Digitale handtekeningen: praktische aandachtspunten

Door de NGB Werkgroep Digitalisering, op voorzet van mr. Roeby Tjemkes, bedrijfsjurist bij Shimano

Hoe ging uw organisatie om met de noodzaak om handtekeningen te zetten onder documenten toen iedereen ten gevolge van COVID-19 verplicht thuis moest werken? Konden uw collega’s zonder belemmering thuis apparatuur (printers) aansluiten? En wat deden zij met de geprinte (mogelijk vertrouwelijke) documenten die thuis ondertekend werden? Welk alternatief was er ten opzichte van de oudpapierdoos – met daarin ook de krant met uitsluitend nieuws over COVID-19 en de o-zo-vervelende reclamefolders?

Wellicht stond ook uw organisatie, net als vele andere, plotseling voor de urgente beslissing over het aanschaffen en implementeren van een applicatie voor digitale handtekeningen. Hopelijk was u daar als bedrijfsjurist ook bij betrokken. Er zijn immers een aantal juridische aspecten om bij stil te staan, ook – of misschien juist – op het moment dat er massaal op digitale wijze wordt gewerkt vanuit huis.

Functies

Een handtekening onder een overeenkomst of ander document heeft diverse functies:

  1. Identificatie
  2. Authenticatie
  3. Wilsuiting
  4. Autorisatie

Een (digitale) handtekening dient primair als bewijs tussen de ondertekenaar en de tekst die is ondertekend (art. 156 Rv). Aangezien overeenkomsten in beginsel vormvrij zijn, is een (digitale) handtekening geen vereiste voor een rechtsgeldige verklaring (art. 3:15a BW). Tenzij uw organisatie uitsluitend te maken heeft met verklaringen waarvoor een wettelijk vormvereiste geldt, is er daarom geen juridische belemmering an sich om een applicatie te gebruiken voor digitale handtekeningen. Toch is het goed een aantal praktische aandachtspunten in het achterhoofd te houden.

Vormen

Er zijn verschillende elektronische handtekeningen. Hierdoor dringt zich de vraag op waarvoor uw organisatie een applicatie voor digitale handtekeningen nodig heeft: is dit primair  voor intern gebruik (zoals een onkostendeclaratie of als bewijs van managementtoestemming) of ook voor extern gebruik (zoals een overeenkomst)?

Sinds 23 juli 2014 geldt voor alle lidstaten van de Europese Unie de eIDAS Verordening. Deze kent verschillende vormen van elektronische handtekening:

  1. Gewone elektronische handtekening (art. 3.10 eIDAS-Vo)
  2. Geavanceerde elektronische handtekening (art. 26 eIDAS-Vo)
  3. Gekwalificeerde elektronische handtekening (art. 3.12 eIDAS-Vo)

Alleen deze laatste variant, de gekwalificeerde elektronische handtekening, wordt gelijkgesteld met een handgeschreven handtekening (wet signature). Deze wordt op grond van de eIDAS-Vo wederzijds erkend tussen alle lidstaten. Erkenning buiten de lidstaten van de Europese Unie is afhankelijk van het betreffende land. Let wel: er zijn weinig aanbieders die voldoen aan de eisen die worden gesteld aan de gekwalificeerde elektronische handtekening (zie de lijst van EU Trusted List of Trust Service Providers).

Aanbieders van applicaties die voorzien in gewone en geavanceerde elektronische handtekeningen zijn daarentegen talloos. Ook begint het gebruik van deze applicaties steeds meer ingeburgerd te raken, al is dit niet zonder risico: denk bijvoorbeeld aan identiteitsfraude en verklaringsfraude. Daarnaast spelen de algemene cyberdreigingen, zoals onder andere data- en informatielekken, fysieke schade, diefstal of manipulatie van gegevens.

Mocht de (rechts)geldigheid van een elektronische handtekening worden betwist, dan is het aan de stellende partij om dit te bewijzen. De procespraktijk leert dat sommige (oudere) rechters de letterlijke verschijningsvorm van de elektronische handtekening vergelijken met de handgeschreven handtekening. In dit licht is het goed te weten dat sommige applicaties de mogelijkheid bieden om de elektronische handtekening op die manier op te maken.

Beveiliging

Ook beveiligingsbehoeften van uw organisatie spelen een rol. Moet uw organisatie bijvoorbeeld voldoen aan de eisen van de ISO 27001 norm? Zou u – onder meer in dat kader - uw organisatie adviseren om een applicatie voor een geavanceerde elektronische handtekening aan te schaffen? Zo’n applicatie moet voldoen aan de eisen van art. 26 eIDAS/3:15a BW:

  1. Unieke wijze aan ondertekenaar verbonden = identificatie
  2. Hoog vertrouwensniveau = integriteit en confidentialiteit
  3. Onder exclusieve controle van ondertekenaar = authenticatie
  4. Elke wijziging moet achteraf kunnen worden opgespoord = wilsuiting

Wellicht is het nuttig – of zelfs noodzakelijk – om verschillende applicaties aan te schaffen voor verschillend beoogd gebruik. In ieder geval is het voor een aantal zeer belangrijke documenten aan te raden om (ook) een versie met handgeschreven handtekeningen te hebben, waaronder onroerendgoedtransacties, beëindiging van arbeidsovereenkomsten, (besluiten tot) oprichting van vennootschappen en overdrachten van intellectuele eigendom. Tevens is het belangrijk om altijd na te gaan of de account van de handtekening van een partij daadwerkelijk van diens company domain komt in plaats van een willekeurig email account (bijv. @company.com in plaats van @gmail.com).

Privacy

De manier waarop een applicatie haar diensten aanbiedt heeft invloed op de bescherming van persoonsgegevens. Cloudoplossingen zorgen ervoor dat uw organisatie verwerker wordt in het kader van de AVG. Als uw organisatie de applicatie wenst te gebruiken voor externe relaties, zullen de externe ondertekenaars moeten worden geïnformeerd over de toepasselijke regels over bescherming van persoonsgegevens in uw organisatie. Onder andere is in dat kader relevant in welk land de servers van de cloudoplossing staan en waar de persoonsgegevens van uw organisatie zullen worden opgeslagen.

Gebruikers

Hoeveel gebruikers van de applicatie er zullen zijn hangt af van de delegatie van bevoegdheden binnen uw organisatie en de interne processen die ondertekende documenten vereisen. Aanbieders van deze applicaties hanteren verschillende inkomstenmodellen: betalen per handtekening, betalen per gebruiker, etc. Breng de behoefte van uw organisatie in kaart om de juiste afweging te maken over welk model bij uw organisatie past. Verlies ook de commerciële aspecten niet uit het oog: is een korting mogelijk, bijvoorbeeld omdat er al andere applicaties van dezelfde aanbieder worden afgenomen?

Daarnaast is gebruiksgemak natuurlijk erg belangrijk om alle gebruikers binnen uw organisatie te overtuigen van deze nieuwe applicatie. Let daarbij op de interface, de wijze waarop verificatie plaatsvindt (bijv. SMS) en de mogelijkheid van gedelegeerd gebruik door ondersteunend personeel.

Tot slot: welke applicatie u ook adviseert, deze zal nooit de vraag beantwoorden wie binnen uw organisatie bevoegd is om een document te ondertekenen. Die vraag wordt uitsluitend beantwoord binnen uw organisatiecultuur