het oude eigenlijke document. Tevens verklaart deze dat dit document ondertekend was en dat de validatie van die ondertekening op juiste wijze heeft plaatsgevonden. Wel is dit in strijd met het wettelijke standpunt dat een document niet hertekend mag worden of dat de originele handtekening nodig is. En een verklaring van een onafhankelijke derde heeft ook niet dezelfde status als een persoonlijke authenticatie, zoals de geavanceerde digitale handtekening die voorschrijft. 69
67
Dondorp 2011, pag. 126. Boudrez 2006, pag. 9. 69 Boudrez 2006, pag. 10. 68
24
Bij de tweede oplossing, de registratie van de validatie, wordt in de administratie van de ondertekenaar vastgelegd dat bij ontvangst van het document de validatie succesvol was. Dit heeft inhoudelijk dezelfde strekking als bij het hertekenen van documenten door een vertrouwde derde maar bij deze oplossing gaat het om eigen interne administratie van de ondertekenaar, dus er wordt niets door een derde verklaart. Bij de derde oplossing, certificering van het migratieproces, wordt een certificaat afgegeven door een onafhankelijke derde waardoor de kwaliteit van de conversie gewaarborgd beoogd te worden. Voordat de onafhankelijke derde partij een certificaat aflevert, verifiëren deze onafhankelijke derden voor de migratie de digitaal ondertekende argumenten. Vervolgens controleren zij het migratieproces en daarna geven zij een certificaat af. 70 Dondorp stelt dat deze optie de minste waarborgen biedt voor de bewijswaarde van het geconverteerde bericht. Alle gegevens over de ondertekening, de ondertekenaar en het moment van ondertekenen zijn hier zonder aanvullende informatie vergaan. 71 De geldigheid van de ondertekening in de ontvangen vorm kan op termijn bij deze eerste drie oplossingen vervangen worden door andere waarborgen. De vierde oplossing, het bewaren van het originele bestand inclusief alle gegevens, software en certificaten om de validatie uit te kunnen blijven voeren, is technisch gezien het meest complex en de duurste variant. Bij deze oplossing moeten de originele bitstreams worden gearchiveerd maar ook alle onderdelen van de public key infrastructuur welke voor verificatie op de lange termijn nodig zijn. Het gaat dan om de digitale handtekening, het digitaal certificaat met de publieke sleutel, metadata over het certificaat, time-stamp en tegenhandtekeningen. De hele validatie-keten moet bewaard blijven in dit geval. 72 Is het eigenlijk wel noodzakelijk om een ondertekening op de lange termijn te valideren of de authentificatie te toetsen? Wanneer de authentificatie succesvol geweest is, staat het voor de ontvanger van het document vast dat het document goed is ondertekend. Wanneer dit feit duurzaam bewaard wordt en wanneer dit genoeg zou zijn voor de bewijswaarde van het document, dan zou het duurzaamheidsprobleem zijn opgelost. 73
70
Boudrez 2006, pag. 12. Boudrez 2006, pag. 126/127. 72 Boudrez 2006, pag. 11. 73 Dondorp 2011, pag. 127. 71
25
De wetgever heeft alleen als eis gesteld dat er een vasthechting of logische associatie met het ondertekende document moet zijn. De wetgever heeft echter geen eisen gesteld aan de duur van de periode waarvoor dit behouden moet blijven. Over een langere periode bezien, is de binding met het document in gevaar en tevens is de betrouwbaarheid van de elektronische handtekening dan in gevaar.
26
6. Bewijskracht van digitale gegevens Als twee partijen verwikkeld zijn in een juridisch geschil, dan kan dit leiden tot een juridische procedure. Partijen moeten dan voor de rechter aannemelijk maken dat de door hen aangevoerde en door de wederpartij betwiste feiten juist zijn. Als hoofdregel geldt hiervoor volgens art. 152 Rv dat partijen met behulp van alle mogelijke bewijsmiddelen bewijs kunnen leveren. Als partijen aan de rechter kunnen laten zien dat de elektronische gegevens op een betrouwbare manier zijn vergaard en ook op een betrouwbare manier zijn bewaard, dan kan de rechter hier meer belang aan hechten dan wanneer partijen dit niet kunnen laten zien. Een partij kan ook een beroep doen op dwingend bewijs. Dwingend bewijs betekent dat de rechter verplicht is de inhoud van bepaalde bewijsmiddelen als waar aan te nemen. Dwingend bewijs kan bijvoorbeeld ontstaan door een onderhandse akte; welke ook elektronisch tot stand kan komen. Ook kunnen partijen door middel van een bewijsovereenkomst afspreken dat een bepaald bewijsmiddel wordt uitgesloten of dat bepaald bewijs juist als (dwingend) bewijs geldt.
