Rechtsgeldigheid digitale handtekening: waar moet je op letten?

De digitale handtekening heeft in 2018 zijn echte intrede gemaakt in de accountancybranche. Regelgevende instanties en overheden maken steeds meer gebruik van digitale handtekeningen. Zo zijn middelgrote bedrijven verplicht om hun jaarrekening (vanaf boekjaar 2017) te deponeren inclusief een ondertekende digitale controleverklaring van de accountant. Inmiddels is het digitaal ondertekenen een belangrijk onderdeel in de werkzaamheden van kantoor. Maar toch blijft het een complex onderwerp. Hoe moet ik tekenen? Welke handtekening moet ik gebruiken? Heb ik altijd een beroepscertificaat nodig? En wanneer is een handtekening rechtsgeldig? Dit zijn veel voorkomende vragen in de accountancybranche.

Hoe moet de ondertekening plaatsvinden?

Voor de accountancybranche is het van belang om onderscheid te maken tussen ondertekeningen die plaatsvinden door het kantoor of tussen het kantoor en de klant/derde partij. Uit de praktijk blijkt dat de meeste ondertekeningen slechts door één partij worden uitgevoerd. Zo tekent de accountant bijvoorbeeld de pdf-versie van de verklaring bij de jaarrekening. Ondertekeningen die vanuit het kantoor zijn eenvoudiger aan te tonen dan ondertekeningen door meerdere partijen.

Zodra een document ondertekend wordt door zowel het kantoor als de klant, is het van belang om de regels te volgen volgens de eIDAS-verordening. Zo moet op een betrouwbare wijze worden vastgesteld dat de handtekening verbonden is met de ondertekenaar. Gebruik hiervoor een tweefactorauthenticatie zoals sms of een externe app. Hoe hoger het niveau van ondertekenen, hoe nadrukkelijker moet worden vastgesteld dat het document ondertekend is door de beoogde ondertekenaar(s).

eIDAS-verordening: drie soorten niveaus

Om de rechtsgeldigheid te begrijpen is het belangrijk om kennis te hebben van de drie soorten digitale handtekeningen: 1) de gewone digitale handtekening, 2) de geavanceerde digitale handtekening en 3) de gekwalificeerde digitale handtekening. In de eIDAS-verordening zijn de regels over het gebruik neergelegd. Door de verordening is de digitale handtekening binnen de Europese Unie beter geharmoniseerd en juridisch erkend.

1. De gewone digitale handtekening
   De gewone digitale handtekening is slechts geschikt voor overeenkomsten met een laag juridisch risico. Een gewone handtekening voldoet niet aan artikel 3:15 BW, lid 2 van het burgerlijk wetboek in Nederland waardoor het afdwingen van recht zeer moeilijk is. Zo ligt bijvoorbeeld niet vast dat de ondertekenaar de persoon is die moet ondertekenen en kan de inhoud achteraf gewijzigd worden.
2. De geavanceerde digitale handtekening
   De geavanceerde handtekening is betrouwbaarder en veiliger dan de gewone digitale handtekening. Gegevens zoals afzender, document en tijdstip worden vastgelegd, waardoor traceerbaarheid gewaarborgd is. Het is geschikt voor overeenkomsten met gemiddeld juridisch risico. Aan de geavanceerde digitale handtekening worden meer eisen gesteld dan aan de gewone digitale handtekening. De eIDAS-verordening bepaalt dat de handtekening:
   1. op een unieke wijze aan de ondertekenaar verbonden is;
   2. het mogelijk maakt om de ondertekenaar te identificeren;
   3. tot stand komt met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken;
   4. op zodanige wijze aan de ondertekende gegevens verbonden is, dat elke wijziging van de gegevens achteraf kan worden opgespoord.
3. De gekwalificeerde digitale handtekening
   Het hoogste betrouwbaarheidsniveau kan worden bereikt met een gekwalificeerde handtekening. Naast de vereisten voor een geavanceerde elektronische handtekening, moet dit type handtekening aan twee aanvullende voorwaarden voldoen: (a) worden gemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen, en (b) gebaseerd zijn op een gekwalificeerd certificaat voor elektronische handtekeningen. De gekwalificeerde certificaten mogen alleen worden uitgegeven door een gecertificeerde Quality Trust Service Provider (QTSP). Deze QTSP worden gecontroleerd door Agentschap Telecom. Zo werkt PinkWeb voor SBR Assurance bijvoorbeeld met persoonsgebonden beroepscertificaten in de cloud, verzorgd door de gekwalificeerde certificaatautoriteit KPN.Accountants maken gebruik van de gekwalificeerde handtekening uitsluitend voor verklaringen bij de jaarrekening als ze zijn ingeschreven bij het NBA en beschikken over een persoonsgebonden beroepscertificaat. Elke ondertekening wordt dan gedaan met dit certificaat, waarbij steeds de validiteit van de inschrijving bij de NBA wordt gecheckt.

