Home | Actueel | Elektronisch accorderen, ondertekenen en eWaarmerken.

Actueel


 

Elektronisch accorderen, ondertekenen en eWaarmerken.

25 juni 2019


Artikel door Kees Groeneveld MBA RI

Auteur is verbonden als partner aan eSpecialisten BV, met als primaire aandachtsgebieden: digitale duurzaamheid, blockchain, digitale handtekening, digitaal waarmerken, e-Depot, Informatie-uitwisseling in een keten.

Digitaal informatie delen vereist digitale betrouwbaarheid

Binnen de overheid verschuiven we steeds meer richting het papierloos en daarmee digitaal werken. Aandachtspunt daarbij is dat de ontvanger van de digitale informatie erop moet kunnen vertrouwen dat de inhoud van de informatie authentiek, integer en volledig is. Onderdeel van het digitaal werken is de invoering van de digitale handtekening en digitaal accorderen. Maar veel overheidsorganisaties hebben nog geen helder beeld wat je op deze vlakken moet regelen. In dit artikel gaan we hier op in.

Wet en Regelgeving: mag je elektronisch informatie delen?

In de memorie van toelichting op de Wet Elektronisch Bestuurlijk Verkeer staat “Een schriftelijk stuk in de zin van deze wet kan op papier staan, maar ook een elektronisch document zijn”. Kortom, het is legaal juridische stukken digitaal (digital born) te gebruiken in bestuurlijk verkeer. Dat is een goed begin. Laten we eens kijken in de Algemene Wet Bestuursrecht (Awb). Daar zien we verschillende artikelen. In artikel 2:13 Awb staat: “In het verkeer tussen burgers en bestuursorganen kan een bericht elektronisch worden verzonden mits …..”, een bevestiging van datgene wat vermeld staat in de memorie van toelichting.

Verzenden vanuit een organisatie

Als je als (overheids)organisatie digitaal informatie wilt verzenden is het van belang dat je als zendende partij je op de hoogte stelt of de geadresseerde bereikbaar is. Anders komt het bericht niet aan. De geadresseerde zal moeten aangeven via welk kanaal en op welk (e-mail)account hij bereikbaar is. In artikel 2:14 lid 1 Awb staat: .. de geadresseerde kenbaar heeft gemaakt dat hij langs deze weg voldoende bereikbaar is….

Verzenden naar een organisatie

Wanneer iemand naar een overheidsorganisatie digitaal informatie wil versturen dient deze verzendende partij zich op de hoogte te stellen of de ontvangende bestuursorgaan digitale informatie kan ontvangen. In artikel 2:15 lid 1 Awb staat : .. Het bestuursorgaan kenbaar heeft gemaakt dat deze weg is geopend…..”. Dat wil niet zeggen dat daarna vormvrij digitale informatie verstuurd kan worden. In het tweede gedeelte van het artikel staat immers : ‘Het bestuursorgaan kan nadere eisen stellen aan het gebruik van de elektronische weg…’ ((artikel 2:15 Awb lid 1)).

Het nader kunnen stellen van eisen kan ertoe leiden dat ontvangen digitale informatie niet direct verwerkt kan worden (b.v. vanwege gebruikte compressiemethoden of exotische bestandsformaten). Dan kan een bestuursorgaan de informatie weigeren. In artikel 2:15 Awb lid 2 staat dan ook ‘Een bestuursorgaan kan elektronisch verzonden gegevens en bescheiden weigeren voor zover de aanvaarding daarvan tot een onevenredige belasting voor het bestuursorgaan zou leiden. Daarnaast mag het bestuursorgaan digitaal aangeleverde informatie weigeren wanneer deze niet betrouwbaar is (b.v. bij falsificaties of wanneer een aangeleverd digitaal stuk virussen bevat).

In artikel 2:15 lid 3 staat “Een bestuursorgaan kan een elektronisch verzonden bericht weigeren voor zover de betrouwbaarheid of verantwoordelijkheid onvoldoende gewaarborgd is (gelet op aard, inhoud en doel).”

