Naar de digitale handtekening Whitepaper over digitale handtekeningen vanuit juridisch perspectief
Auteur(s):
Arnoud Engelfriet (ICTRecht b.v.)
Versie:
1.0
Datum:
november 2015
Moreelsepark 48 3511 EP Utrecht
Postbus 19035 3501 DA Utrecht
088 - 787 30 00
[email protected] www.surfnet.nl
ING Bank NL54INGB0005936709 KvK Utrecht 30090777 BTW NL 0089.60.173.B01
Naar de digitale handtekening
1
Inleiding
Steeds meer organisaties stappen over naar elektronische processen en elektronische contracten. Dit roept vaak juridische vragen op ten aanzien van de rechtsgeldigheid daarvan. Kunnen papieren documenten vervangen worden door elektronische? En wanneer is een elektronische handtekening rechtsgeldig?
2
Op papier
Vaak wordt gedacht dat afspraken, contracten en andere dingen pas rechtsgeldig zijn als ze op papier zijn gezet. Dat klopt niet. De wet noemt maar weinig dingen die alleen in schriftelijke vorm rechtsgeldig zijn. De bekendste zijn de koop van een huis, het bestuursrechtelijk besluit of de uitreiking van een getuigschrift zoals een diploma. Echter, in de praktijk houdt het daar snel op: andere contracten of documenten die van de wet schriftelijk moeten, komen zelden voor. Soms is papier vereist in speciale situaties. Een arbeidsovereenkomst hoeft bijvoorbeeld alleen schriftelijk als men een concurrentiebeding of boete wil opnemen. Een specifiek mandaat moet schriftelijk als het wordt gegeven aan een externe partij. En een factuur moet schriftelijk tenzij de klant vooraf heeft ingestemd met een elektronische factuur. Afgezien van die paar speciale situaties mogen mensen afspraken vastleggen of mededelingen doen zoals men wil. Zo kan een vereniging in haar statuten zetten dat de oproep voor een ledenvergadering schriftelijk zal gebeuren, en kan een onderwijsinstelling bepalen dat stageovereenkomsten schriftelijk worden gesloten of dat tentamenuitslagen alleen schriftelijk worden gemeld. Maar dat is dan een keuze; de wet verplicht hier niet toe. Wel op papier
Niet op papier
Een bestuursrechtelijk besluit (art. 1:3 Awb)
De inschrijving aan een onderwijsinstelling (tenzij de universiteit hiervoor kiest, art. 7.33 W HW)
Een getuigschrift van een onderwijsinstelling (art.
Een intern mandaat aan een medewerker om een
7.11 W HW)
akkoord (geen besluit) te geven (art. 3:60 BW )
Overdracht van een auteursrecht (art. 2 Auteurswet) Een mandaat vanuit een onderwijsinstelling om besluiten te nemen namens de instelling (art. 10:5 WHW)
3
Elektronisch papier
Wanneer een contract of andere afspraak schriftelijk zou moeten van de wet, is er in vrijwel alle gevallen toch ruimte om dit met een elektronisch document te doen. De wet bepaalt namelijk dat een elektronisch geschrift equivalent is aan een stuk papier, wanneer aan vier eisen is voldaan: 1. Het elektronisch document is in te zien door beide partijen;
2/7
Naar de digitale handtekening
2. De authenticiteit (echtheid) van de inhoud is vast te stellen; 3. Het moment van totstandkoming is vast te stellen; en 4. De identiteit van de partijen is vast te stellen. In de praktijk voldoet men aan deze eisen door het document op te slaan in een formaat zoals PDF/A (een speciaal voor archivering ontwikkelde variant van het bekende PDF-formaat) en in het document datum en identiteit van de partijen op te nemen. Het moet uiteindelijk wel gaan om echt een ‘geschrift’, één document of bestand met alle informatie. Bij veel elektronische processen wordt informatie niet als document opgeslagen maar als set gegevens in een databank. Zo kan deze snel worden doorzocht, geactualiseerd en vertoond langs diverse kanalen. Dit betekent echter wel dat de informatie geen ‘geschrift’ genoemd kan worden. Het is hier immers veel moeilijker om te spreken van hét document. Bovenstaande regels komen uit het Burgerlijk Wetboek en gelden dus in principe alleen tussen burgers en bedrijven onderling. Echter, in het bestuursrecht (tussen burgers en overheid) geldt in beginsel hetzelfde. Waar hier een geschrift vereist wordt, kan in principe ook met een elektronisch geschrift worden gewerkt. Alleen waar de wet specifiek anders bepaalt, mag niet zomaar met een elektronisch document worden gewerkt.
