SMS-validatiepagina voor het beantwoorden van aanbestedingen

Wanneer een bedrijf reageert op een openbare of private aanbesteding, staat de vraag naar de juridische waarde van het ingediende dossier centraal. Een elektronisch ondertekend document zonder sterk authenticatiemechanisme kan voor de rechtbank worden betwist of door de openbare aanbestedende dienst worden afgewezen. Precies daar komt de validatiepagina met SMS-code om de hoek: deze authenticatiestap via eenmalig wachtwoord (OTP) versterkt het bewijsmateriaal van toestemming van de indiener, voldoet aan de vereisten van de eIDAS-verordening en garandeert volledige traceerbaarheid van het handtekeningsproces. In dit artikel leggen we uit waarom en hoe u dit mechanisme in uw werkstroom voor aanbestedingsreacties implementeert, inclusief technische vereisten, stap-voor-stap configuratie en best practices.

Waarom SMS-codevalidatie in uw aanbestedingsreactie integreren

Bewijskracht in het hart van openbare aanbestedingen

Het Franse kader voor openbare aanbestedingen vereist dat aanbiedingen die elektronisch zijn ingediend, voldoen aan de vereisten die zijn vastgesteld in decreto n° 2016-360 van 25 maart 2016 met betrekking tot openbare aanbestedingen. Sinds 1 oktober 2018 moet elke aanbesteding met een geschatte waarde boven de 40.000 € zonder btw elektronisch worden ingediend via een erkend depotplatform (kopersprofiel). In deze context vormt de elektronische handtekening gecombineerd met een OTP-mechanisme per SMS een geavanceerde elektronische handtekening onder de eIDAS-verordening, namelijk:

• uniek gekoppeld aan de ondertekenaar;
• waarmee de ondertekenaar kan worden geïdentificeerd;
• gemaakt met behulp van gegevens waarover de ondertekenaar exclusief controle kan uitoefenen;
• gekoppeld aan de ondertekende gegevens zodat elke latere wijziging kan worden gedetecteerd.

Zonder dit authenticatieniveau kan een eenvoudige handtekening (klikken of aanvinken) onvoldoende zijn om de indiener juridisch te binden, vooral wanneer de aanbestedende dienst een geavanceerde of gekwalificeerde handtekening voor bepaalde gevoelige onderdelen vereist.

Risico's van betwisting en onregelmatigheid verminderen

Een aanbestedingsdossier kan als onregelmatig worden verklaard als de aanbestedende dienst van mening is dat de identiteit van de ondertekenaar onvoldoende vaststaat. Het toevoegen van een SMS-validatiepagina creëert een tweede authenticatiefactor (2FA) die, gecombineerd met vooraf geverifieerde identiteit, sterke bewijzen oplevert. In geval van geschil voor de administratieve rechtbank of contractrechter vormt het getijmde controlelogboek (tijdstempel, gemaskerd telefoonnummer, IP-adres, documenthash) aanvaardbaar bewijsmateriaal.

Voor meer informatie over de grondbeginselen biedt de complete gids elektronische handtekening uitleg over de verschillende niveaus van handtekeningen en hun juridische gevolgen onder Frans en Europees recht.

Technische onderdelen van een SMS-validatiepagina

OTP-architectuur en SMS-kanaal

Een SMS-validatiepagina is gebaseerd op drie onderling afhankelijke onderdelen:

1. OTP-generator (One-Time Password): een TOTP-algoritme (Time-based OTP, RFC 6238) of HOTP (HMAC-based OTP, RFC 4226) genereert een 6-cijferige code, gewoonlijk geldig voor 5 tot 10 minuten.
2. SMS-gateway: een erkende exploitant (bijv. Twilio, OVHcloud SMS, Brevo) verstuurt de code naar het telefoonnummer van de indiener, geregistreerd bij de uitnodigings- of aanmeldingsfase.
3. Beveiligde invoerinterface: de webpagina voor de indiener moet voldoen aan WCAG 2.1 (toegankelijkheid), duidelijk de vervaldatum van de code weergeven en een beperkt opnieuw verzendingsmechanisme bieden (misbruikbestrijding, maximaal 3 pogingen).