De conclusie op basis van bovenstaande artikelen is : elektronisch informatie delen mag, als het proces wederzijds ingeregeld is en helder is onder welke voorwaarden dit verkeer plaatsvindt.

Authentiek en integer

De volgende twee vragen ontstaan: In hoeverre kan een ontvanger van digitale informatie erop vertrouwen dat de ontvangen informatie daadwerkelijk door de afzender is gestuurd (de informatie is authentiek) en niet is veranderd (de informatie is integer)

De elektronische handtekening

Voor wat betreft de elektronische handtekening (art 3:15a lid 4 BW) wordt onder de elektronische handtekening verstaan een handtekening die bestaat uit:

  1. Elektronische gegevens
  2. die zijn vastgehecht aan of logisch geassocieerd zijn met
  3. andere elektronische gegevens en
  4. worden gebruikt als middel voor authenticatie.

Als aan bovenstaande eisen is voldaan en de handtekening is gebaseerd op een gekwalificeerd certificaat (bijvoorbeeld een PKI-overheid certificaat) (zie art. 3:15a lid 2 sub d B.W. en art. 1.1 ss en art. 18.15 lid 1 + 2 Telecommunicatiewet) en de handtekening is aangemaakt met een zogenaamd veilig middel (art. 18.17 lid 1 Telecommunicatiewet: de veiligheidseisen staan in een AMvB), dan wordt de elektronische handtekening in kwestie vermoed voldoende betrouwbaar te zijn.

Deze klasse van elektronische handtekeningen, er wordt ook wel van gekwalificeerde elektronische handtekeningen gesproken, is dus met extra zekerheden omgeven.

Belangrijk om te constateren dat alleen een ‘krabbeltje’ dat elektronisch gehecht wordt aan het document onvoldoende is. De handtekening moet als zodanig voldoende betrouwbaar vast zitten aan de persoon van de ondertekenaar EN moet voldoende vast zitten aan de ondertekende gegevens.

Artikel 3: 15 lid1 BW: een elektronische handtekening heeft dezelfde rechtsgevolgen als een handgeschreven handtekening indien de methode die daarbij gebruikt is voor authenticatie voldoende betrouwbaar is gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval.

In de memorie van toelichting staat daarbij iets opmerkelijks “De neiging bestaat bij elektronisch verkeer een hogere mate van betrouwbaarheid en vertrouwelijkheid te eisen dan bij conventionele communicatie. Dit is niet gewenst want ook de handtekening op papier biedt geen absolute garanties tegen vervalsingen”.

Bij de invoering van de elektronische handtekening moet je de vraag stellen: hoe betrouwbaar moet de ondertekening zijn? Is het voldoende betrouwbaar voor het doel? In hoeverre moet de handtekening gelden voor interne of externe bewijsvoering. De context van het proces is bepalend. Ook dient nagedacht te worden over de bewaartermijn van de handtekening en de mogelijkheid van verificatie achteraf

Drie soorten elektronische handtekeningen

In juli 2016 is een Europese verordening (eIDAS)in werking getreden/ Officieel bekend onder de naam: Verordening (EU) Nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG. Een onderdeel van de Europese verordening is het gelijk trekken van het gebruik en de waarde van elektronische handtekeningen in de Europese unie.

Er worden drie soorten elektronische handtekeningen onderscheiden:

  1. de “gewone” elektronische handtekening,
  2. de “geavanceerde” elektronische handtekening, en
  3. de “gekwalificeerde” elektronische handtekening.

De gewone elektronische handtekening

Onder een gewone elektronische handtekening verstaan we hier een afbeelding (plaatje) van een handtekening onder bijvoorbeeld een Word document of in een PDF. Zo’n handtekening is meestal niet voldoende betrouwbaar, omdat deze makkelijk te vervalsen is. Het is zeer eenvoudig om de afbeelding van de handtekening onder een ander document plakken. Een gebruiker kan dan stellen dat zijn handtekening niet door hemzelf is geplaatst, maar dat de andere partij valsheid in geschrifte heeft gepleegd.

