Digitaal ondertekenen wordt onvoldoende serieus genomen
Door Tom van Bolhuis
Digitaal ondertekenen is voor veel kantoren een actueel item. Steeds meer processen verlopen digitaal en het steeds opnieuw moeten uitprinten en inscannen van PDF documenten om een handtekening te verkrijgen is zeer inefficiënt en gaat zelfs volledig aan zijn doel voorbij.
Ondanks dat digitaal ondertekenen daarom overal op de agenda staat of zelfs al wordt gebruikt, merk ik dat er bij heel veel kantoren onduidelijkheid en verwarring heerst over het onderwerp. Welke niveaus zijn er? Wanneer heb ik welk niveau nodig? Bestaat daar wetgeving over of mag ik dat zelf bepalen?
Die onduidelijkheid wordt volgens mij gevoed door aanbieders van ondertekensoftware die zelf niet altijd juist geïnformeerd zijn óf een tegenstrijdig belang hebben, maar ook door beroepsorganisaties die te lang wachten met duidelijke richtlijnen en eventuele verplichtingen. Dat die onduidelijkheid voor een groot deel niet nodig is, omdat er wel degelijk wetgeving bestaat, is voor velen nieuws.
Als je alleen offertes en contracten ondertekend met je klanten is dat misschien niet zo’n issue, maar als je corebusiness het leveren van zekerheid is die voortvloeit uit een beroepstitel, is dat wél een issue. Bij deze daarom een helder overzicht;
Op 1 juli 2016 is de Europese eIDAS-Verordening in werking getreden. In die Verordening wordt onderscheid gemaakt tussen drie vormen van digitaal (elektronisch) ondertekenen:
1. De elektronische handtekening
Dit is de simpelste vorm van elektronisch ondertekenen en bestaat uit niet meer dan een plaatje van je handtekening onder een document, of zelfs alleen je naam.
2. De geavanceerde elektronische handtekening (AdES)
Deze vorm van elektronisch ondertekenen moet voldoen aan de volgende eigenschappen:
• De handtekening is op unieke wijze aan de ondertekenaar verbonden;
• De handtekening maakt het mogelijk de ondertekenaar te identificeren;
• De handtekening komt tot stand met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken;
• De handtekening is op zodanige wijze aan de daarmee ondertekende gegevens verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.
[avg-advertorial slug=”kom-naar-de-accountancy-expo-op-16-juni-2020″]
3. De gekwalificeerde elektronische handtekening (QES)
Dit het hoogste niveau van elektronisch ondertekenen en moet voldoen aan de volgende eisen:
• De handtekening is aangemaakt door een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen (QSCD);
• De handtekening is gebaseerd op een gekwalificeerd persoonlijk certificaat, uitgegeven door een gekwalificeerde verlener van vertrouwensdiensten in de EU (QTSP).
Je mag dus een normale of geavanceerde elektronische handtekening opvoeren als bewijs voor een handtekening in een rechtszaak. Je bent echter zelf verantwoordelijk om te bewijzen, dat jij ook daadwerkelijk diegene bent die de handtekening heeft gezet.
En dat is nog niet zomaar bewezen. Voor een geavanceerde elektronische handtekening moet er een audit-trail beschikbaar zijn met geverifieerde persoonlijke gegevens van de ondertekenaar en dan nóg is het de vraag in hoeverre dat bewijst, dat dit alleen onder iemands ‘uitsluitende controle‘ is gebeurd, want hoe toon je zoiets uitsluitend aan?
Daar komt nog bij dat de audit-trail in veel gevallen niet sluitend is. Verre van zelfs. Ik ken genoeg situaties waar binnen één bedrijf of afdeling één account wordt gebruikt voor het ‘geavanceerd’ ondertekenen van documenten, zonder extra verificatie van de ondertekenaar. Hoe weet je dan ooit als tweede partij wie er getekend heeft? Zo’n handtekening is dus praktisch waardeloos en biedt nauwelijks zekerheid.
De handtekening verbinden aan de ondertekende gegevens om wijzigingen achteraf onmogelijk te maken, is gelukkig eenvoudiger. Dat kan met een elektronisch zegel, een zogenaamde eSeal, die uitgegeven wordt door een (gekwalificeerde) verlener van vertrouwensdiensten en beschikbaar wordt gesteld aan de ondertekenaar door óf de eigen organisatie óf een externe partij, bijvoorbeeld een ondertekendienst.
Zelfs áls de audit-trail redelijk sluitend is én er met een betrouwbaar eSeal is verzegeld, levert het nog steeds niet persé een handtekening op die gelijk staat aan de ‘natte’ handtekening. Dit geldt voor zowel de gewone als de geavanceerde elektronische handtekening en heeft te maken met het rechtsgevolg zoals vastgelegd in artikel 3:15a BW:
ze hebben “…dezelfde rechtsgevolgen als een handgeschreven handtekening, indien voor deze beide elektronische handtekeningen de methode voor ondertekening die gebruikt is voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische handtekening is gebruikt en op alle overige omstandigheden van het geval.”