4
Ondertekend
In de meeste gevallen is er dus geen juridische reden om afspraken op papier te zetten. Er is echter een belangrijke juridische reden om het toch te doen: een ondertekend stuk papier levert sterker bewijs op van hetgeen er afgesproken of verklaard is. De wet noemt dergelijke documenten ‘aktes’ en bepaalt dat ze dwingend bewijs opleveren van wat er afgesproken of verklaard is. De term ‘akte’ suggereert wellicht dat het gaat om een verkoopcontract, maar dat is onjuist. Ieder geschrift met een verklaring van een partij en daaronder diens handtekening, is een akte. Dus ook een ondertekende vrijstelling afgegeven door een examencommissie, een registratie met handtekening van studenten bij een verplicht college of een handtekening voor ontvangst van een poststuk. Een akte kan ook elektronisch opgesteld worden, staat in de wet. In principe gaat dat volgens dezelfde regels als andere elektronische geschriften uit de vorige sectie. Het ligt echter iets ingewikkelder, omdat een akte ook ondertekend moet worden. Bij een ‘gewone’ afspraak op papier is dat relatief eenvoudig. Iedereen kan een handtekening zetten met een pen. Maar in een elektronisch document is dat lastiger. Dit heeft voornamelijk te maken met het feit dat deze gekopieerd kan worden naar een ander document, zonder dat dat te detecteren is. Diverse wiskundige technieken bestaan om dit probleem op te lossen, maar lange tijd bleef onduidelijk wat voor juridische status dat had.
5
Elektronische handtekeningen
Eind jaren negentig werd in de wet opgenomen dat ook een elektronische handtekening rechtsgeldig kan zijn. Hierbij onderscheidt men drie ‘smaken’ handtekening: 1. De gewone elektronische handtekening is de eenvoudigste variant. Het gaat hier om iedere vorm van ‘ondertekening’ die de plaatser identificeert en iets zegt over de integriteit van het bericht. Denk hierbij aan een gescande handtekening op papier, of een met de muis getekende handtekening op het scherm.
3/7
Naar de digitale handtekening
2. De geavanceerde elektronische handtekening maakt gebruik van wiskundige technieken om een unieke code aan een bericht te koppelen. Deze code wordt afgeleid uit het bericht zelf en uit de identiteit van de afzender. Daarmee is de code niet te gebruiken bij een vervalst bericht. Met een zogeheten certificaat wordt de handtekening vervolgens gecontroleerd. Deze vorm wordt ook wel aangeduid als de “digitale handtekening”. 3. De gekwalificeerde elektronische handtekening is de zwaarste variant. Hierbij wordt een geavanceerde elektronische handtekening gecontroleerd met behulp van een certificaat dat door een erkende certificatiedienstverlener wordt uitgegeven. Het certificaat wordt pas na uitgebreide identiteitscontrole uitgegeven. Erkenning en inschrijving van zulke dienstverleners gebeurt door de telecomtoezichthouder ACM. De wet bepaalt dat alle drie deze vormen in principe rechtsgeldig zijn, zowel binnen het burgerlijk recht als bij het bestuursrecht. Het is dus bijvoorbeeld mogelijk een vergunning digitaal af te geven en deze eveneens digitaal te ondertekenen. Wel is het zo dat bij de gewone elektronische handtekening de bewijslast bij de partij ligt die zich erop beroept. Bij de geavanceerde en gekwalificeerde elektronische handtekening moet de wederpartij bewijzen dat de handtekening niet op een betrouwbare manier gezet is.
