De drie PKI Overheid-certificaten zijn wellicht in aanschaf wat duurder dan alternatieven maar bieden diverse voordelen, meent H.J. Hendriks. Zoals efficiëntie en gebruiksvriendelijkheid.
Friso de Jong stelt in zijn artikel ‘Aanpak PKI-Overheid onpraktisch en duur’ (Computable, 10 oktober) dat de keuze van PKI Overheid voor digitale handtekeningen is gebaseerd op een gekwalificeerd certificaat dat zou zorgen voor hoge kosten bij de eindgebruiker. Ook zou de gebruiker meerdere handtekeningen moeten aanvragen. Dit noemt hij onpraktisch.
In zijn artikel staat een aantal onjuistheden, waar hieronder nader wordt ingegaan.
PKI Overheid neemt inderdaad de elektronische handtekening op basis van een gekwalificeerd certificaat als uitgangspunt. Zij heeft daar indertijd redenen voor gehad. De ‘gegarandeerde’ rechtsgeldigheid ervan zal één hele belangrijke reden zijn.
PKI Overheid onderkent drie soorten certificaten. Eén certificaat voor versleuteling, één voor identificatie en authenticatie en één voor onweerlegbaarheid. Laatste betreft het gekwalificeerde certificaat voor het zetten van de rechtsgeldige elektronische handtekening.
Verder onderkent zij drie domeinen, te weten: overheid/overheid, overheid/bedrijven en overheid/burgers. De in de verschillende domeinen te gebruiken certificaten zijn echter in beginsel allemaal (technisch) hetzelfde. Er is een belangrijk verschil tussen gekwalificeerde certificaten waarmee men elektronische handtekeningen kan zetten (onweerlegbaarheid). In de domeinen overheid/overheid en overheid/bedrijven is de relatie tussen het individu en de organisatie namens welke hij een elektronische handtekening mag plaatsen, van belang. In de betreffende aanvraagprocedure wordt die relatie dan ook geverifieerd.
De gebruiker hoeft niet alle drie de PKI Overheid-certificaten (binnen hetzelfde domein) apart aan te vragen. De aanvraaggegevens verschillen niet per certificaat. Er behoeft maar één aanvraag ingediend te worden en maar één aanvraagproces ingericht te worden. De drie certificaten worden op één smartcard geplaatst. Dit is dus niet drie keer zo duur (als een enkel certificaat) zoals de schrijver een paar keer suggereert.
De begrippen smartcard, handtekening en certificaat worden een aantal keren door elkaar gehaald. Een bruikbare vergelijking is de volgende. De smartcard is het etui. Het certificaat op de smartcard is de pen en met dat certificaat kan de gebruiker een elektronische handtekening (handgeschreven handtekening) zetten.
Veiligheid
Andere digitale handtekeningen kunnen ook veilig zijn en rechtsgeldigheid hebben, zegt De Jong, maar dan tegen een veel lagere prijs. Hij geeft aan dat – afhankelijk van het doel – de gebruiker verschillende handtekeningen kan gebruiken.
De elektronische handtekening, gebaseerd op een gekwalificeerd certificaat, is inderdaad niet de enige handtekening die dezelfde rechtsgevolgen heeft als een handgeschreven handtekening. Maar alleen voor dit soort elektronische handtekening is de rechtsgeldigheid nu wel geregeld. Voor de andere soorten zal gelden dat de rechter, bij een conflict, moet wikken en wegen en dat de uitkomst afhangt van wat beide partijen daarover kunnen inbrengen en aantonen. De rechtsgeldigheid hangt inderdaad af van de omstandigheden; de uitkomst is dus onzeker.
Partijen kunnen onderling afspraken maken over het soort elektronische handtekening dat zij willen gaan gebruiken. Het is niet in alle gevallen noodzakelijk gebruik te maken van een gekwalificeerd certificaat (PKI O-certificaat). Er kan in beginsel gebruik gemaakt worden van verschillende soorten certificaten. Wellicht dat het dan voor een individu of individuele (overheids-)organisatie op korte termijn goedkoper zal worden per gebruikt certificaat. Het is echter zeer onwaarschijnlijk dat de (beveiligings)kosten ook minder zullen worden
Wat daarnaast te denken van een burger of een bedrijf dat te maken heeft met één of meer gemeenten, waterschappen, provincies en ministeries die allemaal voor hun eigen organisatie en eigen toepassingen verschillende (soorten/niveaus) certificaten gebruiken? Er is dan sprake van toenemende -ongewenste- complexiteit, ondoorzichtigheid (waar gebruik ik welk certificaat voor?), beheerinspanning, enzovoort. Daartegen afgezet zijn die drie (wellicht in aanschaf) wat duurdere PKI Overheid-certificaten heel efficiënt en gebruiksvriendelijk.
Geen extra eisen
Tot slot wijt De Jong de, in zijn ogen, hoge kosten ook aan de extra eisen die PKI Overheid stelt.
De laatste twee voorwaarden waaraan de elektronische handtekening moet voldoen om dezelfde rechtsgeldigheid te krijgen als een handgeschreven handtekening worden in een algemene maatregel van bestuur, het Besluit Elektronische Handtekeningen, verder uitgewerkt. Nadere details zijn weer vastgelegd in verschillende regelingen waaronder de Regeling Elektronische Handtekeningen. Er is dus geen sprake van extra eisen, maar van een verdere detaillering van die eisen.
Zelfs op dit moment zal een PKI Overheid-certificaat voor een organisatie maar een relatief kleine investering zijn.
Voor een individu zal het in eerste instantie niet goedkoop zijn om zelf een PKI-Overheid certificaat aan te schaffen. Maar bij voldoende schaalgrootte zal ook de prijs van het PKI O-certificaat dalen. En wellicht zal de overheid, indien zij de enorme voordelen van het gebruik van PKI O-certificaten inziet, die aankoopprijs zelf wel drukken.
H.J. Hendriks, business unit directeur Pink Roccade
zou het bij U mogelijk zijn om het certificaat bij U te bestellen. Het spaart mij een paar honderd euro uit.
Dus kunt U ze leveren tegen de prijs die U denkt wat het moet kosten hoor ik graag van U.