Omdat dit bijzonder onduidelijk is en er nog geen jurisprudentie bestaat, weet dus eigenlijk niemand welke doelen en omstandigheden passen bij welke niveaus van elektronisch ondertekenen.
Er wordt in de markt echter algemeen geaccepteerd, dat de elektronisch geavanceerde handtekening met audit-trail, voldoende zekerheid biedt voor een wilsverklaring bij bijvoorbeeld offertes en opdrachtbevestigingen, maar zeer waarschijnlijk niet voor een accountantsverklaring of een notariële akte. Dat is niet alleen zo vanwege het belang van deze documenten, maar ook, omdat een beroepstitel helemaal niet geverifieerd kan worden bij een geavanceerde elektronische ondertekening en dus ook niet in de audit-trail staat.
Daarvoor is echt een handtekening op basis van een PKIoverheid Beroepscertificaat nodig die alleen uitgegeven wordt aan leden in het register van de beroepsorganisatie. Met dit certificaat plaats je een gekwalificeerde elektronische handtekening. En ja, dat gaat (nog) met zo’n onhandige USB-token.
Het rechtsgevolg van de gekwalificeerde handtekening is volgens de Verordening (eIDAS art. 25) als volgt: “Een gekwalificeerde elektronische handtekening heeft hetzelfde rechtsgevolg als een handgeschreven handtekening.”
De gekwalificeerde elektronische handtekening is dus gelijkgesteld aan de handgeschreven handtekening ongeacht doel of omstandigheden. Dit betekent dat de rechtsgeldigheid van de handtekening wordt aangenomen. Jij hoeft dit dus niet meer te bewijzen en er is geen audit-trail nodig. Dit zullen de meeste ondertekendiensten je echter niet uitleggen. Jij leest ‘rechtsgeldig’ en denkt prima, geregeld! De werkelijkheid is helaas een stuk complexer.
Zijn wij bij PKIsigning dan het beste jongetje van de klas? Misschien..: we geloven in wat we doen en we staan achter onze visie: altijd op het hoogst mogelijke niveau ondertekenen, zeker waar dit vanuit een beroepstitel gebeurt!
Kun je dan met PKIsigning niet geavanceerd ondertekenen? Jawel, maar op onze manier:
1. In plaats van onduidelijke en lastig controleerbare certificaten die door miljoenen ondertekenaars worden gedeeld, hebben we een eigen eSeal aangeschaft dat in Nederland wordt beheerd. Als je de handtekening controleert in bijvoorbeeld Adobe Reader, zal er bovenaan staan: ‘gecertificeerd door PKIsigning’, voorzien van al onze gegevens.
2. De audit-trail is altijd zichtbaar op het moment van ondertekenen en wordt gehashed opgeslagen in het PDF-document. Je kunt elk document dat met PKIsigning is ondertekend via onze openbare service valideren om de audit-trail te kunnen inzien. Met andere woorden, de audit-trail is voor alle partijen beschikbaar, zolang ze over het document beschikken.
3. Je kunt bij ons geen documenten opslaan. Nadat een document door alle partijen is ondertekend blijft het een week op onze servers beschikbaar en wordt dan verwijderd. Voor partijen met hogere eisen aan de opslag van hun vertrouwelijke documenten, hebben we opslag in extern beheer beschikbaar.
4. We raden simpelweg af om belangrijke documenten geavanceerd te ondertekenen, maar we zijn je moeder niet. PKIsigning zal altijd het hoogst beschikbare niveau van ondertekenen gebruiken. Als je dus beschikt over een persoonlijk (beroeps)certificaat, zul je daar ook altijd mee ondertekenen. We zijn daarnaast hard aan het werk om gekwalificeerd ondertekenen makkelijker te maken. Dit jaar nog is onze aansluiting op de HSM van Quovadis gereed en kunnen PKIsigning gebruikers als eerste gekwalificeerde G3 certificaten vanuit de cloud gaan gebruiken, in plaats vanaf die onhandige USB- tokens.
Ook vanuit de overheid zal de roep om op een hoog niveau te ondertekenen steeds meer toenemen. Het eerste voorbeeld hiervan is de verplichtstelling voor middelgrote ondernemingen om via SBR Assurance te deponeren bij de KvK. PKIsigning was de eerste ondertekenoplossing die in staat was om de XBRL publicatiestukken gekwalificeerd te kunnen ondertekenen vanuit de cloud.
Dit sluit precies aan bij onze visie. Wij zijn een ondertekenplatform en we nemen ondertekenen serieus! Op elk niveau, op elke plek en bij elk document. Kwaliteit en zekerheid voorop en waar het kan zo makkelijk mogelijk, want digitaal ondertekenen is een serieuze zaak.
Tom van Bolhuis is directeur van PKI Signing
[avg-advertorial slug=”kom-naar-de-accountancy-expo-op-16-juni-2020″]