6.1 De bewijskracht van de elektronische onderhandse akte Op grond van art. 156 Rv zijn akten ondertekende geschriften die zijn bestemd om tot bewijs te dienen. Uit lid 2 van dit artikel blijkt dat een authentieke akte een akte is die in de vereiste vorm en bevoegdelijk is opgemaakt door ambtenaren aan wie bij of krachtens de wet is opgedragen op die wijze te doen blijken van door hen gedane waarnemingen of verrichtingen. Vervolgens blijkt uit lid 3 dat onderhandse akten alle akten zijn die niet authentiek zijn. Op grond van art. 157 lid 2 Rv blijkt dat een onderhandse akte ten aanzien van de verklaring van een partij omtrent hetgeen de akte bestemd is ten behoeve van de wederpartij te bewijzen, tussen partijen dwingend bewijs oplevert van de waarheid van die verklaring. Dwingend bewijs betekent dat de rechter verplicht is de inhoud als waar aan te nemen, dan wel verplicht is de door de wet aan die inhoud toegekende bewijskracht te erkennen. Dit blijkt uit art. 151 lid 1 Rv. Uit lid 2 van dit artikel blijkt dat tegenbewijs mogelijk is, ook tegen dwingend bewijs. Onderhandse akten zijn dus ondertekende geschriften, vaak door partijen zelf opgemaakt, die tussen partijen dwingend bewijs opleveren van het relaas daarvan. 74
74
Dondorp 2011, pag. 74
27
Sinds 1 juli 2010 is art. 156a Rv in de wet opgenomen. Dit artikel luidt als volgt: 1. Onderhandse akten kunnen op een andere wijze dan bij geschrift worden opgemaakt op zodanige wijze dat het degene ten behoeve van wie de akte bewijs oplevert, in staat stelt om de inhoud van de akte op te slaan op een wijze die deze inhoud toegankelijk maakt voor toekomstig gebruik gedurende een periode die is afgestemd op het doel waarvoor de akte bestemd is te dienen, en die een ongewijzigde reproductie van de inhoud van de akte mogelijk maakt. 2. Aan een wettelijke verplichting tot het verschaffen van een onderhandse akte kan alleen op een andere wijze dan bij geschrift worden voldaan met uitdrukkelijke instemming van degene aan wie de akte moet worden verschaft. Een instemming ziet, zolang zij niet is herroepen, eveneens op het verschaffen van een gewijzigde onderhandse akte. Het in de eerste zin van dit lid bepaalde lijdt uitzondering indien de akte eveneens is ondertekend door degene aan wie de akte op grond van de wet moet worden verschaft. Wanneer de wet een schriftelijke vorm voorschrijft zullen partijen dit over het algemeen vastleggen in een onderhandse akte. Als er wordt gekozen voor een onderhandse akte dan mag op grond van art. 156a Rv die akte ook in de elektronische vorm worden gegoten. 75 Om te voldoen aan een onderhandse akte, moet er sprake zijn van een geschrift dat is ondertekend. In dit artikel worden criteria geformuleerd voor akten die ‘anders dan bij geschrift’ zijn opgemaakt. De inhoud moet: door degene ten behoeve van wie de akte bewijs oplevert, zodanig kunnen worden opgeslagen, dat de inhoud toegankelijk is voor toekomstig gebruik gedurende een periode die is afgestemd op het doel van de akte en wel zodanig dat ongewijzigde reproductie van de inhoud mogelijk is. 76 Uit de Memorie van Toelichting bij de Wet schriftelijkheid en elektronisch rechtsverkeer blijkt dat de formulering van art. 156a lid 1 Rv in belangrijke mate is ontleend aan de definitie van duurzame drager zoals die wordt gegeven in art. 1:1 Wet op het financieel toezicht. 77 De Memorie van Toelichting lijkt zich met name te richten op de duurzame bewaring van de ondertekening maar het is aannemelijk dat ook de duurzame bewaring van de ondertekening 75
Snijders (a) 2010, pag. 812 Dondorp 2011, pag. 77 77 Kamerstukken II, nr. 31 358, nr. 3, pag. 4. 76
28
en van de relatie tussen ondertekening en het ondertekende onder deze criteria valt. 78 Indien er aan deze criteria voldaan wordt, dan heeft een elektronische onderhandse akte dezelfde bewijskracht als een schriftelijke onderhandse akte. 79 Tegengeworpen zou kunnen worden dat de praktische betekenis van de elektronische onderhandse akte gering zal blijven, omdat de wet in art. 3:15a lid 2-3 strenge eisen stelt aan de elektronische handtekening. Dit zal echter wel mee vallen, denk ik met Snijders, aangezien op grond van lid 6 van dit artikel partijen kunnen afwijken van de strenge eisen van leden 2 en 3. Partijen kunnen hier zelfs vorm vrij van afwijken. 