Uitgelegd: nieuwe norm ondertekenen IT-auditrapportages voor DigiD
Donderdag 2 februari 2023
Organisaties met een aansluiting op DigiD zijn verplicht om elk jaar een ICT-beveiligingsassessment uit te laten voeren. Om te voldoen aan de assessmentplicht is een IT-auditrapportage nodig, die is uitgevoerd door een Register EDP-auditor (RE-auditor). Met ingang van 2023 worden er verhoogde betrouwbaarheidseisen gesteld aan de handtekening van een IT-auditor (RE). Eenvoudige digitale handtekeningen worden niet meer geaccepteerd. De elektronische handtekening op basis van een certificaat wordt de norm.
Net als in andere ketens wordt zekerheid rondom de handtekening en de achterliggende identiteitsverificatie steeds belangrijker. Tot nu toe konden documenten worden aangeleverd met een ingescande of een op afbeelding gebaseerde handtekening. Vanaf dit jaar accepteert Logius alleen handtekeningen op basis van een certificaat dat is uitgegeven door een gekwalificeerd vertrouwensdienstverlener. Of aanlevering op papier op basis van een ‘natte’ handtekening. Alternatieven zijn niet meer mogelijk.
Ondertekenen met een EUTL-certificaat
In de uitingen van Logius, onderdeel van het Ministerie van BZK en NOREA, de beroepsorganisatie van IT-auditors, wordt gesproken over het gebruik van EUTL-certificaten.
Hiermee wordt bedoeld dat de handtekening die door de IT-auditor wordt gezet, tot stand komt met een certificaat dat is uitgegeven door een dienstverlener die geregistreerd staat op de EU-trusted list. De lijst met dienstverleners is hier te vinden: eIDAS Dashboard (europa.eu). Het gaat om de dienstverleners met een (Q)cert for ESig kenmerk.
Er worden twee type certificaten geaccepteerd van deze QTSP-ers:
- De gekwalificeerde elektronische handtekening met een certificaat
- De geavanceerde elektronische handtekening met een certificaat
Onbekendheid met ondertekencertificaten
Merk op dat ook een geavanceerde elektronische handtekening, dus gezet kan worden met een persoonsgebonden certificaat. Dit is voor veel organisaties onbekend. Er wordt doorgaans verondersteld dat alleen de gekwalificeerde elektronische handtekening met een certificaat tot stand komt.
Kenmerkend voor beide certificaten is dat de naam van de ondertekenaar, en daarmee de herleidbaarheid, direct zichtbaar is op het document. Bij ondertekeningen zonder persoonsgebonden certificaten is deze informatie alleen indirect te herleiden door verificatiestappen van de ondertekensoftware.
Certificaateigenschappen
Bij het gebruik van certificaten is ook de uitgevende instantie, inclusief vermelding op de European Union Trusted List, zichtbaar. De dienstverlener in kwestie zorgt voor de identiteitsverificatie en uitgifte van het ondertekenmiddel. Dit geeft een hoge betrouwbaarheid. Daarnaast zijn er verwijzingen in de eigenschappen van het certificaat opgenomen naar de EU-richtlijnen (eIDAS). Op Europees niveau zijn er namelijk afspraken over de totstandkoming en acceptatie van deze handtekeningen.
Er is veel verwarring over de vraag of IT-auditors moeten ondertekenen met behulp van een persoonsgebonden beroepscertificaat. Hier wordt binnen accountantsorganisaties bijvoorbeeld veelvuldig gebruik van gemaakt. Dit certificaat is een variant op het eerdergenoemde persoonsgebonden certificaat en bevat een verificatie met het register van een beroepsorganisatie. IT-auditors kunnen echter nog geen gebruik maken van een beroepscertificaat.
Aan de slag met ondertekenen DigiD-assessments
Om tot ondertekening te komen dient de IT-auditor daarom een ander certificaat aan te vragen. Hierin is het POC-certificaat het meest voor de hand liggend. Dit persoonsgebonden organisatie certificaat, bevat de vereiste naam van de IT-auditor. Daarnaast bevat dit certificaat ook de organisatienaam waarvoor de IT-auditor werkzaam is. De auditorganisatie kan daarmee beheren welke RE’s tekeningsbevoegd zijn. Aangezien de kosten voor een certificaat ten behoeve van een geavanceerde of gekwalificeerde handtekening nauwelijks verschillen, ligt het gebruik van laatste voor de hand. Deze heeft het allerhoogste betrouwbaarheidsniveau en is onweerlegbaar.
Naast het aanvragen van het persoonsgebonden certificaat dient de IT-auditor over software te beschikken die het functioneel mogelijk maakt om:
- Elektronisch te ondertekenen op geavanceerd of gekwalificeerd niveau met behulp van een persoonsgebonden certificaat.
- Elk document in de bundel van stukken afzonderlijk te ondertekenen (niet te verwarren met paraferen).
- PDF/A type documenten te ondertekenen.
Bovenstaande is ook van toepassing op ENSIA-documenten.
Praktische ondersteuning
Het online platform van PKIsigning biedt deze mogelijkheden. Het wordt voor deze functionaliteiten al gebruikt door andere accountantskantoren en auditorganisaties. Ook bij het aanvraagproces van certificaten kan worden ondersteund. Neem contact op voor de praktische benodigdheden.
Voor inhoudelijke hulp kan informatie worden ingewonnen bij Logius en NOREA. De uitleg in dit artikel is o.a. gebaseerd op informatie van deze partijen.