Betrouwbaarheid digitale handtekening

Hoe betrouwbaar is een digitale handtekening eigenlijk? De Europese wetgeving bevat zes vereisten voor een voldoende betrouwbare digitale handtekening of algemener een voldoende betrouwbare elektronische handtekening.

De Nederlandse wetgeving inzake de elektronische handtekening is sinds 21 mei 2003 vastgelegd in artikel 3:15a van het Burgerlijk Wetboek. Deze wet volgt nog uit de Europese richtlijn 1999/93/EG. In artikel 3:15a van het Burgerlijk Wetboek worden de volgende eisen gesteld aan een elektronische handtekening, waarbij lid 2e en 2f alleen onvoorwaardelijk van toepassing zijn op gekwalificeerde digitale handtekeningen.

Artikel 3:15a van het Burgerlijk Wetboek

• 2a. zij is op unieke wijze aan de ondertekenaar verbonden;
• 2b. zij maakt het mogelijk de ondertekenaar te identificeren;
• 2c. zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden;
• 2d. zij is op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord;
• 2e. zij is gebaseerd op een gekwalificeerd certificaat als bedoeld in artikel 1.1, onderdeel ss, van de Telecommunicatiewet;
• 2f. zij is gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen als bedoeld in artikel 1.1, onderdeel vv, van de Telecommunicatiewet.

Technische eisen

Naast de juridische kaders rondom de digitale handtekening, die op Europees en op landelijk niveau worden vastgesteld, is er ook een technische standaard bepaald voor digitale handtekeningen. Ook deze zijn vastgelegd in eIDAS (Electronic identification and trust services). Zo moet de mogelijkheid tot authenticatie ononderbroken beschikbaar zijn. Er kunnen echter geen specifieke technische vereisten zoals hardware of software worden opgelegd aan de partijen die afhankelijk zijn van een dergelijke authenticatie.

Voor het ondertekenen van documenten, wordt voornamelijk gebruik gemaakt van ondertekening van PDF-documenten. Voor het ondertekenen van PDF is er de PAdES standaard ontwikkeld door ETSI. Naast PAdES zijn er ook de XAdES (voor XML) en CAdES (voor Code signing) standaarden ontwikkeld voor ondertekening.

Betrouwbaarheid in de praktijk

De rechtsgeldigheid zegt veel over de betrouwbaarheid van digitale handtekeningen. De geavanceerde digitale handtekening en de gekwalificeerde digitale handtekening kunnen als betrouwbaar worden beschouwd. Bij beide types digitale handtekening kunt u er vanuit gaan dat de ondertekenaar diegene is die moet ondertekenen. En dat de ondertekende documenten na tekenen niet meer gewijzigd kunnen worden. Voor de gewone digitale handtekening (bijvoorbeeld een muishandtekening of een ingescand plaatje) geldt dit helaas niet. Deze kan daarom niet als betrouwbaar worden beschouwd.

Naast de rechtsgeldigheid van de digitale handtekening is  het betrouwbaarheidsniveau van het gebruikte authenticatiemiddel voor het digitaal ondertekenen van even groot belang. De wet (art. 3:15 BW) zegt hierover het volgende: "Een elektronische handtekening heeft dezelfde rechtsgevolgen als een handgeschreven handtekening, indien de methode die daarbij is gebruikt voor authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens worden gebruikt en op alle overige omstandigheden van het geval".

Om te komen tot het bepalen van het betrouwbaarheidsniveau van een authenticatiemiddel kan gebruik worden gemaakt van de in ISO 29115 opgenomen levels of assurance (LoA). Om te bepalen welk betrouwbaarheidsniveau goed past bij een specifiek proces kan ook gebruik worden gemaakt van het Europees STORK model; deze is o.a. weergegeven in de Handreiking betrouwbaarheidsniveaus voor authenticatie bij elektronische overheidsdiensten. Een belangrijke aantekening hierbij is dat de handreiking richtinggevend is en geen wettelijk kader. Bij de keuze voor een authenticatiemiddel dient dus mede gekeken te worden of het werkbaar is voor het proces waarvoor het wordt gebruikt en niet remmend werkt.