"Jantje zag eens pruimen hangen, als appels zo groot", schrijft Friso de Jong. "Ik denk dat dit een goede beschrijving is van de problematiek van de rechtsgeldige digitale handtekening (als onderdeel van de elektronische handtekening), die ik in Computable (10 oktober 2003) heb beschreven. Zeker gezien de reactie van H.J. Hendriks (Certificaat PKI-Overheid biedt voordelen)."
In mijn artikel over de rechtsgeldige digitale handtekening heb ik termen gebruikt als ‘met alleen een digitale handtekening koop je nog geen veiligheid’, ‘er is meer tussen hemel en aarde dan de digitale handtekening gebaseerd op een gekwalificeerd certificaat’ en ‘de Nederlandse overheid legt de lat wel erg hoog’ (‘Aanpak PKI-Overheid onpraktisch en duur’, www.computable.nl/artikels/archief3/d41rr3xe.htm). Daarmee heb ik willen aangegeven dat we ons niet zo moeten blindstaren op enkel de digitale handtekening en ook niet op de gekwalificeerde variant daarvan.
Hendriks heeft op dit artikel gereageerd. Kort gezegd heeft hij de voordelen van de gekwalificeerde digitale handtekening nog eens voor het voetlicht gebracht, maar meer dan dat ook niet. Zijn argumenten, ook de terloopse opmerking over kennelijke onjuistheden, raken niet de kern van de zaak.
Drempels
Bij rechtsgeldige digitale handtekeningen gaat het erom dat je het mogelijk maakt om in digitale communicatie identiteit, authenticiteit, niet weerlegbaarheid et cetera te creëren. Dat is op dit moment een schaars goed en spiegelbeeldig een nog grotere wens, niet alleen voor de overheid, maar nog meer voor de burger en zeker voor het bedrijfsleven. Als een digitale handtekening ergens effectief is, is het wel daar. Dan kan en mag het niet zo zijn dat juist deze onderdelen van de samenleving te maken krijgen met allerlei drempels, zoals financiën en gebruiksonvriendelijkheid bij de PKI-Overheid-certificaten (een gekwalificeerd certificaat).
Gelukkig heeft de wetgever dat ook erkend. Een klinkend voorbeeld hiervan is digitaal factureren in de Wet op de Omzetbelasting. Een bedrijf mag een factuur elektronisch uitreiken aan de klant, mits voorzien van een geavanceerde digitale handtekening. Digitaal factureren betreft kritische bedrijfsinformatie. Tevens is het een belangrijk communicatiemoment met de klant. Juist bij deze kritieke toepassing van een rechtsgeldige digitale handtekening wordt niet de gekwalificeerde maar de technisch geavanceerde versie verlangd!
Wat kunnen we hiervan leren? Allereerst dat de rechtsgeldige digitale handtekening niet een doel op zich is, maar een middel. Het is niet de heilige graal voor de komende jaren, het is, zoals de taskforce PKI Overheid zo mooi zegt, ‘een enabler.’ Als de rechtsgeldige digitale handtekening een middel is, hoe zorgen we er dan voor dat we dit goed inzetten? Dan moeten we ons juist niet blindstaren op onze overheid, die heeft beloofd om de omvang van elektronische dienstverlening de komende jaren te vergroten. Dan zal de digitale handtekening liefst gratis moeten worden verstrekt voor de diverse toepassingsmogelijkheden, waarin al naar gelang de aspecten integriteit, authenticiteit, onweerlegbaarheid, et cetera aan bod komen.
Rechtsgeldigheid
Wat nog meer? Elke keer dat de rechtsgeldige digitale handtekening vraagt om een toepassing (in mijn ogen is een digitale handtekening als zodanig gelijk aan een krabbel op een blanco vel papier) moet daarin recht, techniek en organisatie aan bod komen om het beste voor de gebruiker naar voren te halen. Bij digitaal factureren bijvoorbeeld moet je ook weten welke gegevens de verzender moet bewaren, wanneer je ervan mag uitgaan dat de ontvanger de factuur accepteert en wat de gevolgen van een digitale factuur in de organisatie van de ontvanger en verzender zijn. Tot slot: als je dat wijze driemanschap toepast, moet je een vervent aanhanger zijn van het Kiss3-principe: ‘Keep it simple, save and solid stupid’.
