Elektronisch ondertekenen van documenten in de (content) cloud
Het plaatsen van een handgeschreven handtekening op een fysiek document is voor iedereen duidelijk en eenvoudig, maar elektronisch ondertekenen is dat zeker niet. In deze blog leggen we op een begrijpelijke manier uit wat elektronisch ondertekenen is en wanneer een elektronische handtekening ook juridische waarde heeft. Spoiler alert: een elektronische handtekening heeft bijna nooit dezelfde waarde als een handgeschreven handtekening! In de loop van deze blog zal duidelijk worden waarom dit zo is.
Aangezien de inhoud achter deze blog complex is, begin ik met de structuur van dit artikel.
1️⃣ 👩🏼⚖️ Ik ga eerst in op de juridische waarde van elektronische handtekeningen. Dit vormt de context voor de rest van het artikel.
2️⃣ 👩🏽💻 Vervolgens beschrijf ik de techniek en processen voor het plaatsen van een handtekening met juridische waarde.
3️⃣ 🔛 Ik verbind de juridische context met de praktische situatie in een voorlopige conclusie.
4️⃣ 🖋️ Ik bespreek twee praktijkvoorbeelden van diensten voor elektronisch ondertekenen, namelijk DocuSign en BoxSign.
5️⃣ 🎉 Ik rond het artikel af met een conclusies over de waarde van de beschikbare mogelijkheden van elektronisch ondertekenen en mijn verwachting over de toekomst.
1️⃣ 👩🏼⚖️ Wat is de juridische waarde van een elektronische handtekening?
Om direct in te gaan op het juridische aspect van elektronische handtekeningen, schrijf ik deze blog in de context van onze nationale en Europese regelgeving. De eIDAS (electronic IDentification Authentication and trust Services) verordening bepaalt de verschillende niveaus van elektronische handtekeningen en de eisen die aan de uitgevers ervan worden gesteld.
De wetgeving onderscheidt de volgende typen elektronische handtekeningen:
Onder een 'Eenvoudige' elektronische handtekening wordt elke ondertekening van een document of bericht verstaan waarbij de handtekening verbonden of gerelateerd is aan het bericht. Deze omschrijving is zo breed om afbeeldingen van natte handtekeningen te kunnen dekken, maar ook de ondertekening van een e-mail. Ook geldt de afzendernaam van een e-mailbericht als een eenvoudige elektronische handtekening. Omdat veel organisaties met identity and access management het gebruik van het e-mailaccount behoorlijk onder controle hebben, kan daar nog best wat zekerheid aan vast zitten. Dit is uiteraard sterk afhankelijk van de 'access controls' en andere aspecten van het informatiebeveiligingsbeleid.
Een ‘Geavanceerde’ elektronische handtekening is op unieke wijze aan de ondertekenaar verbonden en is op unieke wijze aan het ondertekende document verbonden. Op deze manier maakt de geavanceerde elektronische handtekening met grote zekerheid duidelijk dat de ondertekenaar het betreffende document heeft ondertekend. Dat is bij de simpele elektronische handtekening niet het geval, omdat iedereen de afbeelding van een handtekening van iemand anders kan gebruiken. Het middel waarmee een geavanceerde handtekening wordt gezet is alleen beschikbaar voor de betreffende ondertekenaar, waardoor de zekerheid veel groter is.
Een ‘Gekwalificeerde’ elektronische handtekening heeft alle eigenschappen van de geavanceerde elektronische handtekening, maar het proces waaronder het middel wordt uitgegeven om de handtekening te kunnen zetten en het proces om de handtekening zelf te zetten is gekwalificeerd. Alle hulpmiddelen en tools die in die processen worden gebruikt moeten gekwalificeerd zijn om te kunnen spreken van een gekwalificeerde elektronische handtekening. Het ‘gekwalificeerd’ zijn van de middelen en het proces moeten ertoe leiden dat de grootst mogelijke zekerheid bestaat dat degene die de ondertekening doet, ook echt degene is die genoemd staat in de handtekening. Daar is voor nodig dat ten alle tijde die persoon de enige en exclusieve controle heeft over het middel waarmee wordt ondertekend. Enkele van de maatregelen die daarvoor genomen moeten worden is dat de houder van het middel waarmee handtekeningen gezet worden geïdentificeerd wordt in face-to-face sessie of videogesprek. In de meeste gevallen wordt het ondertekenmiddel ook opgeslagen op een fysiek object dan persoonlijk overhandigd wordt aan de houder.