80 Nog een voorwaarde voor het ontstaan van een onderhandse akte is de ondertekening. Artikel 156a Rv noemt niet expliciet de elektronische handtekening zoals beschreven staat in art. 3:15a BW. Art. 156a Rv kent dus geen aparte gelijkstellingsbepaling die de elektronische handtekening voor de toepassing van onderhandse akten op een eigen manier gelijkstelt aan de conventionele handtekening. Dit houdt in dat iedere vorm van de elektronische handtekening kan volstaan; zoals ook volgt uit de gelijkstellingsbepaling uit art. 3:15a lid 1 BW. 81 De Wet schriftelijkheid en elektronisch rechtsverkeer zorgt er dus voor dat er een breed spectrum is van elektronische onderhandse akten. 82 De rechter heeft zich in beginsel te houden aan de dwingende bewijskracht van aktes. Wanneer er sprake is van een gewone onderhandse akte, heeft de rechter geen actieve rol in het onderzoeken van de echtheid van het geschrift en de handtekening. De rechter gaat pas onderzoek doen op het moment dat de partij tegen wie de handtekening wordt ingeroepen, deze aanvecht. De lijdelijkheid van de rechter brengt dit met zich mee. Uit art. 159 lid 2 Rv blijkt dat een onderhandse akte waarvan de ondertekening stellig wordt ontkend, door de partij tegen welke zij dwingend bewijs zou leveren, geen bewijs oplevert, zolang niet bewezen is van wie de ondertekening afkomstig is. De rechter mag dus pas gevolgen hieraan ontlenen indien de partij stellig ontkent. In dit opzicht wordt in art. 3:15a BW wordt de lijdelijkheid van de rechter doorbroken. Hier moet de rechter namelijk zelfstandig onderzoek doen naar de betrouwbaarheid van de
78
Dondorp 2011, pag. 77. Kamerstukken II, nr. 31 358, nr. 3, pag. 4. 80 Snijders (a) 2010, pag. 812. 81 Dondorp 2011, pag. 77 en Kamerstukken II, nr. 31 358, nr. 3, pag. 4. 82 Dondorp 2011, pag. 82. 79
29
methode van authentificatie van de elektronische handtekening. 83 Volgens van Stekelenburg is dit onderzoek van de rechter niet in strijd met de rechterlijke lijdelijkheid, omdat art. 24 Rv de lijdelijkheid van de rechter kan beperken, hetgeen blijkt uit de woorden ‘tenzij uit de wet anders voortvloeit’. Van Stekelenburg stelt dat hiervan sprake is in art. 3:15a BW. Dit artikel geeft de opdracht aan de rechter om de methode van authentificatie op betrouwbaarheid te beoordelen. 84 Ik deel de mening van van Stekelenburg dat het onderzoek wat de rechter op grond van art. 3:15a BW moet doen, niet in strijd is met de rechterlijke lijdelijkheid.
6.2 De bewijsovereenkomst Bewijsovereenkomsten zijn in de rechtspraak al heel lang erkend, zeker wanneer duidelijk was dat deze overeenkomsten te goeder trouw werden uitgevoerd en niet in strijd kwamen met de voorschriften van dwingend recht. Artikel 153 Rv is dus eigenlijk de codificatie van wat in de jurisprudentie al erkend was. 85 Artikel 153 Rv luidt als volgt: Overeenkomsten waarbij van het wettelijke bewijsrecht wordt afgeweken, blijven buiten toepassing, wanneer zij betrekking hebben op het bewijs van feiten waaraan het recht gevolgen verbindt, die niet ter vrije bepaling van partijen staan, zulks onverminderd de gronden waarop zij krachtens het Burgerlijk Wetboek buiten toepassing blijven. In een overeenkomst kan de bewijskracht van bepaalde bewijsmiddelen worden geregeld in afwijking van de wettelijke voorschriften. 86 Bewijsovereenkomsten kunnen dus worden gebruikt om de bewijswaarde van elektronische gegevens te verhogen. Hidma en Rutgers stellen dat de bewijsovereenkomst ‘de contractuele regeling is, waarbij partijen met het oog op een mogelijk proces afspraken maken omtrent hun bewijspositie, met dien verstande dat bijvoorbeeld bepaalde bewijsmiddelen worden uitgesloten, dwingende bewijskracht aan een bepaald bewijsmiddel wordt toegekend of aan afwijkende verdeling van de bewijslast wordt overeengekomen, al dan niet met beperking of uitsluiting van tegenbewijs.’ 87
83
Kamerstuk I, 2002-2003, 27 743, nr. 35, pag. 9. Van Stekelenburg 2010, pag. 85. 85 Hidma & Rutgers 2004, pag. 72. 86 Stein/Rueb 2009, pag. 151. 87 Hidma & Rutgers 2004, pag. 71/72. 84
30
