3
Jul
2014

De elektronische handtekening, wat is het precies?

Op 21 mei 2003 is de Wet Elektronische Handtekeningen in werking getreden. Met deze wet is de Richtlijn Elektronische Handtekeningen geïmplementeerd in de Nederlandse wetgeving. Deze Europese richtlijn beoogt voor de Europese Gemeenschap een uniforme regeling te treffen voor elektronische handtekeningen, waarmee het (internationaal) gebruik ervan wordt gestimuleerd. De Richtlijn is daarnaast bedoeld om de betrouwbaarheid van elektronische handtekeningen te waarborgen. Hiertoe zijn (technische) eisen in het leven geroepen waaraan de elektronische handtekening moet voldoen, wil deze rechtsgevolgen hebben. De Wet Elektronische Handtekeningen heeft tot aanpassing van een aantal reeds bestaande wetten geleid.  Dit zijn Boek 3 en Boek 6 van het Burgerlijk Wetboek (BW), de Telecommunicatiewet (Tw) en de Wet op de economische delicten (WED). In dit artikel wordt allereerst een beknopte uitleg gegeven van het begrip elektronische handtekening. Vervolgens wordt uiteengezet aan welke voorwaarden een elektronische handtekening moet voldoen om het beoogde rechtsgevolg te krijgen. De relevante wetgeving wordt bij deze bespreking betrokken.

De elektronische handtekening

Art. 3:15a lid 4 BW bevat de invulling van het begrip ‘elektronische handtekening’. Volgens dit artikel wordt onder elektronische handtekening een handtekening verstaan die bestaat uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authentificatie. De begripsomschrijving is tamelijk abstract en er worden geen gedetailleerde technische eisen genoemd. De wetgever heeft hiervoor gekozen om zo de regelgeving onafhankelijk te maken van de technische ontwikkelingen die elkaar vaak in hoog tempo opvolgen. Het is in beginsel dus mogelijk om een elektronisch document te ondertekenen met een ingescande handgeschreven handtekening.

Belangrijk is dat de elektronische handtekening kan worden gebruikt als middel voor authentificatie. Dit wil zeggen dat de handtekening de eigenschappen bezit die nodig zijn om de afzender te kunnen identificeren en zekerheid te geven omtrent de integriteit van het bericht. Wanneer een elektronische handtekening niet aan deze eis voldoet heeft het ondertekenen van een document geen rechtsgevolgen. Ten slotte moet worden opgemerkt dat een elektronische handtekening niet alleen voor vermogensrechtelijke transacties tussen partijen kan worden gebruikt. Ook bij andere handelingen met een rechtsgevolg, zoals het indienen van een bezwaarschrift bij een bestuursorgaan, is het gebruik van de elektronische handtekening in beginsel mogelijk.

Gewone en geavanceerde elektronische handtekening

Ingevolge art. 3:15a lid 1 BW heeft een elektronische handtekening dezelfde rechtsgevolgen als een handgeschreven handtekening, indien de methode die daarbij is gebruikt voor authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval. Een elektronische handtekening kan dus daadwerkelijk als bekrachtiging van een verklaring worden gebruikt wanneer de methode waarmee de afzender van het bericht wordt geïdentificeerd voldoende betrouwbaar is. Het is de vraag of een elektronische handtekening die een scan is van een geschreven handtekening voldoet aan deze eis. Een dergelijke handtekening kan immers eenvoudig door anderen dan de eigenaar van de handgeschreven handtekening gekopieerd - en ‘geplakt’ - worden. Hetzelfde geldt voor een pincode: deze kan ook door een ander dan de houder van een pinpas worden gebruikt. Belangrijk is wel dat de betrouwbaarheid van de handtekening moet worden vastgesteld aan de hand van het doel van de communicatie. Naarmate het belang van de communicatie  toe- of afneemt, zal daarom de elektronische handtekening met meer respectievelijk minder waarborgen moeten worden omkleed.

Ondanks dat de wetgever heeft gekozen voor een techniekonafhankelijke elektronische handtekening heeft hij het nodig geacht om een aantal handvatten gegeven waarmee de betrouwbaarheid van een elektronische handtekening kan worden vastgesteld. Naast de ‘gewone’ elektronische handtekening van art. 3:15a lid 4 BW is de geavanceerde elektronische handtekening door hem in het leven geroepen. Dit is een handtekening die aan de volgende eisen (art. 3:15 lid 2 sub a tot en met d BW) moet voldoen.

a. zij is op unieke wijze aan de ondertekenaar verbonden;

b. zij maakt het mogelijk de ondertekenaar te identificeren;

c. zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan    

    houden; en

d. zij is op zodanige wijze aan de gegevens waarop zij betrekking heeft verbonden, dat elke

    wijziging achteraf van de gegevens kan worden opgespoord.

