SMS-validatiepagina voor offertebiedingen antwoorden

Wanneer een bedrijf reageert op een openbare of particuliere aanbesteding, staat de juridische waarde van het ingediende dossier centraal. Een elektronisch ondertekend document zonder sterk authenticatiemechanisme kan voor de rechter worden betwist of door de overheidsaankoper worden afgewezen. Dit is precies waar de validatiepagina met SMS-code een rol speelt: deze authenticatiestap via eenmalig wachtwoord (OTP) versterkt het toestemmingsbewijs van de indiener, voldoet aan de eisen van de eIDAS-verordening en garandeert volledige tracering van het handtekeningspad. In dit artikel leggen we uit waarom en hoe u dit mechanisme in uw werkstroom voor offertebiedingsantwoorden moet implementeren, inclusief technische vereisten, stapsgewijze configuratie en aanbevolen praktijken.

Waarom SMS-codevalidatie integreren in uw offertebiedingsantwoord

Bewijswaarde centraal in publieke aanbestedingen

Het Franse framework voor openbare aanbestedingen vereist dat aanbiedingen die via elektronische weg worden ingediend, voldoen aan de eisen van decreet nr. 2016-360 van 25 maart 2016 betreffende openbare aanbestedingen. Sinds 1 oktober 2018 vereist elke aanvraag waarvan de geschatte waarde meer dan 40.000 € excl. BTW bedraagt, verplichte elektronische indiening via een erkend indiend platform (kopersprofielen). In deze context vormt elektronische handtekening gekoppeld aan een SMS OTP-mechanisme een geavanceerde elektronische handtekening onder de eIDAS-verordening, namelijk:

• uniek gekoppeld aan de ondertekenaar;
• toestelling om de ondertekenaar te identificeren;
• aangemaakt via gegevens die de ondertekenaar uitsluitend onder zijn eigen controle kan gebruiken;
• op zodanige wijze gekoppeld aan de ondertekende gegevens dat enige latere wijziging kan worden opgemerkt.

Zonder dit authenticatieniveau kan een eenvoudige handtekening (klik of selectievakje) onvoldoende zijn om de indiener juridisch te binden, vooral wanneer de aankoper een geavanceerde of gekwalificeerde handtekening vereist voor bepaalde gevoelige loten.

Risico's van betwisting en onregelmatigheden verminderen

Een offertebiedingsdossier kan als onregelmatig worden beschouwd als de aanbestedende dienst van mening is dat de identiteit van de ondertekenaar onvoldoende is vastgesteld. Het toevoegen van een SMS-validatiepagina creëert een tweede authenticatiefactor (2FA) die, gecombineerd met eerder geverifieerde identiteit, een sterk bewijs vormt. In geval van geschil voor de administratieve rechtbank of contractrechter vormt het getijmerde auditlogboek (timestamp, gemaskerd telefoonnummer, IP-adres, documenthash) bewijsmateriaal dat kan worden ontvangen.

Ga naar het volledige gids elektronische handtekening voor meer informatie over de grondbeginselen, wat de verschillende handtekeningsniveaus en hun juridische gevolgen in Frans en Europees recht uitlegt.

Technische componenten van een SMS-validatiepagina

OTP-architectuur en SMS-kanaal

Een SMS-validatiepagina berust op drie onderling afhankelijke componenten:

1. OTP-generator (One-Time Password): een TOTP-algoritme (Time-based OTP, RFC 6238) of HOTP (HMAC-based OTP, RFC 4226) genereert een 6-cijferige code, doorgaans geldig voor 5 tot 10 minuten.
2. SMS-gateway: een gecertificeerde operator (bijv. Twilio, OVHcloud SMS, Brevo) stuurt de code naar het telefoonnummer van de indiener, geregistreerd tijdens de uitnodigings- of inschrijvingsfase.
3. Beveiligde invoerinterface: de webpagina die aan de indiener wordt weergegeven, moet voldoen aan WCAG 2.1-eisen (toegankelijkheid), duidelijk de codeafloop weergeven en een beperkt herverzendings mechanisme bieden (misbruikpreventie, maximaal 3 pogingen).