Geavanceerde elektronische handtekening

Naast de hierboven beschreven eenvoudige elektronische handtekening bestaat er ook een geavanceerde elektronische handtekening. De geavanceerde elektronische handtekening bestaat uit gegevens die gekoppeld zijn aan een elektronisch bericht, waarvan het doel is om de ondertekenaar op unieke manier te identificeren alsof het een handgeschreven handtekening is. Door het toepassen van kenmerken biedt het de elektronische transacties van de gebruiker extra veiligheid omdat het mogelijk is om de ondertekenaar te identificeren en ook om te controleren of het bericht niet is gewijzigd. Met de geavanceerde elektronische handtekening kan de integriteit van de ondertekende inhoud gegarandeerd worden.

Gekwalificeerde elektronische handtekening

Naast de elektronische handtekening bestaat een zwaardere vorm (wat eisen betreft): De gekwalificeerde elektronische handtekening. De betrouwbaarheid wordt hier geborgd door middel van een certificaat. Dit gekwalificeerde certificaat, dat uitgegeven wordt door een Trusted Third Party, wordt gekoppeld aan de geavanceerde digitale handtekening. In dit geval wordt er dus gesproken van een gekwalificeerde digitale handtekening. Het gekwalificeerde certificaat is aangemaakt met een zogenaamd ‘veilig middel’ (bijvoorbeeld een persoonlijke ‘smartcard’ of een eHerkenningsmiddel), dat de handtekening voldoende betrouwbaar maakt. Zonder deze combinatie kan er niet worden vastgesteld dat de digitale handtekening echt betrouwbaar is.

Een gekwalificeerde digitale handtekening voldoet, naast de eisen van de geavanceerde digitale handtekening, aan de volgende eisen:

  • De handtekening is geverifieerd door middel van een certificaat (uitgegeven door een Trusted Third Party (TTP))
  • Het certificaat is gemaakt met een ‘veilig middel’ (bijvoorbeeld een smartcard), waardoor het beschermd is tegen kopiëren.
  • Er vindt controle plaats op de identiteit van de ondertekenaar.

Voldoende betrouwbaar

Alleen de gekwalificeerde handtekening staat gelijk aan een handgeschreven handtekening. Deze gekwalificeerde handtekening heeft dus dwingende bewijskracht. De andere twee soorten elektronische handtekeningen staan slechts gelijk met de handgeschreven handtekening, en hebben dus dwingende bewijskracht, wanneer deze voldoende betrouwbaar zijn. Wat wordt gezien als ‘voldoende betrouwbaar’ hangt af van het doel waarvoor de elektronische handtekening is gezet en alle overige omstandigheden van het geval. Hoe groter het belang, hoe betrouwbaarder de handtekening moet zijn. De ontvanger van de ondertekende overeenkomst kan per situatie beoordelen welke bewijskracht is gewenst en welke veiligheidseisen aldus zijn vereist voor het zetten van de digitale handtekening. Hoe groter het risico bij een transactie, des te meer reden om zwaardere eisen te stellen aan de digitale ondertekening.

Een aanvullende vorm: de digitale handtekening met blockchain technologie

De digitale handtekening heeft veel voordelen. Het bespaart veel handelingen: in plaats van digitale stukken uit te printen, te voorzien van een natte handtekening en dan weer te digitaliseren, kan er snel gewerkt worden. Zichtbaar is door welke persoon een handtekening gezet is (met name vanaf de geavanceerde digitale handtekening)

Context en integriteit

Echter wat niet zichtbaar wordt, is de context van het document. In hoeverre is het getekende document nog geldig of is het document herroepen? Denk bijvoorbeeld aan een testament of een verstrekte vergunning, die ingetrokken wordt. Door de inzet van eWaarmerk, een op blockchain gebaseerde technologie, wordt informatie over het moment van ondertekenen en de status van het document in de blockchain opgeslagen. Gegevens die op de blockchain omgeving opgeslagen worden kunnen niet meer aangepast worden, waardoor onomstotelijk kan worden vastgesteld wanneer een document gecreëerd en vastgesteld is en wanneer een document ingetrokken is of dat er nieuwe versies van een document in omloop zijn.