V o ldoe nde be t ro u wbaar Wanneer men in de praktijk spreekt van “digitale handtekeningen”, doelt men vaak op de hierboven beschreven geavanceerde handtekening. De hierbij ingezette wiskunde geeft een hoog niveau van betrouwbaarheid. De gekwalificeerde handtekeningen is nóg sterker, maar vereist meer organisatorische stappen om in te voeren. De wet bepaalt dat deze twee hoge-niveau handtekeningen in principe voldoende betrouwbaar zijn. Een partij die twijfels uit, moet bewijzen dat het systeem dat hiervoor is gehanteerd, niet voldoende is. Echter, ook de gewone elektronische handtekening kan rechtsgeldig zijn. Het criterium uit de wet is of het proces waarmee deze is gezet, “voldoende betrouwbaar” is. Daar is niet één specifiek criterium voor, het gaat om het doel van de handtekening en de omstandigheden van het geval. Enkele voorbeelden: •
•
•
•
Een krabbel op een schermpje van de postbezorger wordt gezet voor het doel “bewijs van ontvangst”. Gezien dat doel is die handtekening voldoende betrouwbaar. Dat men niet exact weet wie tekende, is onder die omstandigheden niet erg belangrijk. Een docent logt in op een portal op het intranet en ziet een ingeleverde opdracht van een student bij een van zijn vakken. Hij vinkt “Voldoende” aan bij het document en tekent een handtekening met zijn muis, waarna hij op “Opslaan” klikt. Dit is voldoende betrouwbaar voor dit doel. De docent logt in, dus na te gaan is wie de handtekening zette. De docent heeft nu een akte afgegeven dat de student een voldoende heeft. Een docent logt in op een portal op het intranet en ziet een ingeleverde opdracht van een student bij een van zijn vakken. Hij vinkt “Voldoende” aan bij het document en klikt op “Opslaan”. Hoewel dit proces grotendeels hetzelfde is als het voorbeeld hierboven, is dit géén rechtsgeldige handtekening omdat er geen element aan te wijzen is dat als ‘handtekening’ aan te merken is. Een student leent voor een opdracht een videocamera bij de facilitaire afdeling. Zij zet een duimafdruk op een schermpje waar “Voor ontvangst” bij staat. Dit kan geen adequate handtekening opleveren voor dit doel. De afdeling weet immers niet wie deze duimafdruk zet en kan deze op geen enkele wijze koppelen aan een persoon.
4/7
Naar de digitale handtekening
•
•
Een student leent voor een opdracht een videocamera bij de facilitaire afdeling. Zij authenticeert zichzelf met een gebruikersnaam en wachtwoord en met een vingerafdruk (tweefactorauthenticatie). Deze handeling wordt elektronisch geregistreerd in het voorraadbeheersysteem. Dit lost het probleem van het vorige voorbeeld op. Echter, er is nu geen akte aan te wijzen, geen document waar een handtekening onder staat. Een student leent voor een opdracht een videocamera bij de facilitaire afdeling. Zij authenticeert zichzelf met een gebruikersnaam en wachtwoord en met een vingerafdruk (tweefactorauthenticatie). Deze handeling wordt elektronisch geregistreerd in het voorraadbeheersysteem. Tevens genereert het systeem een document dat deze transactie documenteert. Hiermee is een akte gegenereerd, waar de vingerafdruk een handtekening op vormt.
Au t h e n t icat ie ve r su s ha n dte ken in g Vaak wordt gedacht dat een voldoende sterke authenticatie genoeg is om van een elektronische handtekening te mogen spreken. Dit is onjuist. Een handtekening kan alleen worden geplaatst onder een document. Er moet dus iets zijn dat als document kan worden aangemerkt. Het laatste voorbeeld laat dit zien: zonder het gegeneerde document dat de transactie documenteert, is er geen sprake van een elektronische handtekening. De authenticatie van de student is sterk genoeg om zeker te weten wie de camera leende, maar desondanks kan hier niet gesproken worden van een akte van lening.