Vanuit beveiligingsoogpunt moet het telefoonnummer vooraf worden gevalideerd (verificatie bij onboarding) en versleuteld worden opgeslagen in de database, in overeenstemming met GDPR-vereisten (art. 32 over verwerking van gegevens).

Integratie in de Certyneo-handtekeningsworkflow

Op het Certyneo-platform wordt het toevoegen van een SMS-validatiepagina rechtstreeks vanuit de configuratie-interface van een handtekeningsproces uitgevoerd. Dit zijn de stappen:

Stap 1 — Document aanbestedingsreactie maken of importeren Upload uw technische memorandum, ondertekeningsakte of ander bestanddeel van het aanbod. Certyneyo's AI-contractgenerator kan ook bepaalde standaarddocumenten vooraf invullen.

Stap 2 — Ondertekenaars configureren Voer naam, voornaam, e-mailadres en mobiel telefoonnummer in (E.164-indeling, bijv. +33 6 XX XX XX XX) voor elke persoon die bevoegd is het aanbod te ondertekenen. Dit veld is verplicht om SMS-validatie in te schakelen.

Stap 3 — SMS OTP-authenticatie activeren In het menu "Procesbeveiliging" selecteert u de optie "Validatie per SMS-code". U kunt configureren:

• de geldigheidsduur van de code (aanbevolen: 5 minuten);
• het maximale aantal pogingen (aanbevolen: 3);
• het persoonlijke bericht dat naar de ondertekenaar wordt verzonden (vermelding van de aanbesteding, verwijzing naar de consultatie).

Stap 4 — Validatiepagina aanpassen Certyneo biedt een "no-code" pagina-editor waarmee u het logo van uw organisatie, de titel van de consultatie en duidelijke instructies voor de indiener kunt toevoegen. Deze aanpassing versterkt het vertrouwen en vermindert het aantal afgebroken processen.

Stap 5 — Testprocedure in sandboxmodus Vóór werkelijk verzenden gebruikt u Certyneyo's testmodus om de SMS-ontvangst en codeinvoer te simuleren. Controleer of het controlelogboek goed vastleggt: het tijdstempel, de SHA-256-hash van het document, het gemaskerde telefoonnummer en het IP-adres van de gebruikersterminal.

Best practices voor optimale configuratie

Anticipeer op operationele beperkingen van de indiener

Bij een aanbesteding kan de indiener een natuurlijk persoon zijn of de wettelijke vertegenwoordiger van een mkb, een tijdelijke samenwerkingsgroep (GME) of een grote onderneming. Verschillende operationele beperkingen moeten worden voorzien:

• Onbeschikbaarheid van het telefoonnummer: als de aangewezen ondertekenaar op internationale reis is, kan het SMS niet op tijd aankomen. Voer een optie in voor delegatie van handtekening met voorafgaande melding.
• Roulatie van verantwoordelijken: in grote organisaties kan de ondertekende directeur-generaal tussen verzending van de uitnodiging en inleverdatum wijzigen. Het veld "telefoonnummer" moet door de accountbeheerder wijzigbaar zijn tot 24 uur vóór de deadline.
• Toegankelijkheid: gebruikers met handicaps kunnen problemen ondervinden met het invoeren van een tijdelijke code. Bied een stemmedalternatief aan (automatische oproep voor codevoorlezing) indien uw infrastructuur dit toestaat.