Vanuit veiligheidsoogpunt moet het telefoonnummer vooraf worden gevalideerd (verificatie tijdens onboarding) en versleuteld in de database worden opgeslagen, in overeenstemming met GDPR-vereisten (artikel 32 over veiligheid van verwerkingen).

Integratie in de Certyneo-handtekeningsworkflow

In het Certyneo-platform wordt het toevoegen van een SMS-validatiepagina rechtstreeks vanuit de configuratie-interface van een handtekeningspad uitgevoerd. Hier zijn de stappen:

Stap 1 — Document voor reactie maken of importeren Upload uw technisch geheugen, uw verbintenisakte of ander bestandsdeel van de aanbieding. De AI-contractgenerator van Certyneo kan ook bepaalde standaarddocumenten vooraf invullen.

Stap 2 — Ondertekenaars configureren Voer de naam, voornaam, e-mailadres en mobiel telefoonnummer (E.164-indeling, bijv. +33 6 XX XX XX XX) in van elke persoon die gemachtigd is de aanbieding te ondertekenen. Dit veld is verplicht om SMS-validatie in te schakelen.

Stap 3 — SMS OTP-authenticatie inschakelen Selecteer in het menu "Padbeveiliging" de optie "Validatie via SMS-code". U kunt het volgende parametreren:

• de geldigheid van de code (aanbevolen: 5 minuten);
• het maximale aantal pogingen (aanbevolen: 3);
• het gepersonaliseerde bericht dat naar de ondertekenaar wordt verzonden (vermelding van de aanbesteding, consultatiereferentie).

Stap 4 — Validatiepagina aanpassen De Certyneo-interface biedt een "no-code"-paginaeditor waarmee u het logo van uw organisatie, de titel van de aanbesteding en duidelijke instructies voor de indiener kunt toevoegen. Deze aanpassingen verhogen het vertrouwen en verminderen verlate van het pad.

Stap 5 — Pad testen in sandboxmodus Voordat u werkelijk verzendt, gebruikt u de testmodus van Certyneo om SMS-ontvangst en codeingave te simuleren. Controleer of het auditlogboek goed vastlegt: de timestamp, SHA-256-hash van het document, gemaskerd telefoonnummer en IP-adres van het gebruikersuiteinde.

Aanbevolen praktijken voor optimale configuratie

Operationele beperkingen van de indiener voorzien

In het kader van een aanbesteding kan de indiener een natuurlijke persoon zijn of de wettelijke vertegenwoordiger van een KMO, een tijdelijke samenwerkingsgroep (GME) of een groot concern. Verschillende operationele beperkingen moeten vooraf worden voorzien:

• Onbeschikbaarheid van telefoonnummer: als de aangewezen ondertekenaar op internationaal reis is, kan het SMS niet op tijd aankomen. Voorzien in een optie voor delegatie van handtekening met voorafgaande kennisgeving.
• Rotatie van verantwoordelijken: in grote organisaties kan de ondertekenende CEO veranderen tussen de verzending van de uitnodiging en de indieningsdatum. Het veld "telefoonnummer" moet door de accountbeheerder kunnen worden gewijzigd tot 24 uur voor het verstrijken.
• Toegankelijkheid: sommige gebruikers met een beperking kunnen moeite hebben met het invoeren van een tijdelijke code. Bied een stemmalternative (automatische oproep voor codevoorlezing) aan als uw infrastructuur dit toestaat.

Archivering en controlespoor naleving

De SMS-validatiepagina is slechts één schakelpunt in het bewijsapparaat. Om het volledige dossier bindend te maken, moet archivering voldoen aan de norm ETSI EN 319 132 (XAdES) of ETSI EN 319 122 (CAdES) afhankelijk van het gekozen handtekeningsformaat. Certyneo genereert automatisch een handtekeningsrapport in PDF/A met daarin:

• de lijst met ondertekenaars en hun authenticatieniveau;
• gekertificeerde timestamps (RFC 3161);
• het volledige logboek van SMS-gebeurtenissen (verzending, bevestiging van ontvangst, juiste of onjuiste invoer).

