Digitaal ondertekenen de nieuwe trend bij werken op afstand!?
Door Reindert Doorn
Nu we in allerijl ‘spontaan’ zijn gaan thuiswerken was de eerste stap binnen veel accountantskantoren: hoe kunnen we zo snel mogelijk van start met Microsoft Teams. Een project dat bij veel kantoren wel op de agenda stond, maar vanwege lage prioriteit ook veelal vooruit werd geschoven. Wat een wending! Ik las op een van de vele cartoons die circuleren op social media, dat Covid-19 de grootste aanjager is van technologische verandering op het moment. Dat lijkt een feit. Wat volgt er nog meer?
Nu online samenwerken via Teams (zie vorige blog) is ingebed in de korte periode van drie weken en het vooruitzicht is, dat we nog minstens een aantal weken, zo niet maanden, remote gaan werken komen ook andere aspecten aan het licht. Hoe werken we met het postboek, als iedereen thuiswerkt? Moet een secretaresse en een tekenend accountant speciaal naar kantoor komen om dit regelen?
Ik hoor je denken? Euh.. gebeurt dit nog? Het antwoord is volmondig: ja! Het digitaliseren van papieren processen begint vaak bij de loonstrook en de facturen binnen de kantoormuren. Maar om het kantoor helemaal ‘paperless’ te maken ontkom je er niet aan om te kijken naar de digitale (of beter: elektronische) handtekening. Alleen dan kun je afscheid nemen van geprinte contracten, offertes, arbeidsovereenkomsten en de jaarrekening waarop een natte handtekening gezet dient te worden. En van alle voorloop- en begeleidingsbriefjes.
Blijf je als accountant/partner liever helemaal vanuit huis werken, in plaats van meermaals per week naar kantoor te moeten voor de afwerking van documenten? Regel dan ook direct een digitaal documentproces in drie stappen:
1) Verdiep je in de juridische implicaties
Allereerst is het zaak, dat je begrijpt hoe een elektronische handtekening werkt, wat het juridisch- en wettelijk kader is, voordat je bepaalt hoe je je proces inricht en met welke tooling je dit gaat doen. De term ‘rechtsgeldig ondertekenen’ die je vaak hoort, klinkt fantastisch. Het is echter net zo onduidelijk als de termen ‘passende beveiliging’ of ‘AVG-proof’. Het hangt vaak af van de techniek en de context om er daadwerkelijk uitsluitsel over te kunnen geven. Een korte uitleg:
Het is goed om je te realiseren, dat het voornaamste equivalent van de ‘natte handtekening’, qua juridische rechtsgevolgen, de gekwalificeerde ondertekening is. Als je dus niet wilt inboeten op het niveau van ondertekenen, is het ondertekenen met persoonsgebonden certificaten op een QCSD de voor de hand liggende stap. Dat kan voor de RA/AA, maar ook voor andere personen werkzaam binnen het kantoor.
Eenvoudig varianten, waarbij je zelf de bewijslast aan dient te dragen (!), zijn de geavanceerde en de simpele elektronische handtekening. Bij deze handtekeningen zijn je persoonlijke gegevens niet direct gekoppeld aan de ondertekening. Bij de geavanceerde ondertekening wordt, volgens de richtlijnen, wel meer bewijslast verzameld, die je helpt in je onderbouwing:
● De handtekening is op unieke wijze aan de ondertekenaar verbonden;
● De handtekening maakt het mogelijk de ondertekenaar te identificeren;
● De handtekening komt tot stand met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken;
● De handtekening is op zodanige wijze aan de daarmee ondertekende gegevens verbonden, dat elke wijziging van gegevens achteraf kan worden opgespoord.
Omdat je in de casus van de geavanceerde handtekening zelf de bewijslast dient aan te dragen (audittrail), is het essentieel, dat je voldoende beeld hebt bij de borging ervan in de te kiezen ondertekenoplossing. Geeft deze een voldoende betrouwbare bewijslast? Er is inmiddels de eerste jurisprudentie, die toeziet op de tekortkomingen van aangedragen bewijslast bij de toepassing van de geavanceerde handtekening in de praktijk: (ECLI:NL:RBDHA:2018:6370, toelichting en Raad van State ECLI:NL:RVS:2019:1400).