Archivering en controlepistes in overeenstemming

De SMS-validatiepagina is slechts één onderdeel van het bewijssysteem. Voor volledige tegenstelbaarheid van het dossier moet de archivering voldoen aan norm ETSI EN 319 132 (XAdES) of ETSI EN 319 122 (CAdES) afhankelijk van het gekozen handtekeningsformaat. Certyneo genereert automatisch een handtekeningsrapport in PDF/A met:

• lijst van ondertekenaars met authenticatieniveau;
• erkende tijdstempels (RFC 3161);
• volledig logboek van SMS-gebeurtenissen (verzending, ontvangst bevestigd, correcte of onjuiste invoer).

Dit rapport moet worden bewaard voor de gehele geldigheid van het contract, en mogelijk nog langer in geval van geschil. Voor openbare aanbestedingen stelt de Code de la commande publique (art. L. 2194-1 en volgende) bewaarduurten tot 10 jaar voor. Tarief- en opties voor langetermijnarchivering vindt u op de Certyneo-tariefpagina.

Integratie met demateriëliseringsplatforms (kopersprofielen)

Wanneer de aanbestedingsreactie via een derde platform (AWS Marchés, e-Attestations, Achat Public, Klekoon, enz.) loopt, kan Certyneo vooraf worden gebruikt om de bestanddelen van het aanbod intern te laten ondertekenen en valideren voordat zij op het kopersprofiel worden ingediend. Het ondertekende bestand (XAdES- of PAdES-indeling) wordt vervolgens op het platform geüpload, vergezeld van het Certyneo-handtekeningsrapport als bewijs van authenticatie.

Mocht uw organisatie al een concurrerende oplossing gebruiken, op de migratiepagina naar Certyneo wordt uitgelegd hoe u uw bestaande processen kunt overbrengen zonder gegevensverlies of serviceonderbreking.

Veiligheid, GDPR en gegevensbestuur telefonie

Verwerking van persoonlijke gegevens van het telefoonnummer

Een mobiel telefoonnummer is persoonlijke informatie onder artikel 4 van de GDPR. Het gebruik voor OTP-validatie vereist:

• een duidelijk vastgestelde juridische grondslag: uitvoering van een overeenkomst (art. 6.1.b GDPR) of gerechtvaardigd belang (art. 6.1.f GDPR) afhankelijk van de relatie tussen aanbestedende dienst en indiener;
• voorafgaande informatie naar de indiener over het gebruik van het nummer (vermelding in algemene voorwaarden of uitnodiginge-mail);
• beperkte bewaarduur: het nummer mag niet langer worden bewaard na afloop van het handtekeningsproces, tenzij wettelijke archivering gerechtvaardigd is.

Juridische teams en DPO's vinden aanvullende bronnen in ons glossarium elektronische handtekening, dat belangrijke GDPR-definities specifiek voor handtekeningsworkflows bevat.

Weerstand tegen aanvallen en fraudebestrijding

SMS-validatie is kwetsbaar voor bepaalde aanvalsvectoren (SIM-swapping, SS7-onderschepping). Voor transacties met hoog risico (bedragen > 500.000 € zonder btw) adviseert Certyneo om OTP-SMS te combineren met:

• voorafgaande identiteitsverificatie (KYC-documentatie of IDnow);
• gekwalificeerd tijdstempel van een erkende vertrouwensdienstverlener (Trust Service Provider, TSP);
• realtime-waarschuwing bij wijziging van telefoonnummer in de 48 uur vóór ondertekening.

Deze aanvullende maatregelen brengen de handtekening op het gekwalificeerde eIDAS-niveau, het hoogste erkend door de Europese verordening, en vormen maximale zekerheid voor gevoelige of geclassificeerde openbare aanbestedingen.

