Gartner: Entrust benoemd tot leider in identiteitsverificatie.

Open webportaal Support
Signhost logoSignhost logo
Log in

Elektronische handtekening in de praktijk + drie organisaties waar het fout ging

Team Signhost

October 15, 2024

image

Men verwacht dat de wereldwijde markt voor elektronische handtekeningen van 3,92 miljard US dollar in 2022, zal stijgen naar 43,14 miljard in 2030. Iets dat onder andere komt door de toename van werken op afstand en de inspanningen om zaken doen buiten de eigen landsgrenzen binnen de EU makkelijker te maken. De mogelijkheid om rechtsgeldige elektronische handtekeningen toe te voegen aan officiële documenten is dan ook onmisbaar voor deze toekomstige manier van werken. 

In de Verenigde Staten heeft de Internal Revenue Service (IRS) - de belastingdienst van de VS - ermee ingestemd dat belastingplichtigen documenten elektronisch mogen blijven ondertekenen. Terwijl de elektronische handtekening eigenlijk een tijdelijke maatregel was tijdens de pandemie. 

Als gebruikers eenmaal bekend zijn met het gemak van elektronische handtekeningen in de praktijk, is de kans groter dat ze deze ook in de toekomst willen integreren in hun dagelijks leven. In het Verenigd Koninkrijk heeft zelfs twee derde van de gebruikers van elektronische handtekeningen zich al in 2020 aangemeld voor deze dienst. In dit korte tijdsbestek liet 66% van de respondenten weten dat ze van plan zijn vaker elektronisch te ondertekenen.

In dit artikel lees je de best practices voor elektronische handtekeningen. Plus de ervaringen van een aantal bedrijven over de uitdagingen die ze tegenkwamen, bij het elektronisch ondertekenen van documenten. 

De wetgeving omtrent e-signatures in Europa

De wet- en regelgeving over elektronische handtekeningen verandert continu. Tot 2000 was de enige legale vorm van een handtekening handgeschreven, ook wel een natte handtekening genoemd. Hieronder de relevante wetgeving tot nu toe:
 

WetgevingEffect op elektronische handtekeningen 
eSignature richtlijn (2000)Stelt de rechtsgeldigheid vast van het gebruik van digitale handtekeningen voor documenten binnen de Europese Unie.
eIDAS-verordening (2016)Deze verordening zorgt voor een uniforme EU-richtlijn voor elektronische handtekeningen. Er staat ook in dat documenten geen rechtsgeldigheid kunnen worden ontzegd, omdat een handtekening in elektronische vorm is gezet.
eIDAS 2.0 (geschat voor 2026)Verhoogt de veiligheid voor het gebruik van elektronische handtekeningen, waaronder het toevoegen van een elektronische handtekening aan de EU Wallet (European Digital Identity Wallet, EUDI).

Er zijn drie erkende soorten elektronische handtekeningen in de EU en dit zijn: 

  • Standaard Elektronische Handtekening (SES) – Een eenvoudige manier om iets te bevestigen of accepteren, ook wel de Simple Electronic Signature genoemd.
  • Geavanceerde Elektronische Handtekening (AES) – Met een Advanced Electronic Signature kan de ontvangende partij de identiteit van de ondertekenende partij controleren, maar niet verifiëren. Deze vorm is veiliger dan een SES.
  • Qualified Electronic Signature (QES) – De veiligste soort e-signature, die niet onderdoet aan een handgeschreven handtekening. Voor deze Qualified Electronic Signature zijn verificatiemethoden vereist, om de identiteit van de ondertekenaar te controleren. 

Elektronische handtekening best practices

Als je erover denkt om digitale handtekeningen te gaan gebruiken voor het accepteren van documenten, dan zorgen onderstaande stappen voor het beste resultaat: 

De wetgeving begrijpen

Om te genieten van alle voordelen van elektronische ondertekening zonder in strijd te zijn met de wet, dien je op de hoogte te zijn van de huidige regelgevingen. Punten om extra op te letten zijn: de verschillende soorten handtekeningen in de eIDAS-verordening, de mate van hun rechtsgeldigheid, de technische vereisten en de lijst vertrouwenslijsten van de EU met de vertrouwensdienstverleners

 

Door te begrijpen welke wettelijke rol handtekeningen spelen en hoe organisaties ze kunnen inzetten, kun je ze effectiever toepassen in al je eigen bedrijfsprocessen.

Stem je behoeften af op de soorten handtekeningen die beschikbaar zijn 

Bedenk welke taken je wil uitvoeren met behulp van elektronische handtekeningen. Stel vervolgens vast wat de vereisten zijn voor iedere taak, om het bijbehorende veiligheidsniveau te bepalen.

Stel dat een groot deel van de documenten die ondertekend moeten worden geen groot veiligheidsrisico hebben, zoals interne PDF-bestanden. Dan kunnen deze worden ondertekend met een SES, aangezien ze geen streng identificatie- en verificatieproces vereisen. 

 

Als je daarentegen elektronische handtekeningen wil gebruiken voor arbeidscontracten, non-disclosure overeenkomsten of hypotheekcontracten, dan is een QES beter. 