Wieten stelt dat de bewijsovereenkomst ‘een van het wettelijk bewijsrecht afwijkende overeenkomst is, die wordt gesloten met het oog op een eventueel later tussen partijen te voeren geding.’ 88 In art. 153 Rv wordt expliciet vermeld dat er bij een bewijsovereenkomst van het wettelijk bewijsrecht wordt afgeweken. Hidma en Rutgers gaan met hun definitie in op verschillende manieren hoe er van het wettelijk bewijsrecht kan worden afgeweken, terwijl Wieten hier niet op ingaat. Zoals uit de definitie van Hidma en Rutgers blijkt, kunnen er bepaalde bewijsmiddelen worden uitgesloten, kan er dwingende bewijskracht aan een bepaald bewijsmiddel worden toegekend, of er kan een afwijkende verdeling van de bewijslast worden overeengekomen, waarbij tegenbewijs kan worden beperkt of kan worden uitgesloten. Het wettelijk bewijsrecht geeft op grond van art. 150 Rv regels aan over de verdeling van de bewijslast, op grond van art. 152 lid 1 Rv regels over de toelating van bewijs en op grond van art. 152 lid 2 Rv regels over de waardering van bewijs. Scheltema maakt dit onderscheid ook. Hij noemt de afwijking op grond van art. 150 Rv de bewijslastovereenkomst, de afwijking op grond van art. 152 lid 1 Rv de bewijsmiddelenovereenkomst en de afwijking op grond van art. 152 lid 2 Rv de bewijskrachtovereenkomst. Tot slot wijst hij ook nog op de overeenkomst waarbij tegenbewijs wordt uitgesloten. 89 De bewijslastovereenkomst regelt de bewijslast van partijen. In deze overeenkomst wordt bepaald wie welke feiten dient te bewijzen. Hierin wordt niet bepaald hoe of door welke middelen de feiten bewezen moeten worden. De bewijsmiddelenovereenkomst is gebaseerd op de hoofdregel uit art. 152 lid 1 Rv. Het bewijs kan worden geleverd door alle middelen, tenzij de wet anders bepaalt. Dit tenzij lijkt een mogelijkheid te bieden om bewijs dat wettelijk niet toegelaten wordt, toch als bewijs in te brengen, bijvoorbeeld om de eigen bewijspositie te versterken. Een bepaling met deze strekking gaat niet op. Dit omdat dit in strijd is met art. 153 Rv: een dergelijke bepaling staat immers niet ter vrije bepaling van partijen. 90
88
Wieten 2004, pag. 18. Scheltema, pag. 97 en 102. 90 Van Stekelenburg 2010, pag. 88. 89
31
De bewijskrachtovereenkomst houdt bijvoorbeeld in dat er per overeenkomst kan worden bepaald dat bewijsmateriaal dwingende bewijskracht heeft. Er kan ook juist bepaald worden dat dwingende bewijskracht wordt ontnomen of men kan bepalen dat een bewijsmiddel helemaal geen bewijskracht heeft. Hier doet zich echter het volgende probleem voor: in hoeverre kan bewijsmateriaal waarvan het duidelijk is dat er door een van de partijen mee geknoeid is, door een of beide van de partijen nog dwingende bewijskracht hebben als hiervan wettelijk of contractueel bepaald is dat aan dit bewijsmiddel dwingende bewijskracht wordt toegekend? Dit kan in strijd zijn met de uitzondering vermeld in art. 153 Rv: ‘er is sprake van gronden waarop zij krachtens het Burgerlijk Wetboek buiten toepassing blijft’. In het Burgerlijk Wetboek kan als grond gevonden worden: het in strijd zijn met de redelijkheid en billijkheid. 91 Door het verkleinen van de bewijskracht van tegenbewijs kan de eigen bewijspositie van een partij ook verbeterd worden. Dit kan door de dwingende bewijskracht te ontnemen en aan het bewijsmiddel vrije bewijskracht toe te kennen of er kan worden bepaald dat er aan het bewijsmiddel helemaal geen bewijskracht wordt toegekend. 92 In een bewijsovereenkomst kunnen bepalingen worden opgenomen die regels stellen met betrekking tot tegenbewijs. Wanneer tegenbewijs wordt uitgesloten, moeten partijen rekening houden met wat bepaald is in art. 7:900 lid 3 BW. Hierin is vermeld dat een bewijsovereenkomst met een vaststellingovereenkomst gelijk staat, voor zover zij een uitsluiting van tegenbewijs meebrengt. Dit betekent dat in dit geval de regels van de vaststellingsovereenkomst automatisch gelden. 93 Bewijsovereenkomsten geven een grote vrijheid aan partijen om afspraken te maken maar er zijn aan de bewijsovereenkomst wel beperkingen. Ten eerste treden die op wanneer het recht gevolgen verbindt aan het bewijs van feiten die niet ter vrije bepaling van partijen staan. Het gaat hier om bepalingen van dwingend recht. Wanneer hier wel van wordt afgeweken zijn deze overeenkomsten nietig of vernietigbaar. 94 Ten tweede wordt de vrijheid van partijen beperkt door ‘de gronden waarop zij krachtens het Burgerlijk Wetboek buiten toepassing blijven’. Hier gaat het om bewijsovereenkomsten die in strijd zijn met de redelijkheid en billijkheid. 95
91
Van Stekelenburg 2010, pag. 89. Van Stekelenburg 2010, pag. 89/90. 93 Van Stekelenburg 2010, pag. 90. 94 Van Stekelenburg 2010, pag. 91. 95 Van Stekelenburg 2010, pag. 91. 92
32
