Als gevolg van de digitalisering van onze samenleving wordt een toenemend percentage van alle transacties niet meer fysiek, maar elektronisch afgehandeld. In de digitale wereld is het niet eenvoudig om, met voldoende zekerheid, de identiteit van betrokken partijen vast te stellen. Afgelopen decennia is dan ook veel energie gestoken in de ontwikkeling van methoden en technieken waarmee de authenticiteit van berichten kan worden gewaarborgd. De Europese Unie (EU) heeft mede als taak het opheffen van handelsbelemmeringen tussen de lidstaten. Het is dan ook niet vreemd dat dit vraagstuk op Europees niveau is opgepakt.
Op 13 december 1999 werd een juridisch kader vastgesteld voor het gebruik en de erkenning van de elektronische handtekening (Richtlijn 1999/93/EG). Implementatie van deze Richtlijn in de Nederlandse wetgeving leidt tot een aantal nieuwe bepalingen, waarvan artikel 3:15a Burgerlijk Wetboek (BW) de belangrijkste is. Dit artikel is in januari 2017 ingrijpend gewijzigd naar aanleiding van een nieuwe Verordening betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG.
(Verordening (EU) Nr. 910/2014, in werking getreden op 1 juli 2016. Hierna: eIDAS-Verordening).
De eIDAS-Verordening gaat primair over Europese identificatie en vertrouwensdiensten. Op dat onderwerp wordt hier nu verder niet ingegaan. We concentreren ons op de regeling rond de elektronische handtekening.
Inhoudelijk is de regeling met de invoering van de eIDAS-Verordening niet ingrijpend veranderd. De opbouw is wel anders. In tegenstelling tot een richtlijn, die nog moet worden omgezet in nationale wetgeving, heeft een Europese verordening rechtstreekse werking. Het in de eIDAS-verordening vastgestelde kader geldt daarom direct in alle landen van de EU. Om die reden is artikel 3:15a BW vrijwel geheel vervallen. In dit artikel worden nog wel enkele ondergeschikte punten, die de EU aan de nationale staten heeft overgelaten, geregeld.
De Verordening definieert een elektronische handtekening als “gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen” (art. 3.10 eIDAS-Verordening). De elektronische handtekening bestaat dus alleen digitaal. Voor het overige wordt de lat niet erg hoog gelegd. We spreken van een ‘geavanceerde elektronische handtekening’ als, naast de eisen voor een ‘gewone elektronische handtekening’, ook wordt voldaan aan een viertal aanvullende betrouwbaarheidseisen (art. 26 eIDAS-Verordening):
- zij is op unieke wijze aan de ondertekenaar verbonden;
- zij maakt het mogelijk de ondertekenaar te identificeren;
- zij komt tot stand met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken, en;
- zij is op zodanige wijze aan de daarmee ondertekende gegevens verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.
Met name de laatste twee criteria stellen hoge eisen. Een plaatje van een gescande handgeschreven handtekening voldoet slechts aan de eerste twee criteria. Het is onmogelijk om een dergelijke manier van ondertekenen goed onder controle te houden. Ook van een handtekening die is gezet met behulp van een bankpas, pincode en paslezer, zoals bij internetbankieren, kan worden betwijfeld of wel wordt voldaan aan beide laatste criteria. De bank heeft namelijk meer controle over de ‘gegevens’ dan de ondertekenaar zelf.
Als een handtekening wordt geplaatst met asymmetrische encryptiesleutels, vaak aangeduid als ‘digitale handtekening’, wordt meestal wel aan alle vier de eisen voldaan. Asymmetrische encryptie werkt met sleutelparen: een private sleutel die de gebruiker geheim moet houden, en een bijbehorende publieke sleutel die juist bekend moet zijn bij iedereen met wie wordt gecommuniceerd.
Het hoogste betrouwbaarheidsniveau wordt bereikt als deze sleutelparen worden uitgegeven door een Trusted Third Party (TTP), overeenkomstig (extra) hoge eisen van de Verordening. We spreken dan van een gekwalificeerd certificaat. Als de handtekening daarnaast ook nog is gegenereerd door een veilig middel is er sprake van een ‘gekwalificeerde elektronische handtekening’ (art. 3.12 eIDAS-Verordening). De verordening regelt aan welke eisen certificaat en middel moeten voldoen.
Het rechtsgevolg van de gekwalificeerde elektronische handtekening is vastgesteld in artikel 25 van de eIDAS-verordening: “een gekwalificeerde elektronische handtekening heeft hetzelfde rechtsgevolg als een handgeschreven handtekening.”. Het ‘rechtsvermoeden van voldoende betrouwbaarheid’ van de oude regeling is dus vervangen door een rechtstreekse gelijkschakeling. Ten aanzien van de overige elektronische handtekeningen wordt alleen bepaald dat ze in gerechtelijke procedures niet mogen worden afgewezen om het enkele feit dat ze elektronisch zijn, of niet voldoen aan de eisen voor de gekwalificeerde handtekening. Het rechtsgevolg van de gewone en geavanceerde elektronische handtekening wordt voor Nederland geregeld in (het uitgedunde) artikel 3:15a BW: ze hebben “…dezelfde rechtsgevolgen als een handgeschreven handtekening, indien voor deze beide elektronische handtekeningen de methode voor ondertekening die gebruikt is voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische handtekening is gebruikt en op alle overige omstandigheden van het geval.”. Er is dus geen concreet verschil in rechtsgevolg. Wel zullen de criteria voor de geavanceerde handtekening kunnen worden gebruikt om de mate van betrouwbaarheid verder in te kleuren.
Het oude artikel 3:15a lid 6 bood partijen een grondslag om afspraken te maken over het gewenste betrouwbaarheidsniveau en/of het rechtsgevolg van een elektronische handtekening. Deze bepaling is geschrapt. Partijen kunnen hierover natuurlijk nog steeds afspraken maken, maar het is onduidelijk hoe deze afspraken zich verhouden tot de wettelijke regeling, waarbij het criterium “voldoende betrouwbaar” in beginsel leidend is. Een partijafspraak is ‘slechts’ een bijkomende omstandigheid. Het is daarom de vraag hoe moet worden geoordeeld over partijafspraak, als die bijvoorbeeld is opgenomen in (eenzijdig opgelegde) algemene voorwaarden. Onder het oude artikel 3:15a lid 6 BW waren die leidend, zelfs als de betrouwbaarheid van de handtekening op zichzelf helemaal geen punt van discussie was. Onder het nieuwe regime is een partijafspraak mogelijk slechts één van de aspecten die een rechter kan betrekken in de afweging.
In de digitale wereld is continuïteit geen vanzelfsprekendheid. Als een contract vandaag wordt ondertekend met behulp van “gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm”, is het onzeker of deze gegevens overmorgen, of volgend jaar, nog steeds logisch verbonden zijn. Handgeschreven handtekeningen verduren de eeuwen. Of het verificatieproces van elektronische certificaten bij TTP’s even toekomstbestendig is, zal de tijd moeten leren. Naast de betrouwbaarheid van de elektronische handtekening op het moment van ondertekening, is de mogelijkheid van (toekomstige) validatie dan ook een belangrijk aandachtspunt.