In 2016 is een nieuwe Europese verordening in werking getreden, officieel genaamd Verordening (EU) Nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG. Een hele mond vol, en in de praktijk wordt aan deze nieuwe wet gerefereerd als eIDAS. Deze complexe wetgeving regelt een heleboel zaken, maar trekt onder andere het gebruik en de waarde van elektronische handtekeningen gelijk in de hele Europese unie.
Het Nederlandse burgerlijk wetboek is aangepast door eIDAS. Net zoals in de oude situatie blijven er drie soorten elektronische handtekeningen bestaan.
de “gewone” elektronische handtekening (SES),
de “geavanceerde” elektronische handtekening (AES), en
de “gekwalificeerde” elektronische handtekening (QES).
De gewone elektronische handtekening (SES)
Een elektronische handtekening heeft dezelfde rechtsgevolgen als een handgeschreven handtekening, indien de methode die daarbij is gebruikt voor ondertekening voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische handtekening is gebruikt en op alle overige omstandigheden van het geval.
Met andere woorden: je moet kijken naar het doel van de elektronische krabbel en beoordelen of je daarvoor een voldoende betrouwbare handtekening hebt gebruikt. Best een open norm, volgens ons.
Voldoende betrouwbaarheid staat in relatie tot het doel (of belang) van de overeenkomst. Hoe groter het belang, hoe betrouwbaarder de handtekening moet zijn en hoe zekerder de verzender dus moet zijn van de identiteit van de ondertekenaar.
We kunnen daarmee ook concluderen, dat bij een voldoende betrouwbare elektronische handtekening je ondertekende overeenkomst dwingend bewijs oplevert.
Het vaststellen van de identiteit van de ondertekenaar is een heel belangrijk element om de betrouwbaarheid van de elektronische handtekening vast te stellen. Hoe belangrijker het contract, hoe zekerder je moet weten wie de elektronische handtekening heeft gezet.
Via Stiply ontvangt de ondertekenaar een e-mail met een unieke link om te ondertekenen. Het e-mailadres van de ondertekenaar is in principe alleen voor de ondertekenaar toegankelijk. Daardoor weet de verzender van het contract al vrij zeker dat het de gewenste persoon is die tekent. (Andere personen ontvangen de e-mail niet en kennen de unieke link ook niet.) De authenticiteit heeft daardoor een zekere mate van betrouwbaarheid: alleen de ontvanger van de e-mail kan het document immers ondertekenen.
Daarbij logt Stiply een aantal andere gegevens van de ondertekenaar tijdens het ondertekenproces, zoals het IP-adres, browsergegevens en de locatie (mits daarvoor toestemming wordt gegeven). Die gegevens dragen ook bij aan de betrouwbaarheid van de authenticiteit.
De betrouwbaarheid van de authenticiteit wordt hiermee ruim voldoende gewaarborgd voor eenvoudige contracten. Echter, zoals gezegd, hoe belangrijker het contract, hoe groter de betrouwbaarheid van authenticatie moet zijn.
Om die reden biedt Stiply een extra authenticatie-mogelijkheid aan in de vorm van SMS-authenticatie. De ontvanger krijgt dan per sms een unieke code die moet worden ingevuld voordat het document kan worden geopend of ondertekend. In combinatie met de unieke link en de loggegevens wordt de authenticiteit van de ondertekenaar nog eens extra gewaarborgd.
Stiply genereert uit het ondertekende document bovendien een unieke code. Als ook maar één letter in het getekende document wordt aangepast, dan kun je dat achteraf opsporen met die code. Daarmee wordt de integriteit van het document gewaarborgd.
De geavanceerde elektronische handtekening:
Het grootste voordeel van de geavanceerde elektronische handtekening boven de gewone elektronische handtekening is dat je bij een geavanceerde elektronische handtekening een zogenaamd vermoeden van voldoende betrouwbaarheid krijgt. De wet gaat er bij deze elektronische handtekeningen dus alvast vanuit dat je aan de eis van voldoende betrouwbaarheid hebt voldaan, tenzij het tegendeel wordt bewezen. Dit is dus een bewijsrechtelijk voordeeltje ten opzichte van de gewone elektronische handtekening, waarbij je zelf moet kunnen aantonen dat de methode voor authenticatie voldoende betrouwbaar is. De geavanceerde elektronische handtekening levert dus ook dwingend bewijs op.
De wet stelt aan de geavanceerde elektronische handtekening vier eisen:
Zij is op unieke wijze aan de ondertekenaar verbonden;
zij maakt het mogelijk de ondertekenaar te identificeren;
zij komt tot stand met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitend controle kan gebruiken,
zij is op zodanige wijze aan de daarmee ondertekende gegevens verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.
