Advocaten en notariaat in Leiden en Den Haag
Menu
Aanbestedingsrecht

Is elektronische handtekening voldoende gekwalificeerd?

Per van der Kooi

10 oktober 2017 - 2 minuten leestijd

Nog niet zo heel lang geleden ging het in Aanbestedingsland, in procedures over rechtsgeldige ondertekening van documenten, vooral om de vraag of een handtekening wel een ‘natte’ was en of een document wel door een bevoegd persoon was ondertekend. Tegenwoordig is veeleer de vraag of een elektronische handtekening aan het vereiste beveiligingsniveau voldoet. Dat zal alleen maar toenemen.

Sinds 1 juli 2017 is elektronisch aanbesteden verplicht voor alle Europese aanbestedingen. Het hele aanbestedingsproces verloopt digitaal. Ook het ondertekenen van documenten. Handtekeningen zijn er in alle soorten en maten en met allerlei beveiligingsniveaus. Denk hierbij niet alleen aan handtekeningen zoals wij die in het ‘normale’ verkeer kennen maar ook aan pincodes, irisscans en vingerafdrukken. En aan digitale handtekeningen, waarbij aan het ondertekende document een gekwalificeerd certificaat wordt gehecht. Met dat certificaat kan de identiteit van degene die een stuk ondertekent worden vastgesteld.

De zaak

Rijkswaterstaat (RWS) heeft een Europese aanbesteding gehouden voor het inwinnen van data. In het beschrijvend document is opgenomen dat de door de ondernemer te ondertekenen documenten, waaronder het Uniform Europees Aanbestedingsdocument (UEA), van een gekwalificeerde handtekening met beveiligingsniveau IV moeten zijn voorzien. Indien in combinatie wordt ingeschreven, moet iedere combinant afzonderlijk een UEA indienen.

Twee Duitse bedrijven schrijven in combinatie in. Beide combinanten dienen een UEA in. Na controle van de digitale handtekeningen blijkt dat het beveiligingsniveau van één van de handtekeningen niet te achterhalen is. Desgevraagd wordt aangegeven dat het opgegeven Duitse beveiligingsniveau gelijk is aan het gevraagde Nederlandse niveau IV. RWS geeft daarop aan dat de handtekening is getoetst aan een door de Europese Commissie uitgegeven lijst van uitgevers die aan de Europese regelgeving voldoen en dat de uitgever van het Duitse certificaat niet op die lijst voorkomt. De inschrijver geeft daarop aan dat de genoemde uitgever eigenlijk een wederverkoper is en dat de echte uitgever van het certificaat wel op die zogenaamde ‘trusted list’ voorkomt. RWS legt de inschrijving vervolgens terzijde omdat zij de geldigheid van de handtekening op basis van deze informatie niet kan verifiëren.

De uitspraak

De combinatie vecht deze beslissing aan maar zij krijgt de Voorzieningenrechter van de Rechtbank Den Haag niet mee. Die oordeelt dat op grond van de  (sinds 1 juli 2016) toepasselijke Europese eIDAS-Verordening (EU 910/2014 betreffende elektronische identificatie) een gekwalificeerde elektronische handtekening is gebaseerd op een gekwalificeerd certificaat, uitgegeven door een (door een EU-lidstaat) gekwalificeerde verlener, die op een trusted list van een EU-lidstaat is opgenomen. Daar is in dit geval niet aan voldaan. De Duitse uitgever van het certificaat (waarvan de inschrijver heeft aangegeven dat dit een wederverkoper was) staat niet op de Duitse trusted list, daarmee is het certificaat niet gekwalificeerd en daarmee ook de handtekening niet.

Terwijl dergelijke handtekeningen, aldus de voorzieningenrechter, “ook in Duitsland gewoon verstrekt worden en door de inschrijver aangeschaft en gebruikt hadden kunnen worden”. Dat is dan ook de les die uit deze uitspraak valt te leren: verifieer of de uitgever van het certificaat van uw digitale handtekening op de trusted list voorkomt en daarmee voldoende gekwalificeerd is!

Per van der Kooi en Menno de Wijs, advocaten aanbestedingsrecht

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?