Hoewel de regelgeving zegt dat een elektronische handtekening niet geweigerd mag worden alleen omdat hij elektronisch is, staat de gekwalificeerde elektronische handtekening als enige zonder twijfel gelijk aan de ouderwetse, natte handtekening. Praktisch betekent dit als dat er een meningsverschil ontstaat over een ‘transactie’ die overeengekomen is in een elektronisch ondertekend document, de rechter zal bepalen of de intentie van de ondertekenaar echt kan blijken uit de handtekening. Als de handtekening werd gezet met een gekwalificeerde elektronische handtekening, dan hoeft de rechter niet verder te kijken. De zekerheid daarvan is impliciet door de borging ervan in de wet en natuurlijk de wijze waarop die handtekeningen worden gezet en de middelen ervoor worden uitgegeven.
Voor simpele en geavanceerde handtekeningen zal de rechter kijken naar de omstandigheden waaronder de handtekening werd gezet en of er zekerheid gevonden kan worden dat de houder van het middel om te handtekening te zetten ook echt de handtekening zette. Daarbij is ook de balans tussen de zwaarte van de transactie en het betrouwbaarheidsniveau van de handtekening relevant. Pas dus op met het gebruik van een eenvoudige en geavanceerde elektronische handtekening voor - bijvoorbeeld - overeenkomsten met een grote waarde. Als de overeenkomst tot een geschil leidt, is het aan jou om te bewijzen dat de handtekening echt rechtsgeldig is.
2️⃣ 👩🏽💻 Technologie van elektronische handtekeningen
De wetgeving doet zijn best om in de regels en de eisen geen technologie voor te schrijven. Toch zal de goede verstaander kunnen lezen dat er is geschreven met een bepaalde technologie in het achterhoofd. En dat is ook niet vreemd, want er is grofweg maar een basistechniek beschikbaar om elektronische handtekeningen te zetten, de Public Key Infrastructure (PKI). Met een Blockchain administratie, zou iets vergelijkbaars geimplementeerd kunnen worden, maar dat wordt nog niet algemeen toegepast en de duurzaamheid ervan is nog niet duidelijk.
In een Public Key Infrastructure wordt gewerkt met zogenaamde openbare en prive-sleutels. De privesleutel is het middel om een tekst of bericht te versleutelen. De privesleutel is uitgegeven aan de houder in een gecontroleerd proces waardoor zekerheid bestaat dat alleen die houder er toegang toe heeft (’exclusieve controle’). Daarom worden in een “gekwalificeerd” proces privesleutels vaak uitgegeven op een fysiek object, zoals een USB-token, Yubikey of smartcard. De wetgeving is tot nu toe nog vaag over beheer-op-afstand (in de cloud) van privesleutels. Daardoor komt dat nog niet veel voor, hoewel het niet uitgesloten is.
Er zijn mij twee diensten bekend waar op afstand getekend kan worden met een privesleutel, namelijk Itsme uit België en ZealID uit Zweden. Beide partijen bieden hun diensten ook in Nederland aan, zowel direct als via Evidos. Itsme is zelf gekwalificeerd voor de vertrouwensdienst ‘Validatieservice’. DigiCert biedt onder de naam Itsme ook gekwalificeerde certificaten aan. ZealID is helemaal zelfstandig uitgever van gekwalificeerde certificaten en biedt gebruik op afstand aan van de privesleutel. Deze diensten worden niet verder besproken in deze blog.
Wanneer een document wordt ondertekend met de privésleutel, wordt het document eerst omgezet naar een unieke tekenreeks, de zogenaamde 'hash'. Het kenmerk van een hash is dat het niet kan worden herleid naar het oorspronkelijke document, maar hetzelfde document leidt altijd tot dezelfde hash.
De versleuteling van deze hash met de privesleutel is de daadwerkelijke handtekening die moet worden bijgevoegd bij het getekende document. Onder andere het PDF-formaat bevat mogelijkheden om de handtekening in het document mee te sturen. Hierdoor is Adobe Reader in staat om te constateren dat het document getekend is en dat het document niet gewijzigd is sinds ondertekening.
Het bovenstaande is weliswaar een waterdichte elektronisch handtekening, maar voor de leek niet te snappen. Daarom worden aan ondertekende (PDF-)documenten ook altijd een volgende afbeelding toegvoegd:
Dit is een voorbeeld van een eenvoudige elektronische handtekening en heeft op zichzelf - zoals gezegd - weinig waarde. Dit voorbeeld van DocuSign verwijst echter naar een zogenaamde "enveloppe" waarin DocuSign het ondertekenproces vastlegt. DocuSign biedt natuurlijk meer dan alleen deze eenvoudige, betrekkelijk waardeloze, ondertekening.
