Het lijkt een eenvoudige handeling in de meeste software: het digitaal ondertekenen van een document. Dit kan bijvoorbeeld door een simpel akkoord of via meervoudige verificatie. Wat veel mensen zich niet realiseren is dat achter de elektronisch handtekening veel complexiteit schuilt. Zowel in technisch als juridisch opzicht. Voor een betrouwbare elektronische handtekening is er dan ook veel meer nodig dan een vinkje. Omdat het ondertekenen een rechtshandeling is moet je beslagen ten ijs komen. Ontdek welke aspecten essentieel zijn voor de implementatie van digitaal ondertekenen.
Als gebruiker kijk je vooral naar aspecten als gebruiksgemak en welke functionaliteiten de ondertekensoftware biedt. Dat is uiteraard enorm belangrijk. Goede software zorgt voor een betere adoptie van digitaal ondertekenen binnen je organisatie.
Er zijn alleen wel risico’s verbonden als je niet naar de onderliggende aspecten kijkt. Partijen die ondertekensoftware leveren zijn hierin gespecialiseerd. Ze besteden doorgaans meer zorg aan de juridische en technische aspecten dan een standaard ‘ondertekenfunctie’ die is ingebouwd in veel voorkomende software. Vind je het belangrijk om een betrouwbare handtekening te zetten, ook in elektronische vorm? Kijk dan eens goed naar deze aspecten:
- Er is een Europese verordening (eIDAS) waarin afspraken zijn vastgelegd over de betrouwbaarheidsniveaus van de elektronische ondertekening. De verordening is bindend en de afspraken zijn overgenomen in het Burgerlijk Wetboek. Deze eIDAS-verordening zorgt ervoor dat er binnen de lidstaten een gelijke implementatie bestaat en je handtekening in de meeste gevallen dus ook geldig is in een ander EU-land. Wel kan een land er voor kiezen extra aanvullende regelgeving op te leggen. De elektronische handtekening moet worden geaccepteerd, zeker het hoogste betrouwbaarheidsniveau. Naast de eIDAS verordening zijn er Europese normeringen waarin afspraken staan over de technische implementatie standaarden, zoals ETSI. Er kunnen situaties zijn waarin het vereist is om aan deze standaarden te voldoen. Niet alle oplossingen voldoen hieraan.
- Bij een ondertekening op laag of gemiddeld betrouwbaarheidsniveau dien je zelf te zorgen voor een complete bewijslast. Je moet kunnen aantonen dat de identiteit van de ondertekenaar is gevalideerd en vastgesteld én er een aantoonbare wilsuiting is gedaan door het ondertekenen. Daarbij moet dit bewijs altijd verbonden blijven met het originele document. Elke wijziging achteraf moet opgespoord kunnen worden. De ondertekentransactie moet op betrouwbare wijze tot stand komen met gegevens die tot de uitsluitende beschikking staan van de ondertekenaar. Dat valt niet altijd mee. Er is regelmatig discussie -en ook jurisprudentie- over wat dan goed genoeg is.
- Over certificaten is een hele hoop verwarring. Allereerst bestaan er de persoonsgebonden certificaten. Dit zijn certificaten die aan jou persoonlijk worden uitgereikt en gebruik je bij de ondertekening. Dat kan bij een ondertekening op gemiddeld of hoog Beroepsbeoefenaars, zoals accountants hebben een speciaal beroepsgebonden certificaat. De persoonsgebonden certificaten kunnen op een (USB)-apparaat staan of online in een soort ‘digitale kluis’. Dit wordt een HSM genoemd. Er bestaat ook een ‘gecertificeerde digitale kluis’, met een hoog betrouwbaarheidsniveau. Tot slot bestaan er certificaten op gemiddeld of hoog betrouwbaarheidsniveau die worden gebruikt voor de documentverzegeling. Dit is een eSeal-certificaat.
- Bij digitaal ondertekenen wordt een handtekening toegevoegd door middel van een elektronische transactie. Hierbij wordt ook een tijdstempel gebruikt. De elektronische handtekening is het feitelijke bestand met gegevens van de transactie. Het technische proces bestaat uit deze stappen:
-De software berekent met behulp van een algoritme de hashwaarde van het document.
-De hashwaarde wordt versleuteld met de (geheime) privésleutel van de ondertekenaar.
-Deze versleuteling vormt de elektronische handtekening.
De controle:
-De ontvanger ontcijfert de handtekening met behulp van de software. Dankzij de publieke sleutel die samenhangt met de privé sleutel.
-Als de uitkomst (de berekende hashwaarde) hetzelfde is, kan worden vastgesteld, dat de ondertekening heeft plaatsgevonden door de ondertekenaar, die in het bezit is van de privé sleutel én dat het document niet is gewijzigd.
Het vijfde aspect: goed nieuws!
Je hebt dus te maken met wetgeving, verschillende manieren om de handtekening te bewijzen, verschillende vormen van certificaten én een ingewikkeld versleutelingsproces. Als gebruiker merk je van al deze complexe onderdelen gelukkig weinig. Je ziet alleen het topje van de ijsberg.
Voor een uiterst betrouwbare handtekening met hoog betrouwbaarheidsniveau, de gekwalificeerde handtekening, waren tot voor kort ingewikkelde stappen nodig. Een persoonlijke identiteitscontrole en een certificaat op een USB-stick of pas. Dat zorgt ervoor dat vanwege van gebruiksgemak soms ondertekensoftware werd ingezet die een lager betrouwbaarheidsniveau biedt. Gelukkig is het gekwalificeerd ondertekenen steeds eenvoudiger. Sinds enige tijd kan dat al direct vanuit de Cloud zonder USB-apparaat. De persoonlijke identiteitscontrole kan vanaf dit jaar ook op afstand. Zo heb je gebruiksgemak zonder concessies aan de betrouwbaarheid!
PKIsigning maakt betrouwbare handtekeningen eenvoudig. Bijvoorbeeld met gekwalificeerd ondertekenen vanuit de Cloud. Meer weten?