Ik ben bezig om een stukje beleid op te stellen voor de elektronische ondertekening van documenten in gemeente Rotterdam. De aanleiding hiertoe is de ambitie van de gemeente om 100% digitaal te werken. Het formele gekrabbel met een balpen op een vel papier is daarbij nog een van de knelpunten die we op moeten lossen.

In het beleid:

• Maak ik onderscheid tussen de gewone, de geavanceerde en de gekwalificeerde elektronische handtekening,
• Laat ik de keuze in welke soort handtekening gebruikt dient te worden afhangen van de risico-classificatie in het Informatiebeheerplan. Informatie die heel betrouwbaar moet zijn, vraagt ook om een heel betrouwbare (dus gekwalificeerde) handtekening.
• Moet ik ook iets zeggen over de duurzame toegankelijkheid van elektronisch ondertekende stukken.

Het probleem

Dat laatste punt is nog best lastig. Bij gekwalificeerde handtekeningen moet er namelijk gebruik gemaakt worden van een PKIoverheid-certificaat. Een PKIoverheid-certificaat is conform de eIDAS "gekwalificeerd", met name omdat het toezicht hierop streng geregeld is door de nationale overheid. Een dergelijk certificaat heeft een geldigheid van maximaal 5 jaar. Ik heb begrepen dat als een certificaat verlopen is, je de authenticiteit van de handtekening niet meer kunt valideren. Ik heb ook begrepen dat de geldigheid loopt vanaf het moment dat het certificaat wordt aangemaakt. Dus als je een elektronische handtekening zet met een ruim 4 jaar oud certificaat, dan kun je hem een jaar later al niet meer valideren!

Overigens kan bij de geavanceerde handtekening ook gebruik gemaakt worden van een certificaat. Dat hoeft dan niet perse een PKIoverheid-certificaat te zijn. Desalniettemin zal ook dat certificaat een beperkte geldigheid kennen.

De Archiefregeling

In de Archiefregeling, art. 24, lid c probeert men dit probleem heel eenvoudig op te lossen. Zij zegt in feite: valideer zo snel mogelijk de handtekening (nu het nog kan) en leg dit vast in de metadata. Deze oplossing zet wat mij betreft echter geen zoden aan de dijk. Allereerst kan de ontvangende partij, de burger, niet bij de metadata in het DMS. Bovendien wil ik de gekwalificeerde handtekening inzetten voor documenten uit een hoge risicoklasse. Zowel de ontvangende partij als wijzelf moeten zekerheid hebben en kunnen bieden aangaande de authenticiteit van het document en de handtekening. Denk daarbij ook aan dure, meerjarige projecten en rechtszaken! Wie zegt niet dat iemand van ICT aan die metadata heeft lopen frutselen? Ga die discussie maar eens aan voor een rechtbank!

Tijdstempels

In een reactie op een oude discussie op BREED vond ik o.a. een link naar een artikel dat ook ingaat op dit lastige vraagstuk. Blijkbaar is het mogelijk om in de digitale handtekening ook een tijdstempel op te nemen. Bij het valideren van de handtekening kan er dan rekening gehouden worden met wanneer er is getekend, zodat het certificaat opgezocht kan worden dat destijds geldig was. Dat vraagt er overigens wel om dat het verlopen certificaat nog steeds online toegankelijk is voor validatie! Daar kom ik zo op teug.

Er plopt namelijk een nieuwe uitdaging op. Hoe weet je of de tijdstempel betrouwbaar is? Ook daarbij zul je dus gebruik moeten maken van een Trusted Third Party (TTP) en zal er wederom gewerkt worden met certificaten om de betrouwbaarheid van de tijdstempel te garanderen. En ook die certificaten kennen een beperkte geldigheid. Er bestaan overigens ook gekwalificeerde tijdstempel die werken met PKIoverheid-certificaten.

Maar goed, een tijdstempel bevat uiteraard zelf ook de informatie wanneer deze gezet is, dus daar kunnen we waarschijnlijk ook nog wel iets mee.

Bewaren van (PKIoverheid-) certificaten

Belangrijk is dat bij alle oplossingen ook de inmiddels verlopen certificaten nog online toegankelijk zijn. We zullen ze dus moeten bewaren en ontsluiten. Daarbij is het verstandig om dit niet zelf te doen om verdenkingen van frauduleus gedrag te voorkomen, maar om ook hier gebruik te maken van een TTP  (in de eIDAS wordt dit een "vertrouwensdienst" genoemd). Ook een TTP kan "gekwalificeerd" zijn, dat wil zeggen dat er streng toezicht door de nationale overheid op gehouden wordt.

Help mij!

In het beleidsvoorstel heb ik dit gedoe opgelost door "duurzame toegankelijkheid" op te nemen in de risico-paragraaf met als tegenmaatregel dat we bij de implementatie van het beleid een oplossing moeten zoeken. Het voorstel kan dan de besluitvorming in. Echter, wanneer het voorstel is goedgekeurd en we het een en ander willen gaan implementeren, dan zal dit vooruitgeschoven probleem opnieuw op tafel komen.

Mijn vraag aan jullie is dan ook: wie heeft al eerder dit probleem opgelost en kan mij vertellen hoe? Hebben jullie bijvoorbeeld eisen uit een Programma van Eisen of een architectuurdocument dat jullie kunnen delen?