18 december 2013

De elektronische handtekening

image for De elektronische handtekening image

Floor Suurenbroek
Floor Suurenbroek
Edwin Driessen
Edwin Driessen

Om dit artikel richting te geven staan de volgende twee vragen centraal:

Floor Suurenbroek
Floor Suurenbroek
Edwin Driessen
Edwin Driessen

Om dit artikel richting te geven staan de volgende twee vragen centraal:

  1. Welke (wettelijke) eisen worden gesteld aan het interne en het externe elektronisch verkeer?1
  2. Welke processen lenen zich binnen een organisatie voor een digitale afhandeling en verzending en wat is de rol van de elektronische handtekening daarbij?

Met het oog op Het Nieuwe Werken (HNW) biedt de toepassing van elektronische documentafhandeling efficiencyvoordelen en transparantie van werkprocessen. Het wordt mogelijk om plaats- en tijdonafhankelijk documenten te accorderen dan wel te ondertekenen. Het invoeren van een elektronische handtekening is een onderdeel van het gehele digitale proces, van inkomend tot uitgaand.2
De elektronische handtekening kent verschillende vormen; te weten de gewone, de geavanceerde en de gekwalificeerde elektronische handtekening.3 De wet geeft geen concrete technieken of toepassingen, maar stelt per vorm de eisen waaraan de ondertekening moet voldoen en geeft de daaraan verbonden juridische erkenning aan.

Kader
Naast de Algemene wet bestuursrecht (Awb) en het Burgerlijk Wetboek (BW) geven de Wet bescherming persoonsgegevens (Wbp) en de Archiefwet 1995/Archiefregeling 2009 ook voorwaarden wanneer (bestuurlijk) verkeer langs elektronische weg is toegestaan tussen partijen. Eveneens moet bij elektronisch verkeer rekening gehouden worden met specifieke wetgeving die van toepassing is op de processen met eventuele beperkingen en/of uitzonderingen.

Het (juridisch) kader met betrekking tot de eisen voor elektronisch verkeer is voornamelijk extern gericht, maar is onlosmakelijk verbonden met en bepalend voor de interne processen. Het proces moet kunnen worden gereconstrueerd. Intern elektronisch verkeer berust in dit kader op het accorderen, het extern elektronisch verkeer is gericht op uitgaande berichten en het gebruik van de elektronische handtekening daarbij. Er zijn een aantal uitgangspunten van belang voor de interne accordering en het uitgaand elektronisch (bestuurlijk) verkeer.

Intern
Voor interne accordering gelden vanuit de Awb en het BW in beginsel geen eisen. De methode moet voldoende betrouwbaar zijn gezien het doel en de omstandigheden van het geval. Aangezien het om een intern proces gaat, is uit het mandaat en/of de proces- en functiebeschrijvingen bekend welke persoon welke handelingen moet verrichten. Het systeem moet voldoende waarborgen bieden om aannemelijk te maken dat de juiste persoon accordeert. Voor vastlegging kan een ‘workflow’ in combinatie met een ‘audittrail’ worden gebruikt. Omwille van de bewijsvorming kan de besluitvorming intern van invloed zijn en dient er rekening gehouden te worden met de eisen van archivering (zie hieronder).

Extern
Afdeling 2.3 van de Awb staat elektronisch bestuurlijk verkeer toe en heeft betekenis voor een aantal rechtsfiguren die in de Awb zijn geregeld, tenzij zulks bij of krachtens de wet of door middel van vormvoorschriften is uitgesloten. Anders dan in het bestuursrecht heeft de wetgever voor het civiele recht niet bepaald dat ‘schriftelijk’ in het algemeen ook met een elektronisch document kan worden ingevuld.

Uitgangspunt is dat uitgaand elektronisch bestuurlijk verkeer alleen is toegestaan, indien de geadresseerde expliciet kenbaar heeft gemaakt langs elektronische weg voldoende bereikbaar te zijn en het uitgaande bericht, indien van toepassing, ondertekend is middels een met voldoende waarborgen omgeven elektronische handtekening. De verklaring omtrent het bereikbaar zijn via de elektronische weg is in beginsel vormvrij.4 Het is van belang om te bezien of een bericht op een voldoende betrouwbare en vertrouwelijke manier elektronisch is verzonden, rekening houdend met de aard, inhoud en doel van het bericht. Een manier om dit formeel te bereiken is de elektronische handtekening. Het is belangrijk dat de procedure is vastgelegd met een adequate manier van beveiliging en de medewerkers hiervan op de hoogte zijn. Uit hoofde van de Wbp zijn er geen bijzondere consequenties voor digitaal verkeer. Wel is een grotere terughoudendheid bij verstrekking van elektronische gegevens gepast; daarbij is ook het kanaal van belang.

Al het elektronisch (bestuurlijk) verkeer heeft in potentie betrekking op processen en komt daarmee voor bewaring in aanmerking. Functionaliteiten zoals het registreren van contextuele metadata, het fixeren van de inhoud van documenten, het bijhouden van verschillende versies van documenten en hun metadata, het aanleggen van audittrails et cetera zijn essentieel om authentieke bronnen te archiveren.5 Bij elektronisch opgemaakte documenten moet voornamelijk rekening worden gehouden met de digitale duurzaamheid.6

De rechter kent een bewijsmiddel meer bewijskracht toe als hij van de betrouwbaarheid overtuigd is en er maatregelen zijn genomen ter voorkoming van manipulatie. De betrouwbaarheid van elektronische gegevens als bewijsmiddel kan onder meer worden vergroot met een elektronische handtekening, het gebruikte (e-mail)adres, de inhoud van het bericht en het werken met ontvangstbevestigingen. Bij het gebruik van lagere vormen van de elektronische handtekening is sprake van een omgekeerde bewijslast; de ondertekenaar moet de rechtsgeldigheid bewijzen. De rechter heeft hierin het laatste woord, er moet een redelijke mate van zekerheid zijn.7 Een uitzondering op de regel van vrije bewijsvoering zijn de authentieke akten.

