Identificatie en authenticatie
Bij het digitaal ondertekenen van contracten en documenten is de authenticatie van een ondertekenaar belangrijk. We leggen je hier uit hoe authenticatie werkt in combinatie met de digitale handtekening.
Wat is authenticatie?
De eIDAS verordening1 zegt het volgende over authenticatie in relatie tot digitaal ondertekenen:
Authenticatie is een elektronisch proces dat de bevestiging van de elektronische identificatie van een natuurlijke persoon of rechtspersoon, of van de oorsprong en integriteit van gegevens in elektronische vorm mogelijk maakt.
Deze verordening is door de Europese unie opgesteld om duidelijkheid en richting te geven aan verschillende manieren van elektronische identificatie van personen. In deze verordening staat ook omschreven welke niveaus van elektronische handtekeningen er zijn binnen het digitaal ondertekenen van contracten. Het is belangrijk dat bij digitaal ondertekenen een goede authenticatie controle wordt uitgevoerd.
Meer over rechtsgeldigheid
Verschillende authenticatie niveaus
Vanuit de Europese Unie worden er drie verschillende niveau's beschreven. Deze niveau's zijn vastgelegd en uitgewerkt in de eIDAS-verordening.
Deze verordening onderscheidt drie niveau's van de betrouwbaarheid van elektronische identificatie.
- Laag
- Substantieel
- Hoog
Samengevat, is de mate van identiteitscontrole bepalend voor het betrouwbaarheidsniveau. De identiteitscontrole is van belang om een betrouwbaarheidsniveau aan een digitale handtekening te kunnen geven.
Lees meer over de digitale handtekening
Het bewijsdocument
Nadat een contract door alle partijen is ondertekend, krijg jij als verzender een bewijsdocument per e-mail toegestuurd. Hierin staat alle informatie die Stiply heeft verzameld aan de hand van de gekozen authenticatiemethode. Dit bewijsdocument kan je gebruiken om achteraf aan te tonen wie de ondertekenaar is geweest.
Verschillende niveau's van authenticatie binnen Stiply
Stiply biedt verschillende authenticatiemethoden die je per ondertekenaar kunt selecteren. De bewijswaarde van het document kan afhangen van de methode die je kiest. Bepaal dus altijd per ondertekenaar hoe sterk de authenticatie moet zijn voor jouw te ondertekenen contract.
-
E-mail - Niveau Laag
E-mail – Niveau Laag
De meest simpele vorm van authenticatie is per e-mail. Als je geen authenticatiemethode selecteert dan logt Stiply alleen naar welk e-mailadres je het contract hebt verstuurt. Als het contract wordt ondertekend kun je er redelijkerwijs vanuit gaan dat de eigenaar van het e-mailadres dit heeft gedaan. Echter, Stiply kan natuurlijk niet controleren of een collega of partner ook toegang heeft tot het e-mailadres. Bovendien kan een e-mail worden doorgestuurd naar iemand anders en via dat e-mailadres worden ondertekend. Daarnaast is het niet te controleren of het e-mailadres überhaupt van de juiste persoon is. Iedereen kan online immers een e-mailadres aanmaken met een willekeurige naam.
Kortom, een elektronische handtekening op basis van alleen een e-mailadres is vrij eenvoudig en geeft niet dezelfde garanties als een natte handtekening. Deze vorm van authenticatie wel geschikt voor contracten met een laag belang, zoals aanmeldformulieren of documenten met een laag financieel belang.
Het voordeel is dat authenticatie per e-mail simpel werkt en in de praktijk zeer vaak wordt gebruikt.
-
SMS - Niveau Laag
SMS – Niveau Laag
Is alleen e-mail authenticatie niet voldoende? Kies dan voor een aanvullende SMS-authenticatie. Voordat de ondertekenaar het contract kan afronden ontvangt hij eerst een SMS met daarin een code die hij moet invullen. De kans dat iemand anders het contract tekent wordt daarmee stukken kleiner aangezien deze persoon naast de e-mail inbox ook toegang moet hebben tot de telefoon om de SMS-code te kunnen ontvangen en de ondertekening te kunnen afronden. Hierdoor is het een stuk aannemelijker dat de juiste persoon heeft getekend.
