Rechtsgeldigheid geavanceerde elektronische handtekening?

[Stagaire]

Ik ben momenteel bezig met afstuderen aan de HBO-opleiding Bedrijfskundige Informatica. Ik ben momenteel werkzaam aan de opdracht bij een bedrijf wat zich onder andere bezig houdt met kantoorautomatisering. Bij kantoorautomatisering kun je dus denken aan alle informatiestromen wat een organisatie en/of instantie tegenkomt in zijn/haar processen en hoe dit sneller zou kunnen verlopen door middel van automatisering. Nu zou mijn opdrachtgever graag de mogelijkheid willen bieden aan haar klanten om van de papieren wereld naar de digitale te gaan (denk bij deze klanten ook aan bijvoorbeeld overheidsinstanties). Daarbij komt de digitale handtekening om de hoek kijken. Mij is gevraagd om onderzoek te doen naar de digitale handtekening.

Mijn probleem waar ik tegenaan loop is het volgende:
De onderliggende techniek onder de elektronische handtekening is mij bekend en technisch is alles redelijk makkelijk te implementeren (denk aan een Public Key Infrastructure (PKI) op een Windows server). Er zijn zelfs totaalpakketten die dit bieden. Alleen zit het probleem in de uitgave van de certificaten. En dan met name de betrouwbaarheid van de certificaten en de betrouwbaarheid van de uitgevende en beherende instantie achter deze certificaten. Het liefst zou je als organisatie/instantie je eigen PKI opzetten om van daaruit de certificaten uit te kunnen geven en beheren met alle policies die daar op technisch als organisatorisch niveau bij komen kijken, want als je een bedrijf hebt van 100/1000+ medewerkers zijn certificaten van een officiële Certificate Service Provider (CSP) onbetaalbaar.

Het liefst zou je als bedrijf zijnde willen zien dat de bewijslast ligt bij de klant die je software afneemt en de certificaten die daarbij horen die je zelf uitgeeft, maar dat gaat in de praktijk niet op. Tenminste daar ga ik vanuit. Als dat niet zo is hoor ik het graag.

Ik weet dat als je in Nederland PKIOverheid-certificaten wilt gaan uitgeven (welke nodig zijn voor overheid-organisatie en overheid-burger verkeer) dat je verplicht bent om je te laten registreren bij de OPTA. Bij die registratie hangt dan een toetsing vast (denk aan TTP.NL schema) en het bewijzen dat je voldoet aan standaarden en dat je als voldoende betrouwbaar geclassificeerd en gecertificeerd moet worden. Ook als deze informatie niet juist is geïnterpreteerd hoor ik het graag.

Mijn vragen die naar aanleiding van de introductie naar voren komen zijn:
Reden: Ik kom bij dit onderzoek nogal wat tegenstrijdigheden en onduidelijkheden tegen wat betreft de rechtsgeldigheid van een geavanceerde als gekwalificeerde handtekening. Ook speelt het mee van wie deze informatie afkomstig is. Zo wil DigiNotar als CSP uit commercieel oogpunt natuurlijk zijn certificaten verkopen en daarom de gekwalificeerde handtekeningen promoten. Ook kan ik het me voorstellen als je met de overheid te maken krijgt dat zij een gekwalificeerde handtekening eisen aangezien sommige stukken juridische gevolgen hebben, zoals bijvoorbeeld een vergunning. Wat zijn de juridisch minimale eisen waaraan je zult moeten voldoen om een elektronische handtekening rechtsgeldig te maken? Is dit de geavanceerde (eerste 4 punten BW3, artikel 15a, lid2) of de gekwalificeerde handtekening (alle eisen BW3, artikel 15a, lid2)?

Reden: Ik kwam op een site een pdf-bestand tegen waarin uitleg gegeven wordt over het verschil tussen de geavanceerde en gekwalificeerde handtekening. In het bestand kwam ik de volgende quote tegen:

[Stagaire]

Helemaal niemand die mij zou kunnen helpen?

