De elektronische handtekening in beeld.
Er bestaan veel interpretaties van het begrip elektronische handtekening. In dit artikel leggen we uit wat de elektronische handtekening is en aan welke eisen hij moet voldoen in welke situaties.
Steeds meer dienstverlening en werkprocessen worden gedigitaliseerd. Gemeenten voeren zaakgericht werken in, bedrijven digitaliseren hun dienstverlening. Soms is een stap in de dienstverlening het maken van een afspraak of het komen tot een overeenkomst. Daarmee komt dan de elektronische handtekening in beeld.
Elektronische Handtekening
De term “elektronische handtekening” is gedefinieerd in de Wet Elektronische Handtekening. Hierin worden een aantal vormen onderscheiden; de gewone elektronische handtekening en de geavanceerde elektronische handtekening. De gewone elektronische handtekening kan zo eenvoudig zijn als een afbeelding van de “natte handtekening” van een persoon. De geavanceerde elektronische handtekening wordt gezet met digitale certificaten. Als de digitale certificaten aan bepaalde eisen voldoen, dan wordt gesproken over gekwalificeerde certificaten. De ondertekening met zo’n certificaat wordt dan ook wel gekwalificeerde elektronische handtekening genoemd.
Gewone elektronische handtekening
De gewone elektronische handtekening is zo eenvoudig als een afbeelding van de handtekening van een persoon onder een document.
De afbeelding van een natte handtekening is een concrete interpretatie hiervan. Maar het laat ook ruimte voor de vastlegging dat een geidentificeerde gebruiker op een akkoord-knop heeft geklikt. Als de gebruiker maar betrouwbaar teruggeleid kan worden naar een persoon en het proces waarbinnen de gebruiker op de knop klikt gecontroleerd is.
Aan de gewone elektronische handtekening zijn van nature geen of weinig waarborgen verbonden. Wanneer de ondertekening betwist wordt is het aan de partij die over de ondertekening beschikt om aan te tonen dat de handtekening is gezet door de bedoelde persoon. Dat betekent dat deze vorm van ondertekenen vooral toegepast kan worden binnen omgevingen waar personen en processen onder controle zijn. In de praktijk dus binnen een organisatie. Wanneer de ondertekening organisatie-overstijgend aangetoond moet worden en het belang van de ondertekening groot is, dan wordt gebruik van de gewone elektronische handtekening afgeraden.
Geavanceerde elektronische handtekening
De geavanceerde elektronische handtekening is een toepassing van digitale certificaten. Digitale certificaten zijn cryptografische sleutels in de vorm van een bestand. Deze bestanden worden uitgegeven in een gecontroleerd proces dat “public key infrastructure” (PKI) wordt genoemd.
Binnen een public key infrastructure worden sleutels uitgegeven door een vertrouwde partij. De vertrouwde partij geeft de sleutel uit aan een persoon wat wie zij tot op zekere hoogte de identiteit vaststelt. De uitgegeven sleutel is (direct of indirect) ondertekend door de vertrouwde partij, zodat een keten van vertrouwen ontstaat. De uitgegeven sleutel is in feite een set van twee sleutels; de public key en de private key. De private key is het bestand dat strikt persoonlijk is voor de persoon. Bij het ondertekenen wordt de public key aan de gegevens gehecht. Via de public key wordt duidelijk wie de gegevens heeft ondertekend, met welke private key en door welke keten de keys worden vertrouwd.
Naast identificatie van personen is een ander element van het op deze manier tekenen van gegevens dat de integriteit van de gegevens wordt vastgesteld. Bij het ondertekening wordt een afgeleid controlegegeven (een hash) bewaard. Wanneer de ondertekende gegevens niet meer leiden tot dit controlegegeven, dan is direct duidelijk dat de gegevens zijn gemanipuleerd ten opzichte van het moment waarop werd ondertekend.