De publieke sleutel is cryptografisch verbonden met de privésleutel en kan worden gebruikt om berichten die met de privésleutel zijn versleuteld weer te ontsleutelen. De publieke sleutel wordt beschikbaar gesteld voor iedereen in de vorm van een certificaat. Een certificaat is de publieke sleutel die is ondertekend door een certificaatuitgever en bevat naast de publieke sleutel ook identiteitskenmerken (voornaam, achternaam) van de houder. Met dit mechanisme kan nu worden bewezen dat het ondertekende bericht is ondertekend door de houder van de privésleutel die is geïdentificeerd met de kenmerken (voornaam, achternaam).
Technisch gezien zal degene die de handtekening moet controleren de hash van het document opnieuw berekenen en de elektronische handtekening decoderen. De gedecodeerde informatie moet overeenkomen met de hash om te bevestigen dat de handtekening geldig is en het document ongewijzigd sinds ondertekening.
3️⃣ 🔛 De tussenstand
Als het voorgaande goed wordt geïmplementeerd, met alle 'controls' om het veilig en gecontroleerd te doen, ontstaat er onweerlegbare zekerheid dat de handtekening een volledige wilsuiting is van een geïdentificeerde houder, en dat het document dat ondertekend is nog steeds gelijk is aan het document op het moment van ondertekening.
Een "goede" implementatie van regels en richtlijnen voor gekwalificeerde certificaten is vastgelegd in de wetgeving. Deze implementatie voldoet aan de normen van het European Telecommunications Standards Institute (ETSI) en heeft uiteraard een informatiebeveiligings-framework zoals ISO27001 geïmplementeerd. De naleving van deze richtlijnen wordt beoordeeld door een certificeringsinstantie. De Rijksdienst Digitale Infrastructuur (RDI) accrediteert de certificeringsinstanties en bevestigt dat de implementatie aan de eisen voldoet. De RDI plaatst de gecertificeerde organisatie op de Europese vertrouwenslijst, zodat iedereen kan weten dat uitgegeven certificaten betrouwbaar zijn en dat de handtekeningen die met de bijbehorende sleutel zijn gezet bindend zijn.
Het bovenstaande geldt voor gekwalificeerde certificaten die gebruikt worden voor elektronische ondertekening en die boven alle twijfel verheven zijn. Zoals eerder vermeld, betekent dit niet dat de eenvoudigere certificaten niet rechtsgeldig zijn. In principe zijn ze dat wel, maar het correcte gebruik ervan en de redelijke verhouding tot de ondertekende transactie bepalen of de ondertekening standhoudt bij meningsverschillen hierover. Alleen gekwalificeerde certificaten zijn onbetwistbaar.
4️⃣ 🖋️ Implementaties van elektronische handtekeningen
In de volgende alinea's bekijken we de digitale handtekeningen van twee leveranciers: DocuSign en Box. DocuSign is de meest gekozen oplossing voor elektronische handtekeningen. Het biedt elektronisch ondertekenen en oplossingen voor het beheer van contracten.
Box is een leverancier van de Box 'content cloud'. De Box content cloud is een oplossing voor het beheer van documenten en samenwerking daaraan. Met Box Sign wordt de mogelijkheid geboden om documenten elektronisch te ondertekenen, zowel binnen als buiten Box, zonder extra kosten.
Disclaimer: CloudGuide is partner van Box
DocuSign
Wat in een eerste check als eerste opvalt, is dat DocuSign France de enige aanbieder van gekwalificeerde certificaten voor elektronisch ondertekenen is die op de Europese vertrouwenslijst staat. Tegelijkertijd wordt deze dienst door DocuSign gepresenteerd als een soort paardenmiddel dat vrijwel nooit nodig is. In mijn ogen is dat een misleidend advies, maar tegelijkertijd doet het wel recht aan de eerdere opmerking dat de zwaarte van de handtekening in balans moet zijn met de zwaarte van de transactie.