[bona fides]

Ik heb wel met interesse je verhaal gelezen

Voor een rechtsgeldige overeenkomst is in beginsel in het geheel geen handtekening nodig. De overeenkomst hoeft niet eens in schriftelijke vorm te zijn vastgelegd. Er zijn echter bijzondere overeenkomsten, of meer algemeen rechtshandelingen, waarvoor de wet vormeisen stelt, bijv. schriftelijk, een onderhandse akte, of een notariële akte.

Het op papier zetten van een overeenkomst gebeurt daarom meestal om te zorgen dat partijen bewijs kunnen leveren van het bestaan en van de inhoud van de overeenkomst. Bewijs moet je los zien van rechtsgeldigheid. Iets kan in werkelijkheid rechtsgeldig zijn overeengekomen, maar als de rechter het niet bewezen acht, is het in de "juridische werkelijkheid" niet gebeurd.

Andersom kan soms bewezen worden dat partijen wel iets zijn overeengekomen, maar niet in de door de wet voorgeschreven vorm. In dat geval moet worden nagegaan wat de gevolgen van de schending van het vormvereiste zijn. Soms staat dat in de wet zelf, soms volgt dat uit de parlementaire behandeling of uit het systeem van de wet. (Meestal is de overeenkomst nietig als het vormvereiste strekt tot bescherming van beide partijen of van het publiek, en is de overeenkomst vernietigbaar als het vormvereiste strekt tot bescherming van één der partijen.)

Waar een handtekening niet geldt als vormvereiste (en dus van belang is voor de rechtsgeldigheid), kan een handtekening nog wel van belang zijn voor de bewijsbaarheid. Zie bijv. art. 157 lid 2 Rv: een onderhandse akte levert ten aanzien van de verklaring van een partij omtrent hetgeen de akte bestemd is ten behoeve van de partij te bewijzen, tussen partijen dwingend bewijs op van de waarheid van die verklaring. Een onderhandse akte is een ondertekend geschrift, bestemd om tot bewijs te dienen (art. 156 Rv). Dus een schriftelijke verklaring die ondertekend is, heeft een grotere bewijskracht dan een schriftelijke verklaring die niet ondertekend is. Dit geldt dus ook waar een handtekening niet is vereist voor de rechtsgeldigheid van de rechtshandeling of overeenkomst.

Dus soms is de vraag of een elektronische handtekening dezelfde rechtsgevolgen heeft als een handgeschreven handtekening (art. 3:15a BW) direct van belang voor de rechtsgeldigheid van iets (nl. wanneer het om een vormvereiste gaat). In andere gevallen is deze vraag van belang voor de bewijswaarde van een schriftelijk stuk.

In het tweede geval is het niet per se fataal als de elektronische handtekening niet voldoet aan art. 3:15a BW. De verklaring levert dan wel geen "dwingend bewijs", maar de rechter kan nog steeds oordelen dat hij dat waar de verklaring betrekking op heeft, bewezen acht.

Wil je dat een elektronisch ondertekend stuk "dwingend bewijs" oplevert, of wil je dat een stuk aan het vormvereiste "onderhandse akte" voldoet, dan moet je zorgen dat de elektronische handtekening voldoet aan art. 3:15a BW. Lid 1 geeft een open norm "indien de methode die daarbij is gebruikt voor authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval". Lid 2 geeft voorwaarden waaronder de elektronische handtekening "wordt vermoed" voldoende betrouwbaar te zijn. Lid 3 geeft redenen die op zichzelf onvoldoende zijn voor de conclusie dat een elektronische handtekening niet voldoende betrouwbaar is.

Wil je aan de veilige kant blijven, dan is het verstandig om aan alle voorwaarden van lid 2 te voldoen. Dan geldt het bewijsvermoeden van voldoende betrouwbaarheid. Het is dan aan de wederpartij om te bewijzen dat de elektronische handtekening in het concrete geval toch niet voldoende betrouwbaar is, wat normaal gesproken niet zal lukken.

Voldoe je niet aan alle voorwaarden van lid 2, dan kan de rechter nog steeds oordelen dat de elektronische handtekening in het concrete geval wel voldoende betrouwbaar is, maar de rechter zal nu wat meer tijd moeten nemen om naar alle aspecten te kijken. Ik kan me voorstellen dat de rechter in onduidelijke gevallen een deskundige inschakelt.

