Gekwalificeerde elektronische handtekening

door Bert Brons

14 Nov 2017

Van mijn collega kreeg ik de volgende vragen voorgelegd:

Een document is digitaal ondertekend en gearchiveerd.

  • Hoe geldig is deze ondertekening nog bij het verlopen van het certificaat na een x aantal jaren?
  •  Moet een leverancier de verstrekte certificaat nog bewaren of moeten wij (de gemeente) dat doen?

Mijn eerste gedachte is dat ook bij het verlopen van het certificaat de gezette digitale handtekening zijn geldigheid behoudt. Maar zeker weten doe ik het niet.

Op Internet vond ik geen sluitend antwoord.  Dus de keuze om deze vragen te posten op Breed, was snel gemaakt.

Daarnaast is mijn collega ook erg geholpen met documentatie die de antwoorden onderbouwd.

Load Previous Replies
  • omhoog

    Marco Klerks

    De Archiefregeling, art. 24, lid c, schrijft voor dat er over de digitale handtekening enkel metadata vastgelegd moeten worden. Deze praktische oplossing is verzonnen, omdat het bewaren van de digitale handtekening lastig is. Lees de toelichting er maar op na (vanaf onderaan op blz. 40):

    "Met onderdeel c is ten opzichte van de Regeling geordende en toegankelijke staat archiefbescheiden een vast te leggen element toegevoegd, dat betrekking heeft op digitale handtekeningen. Hierover bestaat tot op heden in de praktijk veel verwarring. De digitale handtekening zélf hoeft ingevolge de Archiefwet 1995 niet te worden bewaard. Dat neemt niet weg, dat in voorkomende gevallen wel steeds de gegevens moeten kunnen worden herleid, bedoeld in onderdeel c, onder 1° tot en met 4°.

    Eén van de doelen van de digitale handtekening is vaak om te kunnen vaststellen van wie een document afkomstig is. Het gaat dan om authentificatie van de opsteller(s) of afzender(s) van het document. Na controle en validatie van de handtekening verliest deze zijn rol en hoeft ten behoeve van archivering niet te worden bewaard. In de regel is validatie van een digitale handtekening na verloop van tijd niet meer mogelijk, enerzijds om technische redenen (niet meer te reproduceren), anderzijds om organisatorische redenen, omdat de gegevens over functionaris en bijbehorende handtekening niet meer beschikbaar zijn of gewijzigd.

    Er kunnen echter andere redenen zijn, bijvoorbeeld juridische, om toch de digitale handtekening te bewaren. Ook in dat geval is er de plicht om de handtekening te valideren en moeten de validatiege- gevens zoals beschreven in dit artikel bewaard worden, omdat deze een bewijs zijn van wie het document wanneer heeft verstuurd."

    15 Nov 2017

  • omhoog

    Gert

    Ik denk dat je een Pades-4 moet gebruiken als je een timestamp wil 'refreshen'. Dwz, stel dat je vandaag een timestamp op een document zet, die over 5 jaar vervalt. Dan zal het document niet meer verifieerbaar zijn na deze 5 jaar. Met Pades-4 zou je na 4 jaar en 11 maanden gewoon een nieuwe timestamp kunnen zetten, zodat het opnieuw 5 jaar geldig is. Dit kan niet met Pades-2.

    Moest je echter dat Pades-2 document op tijd in een qualified legal archive stoppen, dan maakt het niet uit dat die timestamp vervalt na 5 jaar, zolang je maar kan aantonen dat er niet geknoeid is met het archief.

    20 Nov 2017

  • omhoog

    Yvonne Welings

    Aandachtspunt: Hoe bewijs je een digitale handtekening als je pdf-bestand kapot is...

    4 Nov