Toepasselijk juridisch kader voor SMS-validatie in aanbestedingen

eIDAS-verordening n° 910/2014 en handtekeningsniveaus

De verordening (EU) n° 910/2014 van het Europees Parlement en de Raad (eIDAS) vormt de regelgevingsgrondslag voor elektronische handtekeningen in Europa. Het onderscheidt drie niveaus:

• Eenvoudige elektronische handtekening (art. 3.10): gegevens in elektronische vorm gekoppeld aan of verband houdend met andere gegevens, die de ondertekenaar gebruikt om te ondertekenen. Beperkte juridische waarde voor openbare aanbestedingen.
• Geavanceerde elektronische handtekening (art. 3.11): voldoet aan vereisten van art. 26 eIDAS, inclusief unieke band met ondertekenaar en detectie van wijzigingen. SMS OTP-validatie, gecombineerd met voorafgaande identificatie, bereikt dit niveau.
• Gekwalificeerde elektronische handtekening (art. 3.12): gemaakt met een gekwalificeerd handtekeningsapparaat, gebaseerd op gekwalificeerd certificaat van TSP met accreditatie. Enig niveau met juridisch gelijkwaardig effect aan handgeschreven handtekening in alle lidstaten (art. 25.2 eIDAS).

Frans burgerlijk wetboek — Artikelen 1366 en 1367

Artikel 1366 van het Burgerlijk Wetboek bepaalt dat "de elektronische akte dezelfde bewijskracht heeft als de akte op papier, op voorwaarde dat de persoon van wie deze afkomstig is, behoorlijk kan worden geïdentificeerd en dat deze is opgesteld en bewaard onder omstandigheden die de integriteit ervan garanderen". Artikel 1367 verduidelijkt dat "elektronische handtekening bestaat uit het gebruik van een betrouwbare identificatieprocedure die de band tussen deze en de akte waaraan zij is gehecht, garandeert".

SMS-OTP draagt rechtstreeks bij aan het voldoen aan de betrouwbare identificatievoorwaarde van artikel 1367 door een band tot stand te brengen tussen het geregistreerde telefoonnummer en de ondertekende akte.

Code de la commande publique

De artikelen R. 2132-7 en volgende van de Code de la commande publique vereisen dat elektronisch ingediende aanbiedingen worden ondertekend met minstens een geavanceerde elektronische handtekening op basis van een gekwalificeerd certificaat. SMS-validatie maakt deel uit van het mechanisme om dit niveau te bereiken, op voorwaarde dat het hele handtekeningsproces wordt gedocumenteerd en gearchiveerd.

GDPR n° 2016/679 — Gegevensbescherming telefonie

Artikel 32 van de GDPR vereist passende technische en organisatorische maatregelen ter waarborging van de veiligheid van verwerkte gegevens, inclusief versleuteling en pseudonimisering. Het telefoonnummer voor SMS-OTP moet versleuteld in opslag en verzending (TLS 1.3 minimaal). Artikel 5.1.e stelt bewaarlimitatie voor: het nummer mag alleen zolang als nodig voor het doel worden behouden.

Toepasselijke ETSI-normen

• ETSI EN 319 132 (XAdES): geavanceerde XML-handtekeningindeling, aanbevolen voor openbare aanbestedingsstukken in XML-indeling.
• ETSI EN 319 122 (CAdES): geavanceerde CMS-handtekeningindeling, geschikt voor binaire bestanden (PDF, ZIP).
• ETSI EN 319 102-1: procedures voor creatie en validatie van elektronische handtekeningen, inclusief gekwalificeerde RFC 3161-tijdstempel.

Niet-naleving van deze normen brengt risico's met zich mee van aanbiedingenafwijzing wegens vormelijke onregelmatigheid, of ontegenzeggelijkheid van de handtekening bij contractgeschil.

Concrete gebruiksscenario's

Scenario 1 — Ingenieursbureau reageert op aanbesteding bouwkundig beheer

Een ingenieursbureau gespecialiseerd in infrastructuur met ongeveer dertig ingenieurs dat jaarlijks 15 tot 20 aanbestedingstreacties afhandelt, moet verschillende bestanddelen ondertekenen: ondertekeningsakte, technische memorandum, fiscale en sociale regelmatigheidsverklaringen. Vóór invoering van SMS-validatie steunde de procedure op handmatig ondertekende PDF's, gescand en per e-mail opnieuw verzonden, wat gemiddeld 48 tot 72 uur per dossier veroorzaakte.