7. Rechtsvergelijking met België De implementatie van de Richtlijn in België heeft in eerste instantie plaatsgevonden in het kader van elektronische akten. 96 Het gebruik van een elektronische handtekening was voor de invoering van de Richtlijn in België erg riskant. Dit kwam doordat de rechter zich op de Cassatierechtspraak kon beroepen om een elektronische handtekening af te wijzen. De voorwaarden waaraan een elektronische handtekening in België moest voldoen, werden namelijk afgeleid uit de rechtspraak van het Hof van Cassatie. In een aantal arresten waarin de geldigheid van de handtekening betwist werd, heeft het Hof rechtspraak ontwikkeld die alleen met de handgeschreven handtekening rekening hield en dus niet met de elektronische handtekening. 97 De wet van 20 oktober 2000 heeft dit veranderd. Er wordt een nieuw lid aan art. 1322 BBW toegevoegd, dat als volgt luidt: ‘Kan, voor de toepassing van dit artikel, voldoen aan het vereiste van een handtekening, een geheel van elektronische gegevens dat aan een bepaalde persoon kan worden toegerekend en het behoud van de integriteit van de inhoud van de akte aantoont.’ Een handtekening in de zin van art. 1322 BBW kon vanaf toen ook een geheel van elektronische gegevens zijn, wanneer deze elektronische gegevens aan een bepaald persoon kunnen worden toegerekend en het behoud van de integriteit van de akte aantonen. 98 Aan een bepaald persoon toerekenen betekent in dit geval dat er een verband moet kunnen worden gelegd tussen de elektronische gegevens en een bepaald persoon. De tweede voorwaarde, dus het behoud van de integriteit van de inhoud van het bericht, houdt in dat men aan de hand van de elektronische handtekening moet kunnen vaststellen dat de informatie achteraf niet meer is gewijzigd. Wanneer er aan deze twee voorwaarden is voldaan, is er nog niet direct sprake van een elektronische handtekening. Dit kan nog van andere factoren afhangen. Het zal telkens uit de context moeten blijken of er sprake is van een elektronische handtekening. 99 Artikel 1322 BW is te vinden in het Belgisch Burgerlijk Wetboek onder het opschrift ‘Eerste afdeling: schriftelijk bewijs § 2, de onderhandse akte’. De rechter kan dus de elektronische
96
Dondorp 2011, pag. 50. Lodder, Dumortier & Bol 2005, pag. 69. 98 Dumortier & van den Eynde 2001, pag. 5. 99 Lodder, Dumortier & Bol 2005, pag. 70. 97
33
gegevens enkel in het geval van een onderhandse akte en enkel in het kader van het bewijsrecht als geldige handtekening beschouwen. 100 Het elektronische handtekeningenbegrip is alleen van toepassing op alle onderhandse akten indien er geen specifieke regels van toepassing zijn. Dit in overeenstemming met de regel: ‘lex specialis derogat lex generalis’. Ook moet er in het geval van een eenzijdige verbintenis een handgeschreven handtekening gebruikt worden. Dit op grond van art. 1326 BBW, waaruit blijkt dat in het geval van een eenzijdige verbintenis diegene die zich verbindt, de onderhandse akte met de hand moet schrijven of tenminste zijn handtekening moet laten voorafgaan door een met de hand geschreven vermelding ‘goed voor’ of ‘goedgekeurd’. Ook art. 1328 BBW blijft gelden. Hieruit blijkt dat de onderhandse akte ten aanzien van derden een vaste datum krijgt, onder meer door de registratie hiervan. Elektronische registratie is momenteel nog niet mogelijk. 101 Gekwalificeerde elektronische handtekeningen Artikel 4, § 4 van de wet van 9 juli 2001 bepaalt: ‘Onverminderd de artikelen 1323 en volgende van het Burgerlijk Wetboek wordt een geavanceerde elektronische handtekening, gerealiseerd op basis van een gekwalificeerd certificaat en aangemaakt met een veilig middel voor het aanmaken van een handtekening, geassimileerd met een handgeschreven handtekening ongeacht of deze handtekening gerealiseerd wordt door een natuurlijke dan wel door een rechtspersoon.’ De Belgische wet hanteert nergens de term ‘gekwalificeerde elektronische handtekening’. Ik gebruik deze term hierna als synoniem van de ‘geavanceerde elektronische handtekening, op basis van een gekwalificeerd certificaat en aangemaakt met een veilig middel voor het aanmaken van een handtekening’. Uit de wet blijkt dat gelijkstelling van een gekwalificeerde handtekening met een handgeschreven handtekening gelijkgesteld wordt ‘onverminderd de artikelen 1323 en volgende van het Burgerlijk Wetboek’. Dit roept de vraag op hoever het ‘en volgende’ reikt. Het zou kunnen dat de wetgever hier alleen heeft willen doelen op de artikelen 1323 tot 1332
100 101
Dumortier & van den Eynde 2001, pag. 6. Dumortier & van den Eynde 2001, pag. 6.