 

Weeg de risico's die gepaard gaan met bepaalde taken af tegen de kosten van het soort handtekening. Houd ook rekening met de potentiële juridische schade, bij het gebruik van een te laag veiligheidsniveau.

Kies hoe je elektronische handtekeningen aanbiedt

Er zijn twee opties om belanghebbenden juridische documenten elektronisch te laten ondertekenen. De eerste optie is het ontwerpen van een eigen systeem voor intern gebruik. Deze moet uiteraard wel voldoen aan de eIDAS-verordening.
 

De andere optie is samenwerken met een software ontwikkelaar van elektronische handtekeningen, zoals Entrust Signhost.  Zij kunnen zorgen voor een webportaal voor het aanvragen van elektronische handtekeningen. Evenals het toevoegen van deze optie aan je eigen site, via een application programming interface (API).
 

Bij de laatste optie hoeven gebruikers enkel het document te uploaden, een verificatiemethode te selecteren en het document te versturen voor ondertekening.

Een beleid opstellen voor elektronisch ondertekenen

Als er verschillende methodes worden gebruikt voor het ondertekenen van documenten, is het belangrijk dat het duidelijk is welke risicocategorieën er zijn. En natuurlijk welk beschermingsniveau moet worden gebruikt voor een bepaald soort document. 

 

Zorg ervoor dat alle belanghebbenden toegang hebben tot dit beleid. Biedt trainingen aan, om ervoor te zorgen dat iedereen begrijpt welke soorten elektronische handtekeningen er zijn en wanneer ze moeten worden gebruikt. Bespreek de verantwoordelijkheden van de organisatie en de wet met betrekking tot elektronische identificatie in het algemeen (eID). 

Drie bedrijven die uitdagingen aangingen op het gebied van e-signature

Case studie: “Duim omhoog” emoji

Het Canadese agrarische bedrijf SWT heeft in 2023 een landbouwbedrijf aangeklaagd met de naam “Achter”. Het ging om een overeenkomst voor het kopen van vlas (een gewas). Een vertegenwoordiger van SWT had per sms een afbeelding van een contract gestuurd aan de eigenaar van Achter, met het verzoek om een zending vlas voor 17 Canadian dollar per bushel goed te keuren. De afzender had hierbij geschreven "Gelieve het vlas-contract te bevestigen", waarop de ontvanger reageerde met een duim omhoog emoji. 

Achter leverde het vlas niet en SWT klaagde het bedrijf aan wegens contractbreuk. SWT beweerde dat de duim omhoog een aanvaarding van het contract was. Terwijl Achter van mening was dat het slechts een bevestiging was dat ze het aanbod hadden ontvangen. 

De rechtbank oordeelde echter dat de duim omhoog wel degelijk een contractuele overeenkomst betekende en kon worden gezien als een juridische handtekening. De rechtbank haalde eerdere overeenkomsten tussen de twee partijen aan,  waarbij de vertegenwoordiger van Achter eerder op soortgelijke berichten had geantwoord met opmerkingen als "ok", "yup", of "ziet er goed uit" voordat de goederen werden geleverd. Achter moest uiteindelijk een schadevergoeding betalen van 82.000 Canadian dollar

Dit laat zien dat een eenvoudige elektronische handtekening vele vormen kan aannemen en dat organisaties nauwkeurig moeten zijn in hun woordkeuze tijdens het sluiten van deals. Bij het accepteren van contracten is het verstandig om te kiezen voor een methode waar je op kunt terugvallen. Met een QES zou de bewijslast in dit geval bij de ondertekenaar liggen, wat ervoor zorgt dat een contract juridisch kan worden afgedwongen.

Case studie: Overeenkomst voor een lening

Een Nederlandse man vroeg een lening aan voor zijn bedrijf bij Swishfund. Tegelijkertijd ondertekende hij ook een contract voor een persoonlijke lening. Zijn bedrijf ging echter failliet voordat de lening was terugbetaald. Swishfund vroeg de garantsteller om het resterende bedrag van €14.776,57 te betalen, maar de man weigerde omdat hij de garantieovereenkomst niet had ondertekend.

Swishfund besloot vervolgens om de man voor de rechter te slepen, aangezien ze de overeenkomst met Adobe Sign hadden gemaild. Hij had destijds een SMS-verificatiecode ingevoerd om de overeenkomst te kunnen openen. De man had het document vervolgens geparafeerd en ondertekend, waarna Adobe Sign een waarmerk aanmaakte om verdere bewerkingen te voorkomen.

De rechtbank vond echter dat het geen QES of zelfs geen AES was, wat betekende dat de handtekening niet voldoende was om te bewijzen dat de man had toegestemd met de garantieovereenkomst. 

Swishfund had volgens de rechtbank te weinig due diligence uitgevoerd naar het bedrijf in kwestie. Ze bezaten slechts één identificatiebewijs van de man persoonlijk en ze konden niet bewijzen dat ze hadden geprobeerd hierover contact op te nemen. Het identificatieproces schoot volgens de rechtbank tekort om fraude tegen te gaan en de man hoefde het resterende bedrag niet te betalen
 

Deze situatie laat zien dat het kiezen van het juiste veiligheidsniveau voor een elektronische handtekening voor een specifiek document essentieel is. Voor een contract van duizenden euro’s kan een tekort aan veiligheidsmaatregelen je duur komen te staan. 

