Bij het zetten van een handtekening op een PDF denkt men vaak aan het plaatsen van een digitale krabbel. Veelal wordt er aangenomen dat het plaatsen van een kopie van de natte handtekening in een PDF dezelfde rechtsgeldigheid heeft. Voor sommige overeenkomsten is dit type krabbel afdoende. Voor andere overeenkomsten waarbij meer bewijskracht nodig is, zal echter voor een elektronische ondertekening moeten worden gekozen die deze bewijskracht kan leveren.

Lees hier welke drie verschillende soorten van de digitale krabbel we onderscheiden.

Deze drie vormen zijn volgens de wet allemaal rechtsgeldig, maar vertegenwoordigen een andere bewijskracht. Zo blijft het bij een gescande ondertekening lastig om bij een meningsverschil te bewijzen dat de verzender de persoon is die daadwerkelijk de handtekening heeft geplaatst. Bij een geavanceerde of gekwalificeerde elektronische tekening is dit wel vast te stellen. In alle gevallen staat of valt de bewijskracht echter met de betrouwbaarheid van het onderliggende proces. De betrouwbaarheid van het proces en de bewijskracht wordt bepaald door de volgende onderdelen:

  1. Hoe sterk zijn de identificerende kenmerken van de ondertekenaar en hoe goed heeft hij deze onder zijn eigen uitdrukkelijke controle?
  2. Is duidelijk vastgelegd welke processtappen de gebruiker heeft doorlopen voor het ondertekenen?
  3. Op welk tijdstip heeft de ondertekening plaatsgevonden en kan dit op een later moment ook worden aangetoond?
  4. Voldoet het document aan het juiste formaat om duurzaam aan te tonen dat het digitaal ondertekend is?
  5. Hoe sterk is het mechanisme dat is gebruikt om de identificerende gegevens onlosmakelijk te verbinden met het document (Associatie), de sterkte van de cryptografie, zodat dit niet eenvoudig kan worden aangepast?

Sterke identificerende kenmerken

Voorbeelden van identificerende kenmerken op het Internet zijn bijvoorbeeld een email adres, ip adres, mobiel nummer, DigiD, iDIN, eHerkenning of een gekwalificeerd certificaat. Het is ook mogelijk om een aantal identificerende kenmerken te “stapelen” bij het ondertekenen van een PDF, de combinatie zorgt voor een sterkere identificatie. Bij het ondertekenen dient de ondertekenaar te kunnen beschikken over deze middelen, het is belangrijk om hier rekening mee te houden. Zo kan de bewijskracht van een gekwalificeerd certificaat wellicht hoger zijn, maar wanneer eindgebruikers hier niet over beschikken of het aanvraagproces enkele dagen in beslag neemt, dan zal de eindgebruiker geen digitale handtekening in de PDF kunnen zetten. 

Processtappen van het ondertekenproces

Voor het ondertekenproces is het belangrijk dat de ondertekenaar bewust is van het feit dat hij de PDF gaat voorzien van een elektronische handtekening. Welke documenten zijn getoond en is er een expliciet moment dat de ondertekenaar bewust (wilsuiting) het document heeft ondertekend?

Tijdstip

Voor de betrouwbaarheid van het ondertekenproces en de bewijskracht is het belangrijk om ook het tijdstip op een onafhankelijke manier vast te stellen en op te nemen in het proces. Zo kan er geen dispuut ontstaan over het moment van het zetten van de digitale handtekening, dan wel dat de ondertekening op een ander tijdstip is uitgevoerd.

Technische standaard PADES – XADES

In de standaarden van de digitale handtekening en vereisten van eIDAS wordt geproken over het XADES of PADES formaat. Feitelijk is dit de technische standaard die aangeeft hoe in het document een juiste digitale handtekening in PDF of XML formaat kan worden gezet. Deze standaarden zorgen ervoor dat het ondertekenen op een standaard manier kunnen worden gecontroleerd door diverse computerprogramma’s zoals bijvoorbeeld de Adobe PDF reader. Ook zorgt de standaard ervoor dat de handtekeningen in de documenten ook in de toekomst nog altijd op een goede en betrouwbare manier kunnen worden gecontroleerd.

Vasthechten van identificerende kenmerken aan het document

Voor het vasthechten van de identificerende kenmerken aan het document wordt een PKI sleutel gebruikt. Het vasthechten wordt ook wel associatie genoemd. In het geval dat de gebruiker een gekwalificeerd certificaat op een betrouwbaar middel heeft, dan kan deze sleutel worden gebruikt voor de associatie. In andere gevallen kan de associatie gedaan worden met een algemene sleutel. Het is belangrijk dat deze sleutel op een hoogwaardige manier is afgeschermd, bijvoorbeeld op een chip in een smartcard, usb of hardware security module. Wanneer deze sleutel niet goed is afgeschermd kunnen onbevoegden ook de associatie hebben uitgevoerd. De lengte van de sleutel is ook belangrijk, door een eenvoudige sleutel kan de associatie en verzegeling eenvoudiger worden verbroken.

Alle elektronische handtekeningen kunnen een rechtsgeldigheid hebben en dienen als bewijsmiddel. Alleen het feit dat ze elektronisch zijn of niet voldoen aan de eisen voor gekwalificeerde handtekeningen, doet daar niets aan af. Als de betrouwbaarheid van het proces niet goed is afgedekt, dan bestaat zelfs bij het gebruik van het gekwalificeerde certificaat de mogelijkheid dat de bewijskracht laag is. Een goede vastlegging van de betrouwbaarheid van het proces van ondertekenen is belangrijk voor de toetsing door een onafhankelijke partij, zoals een rechter.