34
B BW, welke betrekking hebben op het bewijs met onderhandse akten maar dit is niet duidelijk. 102 Uit art. 4, § 4 van de wet van 9 juli 2001 blijkt verder dat gelijkstelling van de elektronische handtekening met de handgeschreven handtekening geldt, ‘ongeacht of deze handtekening gerealiseerd wordt door een natuurlijke dan wel door een rechtspersoon’. Uit art. 2, 5˚ en 8 Wet certificatiediensten blijkt dat certificaten ook kunnen worden afgegeven aan en gehouden door rechtspersonen. Uit deze bepalingen te-samen volgt dat er van een ‘ondertekening’ door een rechtspersoon kan worden gesproken wanneer de handtekening is gebaseerd op een certificaat dat aan die rechtspersoon is uitgegeven. In dit geval is het dus de rechtspersoon die aan de handtekening gebonden is. 103 Dit roept de vraag op hoe een natuurlijk persoon, door ondertekening met de handtekening van de rechtspersoon, zich in het rechtsverkeer als rechtspersoon kan uitgeven. 104 Uit art. 3 lid 1 Wet certificatiediensten blijkt dat de wet de regels in verband met het juridische kader voor elektronische handtekeningen vastlegt, ‘zonder afbreuk te doen aan de wettelijke bepalingen met betrekking tot de bevoegdheid tot het stellen van rechtshandelingen voor rekening van rechtspersonen’. Er is geen wijziging met betrekking tot de bestaande regels over de vertegenwoordiging van rechtspersonen. 105 Wanneer een rechtspersoon een handtekening plaatst, moet er kunnen worden nagegaan wie daar het initiatief voor heeft genomen. Uit art. 8, § 3 Wet certificatiediensten blijkt dat aan de certificatiedienstverleners de verplichting wordt opgelegd om een register bij te houden ‘met de identiteit en de hoedanigheid van de natuurlijke persoon die de rechtspersoon vertegenwoordigt en die gebruikmaakt van de handtekening verbonden aan het certificaat, op zo een wijze dat bij elk gebruik van deze handtekening de identiteit van de natuurlijke persoon kan achterhaald worden’. Wat in deze bepaling staat is nauwelijks uitvoerbaar, want dit zou inhouden dat elke handtekening van een rechtspersoon geregistreerd zou moeten worden. Uit de praktijk blijkt dat deze bepaling niet wordt toegepast. Wanneer men in België
102
Lodder, Dumortier & Bol 2005, pag. 73. Storme 2001, pag. 35. 104 Storme 2001, pag. 36. 105 Lodder, Dumortier & Bol 2005, pag. 78. 103
35
een onderhandse akte gebruikt met een elektronische ondertekening voor een verbintenis van een rechtspersoon, wordt de handtekening door een natuurlijk persoon geplaatst. 106 De gelijkstelling is in België anders geregeld als in Nederland. In België wordt in het kader van elektronische akten alleen de geavanceerde en de gekwalificeerde vorm gelijkgesteld met de schriftelijke vorm. In het Belgische recht is er het vereiste van een waarborg voor integriteit en dat kan een gewone elektronische handtekening niet bieden. 107 Voor duurzaamheid van elektronisch ondertekende documenten is in België meer aandacht dan in Nederland. Bij het wetsvoorstel Bourgeois is er aandacht uitgegaan naar de duurzaamheid van digitale documenten. Uit het Belgische wetsvoorstel blijkt dat het originele karakter van het geschrift bewaard moet blijven. 108
106
Lodder, Dumortier & Bol 2005, pag. 78/79. Dondorp 2011, pag. 52. 108 Dondorp 2011, pag. 129. 107
36
8. Conclusie In deze scriptie heb ik de volgende probleemstelling onderzocht: In hoeverre is de elektronische handtekening effectief in het kader van het Nederlands civiel bewijsrecht? De juridische waarde van een elektronische handtekening wordt bepaald door aan de ene kant betrouwbaarheid van de methode en aan de andere kant het doel en de omstandigheden van het geval. Wanneer er gebruik gemaakt wordt van een gewone elektronische handtekening, zal er vaak reeds een relatie bestaan tussen de ondertekenaar en de ontvanger. De gewone elektronische handtekening is in dit geval effectief. Omdat er een relatie bestaat tussen de ondertekenaar en de ontvanger, is het minder noodzakelijk om een duurdere techniek te gebruiken en volstaat de gewone elektronische handtekening. Aan de gewone elektronische handtekening kleven wel een aantal