Origineel is van 3 juli 2014
In 2016 is de eIDAS-verordening in werking getreden. De naam staat voor ‘Electronic Identities And Trust Services’. Deze Europese verordening beoogt voor de Europese Unie een uniforme regeling te treffen voor elektronische handtekeningen, waarmee het (internationaal) gebruik ervan wordt gestimuleerd. De verordening is daarnaast bedoeld om de betrouwbaarheid van elektronische handtekeningen te waarborgen.
Drie smaken elektronische handtekeningen
Er zijn 3 smaken elektronische handtekeningen, de gewone elektronische handtekening, de geavanceerde elektronische handtekening en de gekwalificeerde elektronische handtekening. In dit artikel wordt allereerst een beknopte uitleg gegeven van het begrip elektronische handtekening. Vervolgens wordt uiteengezet aan welke voorwaarden de geavanceerde en de gekwalificeerde handtekeningen dienen te voldoen.
De elektronische handtekening
Art. 3 onderdeel 10 van de verordening bevat de invulling van het begrip ‘elektronische handtekening’. Volgens dit artikel wordt onder elektronische handtekening verstaan: ‘gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen’.
De begripsomschrijving is redelijk vaag en er worden geen gedetailleerde technische eisen genoemd. De wetgever heeft hiervoor gekozen om zo de regelgeving onafhankelijk te maken van de technische ontwikkelingen die elkaar vaak in hoog tempo opvolgen. Gegevens kunnen op basis van de genoemde omschrijving op verschillende manieren worden ondertekend. Het beveiligen van gegevens door middel van een wachtwoord kan al gelden als een ondertekening, maar denk ook aan biometrie, encryptie of een gescande ‘klassieke’ handtekening.
1. Gewone elektronische handtekening
Volgens de wet (artikel 3:15a BW) staat de elektronische handtekening gelijk aan een handgeschreven handtekening, ‘indien de methode die daarbij is gebruikt voor ondertekening voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval’. Een elektronische handtekening kan dus daadwerkelijk als bekrachtiging van een verklaring worden gebruikt wanneer de methode waarmee de afzender van het bericht wordt geïdentificeerd voldoende betrouwbaar is.
Belangrijk is wel dat de betrouwbaarheid van de handtekening moet worden vastgesteld aan de hand van het doel van de communicatie. Naarmate het belang van de communicatie toe- of afneemt, zal daarom de elektronische handtekening met meer of minder waarborgen moeten worden omkleed. Het is door deze hoofdregel uiteindelijk aan de rechter om bij een geschil te oordelen of een elektronische handtekeningen gelijk staat aan een geschreven handtekening.
2. Geavanceerde elektronische handtekening
Ondanks dat de wetgever heeft gekozen voor een techniekonafhankelijke elektronische handtekening, heeft hij het nodig geacht om een aantal handvatten te geven waarmee de betrouwbaarheid van een elektronische handtekening kan worden vastgesteld. Naast de ‘gewone’ elektronische handtekening is de geavanceerde elektronische handtekening door hem in het leven geroepen. Dit is een handtekening die aan de volgende eisen (art. 26 eIDAS-verordening) moet voldoen:
- zij is op unieke wijze aan de ondertekenaar verbonden;
- zij maakt het mogelijk de ondertekenaar te identificeren;
- zij komt tot stand met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken; en
- zij is op zodanige wijze aan de gegevens waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.
Symmetrische encryptie
Er wordt aan deze voorwaarden voldaan wanneer de communicatie wordt ondertekend en verzonden met toepassing van asymmetrische encryptie. Encryptie is het proces waarmee leesbare (digitale) gegevens versleuteld, en daarmee onleesbaar, worden. Slechts de houder van de juiste sleutel kan de data weer leesbaar maken.
Bij symmetrische encryptie beschikken de verzender en de ontvanger van de verklaring over dezelfde geheime sleutel. Er wordt dus een en dezelfde sleutel gebruikt voor zowel het versleutelen als het weer leesbaar maken van de communicatie die tussen hen plaatsvindt. Deze methode voldoet dus niet aan de eisen die aan een geavanceerde elektronische handtekening worden gesteld: de “handtekening” is namelijk niet op unieke wijze aan de ondertekenaar verbonden.
Asymmetrische encryptie
Bij asymmetrische encryptie krijgt een gebruiker twee sleutels. Elk sleutelpaar bestaat uit een publieke en een bijbehorende private sleutel. De publieke sleutel kan bij meerdere partijen bekend zijn. Het doel van de methode is allereerst dat de verzender van een versleuteld bericht zeker weet dat de ontvanger de enige is die het bericht leesbaar kan maken. Daarnaast moet ook de ontvanger kunnen herleiden wie de verzender van het bericht is.
Bij asymmetrische encryptie wordt daarom een bericht in twee stappen ver- en ook weer ontsleuteld. Allereerst wordt het bericht versleuteld met de publieke sleutel van de ontvanger. De ontvanger is hierdoor de enige die deze versleuteling met zijn private sleutel kan ontcijferen. Daarnaast wordt het bericht versleuteld met de private sleutel van de verzender. De ontvanger heeft daarom, om het bericht volledig leesbaar te kunnen maken, ook de publieke sleutel van de verzender nodig. Hieruit kan de ontvanger afleiden of het bericht ook daadwerkelijk van de verzender afkomstig is.
Bij elke versleuteling wordt er een unieke waarde toegekend aan het bericht. Deze zogenaamde hash-waarde komt tot stand door het bericht door een wiskundige formule te halen. De hash-waarde komt terecht bij zowel de verzender als de ontvanger. Wanneer de inhoud van het bericht wordt gewijzigd tijdens de verzending zal de hash-waarde mee veranderen. Met het vergelijken van de hash-waardes bij de ontsleuteling van een bericht kunnen wijzigingen dus worden opgespoord. Hiermee wordt de integriteit van de inhoud van het bericht gewaarborgd.
3. Gekwalificeerde elektronische handtekening
Met de bovenstaande methodes van elektronisch ondertekenen kan de identiteit van een verzender of ontvanger nog niet met volledige zekerheid worden vastgesteld. De sleutels kunnen bijvoorbeeld door een onbevoegde gebruikt worden. Als extra waarborg voor de betrouwbaarheid van communicatie kan het daarom nodig zijn dat voor het verzenden of ontvangen de identiteit van de verzender respectievelijk de ontvanger wordt vastgesteld om als voldoende betrouwbaar te worden aangemerkt.
Dit wordt gerealiseerd door aan de handtekening de afgifte van een certificaat te koppelen. Hierbij controleert een onafhankelijke derde partij, een zogenaamde Trusted Third Party (TTP) de identiteit van de verzender en ontvanger. Na goedkeuring volgt de afgifte van een certificaat waarmee voor de communicerende partijen duidelijk is dat de identiteit van de wederpartij is vastgesteld. De controle en de uitgifte van het certificaat wordt bij elke ‘communicatiesessie’ opnieuw uitgevoerd.
De gekwalificeerde elektronische handtekening is zonder meer voldoende betrouwbaar en staat dan ook volgens de wet altijd gelijk aan een geschreven handtekening. Zoals gezegd betekent dit niet meteen dat niet-gekwalificeerde elektronische handtekeningen per definitie als onbetrouwbaar moeten worden aangemerkt. In de verordening staat namelijk dat een elektronische handtekening niet als onvoldoende betrouwbaar kan worden aangemerkt op de enkele grond dat deze niet is gebaseerd op een gekwalificeerd certificaat.
Wil je meer weten over de elektronische handtekening, neem dan contact met ons op.