Daarnaast wordt eWaarmerk ingezet voor digitale uitgaande informatie waarvoor geen handtekening benodigd is, maar waar de ontvanger te allen tijde kan toetsen van welke organisatie het document afkomstig. De Gemeenten Hengelo. Nederweert en Medemblik zijn voorbeelden van gemeenten die op basis van eWaarmerk digitale informatie van echtheidskenmerken gaan voorzien

Archivering artikel 24 Archiefregeling

Wat zegt de archiefregeling in artikel 24 over het archiveren van digitale bescheiden voorzien van een digitale handtekening? “In aanvulling op de metagegevens, bedoeld in artikel 19, tweede lid, koppelt de zorgdrager aan digitale archiefbescheiden metagegevens aan de hand waarvan te allen tijde gegevens over het navolgende kunnen worden herleid:

  1. de oorspronkelijke technische aard van de digitale archiefbescheiden, alsmede van de hard- en softwareomgeving daarvan;
  2. de actuele technische aard van de digitale archiefbescheiden, alsmede van de hard- en softwareomgeving daarvan, zodanig dat reproductie ervan te allen tijde mogelijk is en
  3. voor zover gebruik is gemaakt van een digitale handtekening:
  • de houder van de digitale handtekening;
  • het moment van validatie van de digitale handtekening, alsmede het resultaat daarvan;
  • de voor de validatie verantwoordelijke functionaris; en
  • voor zover bekend ten tijde van het werkproces: de identificatie van het certificaat van de digitale handtekening.

Artikel 24 is een beschrijving van de technische aspecten voor het herleiden of reproduceren van archiefbescheiden. Dat zien we terug bij de punten 1. en 2. , alsook door middel van de authenticatie van de opsteller(s) of afzender(s) voor het kunnen vaststellen van wie een document afkomstig is (onderdeel 3). Naast de gegevens over inhoud, structuur, vorm, samenhang en gedrag moeten bij digitale archiefbescheiden ook de technische kenmerken (bijv. bestandsformaat, soft- of hardware afhankelijkheden) worden vastgelegd en bewaard.

Wanneer we goed lezen zien we bij de bullets 2 tot en met 4 iets opmerkelijks: dat is de wijze van validatie. Bij punt 2 wordt duidelijk dat niet de handtekening zelf gearchiveerd dient te worden maar de registratie van de validatie. Ook zien we bij bullet 4 dat er geen noodzaak is voor validatie op langere termijn. In de toelichting bij de Archiefregeling staat daarnaast iets opmerkelijks: “... de digitale handtekening zelf hoeft ingevolge van de archiefwet niet te worden bewaard... Een van de doelen van de digitale handtekening is vaak om te kunnen vaststellen van wie een document afkomstig is. Na controle en validatie van de handtekening verliest deze zijn rol en hoeft ten behoeve van de archivering niet te worden bewaard..”

Dit is interessant: immers de registratie is van belang en niet zozeer de handtekening zelf. De handtekening is immers een verschijningsvorm en zegt niets over het gevolgde proces. Het borgen van de registratie is leidend. Door registratie van het moment van validatie en het resultaat daarvan te koppelen aan het document en daarnaast het registreren op de blockchain met behulp van eWaarmerk, wordt registratie onweerlegbaar vormgegeven.

Moet ieder stuk ondertekend worden?