gevaren. Er kan bij de gewone elektronische handtekening niet gegarandeerd worden dat deze uniek is. Ook kan hier niet achterhaald worden of het ondertekende document na de ondertekening nog is gewijzigd. En de elektronische handtekening kan nogmaals gebruikt worden door de ontvanger. De geavanceerde elektronische handtekening is ten opzichte van de gewone elektronische handtekening meer betrouwbaar. Het gevaar dat zich hier voordoet, is dat de ontvanger wel weet met wie hij communiceert maar de afzender kan niet geverifieerd worden. Dit betekent dat men niet kan weten of de afzender echt is wie hij zegt te zijn. De geavanceerde elektronische handtekening is effectief indien de partijen zekerheid hebben over de identiteit van de andere partij. Het is effectief om de geavanceerde elektronische handtekening te gebruiken in situaties waarbij verschillende partijen elkaar wel kennen terwijl het wel een vereiste is dat men zeker weet dat men met de juiste partij communiceert. De gekwalificeerde elektronische handtekening is een zeer betrouwbare methode. Dit komt doordat er certificaten worden uitgegeven door een onafhankelijke derde. Wat de gekwalificeerde elektronische handtekening toevoegt aan de geavanceerde elektronische handtekening, is dat het hierbij mogelijk is om de authentificatie te verifiëren. Bij de gekwalificeerde elektronische handtekening wordt dan ook aangenomen dat deze voldoende betrouwbaar is voor ieder doel en alle omstandigheden van het geval. Er kan echter nog wel tegenbewijs geleverd worden. Deze vorm van de elektronische handtekening is de duurste vorm maar geeft de grootst mogelijke juridische zekerheid. De rechter zal de ondertekening, behoudens tegenbewijs, namelijk als betrouwbaar opvatten. Deze vorm kan heel goed 37
gebruikt worden wanneer er tussen partijen geen vertrouwensrelatie is. De partijen hoeven in dit geval alleen de onafhankelijke derde, de certificatiedienstverlener, te vertrouwen. Certificaten zijn niet eeuwig houdbaar. Dit komt doordat de techniek snel verandert en het kan zich zo voordoen dat de sleutel later gekraakt kan worden. De wetgever heeft geen aandacht gehad voor het duurzaamheidsprobleem van elektronisch ondertekende documenten. Een oplossing hiervoor zou gevonden kunnen worden door het ‘voldoende betrouwbaar gelet op het doel en de omstandigheden van het geval’ ook toe te passen bij het duurzaamheidsprobleem. In België heeft de wetgever wel rekening gehouden met de duurzaamheid. Hier moet het originele karakter bewaard zijn gebleven. Nog een verschil tussen Nederland en België is dat de gewone elektronische handtekening in België niet is erkend. Dit komt omdat men in België als voorwaarde stelt dat de integriteit van de inhoud van het bericht behouden moet blijven, hetgeen inhoudt dat aan de hand van de elektronische handtekening vastgesteld moet kunnen worden dat de informatie achteraf niet meer gewijzigd is. Dit is bij de gewone elektronische handtekening niet mogelijk. Ik ben overigens van mening dat de gewone elektronische handtekening wel effectief kan zijn, wanneer, zoals hierboven beschreven staat, partijen een vertrouwensband met elkaar hebben. Partijen kunnen onderling afspreken welke elektronische handtekening tussen hen als voldoende betrouwbaar wordt gezien. Zij kunnen bijvoorbeeld afspreken dat alleen de gekwalificeerde vorm als betrouwbaar wordt gezien. Partijen kunnen afwijken van de leden 2 en 3 van art. 3:15a BW. Het is echter wel zo dat partijen niet af kunnen wijken van art. 3:15a lid 1 BW. Dit houdt in dat de gekozen elektronische handtekening altijd de betrouwbaarheidstoets uit lid 1 door de rechter zal moeten doorstaan. Dit betekent dat de lijdelijkheid van de rechter hier enigszins doorbroken wordt. Wanneer partijen afwijken van art. 3:15a lid 2 BW, kunnen zij afspreken dat een lagere vorm van de elektronische handtekening als voldoende betrouwbaar wordt erkend. Wanneer partijen afwijken van art. 3:15a lid 3 BW, wordt er afgesproken dat partijen een gekwalificeerde elektronische handtekening moeten gebruiken omdat een lagere vorm niet als betrouwbaar wordt gezien.