Inventarisatie
De elektronische weg kan aldus worden geopend voor zover dit wenselijk wordt geacht. Voorafgaand dient met de afdelingen juridisch (mogen), technisch (kunnen) en organisatorisch (willen) besproken te worden wat de wensen, eisen en risico’s zijn. Zekerheid over de authenticiteit en integriteit is zowel intern als extern essentieel. Het bericht moet op een voldoende betrouwbare en vertrouwelijke manier elektronisch worden verzonden. De organisatie en de werkprocessen moeten daarbij voldoende worden gereedgemaakt voor het behandelen van elektronisch verkeer.

Processen
Vastgesteld moet worden of de gebruikte methode ‘voldoende betrouwbaar is voor het doel en de omstandigheden van het geval (aard en inhoud)’. Er ontstaat zodoende een glijdende schaal, onder andere aan de hand van de economische of juridische waarde die met de rechtshandeling verbonden is (risicoafweging). De betrouwbaarheid van de elektronische accordering dan wel handtekening en ook het elektronische verkeer hangt aldus af van het proces waarin de toepassing wordt gehanteerd.

  1. Soort: standaard of bijzonder (maatwerk of incidenteel).
    Een bijzonder proces heeft geen routinematig karakter of vereist specifieke deskundigheid. Bij vertrouwelijke informatie of formele berichten moeten de vertrouwelijkheid en authenticiteit van het bericht voldoende kunnen worden gewaarborgd.
  2. Impact: aanmerkelijk of beperkt (juridisch of economisch). Een proces met aanmerkelijke impact heeft impact op de belanghebbende(n), betrokkene(n), of andere partijen. Bijvoorbeeld bij afwijzingen of andersoortige belastende besluiten.
  3. Handtekening: is er überhaupt een handtekening nodig en zo ja welk type handtekening is er noodzakelijk?8 Voor sommige processen zijn meer waarborgen voorgeschreven. De organisatie dient hierin een weloverwogen beslissing te nemen (verhouding kosten-baten).

De interne en externe processen kunnen in het algemeen in drie categorieën worden onderverdeeld: standaard, maatwerk en incidenteel. Er ontstaat zo een lijst met processen waarbij een elektronische afhandeling mogelijk is met inachtneming van de vereisten, een lijst met processen waarbij absoluut geen mogelijkheid tot digitale afhandeling bestaat en een grijs gebied waarin beperkingen zijn.

Implementatie
Het is relevant om ruimte te bieden aan een stapsgewijze en gebruiksvriendelijk invoer van elektronische dienstverlening, met aandacht voor duidelijke kwaliteitsstandaarden en beveiliging in het systeem (vrijwaren van mogelijke wijzigingen en manipulaties). Er kan gedacht worden aan implementatie op een bepaalde afdeling of bij bepaalde processen. Het is wel belangrijk om eerst de (interne) processen op orde te hebben. Ook moeten de verantwoordelijkheden duidelijk worden belegd. Hiervoor is overleg met de juridische, technische en organisatiekundige afdeling noodzakelijk.

Oplossingen die ertoe leiden dat de risico’s beperkt worden zijn educatie, communicatie en advies. Door intern en extern de ontwikkelingen en mogelijkheden binnen de organisatie te communiceren en te instrueren wordt er draagvlak gecreëerd en weerstand kan dientengevolge worden weggenomen. Om te zien of processen effectief verbeterd zijn is het van belang te evalueren.

Het is belangrijk dat er uiteindelijk een algemeen beleid komt betreffende elektronisch verkeer, bijvoorbeeld in de vorm van een protocol. De elektronische handtekening maakt daar ook onderdeel van uit. De DIV’er kan een waardevolle rol hebben bij het adviseren over de invoering ervan door kenbaar te maken wat de gevolgen zijn voor de werkprocessen binnen de organisatie.

floorsuurenbroek@becis.nl, Floor Suurenbroek is trainee Informatieadviseur.
Edwin.Driessen@afm.nl, Edwin Driessen is redactielid van Od.


1 Bij verkeer langs de elektronische weg dient gedacht te worden aan het gebruik van e-mail, websites, intra- en internet (Digitaal Loket), sms-berichten, etc.
2 Het inkomende verkeer is expliciet buiten beschouwing gelaten.
3 Zie de artikelen 15a, tweede tot en met zesde lid, en 15b van Boek 3 van het BW en artikel 2:16 Awb.
4 Gedacht kan worden aan een vaststaand formulier gericht op specifieke berichtgeving in het elektronisch verkeer.
5 Zie het referentiekader RODIN en met name artikelen 21 t/m 26 Archiefregeling 2009 inzake digitale archiefbescheiden.
6 De vraag is in hoeverre de gekozen toepassing van de elektronische handtekeningen duurzaam archiveerbaar is.
7 Het minimaal aantal aanknopingspunten is niet met zekerheid te stellen.
8 In de Awb staat niet duidelijk dat een besluit ondertekend moet zijn, maar dit kan wel uit artikel 10:11 lid 1 Awb worden opgemaakt.