22 mei 2021
De eIDAS-verordening regelt dat bedrijven en particulieren op een veilige en eenvoudige manier toegang kunnen krijgen tot overheidsdiensten in heel Europa. Deze regelgeving geeft vertrouwensdiensten, zoals elektronische handtekeningen, dezelfde juridische status als handgeschreven handtekeningen. Dat betekent dat ze ook in andere landen gebruikt kunnen worden. De verordening onderscheidt drie soorten elektronische handtekeningen: SES, AES en QES.
Ze hebben allemaal hun eigen zekerheids- en authenticatieniveau. Welk type handtekening nodig is, hangt af van het document dat moet worden ondertekend. Dit artikel helpt u op weg in het belangrijke, maar ingewikkelde wereld van de elektronische handtekening. U ontdekt welke eisen er aan de verschillende soorten handtekeningen worden gesteld en hoe veilig ze zijn. Daarnaast geven we voorbeelden van documenten waarbij ze kunnen worden toegepast.
De eIDAS-verordening (elektronische identiteiten en vertrouwensdiensten) trad in 2014 in werking. Ze is van toepassing op elektronische identificatie- en vertrouwensdiensten voor digitale transacties vanaf juli 2016. Artikel 8 van de eIDAS-verordening onderscheidt drie verschillende betrouwbaarheidsniveaus.
Betrouwbaarheidsniveau | Definitie |
Laag | Technologie met een laag betrouwbaarheidsniveau geeft u slechts “een beperkte mate van zekerheid”. U weet niet zeker of de persoon die tekent inderdaad degene is die hij beweert te zijn. |
Substantieel | Technologie met een substantieel betrouwbaarheidsniveau geeft u al meer zekerheid. U weet redelijk zeker dat de persoon die tekent inderdaad degene is die hij beweert te zijn. |
Hoog | Bij technologie met een hoog betrouwbaarheidsniveau bent u er zeker van dat de persoon die tekent inderdaad degene is die hij beweert te zijn. |
Deze betrouwbaarheidsniveaus vormen de basis voor de drie soorten elektronische handtekeningen. Een gewone elektronische handtekening (SES) kent een laag betrouwbaarheidsniveau. Een geavanceerde elektronische handtekening (AES) kent een substantieel betrouwbaarheidsniveau. En een gekwalificeerde elektronische handtekening kent een hoog betrouwbaarheidsniveau.
Hieronder staan de drie verschillende soorten elektronische handtekeningen. U ontdekt wat ze inhouden en voor welke soorten documenten ze het meest geschikt zijn.
De gewone elektronische handtekening biedt het laagste betrouwbaarheidsniveau. Ze voldoet aan de basisdefinitie van een elektronische handtekening in artikel 3. Daar staat:
“gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen”
Hierbij hoeft de authenticiteit van de ondertekenaar niet gecontroleerd te worden. Ook hoeft de handtekening niet aan de persoon te worden gekoppeld. Maar het wordt wel als een elektronische handtekening beschouwd. U kunt bijvoorbeeld denken aan:
Het kan gebeuren dat iemand ontkent het betreffende document ondertekend te hebben. Dan moet de partij die om de handtekening heeft gevraagd bewijzen dat de ondertekening authentiek is. Zonder traceerbare link tussen handtekening en ondertekenaar is dat vaak heel moeilijk. Een SES is dan ook niet geschikt voor belangrijke documenten.
Voor alledaagse zaken is een SES echter goed bruikbaar en makkelijk te implementeren. Er is geen speciale hardware voor nodig. Het is dus een relatief eenvoudige optie.
De geavanceerde elektronische handtekening (AES) biedt een substantieel betrouwbaarheidsniveau. Voor een AES moet de ondertekenaar worden geïdentificeerd. Hiervoor moet een veilig ‘middel voor het aanmaken van handtekeningen’ (SSCD) worden gebruikt. Dat moet individueel gekoppeld zijn aan de ondertekenaar. U hoeft echter niet te garanderen dat de ondertekenaar is wie hij zegt te zijn.
U moet ervoor zorgen dat de ondertekenaar de enige is die de handtekening aan kan maken. Dat betekent dat dat bijvoorbeeld via zijn computer, telefoon of ander apparaat gebeurt. Bovendien moet het bij een AES onmogelijk zijn om het document na ondertekening te wijzigen. Soms wordt hierbij gebruikgemaakt van meervoudige authenticatie. Dan moet de ondertekenaar een extra code invoeren. Deze code wordt naar het telefoonnummer gestuurd dat aan het account is gekoppeld. Of er kan, naast een wachtwoord, een persoonlijke veiligheidsvraag worden gesteld.
Voor een AES wordt vaak een publieke sleutelinfrastructuur (PKI) gebruikt. De certificaatautoriteit (CA) controleert de identiteit van de ondertekenaar. Vervolgens geeft ze een digitaal certificaat af. Daarmee beschikt de ondertekenaar over een veilige en persoonlijke cryptografische sleutel. Hiermee kan alleen de ondertekenaar zich identificeren. Als hij op deze manier een handtekening genereert, is die altijd aan hem te linken. Daarom kan dit worden gebruikt om te bewijzen of iemand een document na ondertekening heeft gewijzigd.
Voorbeelden waarbij een AES nodig is, zijn:
Bestaat er onenigheid over of de juiste persoon het document heeft ondertekend? Dan is het – net als bij de SES – aan de verstrekker om te bewijzen dat de ondertekenaar was wie hij zei dat hij was. Er ontstaat bij een AES echter een uitgebreidere audit trail. Daarmee wordt dit eenvoudiger te bewijzen.