Om altijd op een ‘passend’ niveau te ondertekenen dien je ook te kijken naar de waarde, die de handtekening vertegenwoordigd en de relatie tot het belang van het document (de omstandigheden). Het te kiezen ondertekenniveau kan daarom per documentstroom verschillen binnen je kantoor. Het ondertekenniveau wordt binnen accountantskantoren doorgaans ingegeven door deze twee factoren:
● Geldende vereisten en richtlijnen vanuit de beroepsorganisatie (NBA). Zij stelt dat er enkel een gekwalificeerde ondertekening vereist is bij een op SBR gebaseerde elektronische accountantsverklaring. Dat is nu enkel zo bij de controleverklaring in het assurance De banken hebben eerder aangegeven, dat de begeleidende samenstelverklaring in de toekomst mogelijk ook op deze wijze ondertekend dient te worden. In de praktijk wordt de definitieve jaarrekening (PDF) ook steeds vaker ondertekend met behulp van een gekwalificeerde handtekening.
● Risico-inschatting van de kantoorleiding en complianceafdeling/-officer. Zij maken een afweging van de belangen van de verschillende documentsoorten en de daarbij behorende noodzakelijke onweerlegbaarheid van de handtekening. In de praktijk is de uitwerking hiervan, dat grotere accountantskantoren doorgaans op een hoger niveau ondertekenen dan kleinere kantoren. Of dit verschil bewust ontstaat waag ik te betwijfelen, maar heeft naar mijn inschatting te maken met (ontbrekende) kennis van de materie.
[avg-advertorial slug=”alle-accountancy-softwareleveranciers-onder-een-dak”]
Tot slot is er nog het begrip Lange Termijn Validatie (LTV). De mogelijkheid om de handtekening ook op lange termijn controleerbaar/valideerbaar te maken. Iets waar we nu wellicht nog onvoldoende bij nadenken, maar naar de toekomst toe belangrijk wordt. Ook dan willen we vaststellen of een in het verleden getekend document op het moment van ondertekenen rechtsgeldig was. Je kunt er hier meer over lezen. Gelukkig is dit een veel besproken onderwerp in de Notariële sector en komen zij hopelijk met inzichten.
2) Maak een keuze voor een ondertekenoplossing
Verdiep je dus goed in de materie, voordat je de tools inzet. In de praktijk zie ik dit vaak ontbreken: “ik mag verwachten dat het goed is”, “er staat dat het rechtsgeldig/gewaarborgd is” en “ik heb me er niet in verdiept, het gaat mij om het gebruiksgemak”. Dat laatste is zeker van belang, maar mag nooit allesbepalend zijn. Een kleine parallel is te maken met de populaire app Zoom. Bovenstaande kreten kunnen daar ook op worden toegepast, alleen blijkt de praktijk qua waarborgen weerbarstig. Hopelijk overkomt je dat niet bij de tweede versnelde uitrol binnen je kantoor, die van elektronisch ondertekenen!
Hieronder een overzicht van de meest voorkomende partijen in onze branche, met een basale functionaliteiten tabel.
Specifieke functies bij ondertekening die je kunt opnemen in je RFI zijn, bijvoorbeeld:
● Wijze van vastlegging audittrail (los of in document)
● Mogelijkheid XBRL ondertekening
● Gebruik offline, online of beide
● Ondersteuning meerdere ondertekenaars
● Vrij configureerbaar ondertekenvak
● Ondertekenverzoek via portal of e-mail
● Integratie binnen klantportalen
● Integratie met andere software (CRM, dossier, rapportage, aangifte)
● Toevoegen eigen afbeelding of stempel
● Toevoegen eigen brief/documentsjablonen
● Ondertekenen van een set aan documenten (bijv. notulen/publicatie, concept/LOR of opdrachtbevestiging/algemene voorwaarden)
● Whitelabel functies
● Officiële tijdsstempel met LTV
● Renderingfaciliteiten
● Koppelingen naar branche software
● Koppelingen naar digipoort voor XBRL aanlevering
● Gebruik achterliggende technieken
● Wijze van externe validatie en opbouw bewijslast
● Een HSM (Hardware Security Module) is beveiligde hardware voor het uitgeven van digitale sleutels. Hierop kan (een deel van) het certificaat worden opgeslagen wat gebruikt kan worden voor een gekwalificeerde ondertekening, zodat er geen lokaal USB device benodigd is. Om deze handtekening als gekwalificeerd aan te merken moet de HSM gestald zijn bij een gekwalificeerde verlener van vertrouwensdiensten óf Qualified Trusted Service Provider (QTSP). Moet daarnaast binnen de EU zijn. In Nederland valt dit onder toezicht van Agentschap Telecom. Dit onderdeel wordt ook wel Extern beheer genoemd.