Het bovenstaande heeft betrekking op het privaatrecht (het BW). In het bestuursrecht gelden weer andere artikelen (de Awb). Burger-overheid is soms privaatrecht, meestal bestuursrecht.
_________________
Hanc marginis exiguitas non caperet.

[Stagaire]

Thanks, daar kan ik voorlopig wel mee uit de voeten

Alleen snap ik 1 zin nog niet helemaal. Ik heb hem al tig keer doorgelezen, maar echt snappen doe ik hem nog niet en dat is lid 3:
"Een in lid 1 bedoelde methode kan niet als onvoldoende betrouwbaar worden aangemerkt op de enkele grond dat deze niet......."

Ik maak er uit op dat je de 'niet' en 'onvoldoende' weg kunt strepen (want 2 keer niet in een zin maakt een wel) en dat de zin dan loopt als:
"Een in lid 1 bedoelde methode kan als voldoende betrouwbaar worden aangemerkt op de enkele grond dat deze niet....."

Wat dus weer zou betekenen dat als je voldoet aan punt 1, 2, 3 en 4 van lid 2 dat je in de meeste gevallen wel veilig zit bij een rechtzaak. Dus als je je eigen certificaten maakt zou dat dan voldoende rechtgeldig kunnen zijn.

Klopt deze gedachtengang?

[bona fides]

[Arnoud Engelfriet]

[Stagaire]

Alvast bedankt voor alle ondersteuning die ik krijg. Ik waardeer het enorm

Binnen PKI (Public Key Infrastructure) heb je verschillende Authorities.

Als je je RA (Registration Authority) nu zo inricht dat de technische uitvoering (aanmaken geheime en publieke sleutel) gebeurd door de ICT-afdeling binnen een bedrijf en de administratieve uitvoering bij de afdeling P&O die een kopie maakt van je paspoort met eronder een verklaring dat diegene die op die kopie staat ook echt diegene is die hij zegt dat ie is. Met daaronder een handtekening die met pen op dat papier is gemaakt.
Het certificaat wordt zo gemaakt dat zijn namen overeenkomen met diegene die in zijn paspoort staan.
De afdeling P&O heeft dan nog als enige papieren administratie de aanvragen voor een certificaat. Deze archiefkast staat in een kamer met beveiliging vanwege de persoonsgegevens waarmee je te maken hebt.

De CA (Certificate Authority) is een dedicated Windows server enterprise met active directories. Deze maakt de certificaten aan en spuugt er per certificaat een uniek certificaat-ID uit.
De CA staat niet in verbinding met het internet, maar alleen met de ICT-afdeling die automatisch eens in de zoveel tijd een update doorvoert op de dedicated CRL-server (Certificate Revoke List) die wel verbinding heeft met internet, zodat externe partijen makkelijk kunnen nagaan of een certificaat nog wel geldig is.
De ICT-afdeling deelt vervolgens de certificaten uit aan de medewerkers, via mail, USB-stick of CD/DVD.

Als de medewerker ontslagen wordt vervalt zijn certificaat. Of als er een naamsverandering komt vervalt deze ook.

Dit is dan een situatie voor een interne PKI vanuit een bedrijf voor zijn medewerkers en zijn afnemers en leveranciers, maar als je certificaten aan wilt bieden aan andere bedrijven zullen er bij de RA ook KvK-gegevens gecontroleerd moeten worden bijvoorbeeld. Deze gegevens zouden dan samen met de kopieën van paspoorten in dezelfe archiefkast opgeborgen moeten worden. De KvK-gegevens zou dan eens in de zoveel tijd in de gaten gehouden moeten worden op veranderingen (naamsverandering bij bedrijf zelf, naamsveranderingen binnen de afdelingen en noem maar op) bij dat bedrijf om de geldigheid van het certificaat te garanderen.

Op deze manier gaat het toch ook bij de officiële certificaatdienstverleners? Als dat zo is, dan zou je toch geen problemen moet kunnen ondervinden bij eventuele rechtzaken. En trouwens, daar waar het een vereiste is om een gekwalificeerd certificaat te gebruiken neem je dan 1 of 2 af van gecertificeerde dienstverleners namens 1 of 2 personen die mogen tekenen namens je bedrijf en gebruik je die voor communicatie richting de overheid.

