5t09pLXwl2Zo9u
Vertrouwen in elektronisch handtekeningen
m
7*
Ss
l
Vy
Wat deed je vroeger als je de authen-
citeit van een of meer partijen aan het
papier wilde toevertrouwen? Dan voegde
je een waszegel met handtekening aan
een officieel stuk toe, of je zette een soort
van handtekening waarna het document
in tweeën werd geknipt (chirograaf):
beide partijen kregen dan een deel van
het document. Een handgeschreven
handtekening onder een brief of contract
is nu nog steeds de officiële bevestiging
ter identificatie van de ondertekenaar.
rr v' wï*;
Het elektronisch verkeer is inmiddels een
volwaardige aanvulling op de conventio
nele (papieren) communicatie geworden.
Het is echter geen vervanging. Over
heidsdiensten moeten ook altijd via de
conventionele weg bereikbaar blijven.
In 2004 is de Algemene wet bestuurs
recht (Awb) uitgebreid met regels voor
het elektronisch verkeer tussen burgers/
bedrijven en bestuursorganen en tussen
bestuursorganen onderling: de Wet
Elektronisch Bestuurlijk Verkeer (WEBV).
Daarmee is eert kader gekomen wanneer
elektronisch berichtenverkeer gelijkge
steld kan worden aan andere vormen van
berichtenverkeer. Belangrijk is dat er vol
doende mate van betrouwbaarheid en
vertrouwelijkheid is. Wat 'voldoende
mate' inhoudt, wordt bepaald door de
aard en inhoud van een elektronisch
bericht en het doel waarvoor het wordt
gebruikt.
De WEBV maakt duidelijk dat de keuze
voor elektronisch berichtenverkeer er
één is tussen twee partijen. Overheids
instellingen, burgers en bedrijven moe
ten expliciet kenbaar maken of ze open
staan voor elektronische dienstverlening
en voor het gebruik van elektronische
handtekeningen. Ook daarbinnen bepa
len ze zelf welke typen elektronische
handtekeningen geaccepteerd worden.
Een handtekening is rechtsgeldig zolang
maar voldoende duidelijk is dat de hand
tekening authentiek c.q. betrouwbaar is.
De wet onderscheidt drie soorten
elektronische handtekeningen: gewone,
geavanceerde en gekwalificeerde. Een
gescande handtekening, pincode, onder
tekening door DigiD zijn voorbeelden
van een gewone handtekening. Hierbij
zijn zender en ontvanger onderling over
eengekomen welke vorm als onderteke
ning geldt. Iedereen kan wel een inge-
scande handtekening van de minister
president aan zijn e-mail vasthangen.
Daarom moeten ook
andere elektronische
gegevens erop wijzen
dat de ondertekenaar
van de e-mail inder
daad de minister-presi
dent is. Een certificaat
is daarvoor niet vereist.
Bij een geavanceerde
handtekening is een
certificaat wel vereist.
Een certificaat is het
bewijsstuk dat iemand
een elektronische
handtekening kan
plaatsen onder een
e-mail of een docu
ment. Bij het elektro-
faJ Clc
JU
nisch ondertekenen wordt ook het certi
ficaat meegeleverd. Een digitaal certifi
caat wordt uitgegeven door een
Certification Service Provider (CSP). Het
vertrouwen in de CSP bepaalt de waarde
die een partij hecht aan een digitaal certi
ficaat. Zo'n certificaat is door een erken
de partij afgegeven en bevat naast de
handtekening ook aanvullende informa
tie over de ondertekenaar.
Wanneer het certificaat ook nog eens
gekwalificeerd is, is er sprake van een
gekwalificeerde elektronische handteke
ning. Deze is niet noodzakelijk een per
soonsgebonden handtekening. Het kan
ook organisatie(onderdeel) gebonden
zijn, of aan een computersysteem.
Daarnaast is de gekwalificeerde elektroni
sche handtekening gegenereerd op basis
van een 'veilig middel' (zoals smartcard,
usb-token). Alleen deze handtekening is
in bewijsrechtelijk opzicht gelijk aan de
handgeschreven handtekening, waarbij
de rechtsgeldigheid wordt aangenomen.
Bij een gekwalificeerde handtekening
wordt gebruik gemaakt van Public Key
Infrastructure (PKI): een samenstel van
architectuur, techniek, organisatie, pro
cedures en regels, gebaseerd op public
key cryptografie. Bij een PKI vormen een
private sleutel en zijn wiskundig verbon
den publieke sleutel een asymmetrisch
sleutelpaar. De publieke sleutel kan
publiekelijk worden bekendgemaakt.
Jeyy A?*
r»
jfóoY ce*fjo aJ7/or
De private sleutel dient alleen bekend te
zijn bij de houder van die sleutel. Met de
publieke sleutel kan de elektronische
handtekening die gemaakt is met een pri
vate sleutel worden geverifieerd, of de
identiteit van het sleutelpaar gecontro
leerd worden. Met een private sleutel kan
de houder ervan zich identificeren en
een elektronische handtekening zetten.
Voor elektronische handtekeningen (en
het waarmerken van officiële overheids
documenten) wordt doorgaans gebruik
gemaakt van certificaten die zijn uitgege
ven binnen de PKI-Overheid.