Er wordt aan deze voorwaarden voldaan wanneer de communicatie wordt ondertekend en verzonden met toepassing van asymmetrische encryptie. Encryptie is het proces waarmee leesbare (digitale) gegevens versleuteld, en daarmee onleesbaar, worden. Slechts de houder van de juiste sleutel kan de data weer leesbaar maken. Bij symmetrische encryptie beschikken de verzender en de ontvanger van de verklaring over dezelfde geheime sleutel. Er wordt dus een en dezelfde sleutel gebruikt voor zowel het versleutelen als het weer leesbaar maken van de communicatie die tussen hen plaatsvindt. Deze methode voldoet dus niet aan de eisen die aan een geavanceerde elektronische handtekening worden gesteld: de “handtekening” is namelijk niet op unieke wijze aan de ondertekenaar verbonden.

Bij asymmetrische encryptie krijgt een gebruiker twee sleutels. Elk sleutelpaar bestaat uit een publieke en een bijbehorende private sleutel. De publieke sleutel kan bij meerdere partijen bekend zijn. Het doel van de methode is allereerst dat de verzender van een versleuteld bericht zeker weet dat de ontvanger de enige is die het bericht leesbaar kan maken. Daarnaast moet ook de ontvanger de kunnen herleiden wie de verzender van het bericht is.

Bij assymetrische encryptie wordt daarom een bericht in twee stappen ver- en ook weer ontsleuteld. Allereerst wordt het bericht versleuteld met de publieke sleutel van de ontvanger. De ontvanger is hierdoor de enige deze versleuteling met zijn private sleutel kan ontcijferen. Daarnaast wordt het bericht versleuteld met de private sleutel van de verzender. De ontvanger heeft daarom om het bericht volledig leesbaar te kunnen maken ook de publieke sleutel van de verzender nodig. Hieruit kan de ontvanger afleiden of het bericht ook daadwerkelijk van de verzender afkomstig is. Bij elke versleuteling wordt er een unieke waarde toegekend aan het bericht. Deze zogenaamde hash-key komt tot stand door het bericht door een wiskundige formule te halen. De hash-key komt terecht bij zowel de verzender als de ontvanger. Wanneer de inhoud van het bericht wordt gewijzigd tijdens de verzending zal de hash-key mee veranderen. Met het vergelijken van de hash-keys bij de ontsleuteling van een bericht kunnen wijzigingen dus worden opgespoord. Hiermee wordt de integriteit van de inhoud van het bericht gewaarborgd.

Gekwalificeerde elektronische handtekening

Aan de hierboven beschreven methode van de geavanceerde elektronische handtekening kleeft een nadeel. De identiteit van een verzender of ontvanger kan niet met volledige zekerheid worden vastgesteld. De sleutels kunnen bijvoorbeeld door een onbevoegde gebruikt worden. Als extra waarborg voor de betrouwbaarheid van communicatie kan het daarom nodig zijn dat voor het verzenden of ontvangen de identiteit van de verzender respectievelijk de ontvanger wordt vastgesteld om als voldoende betrouwbaar te worden aangemerkt. Dit wordt gerealiseerd door aan de handtekening de afgifte van een certificaat te koppelen. Hierbij controleert een onafhankelijke derde partij, een zogenaamde Trusted Third Party (TTP) de identiteit van de verzender en ontvanger. Na goedkeuring volgt de afgifte van een certificaat waarmee voor de communicerende partijen duidelijk is dat de identiteit van de wederpartij is vastgesteld. De controle en de uitgifte van het certificaat wordt bij elke ‘communicatiesessie’ opnieuw uitgevoerd.

De wetgever heeft de betrouwbaarheid van door een TTP uitgegeven certificaat willen stimuleren door in art. 3:15 lid 2 sub e BW te bepalen dat certificaten kunnen voldoen aan bepaalde eisen. De eisen voor een dergelijk gekwalificeerd certificaat worden nader bepaald in de Telecommunicatiewet. Zo moet de TTP die het certificaat afgeeft zich registreren bij de Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA). Voor hem geldt tevens een speciaal aansprakelijkheidsregime. Daarnaast moet de handtekening op grond van art. 3:15a lid 2 sub f BW gegenereerd zijn door een veilig middel voor het aanmaken van elektronische handtekeningen. De handtekening die aan alle eisen van art. 3:15a lid 2 BW voldoet wordt een gekwalificeerde elektronische handtekening genoemd.

De gekwalificeerde elektronische handtekening wordt vermoed voldoende betrouwbaar te zijn als bedoeld in art 3:15a lid 1 BW. Dit betekent dat wordt vermoed dat handtekening de beoogde rechtsgevolgen tot stand heeft doen komen. Hiermee heeft de wetgever echter niet willen bewerkstelligen dat elektronische handtekeningen die niet aan alle eisen voldoen per definitie als onbetrouwbaar moeten worden aangemerkt. Dit blijkt onder andere uit artikel 3:15a lid 3 BW, waarin onder andere is bepaald dat een elektronische handtekening niet als onvoldoende betrouwbaar kan worden aangemerkt op de enkele grond dat deze niet is gebaseerd op een gekwalificeerd certificaat. Daarnaast is in art. 3:15a lid 6 BW bepaald dat partijen zelf kunnen overeenkomen aan welke eisen een elektronische handtekening moet voldoen om haar werking te hebben. Een elektronische handtekening die niet aan alle eisen van art. 3:15a lid 2 BW voldoet kan dus nog steeds rechtsgevolgen hebben.

Wilt u meer weten over de elektronische handtekening, neem dan contact met ons op.