Dit rapport moet gedurende de gehele geldigheid van het contract en mogelijk langer in geval van geschil worden bewaard. Voor openbare aanbestedingen voorziet de Code de la commande publique (art. L. 2194-1 e.v.) in bewaartermijnen tot maximaal 10 jaar. Prijzen en opties voor archivering op lange termijn staan vermeld op de Certyneo-prijzenpagina.

Integratie met elektronische indiening platforms (kopersprofielen)

Wanneer het offertebiedingsantwoord via een derde platform loopt (AWS Marchés, e-Attestations, Achat Public, Klekoon, enz.), kan Certyneo vooraf worden gebruikt om de documenten van de aanbieding intern te laten ondertekenen en valideren voordat ze op het kopersprofiel worden ingediend. Het ondertekende bestand (in XAdES- of PAdES-indeling) wordt vervolgens geüpload naar het platform, vergezeld van het Certyneo-handtekeningsrapport als bewijs van authenticatie.

Als uw organisatie al een concurrerende oplossing gebruikt, op de migratiepagina naar Certyneo wordt uitgelegd hoe u uw bestaande paden kunt overdragen zonder gegevensverlies of onderbreking van service.

Veiligheid, GDPR en beheer van telefoongegevens

Verwerking van persoonsgegevens van telefoonnummer

Het mobiele telefoonnummer is persoonsgegevens onder artikel 4 van de GDPR. Het gebruik ervan in het kader van OTP-validatie vereist:

• een duidelijk vastgestelde rechtsbasis: uitvoering van het contract (artikel 6.1.b GDPR) of gerechtvaardigd belang (artikel 6.1.f GDPR) afhankelijk van de relatie tussen de aanbestedende dienst en de indiener;
• voorafgaande informatie voor de indiener over het gebruik van zijn nummer (vermelding in de algemene voorwaarden of in de uitnodigingsmail);
• beperkte bewaartermijn: het nummer mag niet langer worden bewaard dan nodig voor de ondertekening, behalve waar wettelijk vereist archief gerechtvaardigd is.

Juridische teams en DPO's vinden aanvullende bronnen in onze woordenlijst elektronische handtekening, die sleutelbegrippen van GDPR toepast op handtekeningsworkflows.

Weerbaarheid tegen aanvallen en antifraude

SMS-validatie is kwetsbaar voor bepaalde aanvalsvectoren (SIM-swapping, SS7-interceptie). Voor markten met hoog risico (bedragen > 500.000 € excl. BTW) raadt Certyneo aan SMS-OTP te combineren met:

• voorafgaande identiteitsverificatie (documentaire KYC of IDnow);
• gekwalificeerde timestamp verstrekt door een accrediteerde Trust Service Provider (TSP) onder eIDAS;
• realtime-waarschuwing in geval van telefoonnummerwijziging in de 48 uur voor handtekening.

Deze aanvullende maatregelen verplaatsen de handtekening naar het gekwalificeerde eIDAS-niveau, het hoogste erkend door de Europese verordening, en vormen maximale zekerheid voor gevoelige of geclassificeerde openbare markten.

Toepasselijk juridisch kader voor SMS-validatie in aanbestedingen

Verordening eIDAS nr. 910/2014 en de handtekeningsniveaus

Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad (eIDAS) vormt het regelgevingskader voor elektronische handtekeningen in Europa. Het onderscheidt drie niveaus:

• Eenvoudige elektronische handtekening (art. 3.10): gegevens in elektronische vorm gekoppeld of geassocieerd met andere gegevens, gebruikt door de ondertekenaar om te ondertekenen. Beperkte juridische waarde voor openbare aanbestedingen.
• Geavanceerde elektronische handtekening (art. 3.11): voldoet aan de vereisten van artikel 26 eIDAS, inclusief unieke koppeling aan de ondertekenaar en detectie van wijziging. SMS OTP-validatie, gecombineerd met eerdere identificatie, bereikt dit niveau.
• Gekwalificeerde elektronische handtekening (art. 3.12): aangemaakt met een gekwalificeerd handtekeningsapparaat, gebaseerd op gekwalificeerd certificaat uitgegeven door een accrediteerde TSP. Enig niveau met juridisch effect gelijk aan handgeschreven handtekening in alle lidstaten (artikel 25.2 eIDAS).

