Ik ben bezig om een stukje beleid op te stellen voor de elektronische ondertekening van documenten in gemeente Rotterdam. De aanleiding hiertoe is de ambitie van de gemeente om 100% digitaal te werken. Het formele gekrabbel met een balpen op een vel papier is daarbij nog een van de knelpunten die we op moeten lossen.
In het beleid:
Het probleem
Dat laatste punt is nog best lastig. Bij gekwalificeerde handtekeningen moet er namelijk gebruik gemaakt worden van een PKIoverheid-certificaat. Een PKIoverheid-certificaat is conform de eIDAS "gekwalificeerd", met name omdat het toezicht hierop streng geregeld is door de nationale overheid. Een dergelijk certificaat heeft een geldigheid van maximaal 5 jaar. Ik heb begrepen dat als een certificaat verlopen is, je de authenticiteit van de handtekening niet meer kunt valideren. Ik heb ook begrepen dat de geldigheid loopt vanaf het moment dat het certificaat wordt aangemaakt. Dus als je een elektronische handtekening zet met een ruim 4 jaar oud certificaat, dan kun je hem een jaar later al niet meer valideren!
Overigens kan bij de geavanceerde handtekening ook gebruik gemaakt worden van een certificaat. Dat hoeft dan niet perse een PKIoverheid-certificaat te zijn. Desalniettemin zal ook dat certificaat een beperkte geldigheid kennen.
De Archiefregeling
In de Archiefregeling, art. 24, lid c probeert men dit probleem heel eenvoudig op te lossen. Zij zegt in feite: valideer zo snel mogelijk de handtekening (nu het nog kan) en leg dit vast in de metadata. Deze oplossing zet wat mij betreft echter geen zoden aan de dijk. Allereerst kan de ontvangende partij, de burger, niet bij de metadata in het DMS. Bovendien wil ik de gekwalificeerde handtekening inzetten voor documenten uit een hoge risicoklasse. Zowel de ontvangende partij als wijzelf moeten zekerheid hebben en kunnen bieden aangaande de authenticiteit van het document en de handtekening. Denk daarbij ook aan dure, meerjarige projecten en rechtszaken! Wie zegt niet dat iemand van ICT aan die metadata heeft lopen frutselen? Ga die discussie maar eens aan voor een rechtbank!
Tijdstempels
In een reactie op een oude discussie op BREED vond ik o.a. een link naar een artikel dat ook ingaat op dit lastige vraagstuk. Blijkbaar is het mogelijk om in de digitale handtekening ook een tijdstempel op te nemen. Bij het valideren van de handtekening kan er dan rekening gehouden worden met wanneer er is getekend, zodat het certificaat opgezocht kan worden dat destijds geldig was. Dat vraagt er overigens wel om dat het verlopen certificaat nog steeds online toegankelijk is voor validatie! Daar kom ik zo op teug.
Er plopt namelijk een nieuwe uitdaging op. Hoe weet je of de tijdstempel betrouwbaar is? Ook daarbij zul je dus gebruik moeten maken van een Trusted Third Party (TTP) en zal er wederom gewerkt worden met certificaten om de betrouwbaarheid van de tijdstempel te garanderen. En ook die certificaten kennen een beperkte geldigheid. Er bestaan overigens ook gekwalificeerde tijdstempel die werken met PKIoverheid-certificaten.
Maar goed, een tijdstempel bevat uiteraard zelf ook de informatie wanneer deze gezet is, dus daar kunnen we waarschijnlijk ook nog wel iets mee.
Bewaren van (PKIoverheid-) certificaten
Belangrijk is dat bij alle oplossingen ook de inmiddels verlopen certificaten nog online toegankelijk zijn. We zullen ze dus moeten bewaren en ontsluiten. Daarbij is het verstandig om dit niet zelf te doen om verdenkingen van frauduleus gedrag te voorkomen, maar om ook hier gebruik te maken van een TTP (in de eIDAS wordt dit een "vertrouwensdienst" genoemd). Ook een TTP kan "gekwalificeerd" zijn, dat wil zeggen dat er streng toezicht door de nationale overheid op gehouden wordt.
Help mij!
In het beleidsvoorstel heb ik dit gedoe opgelost door "duurzame toegankelijkheid" op te nemen in de risico-paragraaf met als tegenmaatregel dat we bij de implementatie van het beleid een oplossing moeten zoeken. Het voorstel kan dan de besluitvorming in. Echter, wanneer het voorstel is goedgekeurd en we het een en ander willen gaan implementeren, dan zal dit vooruitgeschoven probleem opnieuw op tafel komen.
Mijn vraag aan jullie is dan ook: wie heeft al eerder dit probleem opgelost en kan mij vertellen hoe? Hebben jullie bijvoorbeeld eisen uit een Programma van Eisen of een architectuurdocument dat jullie kunnen delen?
jack karelse
geef je het antwoord zelf? :-)
Je kunt en kon de betrouwbaarheid van een natte handtekening ook niet tot in lengte van jaren aantonen. Als er sprake is van een gezond wantrouwen, hoe lang kan dat spelen?
Als je nu een handtekening zet via een workflow, waarbij je de audittrail bewaart en dus kunt terugzien wie welk vakje heeft aangevinkt en je kunt aantonen dat deze persoon ook bevoegd was om dat te doen, wat heb je dan nog nodig?
In de praktijk is en wordt heel weinig getwijfeld aan de echtheid van documenten, is mij wel eens verteld. Door een advocaat en een notaris. Misschien maak je je meer zorgen dan noodzakelijk. En misschien niet :-)
10 Okt 2018
Guus Benkers
Ik ben momenteel bezig met hetzelfde vraagstuk. Voor de archivering is duurzaamheid inderdaad het belangrijkste probleem van de elektronische handtekening. Zoals je al zegt kun je door middel van timestamping bewijzen dat een handtekening is gezet op het moment dat het certificaat nog geldig was. Terecht merkt je op dat in dat geval weer vragen kunnen rijzen over de geldigheid van de timestamp.
Deze problemen zijn echter niet nieuw, want ze spelen ook gewoon bij ouderwetse 'natte' handtekeningen. Wanneer je doorredeneert kun je dus nooit met 100% zekerheid zeggen dat een handtekening echt is. Ook een natte handtekening is dus in ieder geval geen oplossing. Zoals in het gelinkte artikel wordt aangegeven zijn praktische oplossingen het bevestigen van een belangrijke of gevoelige overeenkomst per e-mail met de overeenkomst in de bijlage, of het tekenen van een overeenkomst in het bijzijn van getuigen of een notaris.
Persoonlijk denk ik echter dat we gewoon moeten wachten tot er jurisprudentie is over een gekwalificeerde getimestampte elektronische handtekening met een verlopen certificaat die betwist wordt. Uiteindelijk is álles immers te vervalsen. De vraag is hoe hoog je de bewijslast legt voor het bewijzen van de echtheid van een handtekening. En die vraag zal beantwoord moeten worden door een rechter.
10 Okt 2018
Yvonne Welings
Hoe bewijs je een digitale handtekening als je pdf-bestand kapot is...
4 Nov