In Digitaliseer & Versnel, Solutions

De elektronische handtekening in beeld.

Er bestaan veel interpretaties van het begrip elektronische handtekening. In dit artikel leggen we uit wat de elektronische handtekening is en aan welke eisen hij moet voldoen in welke situaties.

Steeds meer dienstverlening en werkprocessen worden gedigitaliseerd. Gemeenten voeren zaakgericht werken in, bedrijven digitaliseren hun dienstverlening. Soms is een stap in de dienstverlening het maken van een afspraak of het komen tot een overeenkomst. Daarmee komt dan de elektronische handtekening in beeld.

Elektronische Handtekening

De term “elektronische handtekening” is gedefinieerd in de Wet Elektronische Handtekening. Hierin worden een aantal vormen onderscheiden; de gewone elektronische handtekening en de geavanceerde elektronische handtekening. De gewone elektronische handtekening kan zo eenvoudig zijn als een afbeelding van de “natte handtekening” van een persoon. De geavanceerde elektronische handtekening wordt gezet met digitale certificaten. Als de digitale certificaten aan bepaalde eisen voldoen, dan wordt gesproken over gekwalificeerde certificaten. De ondertekening met zo’n certificaat wordt dan ook wel gekwalificeerde elektronische handtekening genoemd.

Gewone elektronische handtekening

De gewone elektronische handtekening is zo eenvoudig als een afbeelding van de handtekening van een persoon onder een document.

De afbeelding van een natte handtekening is een concrete interpretatie hiervan. Maar het laat ook ruimte voor de vastlegging dat een geidentificeerde gebruiker op een akkoord-knop heeft geklikt. Als de gebruiker maar betrouwbaar teruggeleid kan worden naar een persoon en het proces waarbinnen de gebruiker op de knop klikt gecontroleerd is.

Aan de gewone elektronische handtekening zijn van nature geen of weinig waarborgen verbonden. Wanneer de ondertekening betwist wordt is het aan de partij die over de ondertekening beschikt om aan te tonen dat de handtekening is gezet door de bedoelde persoon. Dat betekent dat deze vorm van ondertekenen vooral toegepast kan worden binnen omgevingen waar personen en processen onder controle zijn. In de praktijk dus binnen een organisatie. Wanneer de ondertekening organisatie-overstijgend aangetoond moet worden en het belang van de ondertekening groot is, dan wordt gebruik van de gewone elektronische handtekening afgeraden.

De Memorie van Toelichting zegt hierover:

Onder een gewone elektronische handtekening wordt […] verstaan elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authentificatie. Hierbij valt bijvoorbeeld te denken aan een ingescande handtekening van een papieren drager. Afhankelijk van het doel waarvoor een elektronische handtekening wordt gebruikt, kunnen partijen gebruik maken van deze handtekening […]

Geavanceerde elektronische handtekening

De geavanceerde elektronische handtekening is een toepassing van digitale certificaten. Digitale certificaten zijn cryptografische sleutels in de vorm van een bestand. Deze bestanden worden uitgegeven in een gecontroleerd proces dat “public key infrastructure” (PKI) wordt genoemd.

De Memorie van Toelichting zegt hierover:

Van deze laatste handtekening [de geavanceerde elektronische handtekening] is […] sprake indien de handtekening op unieke wijze aan de ondertekenaar is verbonden, zij het mogelijk maakt de ondertekenaar te identificeren, zij tot stand is gekomen met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden en zij op zodanige wijze aan de gegevens waarop zij betrekking heeft is verbonden, dat elke wijziging achteraf van gegevens kan worden opgespoord.

De Memorie van Toelichting benoemt het werken met PKI wel:

Een op dit moment veel gebruikte techniek voor het aanmaken van een geavanceerde elektronische handtekening is de «digitale handtekening». Bij deze techniek wordt gebruik gemaakt van twee codes die onlosmakelijk met elkaar zijn verbonden: een publieke en een private sleutel. Deze sleutels zijn uniek voor een persoon. Welke publieke sleutel bij welke persoon hoort, wordt door een certificatiedienstverlener (onafhankelijke derde) vastgelegd in een digitaal certificaat. De betreffende persoon kan vervolgens een elektronisch bestand ondertekenen met zijn private sleutel. De ontvanger van dit bestand kan (alleen) met de bijbehorende publieke sleutel verifiëren of het bericht ongewijzigd is en afkomstig van de bezitter van de bijbehorende (geheime) private sleutel. De private sleutel is uniek voor een ondertekenaar en mag niet bekend raken bij anderen dan de ondertekenaar.

Binnen een public key infrastructure worden sleutels uitgegeven door een vertrouwde partij. De vertrouwde partij geeft de sleutel uit aan een persoon wat wie zij tot op zekere hoogte de identiteit vaststelt. De uitgegeven sleutel is (direct of indirect) ondertekend door de vertrouwde partij, zodat een keten van vertrouwen ontstaat. De uitgegeven sleutel is in feite een set van twee sleutels; de public key en de private key. De private key is het bestand dat strikt persoonlijk is voor de persoon. Bij het ondertekenen wordt de public key aan de gegevens gehecht. Via de public key wordt duidelijk wie de gegevens heeft ondertekend, met welke private key en door welke keten de keys worden vertrouwd.