38
Dit alles staat een bewijsovereenkomst in de zin van art. 153 Rv niet in de weg. Partijen kunnen kiezen welke vorm van een elektronische handtekening zij erkennen en daarnaast in een bewijsovereenkomst bepalen wat als bewijs geldt tussen partijen. Door gebruik te maken van een bewijsovereenkomst, wordt de bewijswaarde van elektronische gegevens verhoogd. Bij een elektronische onderhandse akte kan iedere vorm van een elektronische handtekening volstaan. Er is in art. 156a Rv namelijk niets over de elektronische handtekening opgenomen. Dit houdt in dat hier de gelijkstellingsbepaling van art. 3:15a BW geldt. Om de elektronische handtekening effectief te gebruiken, moeten partijen dus letten op verschillende factoren: of partijen een band hebben met elkaar; wat de risico’s zijn van het gebruik van een elektronische handtekening; en op welke kostenfactoren partijen op willen letten. Aan de hand hiervan kan dan bepaald worden welke vorm van de elektronische handtekening in een specifiek geval het meest effectief is.
39
Literatuurlijst
Boudrez 2006 F. Boudrez, Digitale handtekeningen en archiefdocumenten, Computerrecht, 2006, 40. Dondorp 2011 F.P.A. Dondorp, Elektronische handtekeningen: juridische waarde en praktisch gebruik. Sdu uitgevers, Den Haag, 2011. Dumortier 2001 J. Dumortier, S. van den Eynde, De juridische erkenning van de elektronische handtekening in België?, Computerrecht, 2011/4, p. 185-194. Hidma & Rutgers 2004 T.R. Hidma & G.R. Rutgers, Pitlo. Het Nederlands burgerlijk recht. Deel 7. Bewijs, Deventer: Kluwer 2004. Huydecoper 1997 S. Huydecoper, R.E. van Esch, Geschriften en handtekeningen: een achterhaald concept? In ITeR-reeks nummer 7, Samson bedrijfsinformatie B.V., Alphen a/d Rijn, 1997. Lodder 2005 A.R. Lodder, J. Dumortier, S.H. Bol, Het recht rond elektronische handtekeningen, Reeks informatica en recht, nr. 22, Kluwer, Deventer, 2005. Scheltema F.G. Scheltema, H.J. Scheltema, Nederlandsch burgerlijk bewijsrecht, Zwolle: W.E.J. Tjeenk Willink 1934-1940. Snijders 2010 (a) H.J. Snijders, ‘Elektronische naast schriftelijke vorm van overeenkomsten en andere rechtshandelingen (I)’, WPNR 2010/6863, pag. 809-814. Snijders 2010 (b) H.J. Snijders, ‘Elektronische naast schriftelijke vorm van overeenkomsten en andere rechtshandelingen (II)’, WPNR 2010/6864, pag. 840-846.
40
Stein/Rueb 2009 P.A. Stein & A.S. Rueb, Compendium van het burgerlijk procesrecht, Deventer: Kluwer 2009. Storme 2001 M.E. Storme, De elektronische handtekening, als PDF raadpleegbaar via: http://www.storme.be/elektronische handtekening.pdf. Het is een tweeluik: 1. De invoering van de elektronische handtekening in ons bewijsrecht – een inkadering van en commentaar bij de nieuwe wetsbepalingen. 2. Het verrichten van rechtshandelingen door middel van nieuwe telecommunicatiemiddelen – de nieuwe wetsbepalingen ingekaderd in de algemene leer van de kennisgeving. Tel 2006 G. Tel, Cryptografie, Beveiliging van de digitale maatschappij, Universiteit Utrecht, 2006. Van Stekelenburg 2010 M.C. van Stekelenburg, De betere byte in de strijd om het gelijk, een onderzoek naar de betrouwbaarheid van elektronische gegevens als bewijsmiddel in het Nederlandse, Duitse en Amerikaanse civiele bewijsrech. (academisch proefschrift Amsterdam VU), 2010. Wieten 2004 H.L.G. Wieten, Bewijs, Studiereeks burgerlijk procesrecht, Kluwer: Deventer 2004.
41