De DocuSign-ondertekeningen voldoen aan de normen van de Europese regels en worden geclassificeerd als 'Eenvoudig'. Ondertekenaars worden geïdentificeerd door op een link te klikken in hun e-mail, die hen naar het DocuSign-proces leidt. Daar verklaren ze akkoord te gaan met de inhoud van het document en de procesregels van DocuSign. Vervolgens wordt een visuele afbeelding van een handtekening op het document geplaatst. DocuSign zet een cryptografische tijdstempel op het document om het te binden aan het ondertekenproces. In deze eenvoudige opzet worden geen elektronische certificaten gebruikt om de ondertekenaar op enige manier te identificeren, hoewel dit via andere oplossingen van DocuSign France wel mogelijk is tegen extra kosten. Aangezien zowel geavanceerde handtekeningen als gekwalificeerde handtekeningen volgens eIDAS gebaseerd zijn op certificaten, is de meest voorkomende vorm van ondertekening met DocuSign van het type 'Eenvoudig'.
Er zijn verschillende mogelijkheden om de zekerheid te vergroten dat de beoogde partij daadwerkelijk het document ondertekent. Omdat de controle die de ondertekenaar heeft over het ondertekenmiddel niet echt wordt vergroot, blijft eenvoudige ondertekening in de context van de Europese regels hetzelfde.
Bovenstaande schermafdruk toont een ondertekend PDF document in Adobe Reader. De blauwe balk bovenin geeft aan dat het document een of meer elektronische handtekeningen bevat (technisch van het type dat geplaatst wordt met een privesleutel en publieke sleutel. Maar wanneer het certificaat dat bij de handtekening hoort wordt geopend - de pop-up in de screenshot- dan blijkt dat het niet door een mens is getekend, maar door DocuSign zelf als ondertekenaar. Dat is de zogenaamde timestamp niet bewijst dat het document ten tijde van (eenvoudig) ondertekenen deze inhoud had, met een verwijzing naar het vastgelegde ondertekenproces (de “enveloppe”).
Box Sign
Box is leverancier van de Box content cloud, een document management systeem en samenwerkingsplatform uit de cloud. In 2021 heeft Box de Amsterdamse startup SignRequest overgenomen en dit product volledig geïntegreerd in haar eigen product. Met Box Sign kunnen documenten ad hoc worden ondertekend door meerdere mensen, maar het kan ook worden geïntegreerd in een Box workflow. Workflows maken ook deel uit van de content cloud. Box Sign kan onbeperkt worden gebruikt wanneer een organisatie de Box content cloud gebruikt.
Box behandelt het ondertekenproces in de basis op dezelfde manier als DocuSign, waarbij ondertekenaars in principe worden geïdentificeerd via toegang tot hun e-mailadres. Optioneel kan er gebruik worden gemaakt van SMS-verificatie of een wachtwoord om er zeker van te zijn dat de juiste partij zijn handtekening plaatst.
Ook bij ondertekening door Box geldt dat de handtekening die uiteindelijk wordt geplaatst kwalificeert als ‘eenvoudige’ ondertekening naar de normen van de regelgeving. Weliswaar maakt Box beter gebruik van de de techniek om geavanceerde of gekwalificeerde handtekeningen te plaatsen, het middel om dat te doen is niet onder exclusieve controle van de ondertekenaar, maar van Box. Hierdoor blijft de kwalificatie ‘eenvoudig’.
De schermafdruk hierboven toont een document dat door 5 ondertekenaars is ondertekend met Box Sign. Box maakt beter gebruik van de ondertekentechniek, omdat er daadwerkelijk 5 elektronische handtekeningen zijn geplaatst en zichtbaar zijn in het document. De ondertekeningen zijn gebaseerd op de PKI-techniek zoals boven omschreven.
Waar DocuSign een cryptografische ‘timestamp’ plaatst met een verwijzing naar procesvastlegging in de systemem van DocuSign, laat Box iedere ondertekenaar zelf een handtekening in het document plaatsen. In de screenshot is zichtbaar dat weliswaar een handtekening per ondertekening wordt geplaatst (het document uit de screenshot is 5 keer ondertekend), maar er is niet ondertekend met een sleutel van de ondertekenaar, maar met een sleutel van “Box, Inc”.
Ook Box legt het ondertekenproces vast in haar systemen, wat bij gebruik van een eenvoudige ondertekening essentieel is om als bewijs te kunnen dienen omdat niet vertrouwd kan worden op de elektronische handtekening zelf. Box heeft wel een slimmere aanpak voor het vastleggen van het proces dan DocuSign, omdat het procesverloop ook in het document zelf wordt vastgelegd door voor iedere ondertekenaar een handtekening in het document te plaatsen. Deze toont aan dat gebruiker X op moment Y ondertekende. Hierdoor kan het document zelf ook dienen als bewijs, waarbij bij gebruik van Docusign de “enveloppe” (vastlegging van het proces) in de systemen van DocuSign nodig is voor de bewijsvoering.