Door een Certyneo-proces met SMS-OTP-validatie voor elke interne ondertekenaar (technisch directeur, beheerder) in te stellen, reduceerde het bureau deze termijn tot minder dan 2 uur. Het automatisch gegenereerde handtekeningsrapport wordt bij het dossier op het kopersprofiel gevoegd, wat aan geavanceerde handtekeningsvereisten voldoet. Branchestudies over B2B-demateriëlisering schatten 60-70% reductie in administratieve verwerkingstijd bij overgang naar elektronische handtekening met sterke authenticatie.

Scenario 2 — Tijdelijke samenwerkingsgroep (GME) bij aanbesteding werken

Bij een openbare bouwwerkzamaanbesteding (grondwerk + draagconstructie) vormen twee bedrijven een GME-samenwerking. Elke gevolmachtigde moet de ondertekeningsakte namens zijn onderneming ondertekenen. De twee bedrijven bevinden zich in verschillende steden, en de inleverdatum is 12:00 uur.

Dankzij Certyneyo's parallelle handtekeningsfunctionaliteit ontvangen beide ondertekenaars gelijktijdig een uitnodigingslink per e-mail. Ieder krijgt toegang tot zijn validatiepagina, voert zijn SMS-code binnen een minuut in en stelt zijn geavanceerde elektronische handtekening. De GME-coördinator ontvangt onmiddellijke voltooiingsmelding en kan het afgewerkte dossier vóór deadline uploaden. Dit scenario illustreert hoe SMS-validatie het risico van vertraging door multi-site coördinatie elimineert, een probleem dat volgens bepaalde studies ongeveer 30% van de late inzendingen bij groepsreacties vertegenwoordigt.

Scenario 3 — Lokale overheid als aanbestedende dienst

Een lokale overheid met middelgrote omvang (tussen 50.000 en 200.000 inwoners) die niet op een aanbesteding reageert maar er een uitzendt, kan SMS-validatie ook gebruiken om de interne ondertekening van aanbestedingsstukken (technische voorwaarden) te beveiligen. Vóór online plaatsen van de consultatie op het kopersprofiel moeten de technische directeur en de bevoegde wethouder samen de bestanddelen ondertekenen.

Door een intern Certyneo-proces met SMS-OTP-validatie voor elke institutionele ondertekenaar in te stellen, creëert de gemeente een verifieerbaar spoor van voorafgaande administratieve validatie. Deze traceerbaarheid is bijzonder nuttig bij rechtmatigheidstoezicht van de prefectuur of audit door de rekenkamer. Risicovermindering van onverifieerde handtekeningen vertegenwoordigt een grote nalevingsprioriteit voor openbare aanbestedende diensten onder de vereisten van ordonnantie n° 2015-899, opgenomen in de Code de la commande publique.

Conclusie

Het integreren van een validatiepagina met SMS-code in uw aanbestedingsreactie is niet zomaar een technische formaliteit: het is juridische zekerheid, gedocumenteerd toestemmingsbewijs en regelgevingsnaleving onder de eIDAS-verordening en de Code de la commande publique. Door elke ondertekenaar via een getijmde SMS-OTP te authenticeren, bereikt u het geavanceerde handtekeningsniveau dat door de meeste openbare aanbestedende diensten wordt vereist, terwijl u interne termijnen drastisch verkort en risico's van afwijzing wegens vormelijke onregelmatigheid vermindert.

Certyneo laat u dit proces in minuten configureren, zonder informaticaontwikkeling, met een controlelogboek conform ETSI-normen en gearchiveerd naar juridische voorschriften. Of u nu enkele indiener bent, GME-lid of openbare aanbestedende dienst, de oplossing past zich aan uw context aan.

Klaar om uw volgende aanbestedingsreacties te beveiligen? Maak gratis uw Certyneo-account aan en configureer vandaag nog uw eerste proces met SMS-validatie.