1. PKIsigning heeft deze mogelijkheid ter beschikking via QuoVadis.
2. ValidSign biedt deze mogelijkheid (enkel op XBRL data) in combinatie met KPN mobiele certificaten.
3. Adobe stelt dit binnenkort ter beschikking via QuoVadis en Digidentity.
Ik ben voornemens om een index uit te brengen met een geactualiseerd overzicht van bovenstaande functies in relaties tot de aanbieders. Geef me even een seintje als je hier interesse in hebt.
3) Breng je processen in kaart en doe een pilot
Goed, je hebt je nu een beeld gevormd van de juridische aspecten en hebt in stap twee onderzocht welke oplossing het best passend is. Ben je er dan? Nee. De volgende stap is het in beeld brengen van de route van de nieuwe werkprocessen, nu je digitale mogelijkheden hebt. In de digitale werkelijkheid kan een proces ineens anders lopen dan op papier:
● Meerdere ondertekenaars kunnen gelijktijdig tekenen, je hoeft niet op elkaar te wachten.
● Voorloopbladen (aanbiedingsbrieven) kunnen wellicht vervallen.
● Je kunt bij een bezoek aan de klant niet meer de hele set op tafel leggen: de klant krijgt mogelijk meerdere losse ondertekenverzoeken.
● De accountant ondertekent de stukken vanuit de rapportagesoftware zonder tussenkomst van (en voorbereiding door) een secretaresse.
Het postboek wordt vervangen door ondertekeninvites per e-mail.
Het proces dient dus herontworpen te worden (lees ook: “Als je digitaal doet zoals je altijd deed, krijg je standaard minder dan wat je had”).
Zoek je een leuke wijze om dat te doen? Vanuit DOCCO hebben we zojuist de ‘portal procesgame’ ontwikkeld. Met deze simulatie breng je samen met je (directie)team de processen in kaart waar ondertekening een rol speelt. Door middel van een interactieve* sessie ontstaat de blauwdruk voor jouw kantoor en kun je aan de slag met inrichten. Dit spel is exclusief ontwikkeld voor DOCCO Members en kan geleend worden via ons kantoor met of zonder begeleider.
Vergeet niet voorafgaand aan de implementatie een korte pilot te doen van de geschetste werkprocessen, om alle fouten in het proces te elimineren en kennis en kunde op te doen alvorens de nieuwe werkwijze te introduceren!
Tot slot
De digitalisering van het ondertekenen scheelt je in elk geval een hoop onnodige ritjes naar kantoor, terwijl jij gewoon thuis kunt werken!
Voor het toepassen van gekwalificeerd ondertekenen dien je te beschikken over persoonsgebonden (beroeps)certificaten. Hiervoor is een face-to-face identificatie vereist. Deze identificaties kunnen wij op een ‘Corona-vriendelijke’ wijze voor je organiseren. Gewoon thuis voor de deur, met de nodige afstand! Geef maar even een seintje!
Reindert Doorn is IT-adviseur accountants-en administratiekantoren bij DOCCO
*Ik hoor je denken… een interactieve sessie? Ja de game leent zich het beste voor een workshop op kantoor. Maar geen zorgen, via Teams en de Whiteboard-functie kunnen we op afstand ook een leuke sessie verzorgen!