Simulaties van een ‘natte handtekening’

Het is niet gek dat sommige digitale oplossingen lijken op het zetten van een natte handtekening door een mens: dat geeft een vertrouwd gevoel.

Een (helaas) regelmatig gebruikte methode is dat een scan van een natte handtekening in een pdf geplakt wordt. De rechtszekerheid is heel laag: iedereen kan heel eenvoudig een foto of scan maken van een papieren voorbeeld en die in het document plakken.

De volgende variant is dat een mens een krabbel op een scherm zet met een muis, vinger of pen. Zonder verificatie van de op deze wijze geplaatste ‘handtekening’ en de vaststelling van de identiteit van de persoon is het even sterk of zwak als een krabbel met een pen op papier. Zoals eerder aangegeven is het echter wel praktisch en gebruikelijk, en wordt er waarde gehecht aan “mensen hebben elkaar in de ogen gekeken.”

De betere variant is als er additionele identificatiemethodes[1] van de persoon toegevoegd worden: de ‘handtekening’ geeft mensen een goed gevoel (maar is erg zwak), en de echte zekerheid komt van wat anders: een ID-bewijs bijvoorbeeld, of een digitaal kenmerk gekoppeld aan de persoon.

Dat digitale kenmerk kan van alles zijn: een mobiel telefoonnummer, een pin, een Microsoft- of Google-account, een bankrekening, een 2FA code[2] of tijd-gebaseerde code, een biometrische kaart, een scan van een ID-bewijs met een opname van het pratende hoofd, en ga zo maar door.

De kwaliteit van het digitale kenmerk qua authenticatie bepaalt de zekerheid van de transactie. Er is wetgeving in Europa en in Nederland, BW3 Artikel 15a die iets zegt over de kwaliteit van ‘elektronische handtekeningen’. Deze wetgeving is bedoeld voor het aangaan van grote verplichtingen: iets waar anders een notaris of getuigen bij gewenst zijn. De gestelde eisen zijn daarom hoog.

Welke vorm van de elektronische handtekening u wanneer kunt gebruiken hangt af van de contractspartijen. Ook het belang van het te ondertekenen document speelt hierbij een rol. Hoe hoger de kwaliteit, des te hoger de kosten en hoe lager het gebruiksgemak, is een goede vuistregel. In de praktijk is zichtbaar dat die hoge kwaliteit in heel wat gevallen zijn doel voorbijschiet, en niet in verhouding staat tot het risico. Dat leidt tot de vele verschillende innovatieve andere oplossingen.

[1] Dat heet “authenticatie”

[2] 2FA = twee-factorauthenticatie.

Zonder ‘handtekening’ en zonder dat de personen elkaar ontmoeten

Als personen niet op dezelfde plek zijn, elkaar niet kunnen zien, en via apparaten (telefoons e.d.) met elkaar communiceren, ook dan kan een transactie overeengekomen worden. Dit begint veel te lijken op IT-systemen die met elkaar transacties overeenkomen, alleen drukken nu mensen op de knoppen. De zekerheid zit hem in het vaststellen wie de personen zijn achter de knoppen, en welk mandaat ze hebben, op afstand.

Een interessante ontwikkeling is het gebruik van laagdrempelige chat-platforms (Whatsapp, Telegram, Signal etc.) en achterliggende automatisering (chat-bots) voor professionele accounts. Ze mengen heel makkelijk tekst, klikbare links, interacties, documenten, foto en video: precies wat nodig is voor een afhandeling van een transactie.

De koppeling van een account van een persoon aan een mobiel nummer is al een basis voor authenticatie van een persoon. Als dat niet genoeg is, dan is het eenvoudig om meer zekerheid toe te voegen met een 2FA methode. Voor financiële transacties zijn al oplossingen bekend waarbij iemand zich authentiseert door a: een foto te maken van zijn ID-bewijs, en b: een video op te nemen waarbij de tekst uitgesproken wordt die net in de chat gestuurd is. De combinatie zegt dat het een echt persoon is, die past bij het ID-bewijs.