Is elektronische handtekening voldoende gekwalificeerd?

Sinds 1 juli 2017 is elektronisch aanbesteden verplicht voor alle Europese aanbestedingen. Het hele aanbestedingsproces verloopt digitaal. Ook het ondertekenen van documenten. Handtekeningen zijn er in alle soorten en maten en met allerlei beveiligingsniveaus. Denk hierbij niet alleen aan handtekeningen zoals wij die in het ‘normale’ verkeer kennen maar ook aan pincodes, irisscans en vingerafdrukken. En aan digitale handtekeningen, waarbij aan het ondertekende document een gekwalificeerd certificaat wordt gehecht. Met dat certificaat kan de identiteit van degene die een stuk ondertekent worden vastgesteld.

Rijkswaterstaat (RWS) heeft een Europese aanbesteding gehouden voor het inwinnen van data. In het beschrijvend document is opgenomen dat de door de ondernemer te ondertekenen documenten, waaronder het Uniform Europees Aanbestedingsdocument (UEA), van een gekwalificeerde handtekening met beveiligingsniveau IV moeten zijn voorzien. Indien in combinatie wordt ingeschreven, moet iedere combinant afzonderlijk een UEA indienen.

Twee Duitse bedrijven schrijven in combinatie in. Beide combinanten dienen een UEA in. Na controle van de digitale handtekeningen blijkt dat het beveiligingsniveau van één van de handtekeningen niet te achterhalen is. Desgevraagd wordt aangegeven dat het opgegeven Duitse beveiligingsniveau gelijk is aan het gevraagde Nederlandse niveau IV. RWS geeft daarop aan dat de handtekening is getoetst aan een door de Europese Commissie uitgegeven lijst van uitgevers die aan de Europese regelgeving voldoen en dat de uitgever van het Duitse certificaat niet op die lijst voorkomt. De inschrijver geeft daarop aan dat de genoemde uitgever eigenlijk een wederverkoper is en dat de echte uitgever van het certificaat wel op die zogenaamde ‘trusted list’ voorkomt. RWS legt de inschrijving vervolgens terzijde omdat zij de geldigheid van de handtekening op basis van deze informatie niet kan verifiëren.

De combinatie vecht deze beslissing aan maar zij krijgt de Voorzieningenrechter van de Rechtbank Den Haag niet mee. Die oordeelt dat op grond van de  (sinds 1 juli 2016) toepasselijke Europese eIDAS-Verordening (EU 910/2014 betreffende elektronische identificatie) een gekwalificeerde elektronische handtekening is gebaseerd op een gekwalificeerd certificaat, uitgegeven door een (door een EU-lidstaat) gekwalificeerde verlener, die op een trusted list van een EU-lidstaat is opgenomen. Daar is in dit geval niet aan voldaan. De Duitse uitgever van het certificaat (waarvan de inschrijver heeft aangegeven dat dit een wederverkoper was) staat niet op de Duitse trusted list, daarmee is het certificaat niet gekwalificeerd en daarmee ook de handtekening niet.

Terwijl dergelijke handtekeningen, aldus de voorzieningenrechter, “ook in Duitsland gewoon verstrekt worden en door de inschrijver aangeschaft en gebruikt hadden kunnen worden”. Dat is dan ook de les die uit deze uitspraak valt te leren: verifieer of de uitgever van het certificaat van uw digitale handtekening op de trusted list voorkomt en daarmee voldoende gekwalificeerd is!

Heeft u vragen over deze casus, neemt u dan contact op met Menno de wijs & Per van der Kooi, Advocaat Vastgoed.