Naast identificatie van personen is een ander element van het op deze manier tekenen van gegevens dat de integriteit van de gegevens wordt vastgesteld. Bij het ondertekening wordt een afgeleid controlegegeven (een hash) bewaard. Wanneer de ondertekende gegevens niet meer leiden tot dit controlegegeven, dan is direct duidelijk dat de gegevens zijn gemanipuleerd ten opzichte van het moment waarop werd ondertekend.

De eIDAS verordening zegt over de eisen aan een geavanceerde elektronische handtekening het volgende:

Een geavanceerde elektronische handtekening voldoet aan de volgende eisen:

  • zij is op unieke wijze aan de ondertekenaar verbonden;
  • zij maakt het mogelijk de ondertekenaar te identificeren;
  • zij komt tot stand met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken, en
  • zij is op zodanige wijze aan de daarmee ondertekende gegevens verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.

In de eis onder punt C wordt de toevoeging gemaakt “met een hoog vertrouwensniveau”. Hiermee wordt bedoeld dat de eis specifiek is voor elektronische handtekeningen die direct worden vertrouwd. Dit bespreken we verder in de volgende paragraaf.

Gekwalificeerde elektronische handtekening

De gekwalificeerde elektronische handtekening is een geavanceerde elektronische handtekening waarbij de certificaten onder aanvullende voorwaarden zijn uitgegeven en worden gebruikt. De aanvullende voorwaarden worden per 1 juli 2016 gesteld door de Europese verordening eIDAS (deel vertrouwensdiensten). Als de certificaten zijn uitgegeven door gekwalificeerde dienstverleners van vertrouwensdiensten, dan wordt gesproken over een gekwalificeerde elektronische handtekening (met een hoog vertrouwensniveau).

Als aan deze eisen is voldaan, dan worden de ondertekende gegevens daadwerkelijk als ondertekend beschouwd. Dit hoeft niet verder bewezen te worden. In plaats daarvan zou het omgekeerde bewezen moeten worden.

Een eis uit de eIDAS verordening gaat niet zozeer in op de instantie die de certificaten uitgeeft en de manier waarop zij dit doet, maar op hoe het certificaat door de betreffende persoon wordt gebruikt. Het gaat hier om het zinsdeel “elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken”. Hiermee wordt bedoeld dat het certificaat daadwerkelijk persoonlijk wordt geacht te zijn. In de praktijk wordt hier bedoeld dat het certificaat gebruikt moet worden vanaf een fysiek “token”. Een appataat of een smartcard waarop het private deel van de sleutel wordt bewaard.

4 misverstanden over de elektronische handtekening

1. Een gewone elektronische handtekening is ongeldig

Een gewone elektronische handtekening mag niet geweigerd worden alleen omdat hij elektronisch is. Als voor het doel van ondertekenen de waarborgen te licht zijn, dan kan dat wel problemen opleveren. Dit is mede afhankelijk van de context waarbinnen de ondertekening wordt gedaan. Bijvoorbeeld het belang van de gegevens en/of overeenkomst of de organisatie(s) waarbinnen de ondertekening van belang is.

2. Digitaal ondertekenen is ingewikkeld

Het ondertekenen van een document kan zo eenvoudig zijn als het klikken op een knop. Voor Alfresco is functionaliteit beschikbaar om documenten te ondertekenen met een geavanceerde elektronische handtekening. Dit kan vanuit de details van het document en vanuit een workflow. Het resultaat is een ondertekend PDF-document met zowel het certificaat als een afbeelding van de “natte handtekening”.

3. Complexe regelgeving en techniek dwingt in de praktijk om op papier te blijven werken

Veel organisaties zijn in de veronderstelling dat voor interne processen een natte handtekening nodig is. Voor deze situaties is de gewone elektronische handtekening vaak al voldoende. Wanneer vastgelegd is dat een leidinggevens op “Akkoord” klikt voor een transactie of declaratie, dan is dit zeker voor intern gebruik voldoende. Wanneer de ondertekening ook buiten de organisatie aangetoond moet worden, dan is een ondertekend PDF-document praktisch. Dit kan met een combinatie van gewone elektronische handtekening en een geavanceerde elektronische handtekening.

4. Alleen de overheid kan met DigiD een elektronische handtekening gebruiken

DigiD is feitelijk een gewone elektronische handtekening omdat de lichte variant een combinatie is van gebruikersnaam en wachtwoord. Optioneel kan gebruik van een fysiek token (de mobiele telefoon en een SMS-code) worden toegevoegd, maar daarbij zijn nog niet alle waarborgen beschikbaar. Deze vorm van ondertekening wordt toegestaan voor de overheid. Tegelijkertijd wordt er met eIDAS gewerkt aan vervanging van DigiD door marktpartijen. Deze alternatieven zullen zeker kwalificeren als geavanceerde elektronische handtekening die breder gebruikt kan worden dan alleen voor interactief met de overheid.

Benieuwd naar de mogelijkheden?

Neem gerust contact met ons op.

Ja, houd mij op de hoogte van nieuws en diensten van Contezza

Recent Posts

Start typing and press Enter to search