Frans Burgerlijk Wetboek — Artikelen 1366 en 1367

Artikel 1366 van het Burgerlijk Wetboek bepaalt dat "elektronisch geschrift dezelfde bewijskracht heeft als geschrift op papier, onder voorbehoud dat de persoon van wie het afkomstig is, behoorlijk kan worden geïdentificeerd en dat het zodanig is opgesteld en bewaard dat de integriteit ervan kan worden gegarandeerd". Artikel 1367 bepaalt dat "elektronische handtekening bestaat uit het gebruik van een betrouwbare identificatieprocedure die de koppeling met het stuk waaraan deze is gehecht, garandeert".

SMS OTP draagt rechtstreeks bij aan het voldoen aan de voorwaarde voor betrouwbare identificatie gesteld in artikel 1367, door een koppeling tot stand te brengen tussen het geregistreerde telefoonnummer en de ondertekende akte.

Code de la commande publique (Franse aanbestedingscode)

Artikelen R. 2132-7 en volgende van de Code de la commande publique eisen dat aanbiedingen die elektronisch worden ingediend, worden ondertekend met ten minste een geavanceerde elektronische handtekening gebaseerd op een gekwalificeerd certificaat. SMS-validatie maakt deel uit van het mechanisme om dit niveau te bereiken, op voorwaarde dat het gehele ondertekeningspad wordt gedocumenteerd en gearchiveerd.

GDPR nr. 2016/679 — Bescherming van telefoongegevens

Artikel 32 van de GDPR vereist passende technische en organisatorische maatregelen om de veiligheid van verwerkte gegevens te garanderen, inclusief versleuteling en pseudonimisering. Het telefoonnummer dat voor SMS-OTP wordt gebruikt, moet in rust en in transit versleuteld zijn (minimaal TLS 1.3). Artikel 5.1.e verplicht beperking van bewaartermijn: het nummer mag alleen zolang worden bewaard als strikt nodig is voor het doel van verwerking.

Toepasselijke ETSI-normen

• ETSI EN 319 132 (XAdES): geavanceerde XML-handtekeningindeling, aanbevolen voor openbare aanbestedingsstukken in XML-indeling.
• ETSI EN 319 122 (CAdES): geavanceerde CMS-handtekeningindeling, geschikt voor binaire bestanden (PDF, ZIP).
• ETSI EN 319 102-1: procedures voor aanmaken en valideren van elektronische handtekeningen, integrerend gekwalificeerde timestamp RFC 3161.

Niet-naleving van deze normen stelt de afzender of indiener bloot aan risico van afwijzing van de aanbieding wegens formele onregelmatigheden, of aan onbindbaarheid van de handtekening in geval van contractgeschil.

Concrete gebruiksscenario's

Scenario 1 — Een engineeringbureau dat reageert op een bouwkundig leiderschap

Een engineeringbureau gespecialiseerd in infrastructuur, met ongeveer dertig ingenieurs en ongeveer 15 tot 20 offertebiedingsantwoorden per jaar, moet meerdere documenten van een aanbieding ondertekenen: verbintenisakte, technisch geheugen, belastingen regelmatigheidscertificaten. Voordat SMS-validatie werd geïmplementeerd, was de procedure gebaseerd op uitwisseling van handmatig ondertekende PDF's, gescand en opnieuw verstuurd per e-mail, wat gemiddeld 48 tot 72 uur per dossier veroorzaakte.