Met deze vier uitgangspunten kijk ik dan naar het artikel van Hendriks. Hij heeft het over de "gegarandeerde rechtsgeldigheid’. Maar ook over "voor dit soort handtekeningen is de rechtsgeldigheid nu wel geregeld". Ik ontken niet dat u met een gekwalificeerde handtekening een heel eind komt. Maar gegarandeerd helemaal tot het eind? Dat hangt van veel meer af dan alleen de digitale handtekening. Ik herhaal dus mijn eerdere uitspraak: met een digitale handtekening alleen koopt u geen veiligheid.
Er zijn vele juridische kwesties waarbij ondanks het zetten van een handtekening geen sprake is van rechtsgeldigheid. Ik denk daarbij aan iemand die wilsonbekwaam is, wilsgebreken als dwaling, bedrog en misbruik van omstandigheden, het ontbreken van een volmacht enzovoort. En hoe zit het als blijkt dat de opgegeven gegevens onjuist zijn, is er dan wel sprake van rechtsgeldigheid? Volgens mij is de rechtsgeldigheid helemaal niet gegarandeerd. Naast de juridische eigenschappen van de betreffende relatie tussen verzender en ontvanger zal elke keer weer moet worden bekeken wat er nodig is aan zowel technische als organisatorische aspecten.
Verder zegt Hendriks dat voor de gekwalificeerde handtekening de rechtsgeldigheid wel is geregeld. De vraag is even wat hij hiermee bedoelt. Bedoelt hij de handtekening zelf? Heeft de opmerking betrekking op de onderliggende rechtsverhouding? Of heeft hij betrekking op de informatie die als resultante van die onderliggende rechtsverhouding wordt verzonden?
Heb ik het goed, dan heeft de wet het over de handtekening als zodanig, en over de dienstverlener als er iets mis mee is. Bij de onderliggende situatie gaat het nog steeds om aspecten als partij, afspraak en omstandigheden van het geval. Hetzelfde geldt voor de informatie die tussen partijen wordt verzonden. De gecertificeerde handtekening brengt daar geen verandering in. Een ttp (trusted third party) speelt daarbij een belangrijke ondersteunende rol.
Kosteloos
Ik heb nog drie opmerkingen. Allereerst wijst Hendriks op de situatie waarbij een burger of bedrijf te maken heeft met meerdere gemeenten, waterschappen, provincies en ministeries, die allemaal voor hun eigen organisatie en toepassingen verschillende soorten certificaten gebruiken. Daarmee lijkt hij een argument voor de legitimatie van het PKI-Overheid-certificaat gevonden te hebben. Met het voorbeeld zelf ontneemt hij diezelfde legitimatie. Immers, elke organisatie kan volgens de taskforce al verschillende certificaten gebruiken binnen het PKI-Overheid-domein. Door de functionele scheidingen per certificaat wordt de gebruiker juist bij digitale communicatie met de overheid met dit probleem geconfronteerd. Neem dan liever een certificaat dat voor alle gezamenlijke doeleinden geschikt is, sterker is en bovendien vrijwel kosteloos is. Daar heeft de gebruiker veel meer aan.
Ik heb inderdaad gezegd dat het gekwalificeerde certificaat duur is vanwege de extra eisen die daar aan worden gesteld. Hendriks zegt dat dit geen extra eisen zijn, maar een verdere detaillering. Ik kijk naar de wet en daarin staat: het voldoen aan de eerste vier van de zes vereisten is in vrijwel alle gevallen meer dan voldoende. Hendriks neemt als insteek dat altijd aan de zes eisen moet worden voldaan. Zouden we deze insteek als uitgangspunt nemen, dan heeft Hendriks gelijk. Vanuit wettelijk oogpunt is dit echter onjuist. Immers, het voldoen aan de eerste vier vereisten zorgt voor de vereiste betrouwbaarheid, aldus de wet. Dan vormen de twee laatste eisen extra eisen en geen aanvullende eisen. Dus zijn het de extra eisen en geen verdere detaillering van de eisen.
Tot slot: Hendriks stelt dat een PKI-Overheid-certificaat een relatief kleine investering voor een organisatie zal zijn. Relatief ten opzichte van welke optie? Ik durf zelfs te beweren dat het een dure optie is als alleen aandacht besteed wordt aan de digitale handtekening, zonder dat de kwestie wordt klein gesneden door te letten op juridische en organisatorische aspecten. < BR>
mr. F.W. de Jong, directeur Silverback
