Digitalisering is behoorlijk verankerd in onze dagelijkse bezigheden, met de smartphone als grote aanjager. Vrijwel iedereen is de hele dag verbonden met internet – van jong tot oud, binnen alle lagen van de bevolking. Online-shoppen, het onderhouden van sociale contacten, nieuwsgaring, maar ook het transactieverkeer met bedrijven.
Ook binnen het zakelijke domein is digitaal de standaard. Toch is documentafhandeling nog vaak een tijdrovend proces met veel administratieve rompslomp, dat dagen tot weken in beslag kan nemen en dure capaciteit inneemt. Vooral voor organisaties die veel documenten moeten verwerken en ondertekenen, zoals banken, accountants-/administratiekantoren, verzekeraars, zorg- en overheidsinstellingen en organisaties die actief zijn binnen de HR-, flex- en uitzendbranche en woningmarkt.
Een belangrijke stap in de verwerking is vaak de handtekening. Het digitaal ondertekenen heeft hierin veel voordelen ten opzichte van de handgeschreven (natte) handtekening op papier. Een digitale handtekening werkt sneller, is tijd- en kostenbesparend en leidt tot controle over het hele document afhandelingsproces. Maar wat velen zich afvragen is of de digitale handtekening wel rechtsgeldig is?
Het antwoord hierop is ja, de digitale handtekening is rechtsgeldig! Maar er zijn wél voorwaarden aan verbonden.
Voorwaarden
In de Europese eIDAS-wet is geregeld dat de digitale handtekening dezelfde rechtsgeldigheid heeft als de handgeschreven handtekening. Dit geldt voor alle 27 Europese lidstaten. Dit wil niet zeggen dat alle vormen van digitaal ondertekenen dezelfde juridische bewijskracht hebben en dus allemaal rechtsgeldig zijn. Hieraan zijn voorwaarden verbonden. Er zijn namelijk verschillende soorten digitale (of elektronische) handtekeningen. Deze soorten onderscheiden zich door de mate van ‘onweerlegbare bewijsbaarheid’.
De mate van onweerlegbaar bewijs wordt bepaald door de wijze waarop de informatie digitaal wordt opgeslagen in combinatie met het inzetten van middelen voor het vaststellen van de identiteit van de ondertekenaar(s). Deze combinatie vormt de kracht van de bewijsbaarheid met betrekking op de authenticiteit (ongewijzigde inhoud) en de identiteit (onweerlegbaarheid).
Soorten
We kunnen grofweg drie soorten digitale handtekeningen onderscheiden:
- Gewone digitale handtekening
Een gewone digitale handtekening is een handgeschreven (natte) handtekening die zichtbaar is op een digitaal document. Een voorbeeld hiervan is een ingescande handgeschreven handtekening die toegevoegd is aan een document of bijvoorbeeld een e-mail bericht. Als de betrouwbaarheid aangetoond kan worden, dan is de gewone digitale handtekening rechtsgeldig. Deze vorm is echter gemakkelijk te vervalsen, waarmee de betrouwbaarheid niet eenvoudig onweerlegbaar is aan te tonen.
- Geavanceerde digitale handtekening
Juridisch waardevoller is de geavanceerde digitale handtekening. Dit is een digitale handtekening die rechtsgeldig is voor zogenaamde ‘vormvrije documentsoorten’. Door de combinatie te maken van de identiteit van de ondertekenaar (vast te stellen met een e-herkennings-middel) en bij de ondertekening gebruik te maken van een erkend pki-certificaat, kan de juridische onweerlegbaarheid en daarmee de status van rechtsgeldige bewijskracht worden bereikt.
- Gekwalificeerde digitale handtekening
De gekwalificeerde digitale handtekening heeft dezelfde eigenschappen als een geavanceerde digitale handtekening. De certificaten die hierbij worden ingezet zijn persoonsgebonden en onder aanvullende voorwaarden uitgegeven. Deze vorm is in de EU juridisch gelijkgesteld aan een handgeschreven handtekening.
Rechtsgeldigheid
Het antwoord is dus afhankelijk van het soort digitale handtekening. De digitale handtekening is rechtsgeldig als de ondertekenaar de betrouwbaarheid onweerlegbaar kan aantonen.
De gewone digitale handtekening van een afbeelding is zeer eenvoudig te vervalsen, iets lastiger wordt het als je het ingescande document beveiligt. De onweerlegbaarheid zit vaak in de metadata waarbij cryptografie voor kwalificatie over de betrouwbaarheid zorgt. Helaas bleek hierin eerder de hele keten onbetrouwbaar met de case van DigiNotar, idee van een PKI kent een groot aantal kwetsbaarheden.
Een ‘natte handtekening’ is ook kinderlijk eenvoudig te vervalsen.
Een gekwalificeerde digitale handtekening is de enige juiste. Hiermee is je handtekening gegarandeerd.
