Digitaal Ondertekenen in een Online Wereld

De wereld wordt steeds digitaler en kantoren waar je heen kunt gaan om klant van een bedrijf te worden zijn al lang verdwenen. Laat staan dat nieuwe bedrijven in heel het land kantoren aan het bouwen zijn waar je dan klant kunt worden.

Om klant te worden is een digitaal equivalent van de natte handtekening van groot belang. Die digitale handtekening moet er dus snel komen want het klant worden is anders onmogelijk in te regelen.

Om elektronische identificatie en ondertekening uniform in te regelen is er vanuit de EU een eIDAS-verordening opgesteld waar we aan moeten voldoen. In deze eIDAS-verordening zijn drie belangrijke niveaus van ondertekenen opgenomen: elektronische handtekening, geavanceerde elektronische handtekening en gekwalificeerde elektronische handtekening. Deze drie zijn de basis voor het online ondertekenen van contracten en andere documenten.

In de eIDAS-verordening zijn wel enkele eisen opgenomen waar de handtekening aan moet voldoen.

  • De handtekening is op een unieke wijze aan de ondertekenaar verbonden;
  • De ondertekenaar moet identificeerbaar zijn (bv naam, telefoonnummer of e-mailadres);
  • De gegevens waarmee de handtekening gezet wordt, zijn uitsluitende onder controle van ondertekenaar;
  • De handtekening is op unieke wijze verbonden aan gegevens waar zij betrekking op heeft.

Dat bovenstaande ga ik hieronder een kleine uitleg over geven. De bovenstaande eisen zijn invulbaar op de drie eIDAS niveaus maar niet elke manier heeft hetzelfde niveau als een ‘natte handtekening’. Indien je gekwalificeerde handtekeningen wilt is het nodig, om de techniek goed en vertrouwd in te regelen, dit alles bij vertrouwensdiensten in te regelen.

Wat zijn Vertrouwensdiensten?

Vertrouwensdiensten zijn elektronische diensten die tegen betaling worden verricht en het onderstaande inhouden:

  • Het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging en op deze diensten betrekking hebbende certificaten of
  • Het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites, of
  • Het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben.

In dit artikel beschrijf ik de drie niveaus van de ‘Elektronische handtekeningen’. Puur omdat ik niet alles in één artikel wil uitleggen.

De Elektronische Handtekening (ES)

Heel gewoon een naam onder een e-mail voldoet eigenlijk al aan deze elektronische handtekening. Je stuurt een mailtje met jouw goedkeuring en zet er je naam en telefoonnummer onder. Dit is goed genoeg om die als ‘Elektronische Handtekening’ te accepteren. Dit is wat wij dagelijks uitvoeren en globaal controleren daarvan is eenvoudig.

Dit principe is technisch erg eenvoudig te vervalsen en is een risico als men deze manier wil gebruiken. Om die vervalsing voor een deel tegen te gaan is er meer nodig en dat is tweede methode van digitale handtekening.

De Geavanceerde Elektronische Handtekening (AES)

Een geavanceerde handtekening gebruikt cryptografische kenmerken die herleidbaar zijn naar één persoon én een-op-een gekoppeld is aan het ondertekende document. Daar zijn diverse technieken voor beschikbaar en de manier met sleutels en certificaten heeft de voorkeur. Mede omdat die techniek al breed beschikbaar is voor PDF documenten en e-mail.

Het document of e-mail wordt op een specifieke manier ondertekend zijn met een digitale sleutel, inclusief certificaat, van een bij beide vertrouwde TTP dienst (vertrouwensdienst). Hieronder worden certificaten uitgegeven die deze manier van ondertekenen ondersteunt. eIDAS stelt dit niet specifiek voor maar is wel een van de methoden die het ondertekenen wel eenvoudiger maakt.

In een e-mail heet dit principe S/MIME. Dit is in de meeste e-mail programma’s (Outlook, Thunderbird) mogelijk. Met S/MIME heb je een sleutel en certificaat waarmee je de e-mail digitaal ondertekent en dan kan de ontvanger zien dat het mailtje niet door derden is aangepast en het echt van de verzender afkomstig is. Ook documenten zijn met deze manier met sleutels en certificaten te ondertekenen en kun je bv een PDF digitaal ondertekenen.

Helaas zijn de private sleutels van de certificaten vaak eenvoudig te kopiëren (indien ze niet veilig opgeslagen zijn) en door derden te gebruiken, zodat je ook deze niet kunt zien op hetzelfde niveau als de natte handtekening. Daarvoor zijn meer waarborgen nodig voor de sleutels en certificaten. Dat is dus de derde methode, gekwalificeerde digitale handtekening.

De Gekwalificeerde Elektronische Handtekening (QES)

Deze methode komt voor een groot deel overeen met de geavanceerde handtekening. Maar heeft zwaardere waarborgen en technische eisen aan de sleutels en de ondertekening. Technisch is het bijna identiek maar de opslag, uitgifte en ondertekening hebben zwaardere eisen.

Deze zwaardere eisen van de sleutels en gekwalificeerde digitale handtekening zijn:

  • Sleutels en certificaat zijn face-to-face uitgegeven aan gebruiker;
  • Ondertekening is uitgevoerd met een Qualified Electronic Signature Creation Device (bv smartcard, USB token, HSM).

Deze eisen maken de sleutels en de ondertekening van dermate hoge kwaliteit dat men ervan uit mag gaan dat dit niet te vervalsen is. Zowel de sleutels, certificaten als handtekeningen zijn niet te kopiëren en na te maken. De handtekening is daarmee ook een-op-een gekoppeld met het ondertekende document.

Dit is de enige methode die overeen komt met de natte handtekening en daardoor de methode die als digitale vervanger voldoet. Mits alle processen eromheen gedegen zijn ingevoerd.

Conclusie

De gekwalificeerde elektronische handtekening is in bewijsrechtelijk opzicht gelijk aan de handgeschreven handtekening: de rechtsgeldigheid wordt aangenomen. Als iemand beweert dat de handtekening “vals” is, moet dit worden bewezen door wederpartij. Van andere elektronische handtekeningen moet in principe de ondertekenaar bewijzen dat de gebruikte handtekening voldoende betrouwbaar en dus rechtsgeldig is, tenzij de rechter een omgekeerde bewijslast formuleert.

Bijna onmogelijke methodes, als je het bovenstaande leest. De code, sleutels en/of certificaten bij de gebruiker krijgen en daar de digitale ondertekening uit te voeren is nogal een onderwerp van discussie. En bij deze codes en sleutels hoort ook nog een gedegen en veilige authenticatie om de sleutels te gebruiken en het document te kunnen ondertekenen.

Bijna dan, de Nederlandse overheid heeft al een volledig proces om kaarten met daarop sleutels en eventueel certificaten face-to-face uit te geven. Het paspoort of ID-kaart zijn daar uitermate geschikt voor. Enkele sleuteltjes op de kaart erbij plaatsen, en deze sleutels kunnen Nederland breed gebruikt worden om documenten digitaal te ondertekenen. Al loop je dan wel aan tegen bepaalde privacy kwesties bij het gebruik van deze sleutels.

Gelukkig heeft de overheid een start gemaakt om dit in eHerkening, DigID en Idensys door te voeren. Maar helaas is dat wel een de late kant want er zijn al diverse bedrijven die dit, tegen soms hoge bedragen, al leveren.