1 september 2010

Een handgeschreven handtekening? Zooo jaren 90!

image for Een handgeschreven handtekening? Zooo jaren 90! image

Waarom van natte krabbel naar digital sign?
Er wordt bij overheidsinstellingen veel tijd besteed aan de verwerking van uitgaande documenten. De Archiefwet schrijft voor dat blijvend te bewaren documenten van overheidsorganisaties bewaard moeten worden in de vorm waarin de documenten zijn opgemaakt en vastgesteld (ondertekend).

Waarom van natte krabbel naar digital sign?
Er wordt bij overheidsinstellingen veel tijd besteed aan de verwerking van uitgaande documenten. De Archiefwet schrijft voor dat blijvend te bewaren documenten van overheidsorganisaties bewaard moeten worden in de vorm waarin de documenten zijn opgemaakt en vastgesteld (ondertekend).
Om die reden worden documenten uitgeprint om vervolgens te worden voorzien van een handgeschreven handtekening. De bode brengt in veel gevallen de ondertekende brief in een tekenboek naar DIV. DIV scant het document vervolgens in en maakt daardoor het document digitaal.
Resumé, we hebben een digitaal document, printen het uit, plaatsen een handtekening en maken het vervolgens weer digitaal. Zooo jaren 90!

Een digitale of elektronische handtekening heeft dezelfde status als een papieren handtekening. Dat betekent dat formele documenten, die voorheen vanwege de vereiste handtekening alleen op papier waarde hadden, nu in elektronische vorm kunnen worden opgesteld, verzonden en bewaard.
Het papieren archiefexemplaar verdwijnt, immers het digitale document is leidend geworden. Dit betekent jaarlijks een aanzienlijke vermindering van het archief als het gaat om uitgaande en interne documenten.

Welke varianten zijn er?
Welke elektronische handtekening zou ik als overheid moeten gebruiken? De regelgeving laat ruimte voor een brede toepassing, mits deze voldoende betrouwbaar is voor het document/ doel waarvoor je hem gebruikt. De elektronische handtekening is een wettelijke definitie voor diverse, niet noodzakelijk versleutelde, methoden om de identiteit van iemand die een elektronisch bericht zendt te bevestigen.
Er zijn verschillende vormen van elektronische handtekeningen. In het verleden zijn al deze varianten in Od veelvuldig beschreven.

  Gewone
elektronische
handtekening
Geavanceerde
elektronische
handtekening
Gekwalificeerde
elektronische
handtekening
Rechtsgeldig? Geldige vorm, maar
daarvan wordt de
betrouwbaarheid niet
verondersteld. Uit de
context moet blijken
of deze handtekening
voldoende betrouwbaar
is.
Er is hier sprake van een
technisch hoogstaand
middel waaruit de
identificatie van de
ondertekenaar nagenoeg
onomstotelijk is.1

Nagenoeg onomstotelijk
houdt in dat indien een
wederpartij beweert dat
de handtekening niet juist
of niet betrouwbaar is,
de gebruiker aan moet
tonen dat de procedure
voor het verkrijgen van
het middel waarmee
deze handtekening is
gezet toch een
betrouwbaar proces is.2

De zwaarste vorm en
daardoor betrouwbaarste
vorm. Er is sprake van
omgekeerde bewijslast.
Bij twijfel moet de
twijfelende partij
aantonen dat de
handtekening niet op de
juiste wijze is geplaatst.

Als voorbeeld kan worden
gedacht aan elektronische
handtekeningen geplaatst
met een PKIoverheid-
certificaat en een
elektronische Nederlandse
Identiteitskaart (eNIK).

Tabel rechtsgelegenheid van verschillende vormen van elektronische handtekeningen

Welke handtekening is juridisch het beste?
Uit het schema (zie tabel) blijkt dat de gekwalificeerde variant de betrouwbaarste versie is. Dat klopt, maar aan deze variant hangt een prijskaartje. Zeker wanneer de tekenbevoegdheid laag ligt in de organisatie.
Door een uitspraak van de Raad van State van 7 april 2010 wordt de geavanceerde elektronische handtekening (niet gecertificeerd) als voldoende betrouwbaar geacht.3
Het Burgerlijk Wetboek zegt dat een elektronische handtekening “dezelfde rechtsgevolgen heeft als een handgeschreven handtekening”, indien de methode die daarbij is gebruikt voor authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval”.4
De Europese richtlijn van 1999 schrijft voor dat de lidstaten ervoor moeten zorgen dat een elektronische handtekening geen rechtsgeldigheid wordt ontzegd en dat zij niet als bewijsmiddel in gerechtelijke procedures kan worden geweigerd, louter op grond van het feit dat zij niet met een veilig middel is aangemaakt of niet is gebaseerd op een gekwalificeerd certificaat.5

Het gaat dus niet zozeer om de handtekening, maar of de methode van authentificatie voldoende betrouwbaar is voor het doel van het document. Er zijn verschillende methoden om een elektronische handtekening te zetten. Bijvoorbeeld door gebruik te maken van een (company)card in combinatie van een pincode.
Doordat alleen de eigenaar over het ‘veilig’ middel met pincode kan beschikken, wordt de methode van authentificatie geborgd en heb je geen externe partijen nodig met certificaten.

Het bepalen van voldoende betrouwbaarheid is ook een inhoudelijke beoordeling die van context af zal hangen. Er is geen Nederlandse jurisprudentie bekend dat enige vorm van een elektronische handtekening niet zou voldoen. Uit de juridische praktijk blijkt dat het maar sporadisch voorkomt dat überhaupt een handtekening zelf onderwerp van een juridisch geschil is. Veeleer gaat het om de inhoud van het document.6
Aangezien de bewijskracht niet alleen uit de ondertekening volgt, maar met name ook uit de context, zijn auditgegevens/log files (hierna genoemd audit trail) van groot belang. Audit trail laat zien wie wanneer op welk moment wat heeft gedaan.