In de eis onder punt C wordt de toevoeging gemaakt “met een hoog vertrouwensniveau”. Hiermee wordt bedoeld dat de eis specifiek is voor elektronische handtekeningen die direct worden vertrouwd. Dit bespreken we verder in de volgende paragraaf.
Gekwalificeerde elektronische handtekening
De gekwalificeerde elektronische handtekening is een geavanceerde elektronische handtekening waarbij de certificaten onder aanvullende voorwaarden zijn uitgegeven en worden gebruikt. De aanvullende voorwaarden worden per 1 juli 2016 gesteld door de Europese verordening eIDAS (deel vertrouwensdiensten). Als de certificaten zijn uitgegeven door gekwalificeerde dienstverleners van vertrouwensdiensten, dan wordt gesproken over een gekwalificeerde elektronische handtekening (met een hoog vertrouwensniveau).
Als aan deze eisen is voldaan, dan worden de ondertekende gegevens daadwerkelijk als ondertekend beschouwd. Dit hoeft niet verder bewezen te worden. In plaats daarvan zou het omgekeerde bewezen moeten worden.
Een eis uit de eIDAS verordening gaat niet zozeer in op de instantie die de certificaten uitgeeft en de manier waarop zij dit doet, maar op hoe het certificaat door de betreffende persoon wordt gebruikt. Het gaat hier om het zinsdeel “elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken”. Hiermee wordt bedoeld dat het certificaat daadwerkelijk persoonlijk wordt geacht te zijn. In de praktijk wordt hier bedoeld dat het certificaat gebruikt moet worden vanaf een fysiek “token”. Een appataat of een smartcard waarop het private deel van de sleutel wordt bewaard.
4 misverstanden over de elektronische handtekening
1. Een gewone elektronische handtekening is ongeldig
Een gewone elektronische handtekening mag niet geweigerd worden alleen omdat hij elektronisch is. Als voor het doel van ondertekenen de waarborgen te licht zijn, dan kan dat wel problemen opleveren. Dit is mede afhankelijk van de context waarbinnen de ondertekening wordt gedaan. Bijvoorbeeld het belang van de gegevens en/of overeenkomst of de organisatie(s) waarbinnen de ondertekening van belang is.
2. Digitaal ondertekenen is ingewikkeld
Het ondertekenen van een document kan zo eenvoudig zijn als het klikken op een knop. Voor Alfresco is functionaliteit beschikbaar om documenten te ondertekenen met een geavanceerde elektronische handtekening. Dit kan vanuit de details van het document en vanuit een workflow. Het resultaat is een ondertekend PDF-document met zowel het certificaat als een afbeelding van de “natte handtekening”.
3. Complexe regelgeving en techniek dwingt in de praktijk om op papier te blijven werken
Veel organisaties zijn in de veronderstelling dat voor interne processen een natte handtekening nodig is. Voor deze situaties is de gewone elektronische handtekening vaak al voldoende. Wanneer vastgelegd is dat een leidinggevens op “Akkoord” klikt voor een transactie of declaratie, dan is dit zeker voor intern gebruik voldoende. Wanneer de ondertekening ook buiten de organisatie aangetoond moet worden, dan is een ondertekend PDF-document praktisch. Dit kan met een combinatie van gewone elektronische handtekening en een geavanceerde elektronische handtekening.
4. Alleen de overheid kan met DigiD een elektronische handtekening gebruiken
DigiD is feitelijk een gewone elektronische handtekening omdat de lichte variant een combinatie is van gebruikersnaam en wachtwoord. Optioneel kan gebruik van een fysiek token (de mobiele telefoon en een SMS-code) worden toegevoegd, maar daarbij zijn nog niet alle waarborgen beschikbaar. Deze vorm van ondertekening wordt toegestaan voor de overheid. Tegelijkertijd wordt er met eIDAS gewerkt aan vervanging van DigiD door marktpartijen. Deze alternatieven zullen zeker kwalificeren als geavanceerde elektronische handtekening die breder gebruikt kan worden dan alleen voor interactief met de overheid.
