Als alles goed gaat krijgt de digitale of elektronische handtekening rond 19 juli dezelfde status als een gewone handtekening. Dat is de strekking van een wetsvoorstel dat de minister van Justitie een paar weken geleden heeft ingediend bij de Tweede Kamer. Omdat elke Nederlander wordt geacht de wet te kennen, wordt elke Nederlander geacht vanaf die datum te weten wat een digitale handtekening is en wat je ermee kunt doen. Weet u het? Ik kan me voorstellen van niet. Want er zijn nog vragen genoeg.
Eerst de naam. Die is niet helemaal eerlijk. Veel mensen denken dat een digitale handtekening hetzelfde is als een gedigitaliseerde handtekening. Een gif-plaatje van je handtekening, dat je in een Word-document kunt opnemen. Zo simpel is het jammer genoeg niet.
Maar wat is het dan wel? Het wetsvoorstel geeft geen details, en dat is maar goed ook. Wel meldt het wetsvoorstel waar een digitale handtekening aan moet voldoen. Hij moet uniek en persoonsgebonden zijn. En hij mag niet vervalst kunnen worden. Klinkt redelijk. Maar hoe werkt het nou?
Volgens cryptografen is een digitale handtekening de versleuteling van een bericht met een geheime sleutel op basis van public-key encryptie. Cryptische woorden, maar wel waar. Bijna alle digitale handtekeningen werken op die manier. Alleen de eigenaar van de geheime sleutel kan een digitale handtekening zetten. De rest van de wereld kan die handtekening met een bijbehorende openbare sleutel controleren. Die sleutel zit weer in een certificaat, dat is uitgegeven en ondertekend door een officiële autoriteit.
Tot zover alles goed. Maar vervolgens moet de theorie worden omgezet in een praktische oplossing. En dat roept een hoop vragen op. Wel of geen smartcard? Wel of geen biometrie? Lange of korte sleutels? Wel of geen certification authority? Het antwoord op die vragen is helemaal afhankelijk van de toepassing. Voor sommige toepassingen heb je een heel betrouwbare handtekening nodig. Voor andere toepassingen niet.
De digitale handtekening bestaat dus niet. Er is niet één digitale handtekening, er zijn er een heleboel verschillende, voor verschillende toepassingen. De ene handtekening is betrouwbaarder en duurder dan de ander. Maar voor de wet zijn ze allemaal gelijk. Het wetsvoorstel maakt wel onderscheid tussen handtekeningen met een gewoon certificaat en handtekeningen met een officieel erkend certificaat. Maar hoe houd je die twee uit elkaar?
Dan de volgende vraag. Hoe veilig is een digitale handtekening eigenlijk? Hoe gemakkelijk is hij te vervalsen? Antwoord: wie jouw geheime sleutel heeft, kan namens jou een digitale handtekening zetten. Tien tegen één dat die geheime sleutel op je pc staat, niet bepaald de veiligste plaats op aarde. Een smartcard is veel beter. Maar wie heeft er nou een smartcardlezer in zijn pc? Ik niet. U ook niet. En zo zullen veel digitale handtekeningen worden gezet door mensen die gewoon een certificaatje per e-mail aanvragen en de geheime sleutel op hun pc bewaren. Veilig is anders. Verder kun je een bericht ondertekenen met een naam die lijkt op de officiële naam van de vermeende afzender. De ontvanger moet wel heel goed kijken om zoiets te ontdekken. Misschien is de gemiddelde digitale handtekening helemaal niet zo veilig en betrouwbaar als de wetgever lijkt te denken.
Nog een vraag. Hoe kun je ontkennen dat je een digitale handtekening hebt gezet? Zeg dat je geheime sleutel is gestolen. Niemand kan bewijzen dat dat niet zo is. Niet bij een pc en ook niet bij een smartcard. De meeste deskundigen denken dat een smartcard niet gekraakt kan worden. Maar bewijzen kunnen ze dat niet. Dus vinden andere deskundigen dat zoiets nooit kan worden uitgesloten. Als de deskundigen het al niet eens worden, hoe zit het dan met de gewone burger?
Laatste vraag: betekent de rechtsgeldigheid van een digitale handtekening dat internet-transacties zonder digitale handtekening niet rechtsgeldig zijn? Antwoord: natuurlijk niet. Als ik zonder digitale handtekening een boek via internet bestel wordt dat de volgende dag keurig afgeleverd. Vindt mijn leverancier prima. En ik ook. Dus doen we dat zo. Misschien is die digitale handtekening voor de meeste toepassingen helemaal niet nodig en is een mailtje of een elektronisch formulier wel goed genoeg.
Kortom, verwarring alom. Maar gelukkig is de verwarring nog niet zo groot als in het laatste hoofdstuk van Alice in Wonderland. Daar wordt een speelkaart beschuldigd van het schrijven van verzen die hij niet heeft ondertekend. De bewijsvoering is opmerkelijk. Uit de vertaling van Nicolaas Matsier:
‘Met uw welnemen, Majesteit,’ zei de Boer, ‘ik heb het niet geschreven en ze kunnen niet bewijzen van wel; aan het eind ontbreekt de ondertekening.’ ‘Als jij niet ondertekend hebt,’ zei de Koning, ‘maakt dat de zaak alleen maar erger. Dus heb je kwaad in de zin gehad, anders had je wel ondertekend als een fatsoenlijk mens.’ Deze woorden kregen een warm applaus; het was de eerste echt intelligente opmerking die de Koning deze dag had gemaakt. ‘Hiermee is zijn schuld bewezen,’ zei de Koningin. ‘Hiermee is helemaal niets bewezen!’ zei Alice. ‘Nota bene, u weet niet eens waar de verzen over gaan!’
Enzovoorts. Niet lang hierna wordt Alice wakker en is haar droom afgelopen.
Edo Roos Lindgreen, partner bij KPMG Information Risk Management, en docent IT & Auditing aan de Universiteit van Amsterdam.