Waar moet een digitale handtekening aan voldoen?
Stapsgewijze uitleg over de voorwaarden van digitaal ondertekenen
Donderdag 15 februari 2024
Door Reindert Doorn
Een digitale handtekening moet aan verschillende technische en juridische vereisten voldoen. Dit is essentieel voor het waarborgen van de integriteit en authenticiteit van elektronische documenten. Binnen de Europese Unie, waar de eIDAS-verordening van toepassing is, worden ook specifieke eisen gesteld aan de digitale handtekening. Daar moet je rekening mee houden. Wat zijn de minimale eisen waaraan een digitale handtekening moet voldoen? En hoe werkt dit in de praktijk?
Een digitale handtekening moet in elk geval aan onderstaande drie technische eisen voldoen:
1. Uniek en verbonden
Om te beginnen moet de digitale handtekening uniek zijn voor de ondertekenaar en verbonden worden aan een document. Dat zou je kunnen vergelijken met de handgeschreven handtekening. Deze is (doorgaans) ook uniek en wordt op een document geplaatst. Bij een digitale handtekening is het nodig om deze verbinding heel duidelijk vast te leggen. In tegenstelling tot een handgeschreven handtekening, waarbij de identiteit wordt herleid door de gezette krabbel, werkt dat bij een digitale handtekening anders. Via een aantal controlestappen wordt iemands identiteit vooraf gecontroleerd. Deze controlestappen vormen belangrijk bewijs, dat gekoppeld aan het ondertekende document bewaard moet blijven.
Wat is een digitale handtekening eigenlijk?
Een digitale handtekening is een technologische implementatie die de integriteit en authenticiteit van digitale documenten of berichten waarborgt. Het is in essentie een digitale versie van een handgeschreven handtekening of een gestempeld zegel, maar met veel meer ingebouwde beveiligingsfuncties. Digitale handtekeningen maken gebruik van cryptografische algoritmen om een unieke reeks gegevens, gekoppeld aan een document, te genereren die alleen kan worden gecreëerd door de beoogde ondertekenaar.
Eenvoudig uitgelegd met AI: Stel je voor dat je een brief schrijft op de computer en je wilt dat iedereen zeker weet dat jij het was die de brief schreef, en dat niemand anders de brief heeft veranderd. Je “ondertekent” de brief digitaal. Dit werkt door een soort speciale code te maken die alleen jij kunt maken, omdat je een geheim “sleuteltje” hebt. Als je de brief ondertekent met dit sleuteltje, kan iedereen met een ander “openbaar” sleuteltje checken of de brief echt van jou komt en of niemand er iets aan heeft veranderd. Het is alsof je een zegel op je brief plakt dat alleen jij kunt maken, en iedereen kan zien dat het zegel niet is gebroken. Zo weten ze dat de brief echt van jou is en precies zo is als jij hem hebt verstuurd. Dit is handig voor belangrijke documenten op internet, zodat iedereen ze kan vertrouwen.
2. Integriteit
Eenmaal ondertekend, mag het document niet meer gewijzigd kunnen worden. Zo moet fraude worden voorkomen en weten jij en de ontvanger zeker dat de digitale handtekening betrekking heeft op de tekst in het document. Ondertekende documenten moeten dus als het ware verzegeld worden. Elke wijziging ná het aanbrengen van de digitale handtekening, maakt de handtekening ongeldig. Een document is dan wel te bekijken, maar het is duidelijk dat de handtekening niet meer passend is. Je kunt dit in de praktijk zien door de blauwe balk bovenin Adobe PDF-Reader.
Voorbeeld van een integer document:
Voorbeeld van een gewijzigd document ná plaatsing van de digitale handtekening:
Doordat bij een digitale handtekening de sleutelwaarde van het hele document berekend wordt, is in tegenstelling tot bij de handgeschreven handtekening paraferen per pagina niet meer nodig. De digitale handtekening heeft dus automatisch betrekking op het hele document. Bij het toevoegen of verwijderen van pagina’s vervalt de handtekening automatisch. Lees ook: Paraferen kun je afleren
3. Verificatie
Het controleren van de identiteit van de ondertekenaar is essentieel. Nadat de digitale handtekening gezet is, moet dit ook nog geverifieerd kunnen worden. Er moet bij de digitale handtekening dus een methode zijn om de identiteit vast te stellen én deze achteraf aan te tonen. Hoe meer stappen er worden genomen om de identiteit van de ondertekenaar vast te stellen, hoe betrouwbaarder de handtekening in de praktijk. Denk bijvoorbeeld aan het controleren en vastleggen van het IP-adres, e-mailadres en telefoonnummer. Ook kunnen gegevens van het identiteitsbewijs worden gecontroleerd voor nog meer zekerheid.
