Gekwalificeerde digitale handtekening, oude wijn in nieuwe zakken?
30 augustus 2016
De laatste tijd is de gekwalificeerde digitale handtekening steeds meer in het nieuws door veranderingen in de wet. Er komen dan ook steeds meer vragen rondom de gekwalificeerde digitale handtekening. Of de gekwalificeerde elektronische handtekening, zoals de wetgever dat noemt. Hoe werkt nou precies een gekwalificeerde elektronische handtekening? En wat is het verschil met de geavanceerde elektronische handtekening. En kan een gekwalificeerde elektronische handtekening en een geavanceerde elektronische handtekening op één document gelijktijdig worden gezet?
Om uit te leggen wat een gekwalificeerde elektronische handtekening is, wil ik een paar eeuwen teruggaan. Want er is in de afgelopen 800 jaar eigenlijk niet zo heel veel veranderd… In vroegere tijden werden belangrijke documenten altijd verzegeld. Dat gebeurde door het document dicht te vouwen en te verzegelen met een druppel - veelal rode - warme gesmolten was. Met een zegelring werd vervolgens het zegel van de afzender in de warme was gedrukt voor dat deze hard werd. Het zegel garandeerde daarmee de identiteit van de afzender en een onbeschadigde verzegeling dat de inhoud niet was veranderd.
Bij de geavanceerde en gekwalificeerde elektronische handtekening gebeurt in principe hetzelfde, al is de zegelring vervangen door een zogenoemd PKI certificaat. Zo’n certificaat – uitgegeven door de certificaatautoriteit - garandeert de identiteit van de ondertekenaar en zorgt ervoor dat documenten met zo’n verzegeling niet kunnen worden aangepast zonder dat het zegel ‘verbroken wordt’. Hoe werkt dat in de praktijk?
Er zijn twee soorten elektronische handtekeningen waarbij certificering een rol speelt, de geavanceerde elektronische handtekening en de gekwalificeerde elektronische handtekening.
Geavanceerde elektronische handtekening
Bij een geavanceerde elektronische handtekening verzegelt de signing service provider het document met hun organisatiegebonden PKI certificaat. Zeg maar de firma-zegelring. Verzegeling betekent dan dat de signing service provider de identiteit van de ondertekenaars in voldoende mate gecontroleerd heeft a.h.v. een veilig authenticatiemiddel, zoals iDIN of DigiD. En dat na verzegeling de inhoud van het document niet meer veranderd kan worden zonder dat het zegel verbroken wordt. Een en ander zoals de wet dat voorschrijft voor signing service providers. Vroeger zou dat betekenen dat er een document opgesteld wordt, de signing service provider controleert de identiteit van alle ondertekenaars en verzegelt het document met de eigen zegelring.
Gekwalificeerde elektronische handtekening
Er zijn bepaalde documenten waarbij de wetgever eist dat de authenticatie van bepaalde ondertekenaars in nóg hogere mate gegarandeerd wordt. Denk maar aan notarissen, accountants en burgermeesters. Deze partijen hebben dan een eigen persoonsgebonden of organisatiegebonden PKI certificaat. Dit certificaat garandeert niet alleen de identiteit van deze ondertekenaar, maar het wordt tevens gebruikt om het document mede te verzegelen, naast de verzegeling door de signing service provider. Deze laatste blijft noodzakelijk omdat niet alle ondertekenaars een eigen certificaat hebben en om te garanderen dat het proces verlopen is zoals de wet dat voorschrijft. Vergelijk het met de zegelringmethode, er wordt een document opgesteld, de signing service provider controleert de identiteit van alle ondertekenaars en verzegelt het document met de eigen zegelring. En tevens wordt het document verzegeld door alle andere partijen met een eigen zegel.
O ja, sinds 1 juli 2016 hebben werkgevers volgens de wet ook een eigen PKI certificaat nodig wanneer zij een arbeidsovereenkomst elektronisch tekenen. Echter kunnen zij zo’n certificaat tevens gebruiken voor het gekwalificeerd verzegelen van uitgaande digitale facturen, hetgeen tegenwoordig ook een eis is vanuit de wetgever.
Overigens maakt de gewone elektronische handtekening geen gebruik van een dergelijke verzegeling of certificaat. De gewone elektronische handtekening kan daarom nog steeds wel rechtsgeldig zijn, maar documenten kunnen na ondertekenen gewijzigd worden en daarmee ook onbetrouwbaar. Ook is de identiteit van de ondertekenaars daardoor niet gewaarborgd. Een voorbeeld van een gewone elektronische handtekening is een gescande afbeelding van een handtekening die in een Word document wordt geplakt.