Door een Certyneo-pad met OTP-SMS-validatie voor elke interne ondertekenaar (technisch directeur, eigenaar) in te stellen, heeft het bureau deze termijn tot minder dan 2 uur teruggebracht. Het automatisch gegenereerde handtekeningsrapport wordt bij het dossier gevoegd dat op het kopersprofiel wordt ingediend, wat voldoet aan geavanceerde handtekeningsvereisten. Sectorstudies over B2B-elektronisering schatten de vermindering van administratieve behandelingstijd op 60-70% wanneer elektronische handtekening met sterke authenticatie wordt ingevoerd.

Scenario 2 — Een tijdelijke samenwerkingsgroep (GME) op een bouwmarkt

In het kader van een openbare bouwmarkt (graafwerkzaamheden + ruwbouw), vormen twee bedrijven een gezamenlijke GME. Elke gemachtigde moet de verbintenisakte namens zijn bedrijf ondertekenen. De twee bedrijven bevinden zich in verschillende steden, en de indiendatum is 12:00 uur.

Dankzij de parallelle handtekenaarsfunctionaliteit van Certyneo ontvangen beide ondertekenaars gelijktijdig een uitnodigingslink per e-mail. Elk heeft toegang tot zijn validatiepagina, voert zijn SMS-code in die in minder dan een minuut wordt ontvangen, en stelt zijn geavanceerde elektronische handtekening in. De coördinator van de GME ontvangt onmiddellijk melding van voltooiing en kan het afgeronde dossier voor het verstrijken van de deadline uploaden. Dit scenario illustreert hoe SMS-validatie het risico van vertraging door multi-site coördinatie elimineert, een probleem dat volgens bepaalde studies ongeveer 30% van latere indieningen in groepingsreacties vertegenwoordigt.

Scenario 3 — Een plaatselijke overheid die een aanbesteding uitgeeft

Een plaatselijke overheid van middelgrote omvang (tussen 50.000 en 200.000 inwoners), die niet op een aanbesteding wil reageren maar er een wil uitvaardigen, kan ook vertrouwen op SMS-validatie om de interne handtekening van aanbestedingsstukken (CCAP, CCTP, RC) te beveiligen. Voordat de raadpleging online gaat op het kopersprofiel, moeten de technische directeur en de beleidsambtenaar voor aanbestedingen de samenstellingsdocumenten gezamenlijk ondertekenen.

Door een intern Certyneo-pad met OTP-SMS-validatie voor elke institutionele ondertekenaar in te voeren, creëert de gemeente een bewijs tracering van voorafgaande administratieve validatie. Deze traceerbaarheid is bijzonder nuttig bij controles door de prefectuur of in geval van audit van de regionaal rekenkamer. Vermindering van het juridische risico verbonden aan niet-geverifieerde handtekening vertegenwoordigt een grote nalevingskwestie voor openbare kopers, gezien de vereisten van verordening nr. 2015-899 opgenomen in de Code de la commande publique.

Conclusie

Het integreren van een validatiepagina met SMS-code in uw offertebiedingsantwoord is niet slechts een technische formaliteit: het is een juridische garantie, een gedocumenteerd toestemmingsbewijs en een regelgevingsnalevingsinstrument onder de eIDAS-verordening en de Code de la commande publique. Door elke ondertekenaar via getijmerde SMS OTP te authenticeren, bereikt u het geavanceerde elektronische handtekeningsniveau dat door de meeste openbare kopers wordt vereist, terwijl u interne vertragingen en afwijzingsrisico's drastisch vermindert.

Certyneo stelt u in staat dit pad in slechts enkele minuten in te stellen, zonder IT-ontwikkeling, met een auditlogboek dat voldoet aan ETSI-normen en gearchiveerd volgens wettelijke verplichtingen. Of u nu alleenstaande indiener bent, lid van een GME of openbare aankoper, de oplossing past zich aan uw context aan.

Klaar om uw volgende offertebiedingsantwoorden te beveiligen? Maak gratis uw Certyneo-account aan en configureer vandaag nog uw eerste pad met SMS-validatie.