F u nc t ione le h an d teken in gen Een veel voorkomende digitale vorm van ondertekenen is de functionele handtekening. Hierbij wordt niet getekend uit naam van een persoon, maar een functie: “Akkoord – Directie” of “Voor gezien – Personeelszaken”. Zo blijft de continuïteit van het proces hetzelfde, en kunnen vervangers eenvoudig ook tekenen. Bij een gewone elektronische handtekening is dit prima. De geavanceerde en gekwalificeerde elektronische handtekeningen eisen echter een identificatie van de persoon die de handtekening zet. Het probleem is dat “Directie” of “Personeelszaken” geen persoon identificeert, maar een rol in de organisatie, zodat hier een probleem ontstaat. Men kan natuurlijk uit externe identificatie-systemen (zoals SURFconext) afleiden welke persoon de functionele handtekening heeft gezet, maar dat is voor de wet niet genoeg. De identiteit van de plaatser moet uit het ondertekende document blijken. Wil men dus geavanceerde of gekwalificeerde handtekeningen zetten, dan moet dit vanuit een persoon gebeuren. Functionele handtekeningen kunnen alleen als ‘gewone’ elektronische handtekening worden gezet.
6
Het gescande papier
Een bijzondere situatie doet zich voor bij een papieren document dat wordt gescand om het zo elektronisch te kunnen archiveren. Dit kan een probleem zijn als de wet eist dat het document schriftelijk opgesteld wordt of er een handtekening vereist is. Gelden geen van beide eisen, dan is de scan equivalent aan het papier. Als de wet een geschrift eist, dan moet de scan in ieder geval voldoen aan de vier eisen genoemd in hoofdstuk 3. Echter, in het bestuursrecht moet ook worden nagegaan of het wel de bedoeling was van de wetgever om een elektronisch geschrift toe te staan. Zo zou het scannen van uitgereikte
5/7
Naar de digitale handtekening
getuigschriften een probleem kunnen zijn. Een getuigschrift is zó belangrijk als bewijs dat het risico van digitale manipulatie van het gescande origineel onacceptabel is. Als de wet ook een handtekening eist, dan wordt de vraag of de gescande handtekening op papier nog genoeg is. Bij elektronische akten is dan immers een elektronische handtekening vereist. De gescande handtekening kan in veel gevallen als gewone elektronische handtekening worden gekwalificeerd, hoewel niet altijd. De vraag is dan of het gezien doel en omstandigheden vast staat dat deze scan een kopie is van het origineel op papier. Dit vereist dat de instelling die de scan maakt, een duidelijk vastgelegd proces volgt waarbij fraude en vergissingen in principe uitgesloten worden. De Archiefwet kan voor overheidsinstellingen nog een extra uitdaging vormen bij het scannen. Deze wet vereist dat men archiefstukken in goede, geordende en toegankelijke staat bewaart. In principe kan dit alleen door de originelen te bewaren. Echter, de archivaris is bevoegd originelen te vervangen door reproducties en deze daarna te vernietigen. Die reproducties mogen elektronisch zijn (zoals een PDF-bestand). Daarmee is in beginsel een bevoegdheid aanwezig om archiefstukken te scannen en de papieren originelen weg te gooien. Wel moet ook vanwege deze wet een duidelijk gedocumenteerd proces bestaan dat beschrijft hoe dit in zijn werk gaat, en moet bij het elektronisch document een specificatie zijn opgenomen van het origineel. Is echter het document oorspronkelijk elektronisch opgemaakt, dan ontstaat geen probleem met de Archiefwet. De Archiefwet eist namelijk niet dat originelen op papier aangeleverd worden. Bestaat het document alleen elektronisch, dan is voor de Archiefwet dat elektronische bestand het origineel. En dat origineel wordt dan gewoon gearchiveerd.
6/7
Naar de digitale handtekening
7
Stappenplan inrichten elektronisch ondertekenproces
Op basis van bovenstaande raden wij de volgende stappen aan om tot een elektronisch akkoordproces te komen:
7/7