Zoals hierboven beschreven is identificatie het allerbelangrijkste om de betrouwbaarheid van de elektronische handtekening mee te beoordelen. Hoe zekerder je weet wie de ondertekenaar is, hoe sterker de elektronische krabbel. In tegenstelling tot de gewone elektronische handtekening, moet je voor de geavanceerde elektronische handtekening een identificatiemiddel met een hoog vertrouwensniveau gebruiken.
Daarnaast biedt Stiply ook de mogelijkheid aan om je ondertekenaar via zijn bank te laten identificeren. Deze methode, IDIN genaamd, is een zeer sterke methode van online identificatie, zodat je ook bij hele belangrijke contracten een voldoende betrouwbare identificatiemethode kunt gebruiken.
Met IDIN kan via Stiply een geavanceerde elektronische handtekening worden geplaatst, waarmee dwingend bewijs wordt verkregen. Let wel, ook met de gewone elektronische handtekening kan gewoon dwingend bewijs worden verkregen mits de betrouwbaarheid voldoende is in verhouding tot het belang van het contract.
Net als bij de Gewone Elektronische handtekening (SES) werkt Stiply met een code om de integriteit van het document te waarborgen. Bovendien werkt Stiply samen met het Zwitserse bedrijf Swisscom dat als trusted third party (TSP) optreedt en de door Stiply ondertekende contracten kan voorzien van een timestamp en een digital signing certificate. Door hiervan gebruik te maken zal het ondertekende PDF-document worden voorzien van een elektronisch zegel. In Adobe Acrobat zie je dan dat het document geldig digitaal ondertekend is. Als iemand rommelt met de inhoud van het document, dan breekt dit zegel en zo kunnen wijzigingen naderhand altijd worden opgespoord. Deze AES signing certificaten zijn standaard bij een ondertekenverzoek waar IDIN wordt gebruikt.
De gekwalificeerde elektronische handtekening:
Ten slotte is er nog een derde soort handtekening: de zogenaamde gekwalificeerde elektronische handtekening (QES). Deze komt tot stand door een unieke persoonlijke code van een ondertekenaar te koppelen aan het document (via een zogenaamde cryptografische techniek). De gekwalificeerde elektronische handtekening (QES) is daarbij nog veiliger omdat de persoonlijke code dan door een speciale certificeringsinstantie aan de ondertekenaar wordt verstrekt, bijvoorbeeld op een smartcard, persoonlijke token of USB-stick. Om hieraan te voldoen moet iedere ondertekenaar zich bij een speciaal bedrijf identificeren, en daarna voortaan via een smartcard of usb token zijn of haar elektronische handtekening zetten. Een belangrijk verschil van QES ten opzichte van SES of AES is dat een gekwalificeerde elektronische handtekening (QES) enkel na een officiële audit kan worden uitgegeven. Er is speciale regelgeving en een set aan eisen voordat een aanbieder kan en mag claimen een gekwalificeerde elektronische handtekening aan te bieden of te laten gebruiken. Één van de aanvullende eisen is ook het plaatsen van een gekwalificeerd certificaat, dat is uitgegeven door een gekwalificeerde Trust Service Provider (QTSP).
De gekwalificeerde elektronische handtekening is een prachtig middel om online transacties op het allerhoogste niveau te faciliteren, maar gezien de vooralsnog lage dekkingsgraad van gekwalificeerde identificatiemiddelen wordt deze oplossing praktisch nog zeer beperkt ingezet. Stiply zet een ondertekenoplossing neer voor digitaal ondertekenen waarbij een groot draagvlak cruciaal is. Wij volgen de ontwikkelingen op dit gebied vanzelfsprekend nauwlettend en ons systeem is zo ingericht dat we eenvoudig nieuwe identificatiemiddelen kunnen toevoegen. Zodra er een identificatiemiddel voor gekwalificeerd ondertekenen beschikbaar komt dat een voldoende breed draagvlak geniet zal Stiply dit aan de ondertekenoplossing toevoegen.
Digitale handtekeningen die met Stiply zijn gezet in ieder geval gewone elektronische handtekeningen. Deze zijn gewoon rechtsgeldig. Zorg er wel voor dat hoe belangrijker het contract is, hoe beter je de identiteit van de ondertekenaar vaststelt. Kies bijvoorbeeld een aanvullende authenticatie zoals SMS-authenticatie of IDIN bij belangrijkere contracten. Door gebruik te maken van IDIN zullen de handtekeningen die met Stiply gezet zijn mogelijk aan de eisen van de geavanceerde elektronische handtekening (AES).
Daarnaast kunnen digitale handtekeningen die met Stiply zijn gezet ook altijd worden opgevoerd als vrij bewijs. Door alle extra waarborgen geeft Stiply zeer sterk vrij bewijs (veel sterker dan enkel een e-mail met een paar afspraken bijvoorbeeld).