Authenticatiemethoden

Belangrijk: Kies de juiste authenticatiemethode voor je documenten.

Wat is een authenticatiemethode?

Als je een contract laat ondertekenen dan wil je zo goed mogelijk vast kunnen stellen dat de handtekening door de juiste persoon wordt gezet. Bovendien wil je achteraf kunnen aantonen wie de ondertekenaar is geweest zodat daar geen discussie over kan ontstaan.

Het doel is dus altijd om de ondertekenaar zo goed mogelijk te identificeren, zodat jij als verzender weet wie je contract heeft ondertekend. Let op: De verschillende authenticatiemethoden die Stiply aanbiedt, variëren van zeer eenvoudige tot sterke identificatie. Houd bij het kiezen van de juiste methode deze vuistregel in gedachten: Hoe belangrijker het contract, hoe beter het authenticatiemiddel moet zijn geweest”

“Hoe belangrijker het contract hoe beter het authenticatiemiddel moet zijn.”

Bewijsdocument

Nadat een contract door alle partijen is ondertekend, krijg jij als verzender een bewijsdocument per e-mail toegestuurd. Hierin staat alle informatie die Stiply heeft verzameld aan de hand van de gekozen authenticatiemethode. Dit bewijsdocument kan je gebruiken om achteraf aan te tonen wie de ondertekenaar is geweest.

Verschillende niveaus van authenticatie

Stiply biedt verschillende authenticatiemethoden die je per ondertekenaar kunt selecteren. De bewijswaarde van het document kan afhangen van de methode die je kiest. Bepaal dus altijd per ondertekenaar hoe sterk de authenticatie moet zijn voor jouw contract.

E-mail – Niveau C

De meest simpele vorm van authenticatie is per e-mail. Als je geen authenticatiemethode selecteert dan logt Stiply alleen naar welk e-mailadres je het contract hebt verstuurt. Als het contract wordt ondertekend kun je er redelijkerwijs vanuit gaan dat de eigenaar van het e-mailadres dit heeft gedaan. Echter, Stiply kan natuurlijk niet controleren of een collega of partner ook toegang heeft tot het e-mailadres. Bovendien kan een e-mail worden doorgestuurd naar iemand anders en via dat e-mailadres worden ondertekend. Daarnaast is het niet te controleren of het e-mailadres überhaupt van de juiste persoon is. Iedereen kan online immers een e-mailadres aanmaken met een willekeurige naam.

Kortom, een elektronische handtekening op basis van alleen een e-mailadres is vrij eenvoudig en geeft niet dezelfde garanties als een natte handtekening. Deze vorm van authenticatie wel geschikt voor contracten met een laag belang, zoals aanmeldformulieren of documenten met een laag financieel belang.

Het voordeel is dat authenticatie per e-mail simpel werkt en in de praktijk zeer vaak wordt gebruikt.

SMS – Niveau B

Is alleen e-mail authenticatie niet voldoende? Kies dan voor een aanvullende SMS-authenticatie. Voordat de ondertekenaar het contract kan afronden ontvangt hij eerst een SMS met daarin een code die hij moet invullen. De kans dat iemand anders het contract tekent wordt daarmee stukken kleiner aangezien deze persoon naast de e-mail inbox ook toegang moet hebben tot de telefoon om de SMS-code te kunnen ontvangen en de ondertekening te kunnen afronden. Hierdoor is het een stuk aannemelijker dat de juiste persoon heeft getekend.

Natuurlijk kan Stiply ook hierbij niet controleren of het e-mailadres en het telefoonnummer van de juiste persoon zijn, maar de kans op fouten wordt een heel stuk kleiner.

iDIN – Niveau A

iDIN is op dit moment het sterkste online authenticatiemiddel dat in Nederland bestaat. iDIN is een product van de Nederlandse banken waarbij een ondertekenaar moet inloggen bij zijn bank om zichzelf te identificeren (er hoeft hierbij geen geld overgemaakt te worden). De bank bevestigt de identiteit van de ondertekenaar, zodat je zeker weet met wie je te maken hebt. Je maakt daarmee gebruik van het feit dat iedereen zich al een keer bij de bank heeft geïdentificeerd. Super slim dus! Omdat iedereen een bankrekening heeft kan iDIN door de meeste mensen direct gebruikt worden.

Als je iDIN als authenticatiemethode selecteert wordt de ondertekenaar na het zetten van zijn handtekening automatisch doorgeleid naar zijn bankomgeving om zich daar te identificeren.