Een QES moet aan dezelfde eisen voldoen als een AES. Bovendien moet hij worden gegenereerd met een gekwalificeerd ‘middel voor het aanmaken van handtekeningen’ (QSCD). En er moet een gekwalificeerd certificaat worden gebruikt. Dit is de veiligste elektronische handtekening. Anders dan bij de andere twee vormen, ligt bij de QES de bewijslast bij de ondertekenaar. Het is aan hem om te bewijzen dat hij het document niet zelf heeft ondertekend.
De instanties die deze gekwalificeerde certificaten afgeven, worden trust service providers (TSP’s) genoemd. Alle TSP’s hebben van hun landelijke overheid toestemming gekregen om deze taak uit te voeren. De overheid plaatst hen daarvoor op de EU-vertrouwenslijsten.
Een ander essentieel element is dat de identiteit van de ondertekenaar wordt geverifieerd. Dat gebeurt in een persoonlijke ontmoeting. Of via een gelijkwaardig proces, zoals een video call. Pas dan kan iemand met zijn eerste QES ondertekenen. Bovendien is altijd meervoudige authenticatie nodig. De ondertekenaar moet bijvoorbeeld een pincode invoeren om de geldigheid te verifiëren.
Door deze extra betrouwbaarheidsniveaus is de QES een rechtsgeldige digitale handtekening. Daardoor heeft hij in een rechtszaak dezelfde waarde als een handgeschreven handtekening.
Voorbeelden van situaties waarin een QES nodig is:
Er is nog iets waar een bedrijf dat elektronische handtekeningen gebruikt, rekening mee moet houden. Ook de Algemene Verordening Gegevensbescherming (AVG) komt dan namelijk om de hoek kijken. Het is het belangrijk om na te gaan of u daaraan voldoet. Als u documenten laat ondertekenen, betekent dat dat u persoonlijke informatie langere tijd bewaart. Volgens de AVG moet u toestemming vragen om die gegevens op te slaan. En moeten die gegevens versleuteld en veilig worden bewaard. Hier moet u in uw processen rekening mee houden.
Met een elektronische ondertekendienst voldoet u moeiteloos aan deze regelgeving. Denk bijvoorbeeld aan Signhost van Evidos. Dat is een 100% rechtsgeldige oplossing waarmee u zeker weet dat u aan de AVG-verplichtingen voldoet.
U mag zelf bepalen welk soort ondertekening voor uw documenten het meest geschikt is. U moet daarvoor een risicobeoordeling maken, gebaseerd op uw eigen situatie. Afhankelijk van het belang van het document kunt u voor verschillende soorten ondertekening kiezen. Maar de beslissing hangt ook af van de juridische consequenties van een geschil.
Een andere beslissing die u moet nemen, is hoe u de ondertekenaar gaat verifiëren. Dat hangt af van de onderteken- en verificatiemethodes in het land waar u gevestigd bent en het land waar de ondertekenaar woont. Dat kunnen twee verschillende landen zijn. Signhost ontzorgt u ook hierbij. Het systeem wordt continu geüpdatet. Zo zorgen we ervoor dat het met alle in de EU en daarbuiten beschikbare identificatiemethodes kan werken.
U moet dus ook nadenken over de markten waar u actief bent of wilt worden. Door volgens eIDAS te werken, wekt u binnen de EU meer vertrouwen. Overigens bestaan er ook wereldwijde equivalenten. De Amerikaanse ESIGN-regelgeving bijvoorbeeld. Wellicht moet u ook aan deze richtlijnen voldoen.
Artikel 25 van de eIDAS-verordening stelt dat “aan een elektronische handtekening geen rechtsgevolgen, rechtsgeldigheid en afdwingbaarheid mag worden ontzegd louter op grond van het feit dat de handtekening in elektronische vorm is of niet aan de eisen voor een gekwalificeerde elektronische handtekening voldoet.” De EU beschouwt e-handtekeningen dus als een rechtsgeldige manier om digitale overeenkomsten te bekrachtigen.
In eIDAS worden geen specifieke gevallen genoemd waarbij het gebruik van elektronische handtekeningen verboden is. De richtlijn inzake elektronische handel geeft echter enkele voorbeelden van contracten die in sommige landen alleen in fysieke vorm worden erkend. Dan is een elektronische handtekening niet mogelijk. Er is immers geen digitale versie van het document. Het gaat daarbij om:
Voor een SES kan een foto of scan worden gemaakt van een handgeschreven handtekening. Ook kan de handtekening met een tekenprogramma worden getekend. Daarnaast kan de naam volledig worden uitgetypt, of kan er een X of een ander digitaal merkteken worden achterlaten. Voor een AES en een QES heeft u een veilig en vertrouwd platform als Signhost nodig. Dit creëert de handtekening en helpt u de identiteit van de ondertekenaar te verifiëren.
Als akten elektronisch beschikbaar zijn, is het mogelijk om ze digitaal te ondertekenen. Van aktes met betrekking tot onroerend goed, hoeft echter geen digitale versie gemaakt te worden. EU-lidstaten kunnen ervoor kiezen om die alleen fysiek toe te staan. Dan is elektronische ondertekening niet mogelijk.
Een elektronische handtekening kan inderdaad worden gelegaliseerd. Op 19 maart 2021 werd de vierde Europese Digitale Dag gehouden. De daar gemaakte afspraken werden elektronisch ondertekend en gelegaliseerd.
Er bestaan grote verschillen tussen de verschillende soorten elektronische handtekeningen: de SES, de AES en de QES. Het is belangrijk dat u voor ieder type aan de eisen voldoet. Daarom is het verstandig om een online ondertekendienst als Signhost te gebruiken. Dat wordt steeds geüpdatet. Zo voldoet u aan alle privacyregelgeving en best practices van de belangrijkste landen. En aan de AVG. Probeer Signhost hier gratis uit.
Meer weten?
Neem dan contact met ons op, wij vertellen u graag meer.