Case studie: Een trein kopen

In 2021 ondertekende de Oostenrijkse spoorwegen ÖBB een overeenkomst met de Zwitserse treinfabrikant Stadler, voor de aanschaf van een vloot dubbeldekstreinen. Het contract van €3 miljard stond klaar, totdat een concurrerende fabrikant de handtekening op de overeenkomst in twijfel trok

Stadler had zoals gevraagd een gekwalificeerde elektronische handtekening gebruikt, maar deze was afkomstig van een Zwitserse Trust Service Provider. Ondanks de nauwe banden tussen Zwitserland met de EU en de Europese Economische Ruimte (EER), is het land geen lid van de EU. Waardoor de handtekening niet werd erkend als rechtsgeldig in Europa

De Zwitserse QES is vrijwel identiek aan de EU-versie. Hoewel het mogelijk is om een erkenningsovereenkomst te sluiten tussen beide landen, was dit niet gebeurd en werd het contract nietig verklaard. De ÖBB gunde het nieuwe contract in een later stadium echter opnieuw aan Stadler. 
 

Deze case studie laat zien hoe belangrijk het is om kennis te hebben van de rechtsgeldigheid van handtekeningen. Dankzij de eIDAS kunnen er samenwerkingen plaatsvinden tussen alle EU- en EER-lidstaten, maar je moet extra voorzichtig zijn bij het aangaan van overeenkomsten met landen buiten de EU. 

FAQ

Wat valt in de EU onder een rechtsgeldige elektronische handtekening? 

Elektronische handtekeningen moeten voldoen aan de eIDAS-verordening. Hierin staan de eisen die worden gesteld aan elektronische handtekeningen, om in de hele EU als wettelijk bindend te worden beschouwd. 

Kunnen elektronische handtekeningen voor alle soorten contracten worden gebruikt in de EU?

Je kunt elektronische handtekeningen gebruiken voor alle contracten binnen de EU. In de eIDAS staat namelijk dat een e-signature niet mag worden afgewezen omdat deze in digitale vorm is. Het is wel belangrijk om het beveiligings- en risiconiveau af te stemmen op het soort document waarvoor je de handtekening wil gebruiken.

Hoe kunnen bedrijven de identiteit van iemand verifiëren die elektronisch ondertekent? 

Bedrijven kunnen verschillende methoden gebruiken, waaronder sms-verificatie, bevestiging per e-mail, digitale ID-verificatiediensten of biometrische gegevens. Dit hangt af van de zekerheid die de eIDAS-verordening vereist en het eigen veiligheidsbeleid van de organisatie zelf. 

Hoe kan de wettelijke erkenning van grensoverschrijdende elektronische handtekeningen binnen de EU worden gegarandeerd?

Voor grensoverschrijdende erkenning is het essentieel dat een elektronische handtekening wordt aangemaakt via een oplossing die voldoet aan de eIDAS-normen. Door te kiezen voor een erkende dienstverlener die op de EU-vertrouwenslijsten staat, zorgt dit voor een acceptatie door andere lidstaten.

Telt een e-mail als handtekening?

Volgens de eIDAS-verordening kan een e-mail worden beschouwd als onderdeel van een elektronisch handtekeningsproces, maar voldoet op zichzelf staand niet altijd aan de normen voor een elektronische handtekening. De verordening maakt namelijk onderscheid tussen verschillende soorten elektronische handtekeningen. De geldigheid van een e-mail als handtekening hangt dus af van de context en specifieke eisen, zoals de intentie om te ondertekenen en de authenticiteit van de identiteit van de ondertekenaar. 

Conclusie

Door de best practices voor elektronische handtekeningen te volgen, kun je een aantal valkuilen vermijden die andere organisaties wel zijn overkomen. Bij het implementeren van elektronische handtekeningen is het namelijk belangrijk om het juiste proces te volgen. Zodat ze voldoen aan de wettelijke eisen en je weet dat er geen twijfels bestaan over de authenticiteit. 

Entrust Signhost biedt deze dienst aan. Zo kunnen bedrijven profiteren van een naadloze integratie in het huidige systeem en de mogelijkheid om te ondertekenen met elk apparaat en vanaf iedere locatie. Maak vandaag nog gratis gebruik van Entrust Signhost.

Referenties en meer te lezen

 

*Disclaimer: Deze content is geen juridisch advies. De geschiktheid, afdwingbaarheid of toelaatbaarheid van elektronische documenten zal waarschijnlijk afhangen van vele factoren, zoals het land of de staat waar u opereert, het land of de staat waar het elektronische document zal worden verspreid, en het type elektronisch document in kwestie. Raadpleeg een passende juridische adviseur om mogelijke juridische implicaties en vragen met betrekking tot het gebruik van elektronische documenten te analyseren.