Elektronische handtekeningen zijn
ontworpen om onmiddellijk na de ont
vangst van een document de geldigheid
te controleren. Bepaalde digitaal onderte
kende documenten komen echter voor
(middel)lange termijnarchivering in aan
merking. Het probleem voor archivering
voor de lange termijn is niet het archive-
.Jo-CapxJ
y> y m
ren van de digitaal ondertekende docu
menten en van de bijbehorende digitale
handtekeningen, maar de verificatie van
de digitale handtekening. De problemen
zullen zich meer voordoen, naarmate de
handtekeningen langer bewaard moeten
worden. Die problemen doen zich met
name voor bij gekwalificeerde elektroni
sche handtekeningen.
Momenteel is de meest
toegepaste bewaarstra
tegie migratie. Daarbij
gaat echter informatie
verloren die cruciaal is
om publieke sleutel en
private sleutel met
elkaar te verbinden. Er
zijn diverse ideeën,
zoals het hertekenen
van het elektronisch
ondertekende docu
ment na migratie.
Maar dat is erg om
slachtig en bovendien
niet authentiek. Een andere mogelijk
heid is alles te bewaren. Validatie op
lange termijn blijft mogelijk. Daarvoor
moeten alle certificaten met metadata
gearchiveerd worden. Daarbij moet ten
minste het volgende vastgelegd worden:
naam van de ondertekenaar, publieke
sleutel, status van het certificaat, maar
ook de code die vast
zit aan een private
sleutel. Dat laatste
levert echter proble
men op met de
bescherming van de
persoonsgegevens:
private sleutels mo
gen niet bewaard
blijven. Daarnaast is
het erg complex en
momenteel onmoge
lijk alles in een der
gelijk formaat te
bewaren.
Weer een andere
optie is een certifice
ring van het migra
tieproces. De digitale
handtekening is dan
niet meer bepalend
voor de geldigheid ervan, maar het certi
ficaat. Nog een andere mogelijkheid is
het registreren van de validatie.
Het resultaat van de validatie wordt door
de ontvanger in de metadata van het
document geregistreerd. Samen met het
document worden de metadata gearchi
veerd en vervolgens beschermd tegen
manipulatie. Dan heeft het archiveren
van digitale handtekeningen (na valida
tie, registratie en opname van document
met metadata) geen nut meer. Maar
Jh.
,J> -
i-
I
V,ï.
n
4*
r.
"c u
r if
handgeschreven handtekeningen heb
ben op lange termijn ook geen nut meer.
De authenticiteit wordt aangenomen.
Problemen van bewaren voor de lange
termijn spelen sterk bij gekwalificeerde
elektronische handtekeningen, maar zijn
ook aanwezig bij geavanceerde en gewo
ne elektronische handtekeningen. Certi
ficaten en overeenkomsten verlopen of
worden ingetrokken. Informatie over het
certificaat of overeenkomst is van belang:
geldigheidsperiode van het certificaat en
de datum met tijdstip van onderteke
ning.
Maar laten we niet de handgeschre
ven handtekening overschatten. Het gaat
niet alleen om de relatie tussen docu
ment en handtekening, maar juist ook
tussen handtekening en ondertekenaar.
Daarbij speelt het onderling vertrouwen,
omgeven door regels en overeenkom
sten, een belangrijke rol. Normaal
gesproken gaan we ervan uit dat de
handtekening hoort bij de onderteke
naar. Dat geldt voor documenten uit
1648, 2007 en vermoedelijk ook voor die
van 2107.
16
17
gitalisering en informatisering
digitalisering en informatisering
Door Hans Berende
Hoe weet je wanneer de ondertekenaar zijn handtekening onder het document gezet
heeft? In de papieren wereld vormen handtekening en document een logische en fysieke
eenheid. Je gaat ervan uit dat handtekening en ondertekenaar ook bij elkaar horen. Het is
zelfs te controleren. In de digitale wereld willen we ervan uitgaan dat document en hand
tekening bij elkaar horen en handtekening en ondertekenaar. Dat geldt nu, over zeven en
misschien over honderd jaar.
„VfvhTj/Uh 1 f"-' l K
Een voorbeeld van een chirograaf (foto Rijckheyt,
Heerlen).
Gewoon of geavanceerd
Gekwalificeerd
Lakzegel en handtekening als bevestiging van de officiële
status van een document (foto Rijckheyt, Heerlen).
~Ps
in
n <rr'u >7i
yte ti 721
Archiefbeheer
4.
y? ('CjS
f ju/j 7
af.
i
Een oude handtekening zetten op een moderne digitale
manier op de ePadXL van Interlink Electronics (foto
Interlink Electronics).
j;.
i
-4'
M
iii
!S"c
ijl-
If cc
Jyo i,
7-r*
lo*
/c
f-M
li u
yj)f
\6lii
O .1
y'/c
A. o'i O
C /A/r
J i J'
Document uit het archief van de gemeente Schaesberg
uit 1835, voorzien van blindstempel, handtekening en
stempel van de provincie Limburg (foto Rijckheyt,
Heerlen).
Handgeschreven
Hans Berende werkt als adviseur bij Digital display
en is redacteur van het Archievenblad.
archievenblad
maart 2007
maart 2007
archievenblad
