Is een digitale handtekening door middel van een e-mail/SMS authenticatie rechtsgeldig?

 
Op 7 oktober 2020 deed de rechtbank Zeeland/West-Brabant hierover een uitspraak die twijfel creëert. Gezien de snelheid waarmee digitalisering zich ontwikkelt, zeker nu,  kan deze uitspraak dan ook niet onbesproken blijven.

 

Waarom deze uitspraak? Een onderneming gaat een lening aan, waarbij de (waarschijnlijk) enig aandeelhouder een borgstellingsovereenkomst aangaat tot zekerheid daarvan. De onderneming gaat failliet, de borg betaalt niet en beroept zich op de ongeldigheid van de digitale ondertekening. De kantonrechter wikt en weegt, en stelt de borg in het gelijk.

 

De digitale handtekening betreft een e-mail in combinatie met een SMS. Het betreft, in jargon, een ‘tweefactorauthenticatie’ (of: ‘2FA’). Deze vorm van authenticatie stoelt op het principe ‘iets wat de gebruiker weet en iets dat de gebruiker heeft’. In geval van een e-mail in combinatie met een SMS kan dat aldus worden toegepast: De gebruiker weet wat zijn of haar e-mail inloggegevens zijn en heeft een mobiele telefoon waarop SMS-berichten ontvangen worden. Deze vorm van 2FA is recent door zowel Hoge Raad (HR 14 juni 2019, ECLI:NL:HR:2019:957) alsook Raad van State (RvS 30 april 2019, ECLI:NLRVS:2019:1400) aanvaard als voldoende bepaalbaar, mits technisch juist ingericht uiteraard.

 

De kantonrechter benadrukt het belang van de overeenkomst waarover het gaat, een borgstellingsovereenkomst. Ook wordt aangegeven dat niet te lichtvaardig gedacht moet worden over mogelijk misbruik bij digitaal ondertekenen. Deze gedachtegang is (letterlijk) geïnspireerd op een eerdere uitspraak van de rechtbank Amsterdam van 11 december 2019 (ECLI:NLRBAMS:2019:8755). Er is ook zeker wat voor te zeggen, gezien de grote persoonlijke gevolgen en jeu voor een borg. Cruciaal verschil echter met de ‘Amsterdamse’-casus is dat er aldaar sprake was van een ‘copy-paste’ van een plaatje van een handtekening, en dus helemaal niet van een tweefactor-authenticatie. Toch acht de kantonrecht de 2FA niet voldoende. Omdat hieraan niet is voldaan, is er geen sprake van een geavanceerde digitale handtekening maar van een gewone elektronische handtekening, aldus de kantonrechter. De vraag is of de wijze waarop de kantonrechter dit analyseert voldoende is om stand te houden in een bodemprocedure, mede gezien het feit dat hogere instanties deze vorm van 2FA reeds hebben goedgekeurd.

 

Hier is het laatste woord nog niet over gezegd, zo is de verwachting. Adobe is een gerenommeerde partij en de inrichting van de digitale handtekening mag als gedegen worden verondersteld. Daarmee is (in technische zin) voldaan aan de (cryptografische) vereisten die gesteld worden aan een geavanceerde digitale handtekening. Indien het betrouwbaarheidsniveau van de authenticatie als onvoldoende wordt bestempeld, betekent niet zonder meer dat er geen sprake meer kan zijn van een geavanceerde digitale handtekening. Het zou enkel betekenen deze in dit geval niet gelijkgesteld kan worden aan een natte handtekening.

 

De kantonrechter twijfelt aan de betrouwbaarheid van de 2FA omdat de mobiele telefoon aan wie de SMS gestuurd is door een ander dan de eigenaar van de mobiele telefoon kan zijn gelezen (r.o. 4.7). In dat geval is geen directe link te leggen tussen de ondertekenaar en de, in dit geval, ondertekende borgstellingsovereenkomst. Hierdoor komt aan deze akte geen dwingende maar vrije bewijskracht toe. Echter, crediteur heeft in dit kader verder niets gesteld, bijvoorbeeld dat er wel degelijk uitvoering zou zijn gegeven aan de overeenkomsten. Deze discussie zal pas in een bodemprocedure zijn beslag kunnen krijgen. Het kan goed zijn dat als alle omstandigheden van het geval worden meegewogen het effect van deze uitspraak zullen beperken.

 

Hoewel daar niet over gesproken wordt, spelen ook voor crediteur spelen significante belangen. Binnen het STORK-raamwerk is de 2FA op basis van een e-mail en SMS ingedeeld op betrouwbaarheidsniveau 2 plus. Zoals gezegd is in eerdere jurisprudentie de 2FA van een gelijkwaardig betrouwbaarheidsniveau wèl als voldoende betrouwbaar aangemerkt. Daarmee lijkt de conclusie dat een e-mail in combinatie met een SMS-code moet worden afgedaan als onvoldoende betrouwbaar te verstrekkend en te voorbarig. De impact op de huidige praktijk is dan ook beperkt. Wel dient zorgvuldig naar de (technische) inrichting van een 2FA te worden gekeken. Daarbij kan de praktijk ook gebruik maken van andere authenticatiemiddelen. Zo is het gebruik van iDIN bij leningsovereenkomsten een veelgebruikt middel. Maar ook kan een gekwalificeerde digitale handtekening (op basis van een gekwalificeerd certificaat welke, zo leze men artikel 3:15a BW, sowieso gelijk staat aan de natte handtekening) uitkomst bieden in bijzondere overeenkomsten. Denk daarbij bijvoorbeeld aan een arbeidsovereenkomst, verzekeringsovereenkomst of borgstelling. Zeker omdat het sinds kort mogelijk is via de cloud een digitale gekwalificeerd certificaat aan te roepen en via je mobiel te ondertekenen.

 

Via deze link kunt u de volledige uitspraak lezen.

Benieuwd hoe Zynyo u hiermee kan helpen?

Neem vrijblijvend contact op met Joost Hament (Head of Legal).
Aarzel niet, zekerheid is de basis.