Conclusie: Met meer geavanceerde technieken als bijvoorbeeld een token en een company card wordt de juridische waardering hoger. Het is niet noodzakelijk om dure certificaten aan te schaffen. Deze certificaten zijn overigens slechts drie jaar geldig. Daarna moeten de certificaten opnieuw worden aangevraagd, waardoor het overgaan van natte krabbel naar digital sign niet financieel aantrekkelijk is. Zeker niet wanneer de tekenbevoegdheid in de organisatie laag ligt.

Digitale duurzaamheid
Volgens het Nationaal Archief van Australië is het onwaarschijnlijk dat digitaal ondertekende documenten na hun neerlegging nog met elektronische handtekening gevalideerd kunnen worden.7
Originele digitale archiefdocumenten zijn gedoemd om te verdwijnen als gevolg van technologische veroudering en omdat wijzigingen, maar ook verlies, onontkoombaar zijn. Wat wel gearchiveerd kan worden zijn de mogelijkheden tot reconstructie van archiefdocumenten ‘as close to the original as possible’.8
De archiefregeling 2009 art. 24 schrijft voor dat de audit trail herleid moeten kunnen worden, zodat je precies weet wie wanneer een handtekening heeft geplaatst. De digitale handtekening zélf hoeft ingevolge de Archiefwet 1995 niet te worden bewaard.

Een van de doelen van de elektronische handtekening is vaak om te kunnen vaststellen van wie een document afkomstig is. Het gaat dan om authentificatie van de opsteller(s) of afzender(s) van het document. Na controle en validatie van de handtekening verliest deze zijn rol en hoeft ten behoeve van archivering niet te worden bewaard.

Conclusie: Met meer geavanceerde technieken en encryptie (versleuteling) wordt het bewaren van elektronische handtekeningen ingewikkelder en is validatie, authentificatie, integriteit en onweerlegbaarheid moeilijker. Wanneer de audit trail bewaard wordt (in bijvoorbeeld XML-formaat) en gekoppeld wordt aan het digitale document (in PDF/A-format middels een XML-wrapper), dan kunnen we voldoen aan de archiefregeling 2009, artikel 24.

Hoe en wat in praktijk
Het plaatsen van een elektronische handtekening kan op verschillende manieren. Er kan gebruik gemaakt worden van:

  • Company card
  • USB
  • Token
  • Wachtwoord op pc (evt. beheerd door third party)
  • Mobiel (sim-id)

Eventueel in combinatie met een pincode, zodat alleen geautoriseerde personen brieven kunnen ondertekenen op basis van de mandaatregeling. Ook combinaties zijn mogelijk, zowel een company card en mobiel, waardoor het ‘vergeten’ van pas of mobiel niet ernstig hoeft te zijn.
Bij het plaatsen van een elektronische handtekening kan gekozen worden voor een ‘plaatje’ van de natte krabbel. Immers mensen zijn hieraan gewend. Ook is het mogelijk om, zoals bij de belastingdienst of bij de provincie Zuid-Holland, te kiezen voor een soortgelijke tekst als: Deze brief is digitaal vastgesteld, hierdoor staat er geen fysieke handtekening in de brief. (Zie hieronder.)
Qua beheersaspecten is de ‘tekst’ aan te raden.

Od september 2010, blz. 23 

Voordelen elektronische handtekening
Invoeren van de elektronische handtekening en daarmee van een efficiëntere werkwijze en digitale ondersteuning zal het werk rondom de voorbereiding en verwerking van uitgaande post inhoudelijk anders maken. Dit zal tijd en daardoor geld opleveren in diverse DIV-processen. Hieronder staan op een rijtje de voordelen die er te behalen zijn met het elektronisch ondertekenen van uitgaande en interne documenten:

  • afname fysiek archief en afname papierverbruik,
  • ambtenaar plaatst in wezen zelf zijn brief in het DMS (zelf registreren en archiveren door ambtenaar wordt mogelijk),
  • digitaal communiceren,
  • afname frankeerkosten,
  • plaatsonafhankelijk ondertekenen,
  • afname werkzaamheden bode, scanner, DIV’er,
  • sneller administratief proces.

In de toekomst zal gebruik gemaakt worden van biometrische identificatiemethoden, maar laten we eerst maar zorgen dat we overgaan naar elektronisch ondertekenen.

bertrandvandenboogert@hotmail.com

Bertrand van den Boogert werkt bij waterschap Hollandse Delta


1 Dondorp, F.P.A., Decos, Elektronische Handtekening, 2008.
2 Batenburg, Th. Dick, Wat voegt de elektronische handtekening toe aan een DMS,
3 Uitspraak van Raad van State, 200905477/1/M1 d.d. 07-04-2010.
4 Weel, Mariska, ‘Is de digitale handtekening rechtsgeldig?’, In: Od jaargang 62, maart 2008, pag. 3.
5 Europese Richtlijn 1999/93/EG. Artikel 5 lid 2.
6 Kleve, Pieter, Juridische iconen in het informatietijdperk, 2004, pag. 241.
7 National Archives Australia, Recordkeeping and online security process: guidelines for managing commonwealth records created for received using authentication or encryption, Canberra, 2004.
8 Boudrez, F., Digitale handtekeningen en archiefdocumenten, Antwerpen, 2005, pag. 2.