En dan heb ik het alleen nog maar over certificaten die nodig zijn om een handtekening te kunnen zetten onder een document en niet om een velige verbinding op te zetten tussen de bezoeker van je website en je website of dat je code kunt signeren.

En over de veiligheid van het certificaat:
De sleutel genereer je met het algoritme van RSA van minstens 2048 Bits en het certificaat maak je aan met SHA-1 of SHA-2 en niet met MD5, want die is al beschouwd als niet veilig. Zolang je je aan deze standaarden houdt zou er in de korte toekomst (want er zijn altijd mensen bezig om de veiligheid van de encryptiemethoden te testen) niet zoveel kunnen gebeuren.

[Arnoud Engelfriet]

Zeker bij handtekeningen denk ik dat je de lange termijn voor ogen moet houden. Het lijkt me erg aantrekkelijk als ik over tien jaar documenten kan opstellen die ik dan een handtekening en datumstempel van vandaag kan geven. Dan maak ik gewoon een contract dat me tien jaar lang recht op geld geeft, en nog met een geavanceerde digitale handtekening en certificaat van jou ook.

(En het grappige is en blijft dat deze hele exercitie zelden tot nooit juridisch echt nodig is, omdat je immers ook zonder handtekening overeenkomsten kunt sluiten of de ontvangst van documenten kunt bewijzen.)

Arnoud
_________________
ICT-jurist, blogger en octrooigemachtigde ~ Partner bij ICTRecht.nl ~ Beheerder www.iusmentis.com

[Stagaire]

Binnen PKI heb je al de mogelijkheid om Time-stamps te zetten. Dit gaat dan met het Time-Stamp Protocol wat weer aangemaakt wordt door een (jaja, daar komt het authority-woord weer om de hoek kijken) TSA (Time-Stamp Authority) en die server synchroniseer je weer met de atoomtijd van een betrouwbare aanbieder. Alleen ben ik er nog niet helmaal achter of het al eigenlijk standaard meegekomen is met bijvoorbeeld een Windows server (bijvoorbeeld w32Time).

En de 2de opmerking die je maakt is eigenlijk waar het hele verhaal juridisch om draait. Ik probeerde iemand uit te leggen hoe de elektronische handtekening technisch en juridisch in elkaar steekt. Ik vergeleek het dan met de garantie die je bij sommige producten koopt. Dat is volgens de wet ook helemaal niet nodig, want je hebt volgens de wet al garantie op de apparaten. Alleen koop je het hele gedoe rondom het claimen af. En zo zit het dan ook met de handtekening. Met het gekwalificeerde certificaat koop je juridische rompslomp af (en ik weet wel dat dat ook niet gegarandeerd is, maar het wordt wel een stuk moeilijker om aan te tonen dat het je handtekening niet is).

Ik probeer met mijn opdracht een oplossing aan te kunnen bieden die juridisch de minst mogelijke problemen oplevert, maar wel betaalbaar moet zijn. Alleen wat mijn opdracht zo complex maakt is dat je zowel met bestuursorganen te maken hebt als het bedrijfsleven. Overeenkomsten vanuit de bestuursorganen vereisen soms een gekwalificeerd certificaat (denk aan de digitale polis), terwijl overeenkomsten tussen bedrijven soms al voldoende hebben aan een ingscande handtekening als daar maar afspraken over gemaakt worden.

En daar komt nog bij dat soms zelf overeenkomsten niet via de elektronische weg aangeleverd mogen worden, maar gelukkig zijn zelf ook bepalingen, zoals beschreven in 6:227a BW, lid 2 (corrigeer me gerust als ik de notatie verkeerd heb begrepen), aan veranderingen toe volgens de overheid. Daarin worden elektronische onderhandse akten mogelijk (zie paragraaf Artikel 156a, tweede lid, Rv) en wordt het ook mogelijk om overeenkomsten via de elektronische weg aan te bieden. Maar dan moeten beide partijen er wel mee instemmen dat het via die weg gaat.