Transactielog
Veel oplossingen en diensten voor digitale handtekeningen leggen het bewijs vast in een digitaal bonnetje: een ‘transactie log’ of ‘certificate of completion’. Zoals je bij paragraaf 1 hebt gelezen moet dit bonnetje wel goed bewaard blijven bij het document. Een ondertekendienst als PKIsigning onderscheidt zich door deze bon automatisch versleuteld in het ondertekende PDF-document op te slaan, daarmee gaat het bewaren van de bon vanzelf en hoef je geen losse bestanden te bewaren.
Plaatje van de handtekening
Er wordt weleens gedacht dat je bij een digitale handtekening op een document geen krabbel kunt zetten op dezelfde manier, zoals je dat gewend bent met een handgeschreven handtekening. Maar dat klopt niet. Ook bij een digitale handtekening kun je als het ware een plaatje van je handtekening zetten. De afbeelding wordt echter niet gebruikt voor de verificatie van de identiteit, zoals bij een handgeschreven handtekening. Bovendien is het aan te raden om gebruik te maken van een digitale stempel, zodat bij een afdruk van een document zichtbaar is dat het gaat om een elektronisch exemplaar. Lees ook: Het lijkt een drempel, maar gebruik het stempel.
Extra bewijs
Om meer zekerheid te hebben over de bewijsbaarheid van de identiteit van de ondertekenaar en de relatie tot de ondertekende documenten, kan je ook gebruik maken van een aanvullend ‘Detached Certificate’. Dat kan van belang zijn als je belangrijke documenten ondertekent, maar dit niet op het hoogste betrouwbaarheidsniveau doet (zie volgende paragrafen). Of als je een set aan documenten laat ondertekenen.
Eisen aan digitale handtekeningen vanuit de wet
Er zijn ook juridische aspecten waar je digitale handtekening aan moet voldoen. In Nederland zijn de eisen rondom de digitale handtekening vastgelegd in het Burgerlijk Wetboek. Daarin wordt verwezen naar de Europese eIDAS-verordening. Dit Europese afsprakenstelsel, maakt onderscheid in drie niveaus van zekerheid. Per niveau gelden bepaalde (technische) eisen waar je aan moet voldoen. Het is verstandig om eerst de niveaus te kennen en te bedenken welk niveau je wilt gaan toepassen binnen je organisatie. Je kunt hier een handig stappenplan vinden als je daar hulp bij wilt.
De drie niveaus zijn:
| Betrouwbaarheidsniveau | Waar moet het aan voldoen |
| Gewone elektronische handtekeningen: Dit zijn de basis handtekeningen die niet noodzakelijkerwijs gebruik maken van een certificaat. Een voorbeeld is een handgeschreven handtekening die is ingescand en is toegevoegd aan een document. Of een vinkje voor akkoord. Dit type handtekening is eenvoudig te vervalsen en -hoewel ze wettelijk erkend zijn- biedt ze het laagste niveau van zekerheid. | Er zijn geen specifieke onderdelen waar de gewone elektronische handtekening aan moet voldoen. |
| Geavanceerde elektronische handtekeningen: Deze handtekeningen bevat een beveiliging door versleuteling. Het is duidelijk wie de ondertekenaar is en bewijs wordt vastgelegd. Een voorbeeld is het ondertekenen door middel van tweestapsverificatie. | In de wet staat: a) zij is op unieke wijze aan de ondertekenaar verbonden; b) zij maakt het mogelijk de ondertekenaar te identificeren; c) zij komt tot stand met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn |
|
De geavanceerde elektronische handtekening kent meerdere varianten en kan tot stand komen met behulp een certificaat dat de identiteit van de ondertekenaar bevestigt. Deze handtekening is moeilijk na te maken en meestal rechtsgeldig, mits er een betrouwbare implementatie plaatsvindt van de eisen. |
uitsluitende controle kan gebruiken, en d) zij is op zodanige wijze aan de daarmee ondertekende gegevens verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord. Aan deze eisen kan op verschillende wijze invulling gegeven worden. Ook kan dit per lidstaat verschillen |
| Gekwalificeerde elektronische handtekeningen: Dit zijn de meest veilige handtekeningen die voldoen aan alle eisen van geavanceerde elektronische handtekeningen en bovendien zijn gecreëerd met een gekwalificeerd middel en een gekwalificeerd certificaat en uitgegeven door een gekwalificeerde vertrouwensdienstverlener (QTSP). Deze handtekening is gelijkgesteld aan de handgeschreven handtekening. | In de eIDAS-verordening zijn de eisen waaraan gekwalificeerde middelen en certificaten moeten voldoen vastgelegd. Hierdoor is de juridische status van deze handtekening in alle lidstaten gelijk. |
Waar moet het in Nederland aan voldoen?