De praktijk

Naast alle theorie is het ook interessant om naar de praktijk te kijken. In de Nederlandse civiele rechtspraak ons slechts twee zaken bekend (1) en (2) waarbij iemand heeft gesteld dat een gewone elektronische handtekening met alleen e-mail authenticatie niet voldoende betrouwbaar zou zijn. Bij de eerste zaak werd de handtekening wel voldoende betrouwbaar geacht, en bij de tweede niet. Hieronder bespreken we nog kort de tweede zaak.

Kantonrechter

In mei 2018 heeft een kantonrechter verklaard dat een contract met een elektronische handtekening ongeldig was omdat deze niet voldoende betrouwbaar was.

De ondertekenaar zei: “ik heb dat contract nooit ondertekend!” Hij had ook nog nooit een factuur betaald (na maanden dienstverlening) en in het contract was zijn naam meerdere keren verkeerd gespeld. Er stond wel een krabbel onder, maar die was niet van hem, zo claimde hij. Deze krabbel was trouwens met de software van een andere leverancier gezet.

De verzender van het contract moest toen bewijzen dat het contract wel was getekend door de ondertekenaar. Dat is niet gelukt. Waarschijnlijk onder andere omdat geen gebruik is gemaakt van een aanvullende authenticatiemethode, maar alleen een e-mailadres van de ondertekenaar was opgegeven.

Vonnis

De rechter vond alles bij elkaar niet voldoende betrouwbaar om aan te nemen dat deze ondertekenaar inderdaad de krabbel had gezet. Jammer genoeg lijkt weinig aandacht besteed aan het e-mailadres waar het contract naar gestuurd was. De rechter had kunnen vragen of er misschien andere mensen toegang hadden tot dat e-mailadres.

De rechter rekende het de verzender bovendien zwaar aan dat de naam van de ondertekenaar meerdere malen verkeerd was gespeld in het contract. Dat in combinatie met de ontkenning van de ondertekenaar leidde ertoe dat het contract ongeldig werd verklaard.

Tips

Het gaat hier om lagere rechtspraak en daaruit kun je moeilijk een algemene conclusie trekken, omdat het erg afhankelijk is van specifieke feiten.

Het kan echter geen kwaad om extra aandacht te besteden aan de afweging: hoe belangrijker het contract, hoe beter je moet weten wie er tekent.

Is alleen e-mail authenticatie voldoende?

Als er direct uitvoering wordt gegeven aan het contract misschien wel. Als de klant in deze rechtszaak één van de facturen wel had betaald, was het veel moeilijker geweest om achteraf te claimen dat hij het contract nooit had ondertekend (want waarom zou je dan betaald hebben?) In dit geval was er na maanden nog nooit een factuur betaald. Dat had de verzender van het contract ook aan het denken moeten zetten.

Twijfel je over de authenticatie van je klant per e-mail? Kies dan in ieder geval voor SMS-authenticatie, of beter nog, voor iDIN. Dan wordt de kans in ieder geval veel kleiner dat jouw ondertekenaars achteraf kunnen ontkennen dat ze het contract hebben ondertekend.

100% zekerheid bestaat daarin helaas niet, maar dat probleem heb je met een gewone (natte) handtekening ook.

Gebruik je geen aanvullende authenticatiemethode, zorg dan dat je contact hebt met de klant, in persoon of per telefoon, zodat er een lopende relatie ontstaat. Je kunt er ook voor zorgen dat er snel uitvoering aan de overeenkomst wordt gegeven.

Neem bij twijfel gerust even contact met ons op zodat we kunnen meedenken.

Welke methode voor jouw documenten?

De grote vraag is natuurlijk, welke methode kies je voor welk document? De vuistregel hierbij is: hoe belangrijker het contract, hoe beter het identificatiemiddel moet zijn geweest.

Bij documenten met een beperkt (financieel) belang, heb je genoeg aan identificatie via e-mail (Bewijswaarde A). Wordt het document toch wat belangrijker, of heeft deze een langere looptijd, kies dan voor identificatie via SMS. Heb je een belangrijk contract, neem dan geen risico en een sterk identificatiemiddel dat Bewijswaarde A oplevert (iDIN en Incassomachtigen).

Kies bij twijfel altijd iDIN, dat is het sterkste identificatiemiddel dat in Nederland bestaat.