Rechtsgeldigheid digitale handtekening

Hoewel alle digitale handtekeningen rechtsgeldig zijn, worden alleen gekwalificeerde digitale handtekeningen wettelijk gelijkgesteld aan authentieke (handgeschreven) handtekeningen. Dit geldt binnen de gehele EU. De andere niveaus van digitale handtekeningen worden als gelijkwaardig beschouwd aan handgeschreven handtekeningen, op voorwaarde dat ze voldoende betrouwbaar zijn. Het is noodzakelijk om per situatie te beoordelen welke bewijskracht vereist is en welke veiligheids- en identificatie-eisen van toepassing zijn. De rechtsgevolgen van zowel gewone als geavanceerde digitale handtekeningen in het Nederlands recht zijn vastgelegd in artikel 3:15a BW.

De Nederlandse wet bepaalt hierover in artikel 3:15a BW:

“Evenals een elektronische gekwalificeerde handtekening als bedoeld in artikel 3, onderdeel 12, van verordening (EU) nr. 910/2014 van het Europees parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronisch transacties in de interne markt en tot intrekking van richtlijn 1999/93/EG (PbEU 2014, L 257) hebben een geavanceerde elektronische handtekening als bedoeld in onderdeel 11, en een andere elektronische handtekening als bedoeld in onderdeel 10, van artikel 3 van deze verordening dezelfde rechtsgevolgen als een handgeschreven handtekening, indien voor deze beide elektronische handtekeningen de methode voor ondertekening die gebruikt is voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische handtekening is gebruikt en op alle overige omstandigheden van het geval.”

Jurisprudentie: praktijkvoorbeeld

In de zaak met referentienummer ECLI:NL:RBZWB:2020:4817 oordeelde de kantonrechter van de Rechtbank Zeeland-West-Brabant dat de elektronische ondertekening van een geldleningsovereenkomst en borgtochtovereenkomst met Adobe Sign onvoldoende betrouwbaar was. De ondertekenaar betwistte de digitale handtekening en werd in het gelijk gesteld. De kantonrechter concludeerde dat het verificatieproces van de geldverstrekker niet voldoende gericht was op de vertegenwoordigingsbevoegdheid van de ondertekenaar en dat de gebruikte methode een groot risico op misbruik met zich meebracht.

Hoewel de elektronische handtekening enigszins verbonden was aan de ondertekenaar, was het niet duidelijk of het telefoonnummer exclusief door de ondertekenaar werd gebruikt. Gezien de omstandigheden en het hoge bedrag waarvoor de borgstelling gold, kon de methode van ondertekening niet als voldoende betrouwbaar worden beschouwd en werd de handtekening niet gelijkgesteld aan een handgeschreven handtekening.

Het is dus belangrijk om aandacht te besteden aan het inrichten van het ondertekeningsproces. Als accountantskantoor wil je voldoen aan de wettelijke regels en de veiligheid van het ondertekeningsproces waarborgen. Tegelijkertijd wil je het jouw medewerkers en de klant zo gemakkelijk mogelijk maken om te ondertekenen. Zo streef je naar het verder optimaliseren van je processen en een naadloze samenwerking met klanten.

Meer over het belang van een soepel digitaal ondertekenproces