Het is nu ongeveer 3 jaar geleden dat het digitaal ondertekenen zijn echte intrede deed in de accountancypraktijk. Dat had te maken met de verplichtstelling van de SBR publicatiejaarrekening voor middelgrote ondernemingen vanaf het boekjaar 2017. Een jaar eerder moest dit al voor de kleine bv’s, maar met de verplichting voor middelgroot kwam er een nieuwe dimensie bij: een digitale accountantsverklaring en vooral het digitaal ondertekenen daarvan.
Inmiddels is de SBR rapportage gemeengoed en hebben de kantoren met controleplichtige klanten dit in hun processen geborgd. Toch komt het onderwerp digitaal ondertekenen de laatste maanden weer frequent langs. Deels zal dat te maken hebben met het aflopen van de geldigheid van de beroepscertificaten waarmee getekend wordt, maar een belangrijke andere ontwikkeling is dat kantoren sowieso de lijn kiezen voor het meer en meer digitaal uitbrengen van hun documenten.
In de gesprekken hierover komt vrijwel altijd de vraag langs: hoe moet ik nou gaan tekenen? Moet dit altijd met een certificaat? Of zelfs met een gekwalificeerde handtekening? In dit artikel wil ik wat verder ingaan op de verplichtingen en de keuzes die je hier als kantoor in kan maken. Ik zal daarbij inzoomen op de mogelijkheden van pdf-ondertekening; de SBR rapportage is, zoals ik eerder veronderstelde, bij veel kantoren al in de processen opgenomen.
De ondertekening in pdf kent verschillende verschijningsvormen; ik wil de verschillen tussen de geavanceerde en de gekwalificeerde handtekening wat nader uitwerken. Van een geavanceerde handtekening is sprake als deze:
- ‘op unieke wijze aan de ondertekenaar is verbonden’;
- én ‘het mogelijk maakt de ondertekenaar te identificeren’;
- én ‘tot stand komt met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken’;
- én ‘op zodanige wijze met de daarmee ondertekende gegevens is verbonden dat elke wijziging achteraf van de gegevens kan worden opgespoord’.
De noodzaak om goed aandacht aan ‘deze spelregels’ te besteden is vorig jaar bewezen in de uitspraak van de rechter in de Swishfund zaak (link).
Maar wat betekent dit nu concreet voor de accountancypraktijk? Welke impact heeft het voor de keuze hoe de ondertekening moet plaatsvinden? Allereerst is het daarbij van belang onderscheid te maken tussen ondertekeningen die door 1 partij of tussen partijen plaatsvindt. Veel ondertekeningen op het accountantskantoor zijn ondertekeningen die slechts door 1 partij plaatsvinden: de accountant tekent de verklaring bij de jaarrekening, de uitgaande correspondentie en de rapporten voor de ib aangiften (die natuurlijk ook door de fiscalist van het kantoor getekend kunnen worden). Omdat de ondertekening alleen plaatsvindt vanuit het kantoor is het eenvoudiger om aan te tonen dat de handtekening ‘op unieke wijze aan de ondertekenaar is verbonden’. Dit zal doorgaans door een persoonlijke inlog vanuit de organisatie geborgd zijn: hierdoor kan alleen de accountant (of fiscalist) de handtekening plaatsen.
Anders is het wanneer er documenten tussen partijen worden getekend. In de al eerder genoemde Swishfund zaak was dat ook de aanleiding voor de gang naar de rechter: één van de partijen betwistte de overeenkomst ondertekend te hebben. In dat geval moet kunnen worden aangetoond dat de spelregels op de juiste wijze zijn gevolgd. Van de andere partij (veelal de klant) moet ook op betrouwbare wijze kunnen worden vastgesteld dat de handtekening verbonden is met de ondertekenaar. Daarvoor is het hanteren van een tweefactor authenticatie noodzakelijk/sterk aanbevolen. Dat kan bijvoorbeeld met sms authenticatie, een externe app of een andere extra beveiligingslaag. Het kantoor is daarbij in het voordeel dat het mobiele telefoonnummer van de klant (in het geval van sms authenticatie) in gebruik is voor de reguliere contacten met de klant en dat al vastgesteld is dat het nummer ook echt het nummer van de ondertekenaar is. Want ook die aspecten spelen hierbij een rol. Hierbij geldt: hoe zwaarder het document dat getekend wordt, hoe nadrukkelijker geldt dat moet kunnen worden vastgesteld dat ook feitelijk is ondertekend door de beoogde ondertekenaar.
Dit geldt zowel voor de geavanceerde handtekening als voor de gekwalificeerde handtekening (dat is een geavanceerde handtekening die met behulp van een gekwalificeerd certificaat wordt gezet, bijvoorbeeld het persoonsgebonden beroepscertificaat). Bij de gekwalificeerde ondertekening met het beroepscertificaat is dat doorgaans geen probleem: het certificaat is namelijk persoonsgebonden en alleen beschikbaar als usb-token of mobiel certificaat. De ondertekenaar / houder van het certificaat zal dit doorgaans persoonlijk bewaren en dit certificaat is ook nog eens met een separate pincode beveiligd. Een gekwalificeerde digitale handtekening heeft daarom ook dezelfde rechtsgevolgen als een handgeschreven handtekening. Wanneer dit echter een stuk is tussen accountant en klant zal de klant doorgaans geavanceerd ondertekenen: de meeste klanten zullen immers geen persoonlijk (gekwalificeerd) certificaat hebben.
Tot slot nog een aantal concrete voorbeelden:
- De pdf versie van de jaarrekening waarvan de verklaring door de accountant wordt getekend kan dus ook prima met een geavanceerde handtekening worden ondertekend. Het kantoor borgt de authenticatie en zodoende kan de link met de ondertekenaar worden aangetoond.
(PS wellicht is het overigens mooier als de accountant gekwalificeerd ondertekent met het beroepscertificaat, zodat ook de link met het accountantsregister in de ondertekening zichtbaar/geborgd is. Dit is vanuit regelgeving op dit moment geen vereiste.) - De aanbiedingsbrief bij diezelfde jaarrekening (pdf) zou overigens ook prima ondertekend kunnen worden met een gewone digitale handtekening (zonder de eerder genoemde waarborgen), mits hierin geen inhoudelijke onderwerpen staan die een zwaardere handtekening vereisen.
- De opdrachtbevestiging kan geavanceerd worden ondertekend door het kantoor / de accountant en de (nieuwe) klant. Bij de ondertekening is het gebruiken van tweefactor authenticatie sterk aanbevolen. En bij een nieuwe klant is het zaak om vast te stellen dat het 2e authenticatiemiddel (bijvoorbeeld de mobiele telefoon) echt beheerd / gebruikt wordt door de ondertekenaar.
- De LOR bij de jaarrekening kan ook door het kantoor worden verzonden aan de klant: ook deze kan geavanceerd worden ondertekend (dit document wordt alleen door de klant ondertekend).
Kortom: er kan en mag gewoon digitaal ondertekend worden. Nog niet mee gestart? Geen nood, wij praten je graag bij. Neem gerust contact hierover op met Arjan Gelderblom, Henk Aardoom of Martijn Kriek.