In het Burgerlijk Wetboek staat:
“Evenals een elektronische gekwalificeerde handtekening als bedoeld in artikel 3, onderdeel 12, van verordening (EU) nr. 910/2014 van het Europees parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronisch transacties in de interne markt en tot intrekking van richtlijn 1999/93/EG (PbEU 2014, L 257) hebben een geavanceerde elektronische handtekening als bedoeld in onderdeel 11, en een andere elektronische handtekening als bedoeld in onderdeel 10, van artikel 3 van deze verordening dezelfde rechtsgevolgen als een handgeschreven handtekening, indien voor deze beide elektronische handtekeningen de methode voor ondertekening die gebruikt is voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische handtekening is gebruikt en op alle overige omstandigheden van het geval.”
Hierin lees je dat de gewone en de geavanceerde handtekening ook gelijkgesteld kunnen worden aan de handgeschreven handtekening als:
- De methode betrouwbaar genoeg is geïmplementeerd.
- De gekozen methode past bij het doel van de ondertekening. Bijvoorbeeld: hoe belangrijker het document, hoe betrouwbaarder de ondertekenmethode moet zijn.
- Alle andere omstandigheden zijn meegewogen.
Hieruit blijkt dat de keuze voor het type digitale handtekening dus afhangt van de juridische en operationele eisen aan het document of de transactie. Voor documenten met hogere risico’s, grotere belangen of waarbij wetgeving een gekwalificeerde handtekening vereist, kies je voor het hoogste niveau van zekerheid. Voor minder gevoelige documenten is een geavanceerde handtekening voldoende.
Waar moet een implementatie aan voldoen?
Bij het inzetten van een digitale handtekening in de praktijk begin je samen met je collega’s met het inventariseren van de eisen en wensen die er zijn vanuit deze drie invalshoeken:
- Functionele gebruikerswensen: welke functionaliteit heb ik nodig van de software, zoals het opmaken van documenten, samenvoegen, ondersteunde bestandstypen, enzovoorts.
- Technische wensen: welke mogelijkheden biedt de software rond versleuteling, bewijslast, AVG, methoden voor identiteitsverificatie, verzegeling, enzovoorts.
- Juridische wensen: welke betrouwbaarheidsniveaus willen we per documentsoort toepassen en welke betrouwbaarheidsniveaus biedt de software ons. Weeg dit altijd – voor de implementatie- goed af.
Daarna onderzoek je de markt. Je kunt op de website ondertekenwijzer.nl ook een voorbeeld vragenlijst downloaden die je kan helpen bij het selecteren van aanbieders van ondertekensoftware. Vraag altijd goed door om zeker te weten dat je een betrouwbare oplossing inzet die voldoet aan je wensen eisen. Let daarbij specifiek op de genoemde eisen rond de geavanceerde handtekening.
Technische verschillen
Zeker op technisch vlak zijn er grote inhoudelijke verschillen. Zo biedt niet elke aanbieder de mogelijkheid om te ondertekenen met een gekwalificeerd zegel (eSeal), het gebruik van gekwalificeerd tijdstempels bij de ondertekening en ontbreekt het vaak aan mechanisme voor controle op geldigheid in de toekomst van de handtekening op het moment van ondertekenen (LTV).
Technische aspecten kunnen een groot verschil maken in de betrouwbaarheid van de implementatie. Tegelijkertijd zijn dit, net als de juridische eisen, best complexe onderwerpen. Schakel eventueel een adviseur in om je hierbij te laten helpen.
Randvoorwaarden, zoals gemak vanuit de cloud
Sommige minimale eisen aan de handtekening stel je natuurlijk zelf. Eén daarvan is hoogstwaarschijnlijk dat je de handtekening eenvoudig wilt zetten, zonder dat er installatie van software nodig is. Steeds meer ondertekendiensten bieden de mogelijkheid om een handtekening te zetten met online software. Een browser is dan voldoende. Bovendien onderteken je daarmee op elke gewenst apparaat, op elke plaats. Bekende oplossingen zijn DocuSign en PKIsigning.
Sinds een aantal jaar kun je ook op het hoogste betrouwbaarheidsniveau (met een certificaat) ondertekenen vanuit de cloud. PKIsigning was de eerste aanbieder van online software die hiermee op de markt kwam. Dit geeft nog meer gemak, zonder concessies rondom rechtsgeldigheid.