Digitaal ondertekenen kan een enorme efficiencytoename tot gevolg hebben. Het is echter niet noodzakelijk om alle stukken te ondertekenen. De Gemeente Delft heeft rondom dit onderwerp de "Beleidsnotitie digitaal ondertekenen en accorderen" opgesteld en gepubliceerd. Daarin wordt een risicoafweging voorgesteld op basis van rechtsgevolg en afbreukrisico.

  1. Laag: zonder rechtsgevolg, geen afbreukrisico (bijvoorbeeld ontvangstbevestigingen en informatieve brieven).
  2. Gemiddeld: met rechtsgevolg en een laag afbreukrisico (zoals gebonden (mandaat)beschikkingen, geautomatiseerde (mandaat)besluiten en termijnbrieven).
  3. Zwaar: met rechtsgevolg en een hoog afbreukrisico (waaronder maatwerkbeschikkingen, collegebesluiten en mantelovereenkomsten).

De conclusie in de notitie is dat circa 80% van alle uitgaande documenten juridisch gezien niet ondertekend hoeft te worden. Het advies daarbij is:

  1. Laag: niet ondertekenen, vermeld van welk bestuursorgaan het document afkomstig is.
  2. Gemiddeld: ondertekening is niet nodig, er kan worden volstaan met een duidelijke vermelding van de opsteller en zijn bevoegdheid (mits in de applicatie voldoende maatregelen zijn getroffen om de authenticiteit en actualiteit van het document en opsteller te waarborgen en te achterhalen).
  3. Zwaar: ondertekenen met een "natte handtekening".

Bij het advies om documenten met rechtsgevolg en een hoog afbreukrisico te voorzien van een natte handtekening wordt er in de notitie van uitgegaan dat er nog geen geschikt, volwaardig digitaal alternatief is voor de natte handtekening. Er zijn echter wel alternatieven. "Een gekwalificeerde elektronische handtekening is juridisch gelijk aan een gewone handtekening." Bron: Rijksoverheid - Wat is een elektronische of digitale handtekening?

Aanvulling

De door de Gemeente Delft voorgestelde classificatie is wat ons betreft correct, nuttig en en eenvoudig te hanteren. Voor wat betreft de vertaling ervan richting de praktijk is er echter een werkwijze die efficiënter is en toch volledig voldoet aan alle wet- en regelgeving. 

Beslismodel digitaal accorderen

Toelichting

  1. Laag: stukken niet ondertekenen, maar deze wel volledig automatisch (zonder extra handelingen) voorzien van eWaarmerk.
  2. Gemiddeld: stukken niet ondertekenen, maar deze wel inclusief "audit trail" volledig automatisch voorzien van eWaarmerk.
  3. Zwaar: stukken gekwalificeerd digitaal ondertekenen en inclusief "audit trail" volledig automatisch voorzien van eWaarmerk.
  4. Cultuurhistorische e/o organisatorische waarde: stukken voorzien van een natte handtekening, scannen en daarna volledig automatisch voorzien van eWaarmerk.

Het toepassen van eWaarmerk is een volledig geautomatiseerd proces. Daarbij wordt "een digitale vingerafdruk" van het digitale document op de Blockchain geregistreerd. Voor iedereen die het document onder ogen krijgt kan op ieder moment en op iedere plek eenvoudig vaststellen:

  • dat het afkomstig is van uw organisatie (eventueel inclusief opsteller en bevoegdheid),
  • op welke datum en tijdstip het geregistreerd is en
  • dat het qua vorm, inhoud, structuur en samenhang volledig intact is.

De registraties in de Blockchain van uw eWaarmerk bevatten nooit privacygevoelige gegevens en zijn niet te herleiden tot de oorspronkelijke brondocumenten. Er is dan ook in geen enkel geval sprake van risico's op het gebied van beveiliging en/of privacy. 

Meer informatie of direct aan de slag? Als u onderstaand formulier invult nemen we zo spoedig mogelijk contact met u op!