Natuurlijk kan Stiply ook hierbij niet controleren of het e-mailadres en het telefoonnummer van de juiste persoon zijn, maar de kans op fouten wordt een heel stuk kleiner.
-
PiM - Niveau Substantieel
PiM is een app ontwikkeld door KPN. Deze authenticatiemethode is gebaseerd op een app met daarin een brede set aan informatie. De informatie in deze PiM app is afkomstig van gevalideerde bronnen. IDIN is een voorbeeld van zo'n gevalideerde bron. Bij het gebruik van PiM wordt de ondertekenaar zijn gevalideerde informatie rondom achternaam en geboortedatum te delen. Omdat deze informatie afkomstig is vanuit IDIN wordt deze authenticatiemethode gezien als een gelijkwaardig niveau als IDIN.
-
Incassomachtiging - Niveau Substantieel
Incassomachtiging heeft een dubbele functie. Enerzijds is het een vorm van authenticatie met een substantiële betrouwbaarheid, gezien de toegang tot een bankrekeningnummer en het recht dat je verleend. Anderzijds heeft het ook een praktische functie, namelijk het verstrekken van een officiële incassomachtiging.
-
IDIN - Niveau Substantieel
IDIN is op dit moment één van de sterkste online authenticatiemiddel die in Nederland bestaan. IDIN is een product van de Nederlandse banken waarbij een ondertekenaar moet inloggen bij zijn bank om zichzelf te identificeren (er hoeft hierbij geen geld overgemaakt te worden). De bank bevestigt de identiteit van de ondertekenaar, zodat je zeker weet met wie je te maken hebt. Je maakt daarmee gebruik van het feit dat iedereen zich al een keer bij de bank heeft geïdentificeerd. Super slim dus! Omdat iedereen een bankrekening heeft kan IDIN door de meeste mensen direct gebruikt worden.
Als je iDIN als authenticatiemethode selecteert wordt de ondertekenaar na het zetten van zijn handtekening automatisch doorgeleid naar zijn bankomgeving om zich daar te identificeren.
Waarom is authenticatie belangrijk?
Als je een contract laat ondertekenen dan wil je zo goed mogelijk vast kunnen stellen dat de handtekening door de juiste persoon wordt gezet. Bovendien wil je achteraf kunnen aantonen wie de ondertekenaar is geweest zodat daar geen discussie over kan ontstaan.
Het doel is de ondertekenaar zo goed mogelijk te laten identificeren, zodat jij als verzender weet wie je contract heeft ondertekend.
Het is belangrijk dat de authenticatie voldoende betrouwbaar is, gelet op het doel en de inhoud van het contract of document.
1 artikel 3 VERORDENING (EU) Nr. 910/2014 VAN HET EUROPEES PARLEMENT EN DE RAAD van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG
Twijfel je over welke authenticatiemethode je moet kiezen?
Kies dan in ieder geval voor SMS-authenticatie, of beter nog, voor PiM of IDIN. Dan wordt de kans in ieder geval veel kleiner dat jouw ondertekenaars achteraf kunnen ontkennen dat ze het contract hebben ondertekend.
Het is belangrijk om te laten zien (middels het bewijsdocument) dat de verzender zijn/haar best heeft gedaan een goede identiteitscontrole van de ondertekenaar te hebben uitgevoerd.
100% zekerheid bestaat daarin helaas niet, maar dat probleem heb je met een gewone (natte) handtekening ook.
Bij document ondertekening met een beperkt (financieel) belang, heb je genoeg aan authenticatie via e-mail. Wordt het document toch wat belangrijker, kies dan voor identificatie via SMS. Heb je een belangrijk en bijvoorbeeld langlopend contract, zorg dan voor een goede authenticatie controle en een sterk identificatiemiddel (iDIN en PiM).