Diginotar ligt ver achter ons en heeft niets meer te maken met de kwaliteit van een gekwalificeerde digitale handtekening
Poppe Wijnsma,
Uiteraard is een naam onder een reactie niet zo betrouwbaar als een gekwalificeerde handtekening maar ik neem aan dat je een commercieel/politiek belang hebt in een centraal systeem op basis van PKI. Lessen van DigiNotar gingen om het verzwijgen van een lek, de handelaren in de vertrouwen beschaamden het vertrouwen. Het was Donner die de stekker uit vertrouwen in DigiNotar trok na een vernietigend rapport over nalatigheid. Een bestuurlijke houding van broederschap in bedrog zorgt ervoor dat steeds meer mensen in gedistribueerde consensus systemen aangaaande kwalificaties van vertrouwen zijn gaan geloven, sed quis custodiet ipsos custodes.
E.e.a is na te lezen in het boek: “Het is oorlog maar niemand die het ziet” van Huib Modderkolk, de AIVD probeerde publicatie hiervan tegen te houden omdat het behoorlijk informatief is over hoe de ‘hazen achter de schermen lopen’ in inlichtingenoperaties. Procedurele en organisatorische ontwerpfouten in vertrouwen zijn niet op te lossen met techniek, spionage via sociale engineering is vele malen succesvoller dan de SIGINT van NSA zoals Amerikaanse inlichtingendiensten leerden toen geheel onverwachts de muur viel. Institutionele gesloten deuren van vertrouwenshandelaren in bepaalde netwerken zijn namelijk alleen maar een façade voor de worstenfabriek zoals een klokkenluider als Edward Snowden aantoonde.
Het garanderen van rechtsgeldigheid van een handtekening als middel voor instemming in fraudeleuze transacties heeft juridisch weinig waarde. Tenminste als we spreken over democratische rechtsstaten waar de consensus van het recht bepaald wordt door een meerderheid.
Bedankt voor alle reacties. Wat opvalt is dat de koptekst van het artikel ‘rechtsgeldigheid en de digitale wereld’, gelijk in verband wordt gebracht met de betrouwbaarheid van het bewijs en schandalen als Diginotar. Terwijl digitalisering (mist goed toegepast) juist leidt tot enorme efficiencyverbeteringen, kostenverlagingen en gemak als je het vergelijkt met het verwerken van informatie op papier en per post. Bijvoorbeeld een dossier ergens laten liggen, een kast open laten staan is zo gebeurd. Digitalisering biedt organisaties juist volledige controle en grip op informatie. De wet- en regelgeving zoals AVG/GDPR verplicht bedrijven en instellingen om verantwoord en nauwlettender om te gaan met privacygevoelige (persoons)gegevens. Digitale documentverwerking biedt daarom meer privacyzekerheid dan informatie op papier. Voldoen aan de verantwoordingsplicht en compliance staat dan ook hoog op de agenda en waakhond Autoriteit Persoonsgegevens (AP) ziet hier scherp op toe.
“Digitale documentverwerking biedt daarom meer privacyzekerheid dan informatie op papier. Voldoen aan de verantwoordingsplicht en compliance staat dan ook hoog op de agenda en waakhond Autoriteit Persoonsgegevens (AP) ziet hier scherp op toe.”
yeah right 🙂
Rechtsgeldigheid en betrouwbaarheid liggen dichtbij elkaar om het vertrouwen te behouden in de (democratische) rechtsstaat. Hierin is de Autoriteit Persoonsgegevens wat anders dan de Koninklijke Notariële Broederschap, de ‘sjoemelnotaris’ vind je in het Register Notariaat waar ook de nevenfuncties van de (kandidaat) notarissen in staan. Meesten hebben geeneens weet van dit register zoals er ook nog onbekendheid is met het handelsregister waarin de bevoegdheden van bestuurders staan. Stellen dat digitale documentverwerking meer (privacy)zekerheid biedt is onzin, alles draait om controle zoals organisatorische zwakheid van DigiNotar in de keten leerde.
Ik snap dat je graag wat aandacht voor Krabbl krijgt maar zoals je kunt lezen bij eHerkenning wordt vertrouwen geleverd door een afsprakenstelsel. Dat kennis over processen en procedures niet in dienst hoeft te zijn alleen maar beschreven zorgt voor makkelijk te temmen papieren tijgers. Opvallende ‘lek’ in dit stelsel van onderlinge afspraken is dan ook een gebrek aan (interne) controle. De meeste lezers zullen zich herkennen in het feit dat er tussen de theorie en praktijk van processen en procedures nog wat ‘bewegingsruimte’ zit. Zo is privacy best lastig bij eHerkenning en digitale ondertekeningen.
Fraude in digitale verwerkingen is dan ook eenvoudig als de onweerlegbaarheid in de Chain of custody (CoC) niet gegarandeerd is met bijvoorbeeld cryptografische toevoegingen zoals een checksum via certutil.exe. Ook een log is handig waarin staat wie er wat en wanneer gedaan heeft. Uiteraard moet dit register toegankelijk zijn zodat er gecontroleerd kan worden dat er geen ‘bewijslast’ aan het dossier is toegevoegd. Als je hierbij de privacy wilt garanderen dan kom je volgens mij toch uit bij een soort van block chain.