Dit laatste maakt duidelijk dat Box bij het ontwerp van de oplossing oog heeft gehad voor de onafhankelijke archivering van de ondertekende documenten, zoals het een document-managementsysteem betaamt.
Box heeft op dit moment geen mogelijkheden om gebruik te maken van een geavanceerde of gekwalificeerde handtekening via haar ondertekenfunctie.
5️⃣ 🎉 Conclusie
De Europese Commissie heeft in 2014 wetgeving geïnitieerd om het online vertrouwen op een vergelijkbaar niveau te brengen als bij ondertekening met een fysieke handtekening. We kunnen vaststellen dat deze mogelijkheden echter maar zeer beperkt worden benut. Dit heeft enerzijds te maken met het feit dat de meeste clouddiensten worden geleverd door Amerikaanse leveranciers. Deze leveranciers ontwikkelen hun diensten primair voor de Amerikaanse markt, waarbij er minder aandacht is voor online 'vertrouwen' in de wetgeving en meer wordt overgelaten aan de vraag in de markt. Als gevolg hiervan zijn er slechts eenvoudige mogelijkheden beschikbaar om te ondertekenen vanuit de cloud.
Een andere reden is dat de inhoud achter elektronisch ondertekenen dusdanig complex is dat de meeste mensen zich er niet in kunnen verdiepen. Op die manier ontstaat een de-facto standaard waar geen vragen meer over worden gesteld. Andere partijen gebruiken het immers ook en de passendheid wordt verder aangenomen.
Ook eenvoudige elektronische handtekeningen zijn rechtsgeldig in de Europese (en dus nationale) wetgeving. Bij een geschil hierover zal wel voor de rechter aangetoond moeten worden dat de ondertekening geldig was, door te wijzen op de maatregelen in het proces die tot die zekerheid zouden moeten leiden. Alleen bij de gekwalificeerde handtekeningen kan volstaan worden met de handtekening zelf en bestaat geen afhankelijkheid van de leverancier van het ondertekenproces.
Door onduidelijke formuleringen in de eIDAS-wetgeving is er vrijwel geen implementatie van gekwalificeerde elektronische handtekeningen waarbij de privésleutel in de cloud wordt beheerd. Hierdoor is het op dit moment nog steeds noodzakelijk om gekwalificeerd te ondertekenen met een fysiek 'token', wat de implementatie in ondertekenprocessen complexer maakt. In de komende update van de eIDAS-regelgeving (verwacht in 2025) wordt deze onduidelijkheid weggenomen. Op basis daarvan zullen er mogelijkheden ontstaan om documenten gemakkelijker op hoog betrouwbaarheidsniveau online te ondertekenen.
De besproken leveranciers implementeren vooral een proces van ondertekenen. Daarin worden wel zekerheden ingebouwd om te weten die het document ondertekent, maar er wordt beperkt gebruik gemaakt van de best-practices uit de technologie, laat staat uit de regelgeving. In de vergeleken handtekeningen doet Box dat nog het meest.
Mijn verwachting is dat gebruikers in de toekomst een gekwalificeerd certificaat zullen aanschaffen voor ondertekening, en dat ze dit kunnen gebruiken in de ondertekenprocessen van diensten zoals Box en DocuSign. Toonaangevende partijen zoals Adobe werken momenteel samen in het 'Cloud Signature Consortium' aan de ontwikkeling van een standaard hiervoor.
✋🏼 Aanbod
Ik hoop dat dit artikel de juridische en technische achtergrond van elektronisch ondertekenen duidelijker heeft gemaakt dat het tot nu toe voor je was. Als er een ding duidelijk zal zijn, is dat het complexe materie is met verschillende perspectieven en ook verschillende interpretaties door auditors en aanbieders van oplossingen.
Wil je hulp bij het beoordelen van de wijze van elektronische ondertekening die je tot nu toe gebruikt? Neem dan contact op met Koen Bonnet via koen.bonnet@cloudguide.nl of 06-24228138. Ik bied aan om voor de eerste 10 mensen die reageren de handtekening kosteloos te beoordelen op het wettelijke betrouwbaarheidsniveau en als gevolg daarvan de juridische waarde. Als je me belt, stuur dan eerst een sms of iMessage om je belletje aan te kondigen.