Als we het over elektronische handtekeningen hebben, worden de diverse soorten die we in verschillende geografische gebieden zien, vaak niet met de nodige precisie onderscheiden. Veel consumenten, maar ook bedrijven, weten vaak niet hoe de verschillende handtekeningen werken en wat hun bewijskracht is.
Er is bijna geen bedrijf dat niet bezig is met het digitaliseren van zijn bedrijfsprocessen of diensten en veel processen vereisen een bevestiging door middel van een handtekening. De financiële en verzekeringssector zijn hiervan niet uitgesloten. Daarom kunnen we niet om de onderwerpen online identificatie en elektronische handtekeningen heen als het gaat om consequente digitalisering. Er zijn drie soorten elektronische handtekeningen.
- De eenvoudige elektronische handtekening of “Simple Electronic Signature (SES)”,
- de geavanceerde elektronische handtekening of “Advanced Electronic Signature (AES)”, of
- de gekwalificeerde elektronische handtekening of “Qualified Electronic Signature” (QES).
Wat is het verschil tussen de bewijskracht van deze elektronische handtekeningen en een papieren handtekening? En hoe gebruik je ze?
We ondertekenen allemaal (vaak onbewust) elektronisch
Een eenvoudige elektronische handtekening wordt in de wet gedefinieerd als “gegevens in elektronische vorm die logisch aan andere gegevens zijn gekoppeld en worden gebruikt voor authenticatie”. Er zijn geen verdere vereisten voor dit type handtekening, dus elke denkbare vorm is mogelijk, zoals de afsluiting van een email: “Hoogachtend – Hans de Vries” Deze formaliteit is echter niet geheel zonder risico: Tegenwoordig nemen cybercriminelen voor ons bekende identiteiten aan en daarom moet worden gecontroleerd of Hans dit bericht echt heeft verzonden.
De iets geavanceerdere oplossing is de variant met een gescande afbeelding – of het nu een handtekening is of een handtekening met logo en platte tekst. Maar deze kan natuurlijk ook rechtstreeks worden gekopieerd. Als je de statistieken mag geloven heeft iedereen wel eens te maken gehad met valse e-mails waarin criminelen zich voordoen als vrienden of leden van gerenommeerde bedrijven. We gebruiken dergelijke handtekeningen nog steeds in zakelijke context omdat de transacties of contracten nog op een andere manier worden ondersteund of omdat de consumentenbescherming strengere vormen verbiedt.
Authenticiteit
Authenticiteit (d.w.z. vaststellen wie er echt heeft ondertekend) en integriteit (de onveranderlijkheid van een document) zijn belangrijke toevoegingen aan een handtekening in de elektronische context. Dit is wat de geavanceerde elektronische handtekening probeert op te lossen. Deze wordt in veel wetten wereldwijd als volgt gedefinieerd:
- Uitsluitend toegewezen aan de houder van een authenticatiesleutel.
- Identificatie van de houder moet mogelijk zijn.
- Aangemaakt met behulp van gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar met een hoge mate van vertrouwen onder zijn uitsluitende controle kan gebruiken.
- Zodanig aan gegevens gekoppeld dat latere wijzigingen kunnen worden opgespoord.
Een ondertekening of een gescande afbeelding is hiervoor niet langer voldoende. Meestal worden certificaten en zogenaamde hash-algoritmen gebruikt om het laatste punt, de integriteit, te garanderen. Welke kwaliteit of bescherming tegen misbruik deze moeten hebben, wordt echter niet vermeld. Dit wordt overgelaten aan de leverancier van een geavanceerde elektronische handtekening. Is de identificatie nu alleen een ‘e-mail’ identificatie of moet er meer worden gecontroleerd zoals een identiteitsdocument?
Het ‘hoge niveau van vertrouwen’ laat ook veel ruimte over: is een één-factor authenticatie voldoende? Om het nog erger te maken, als bijvoorbeeld een wachtwoord wordt gestolen, kan een handtekeningcertificaat niet worden ingetrokken. Er zijn geen wettelijke verplichtingen voor geavanceerde elektronische handtekeningen dus identiteitsdiefstal ligt op de loer.
Door de rechtbank geaccepteerd betekent niet juridisch veilig
Sinds 1999 is er een overeenkomst in Europa en via de ‘UNCITRAL Model Law on Electronic Signatures’ ook wereldwijd, dat elektronische handtekeningen moeten worden getest als bewijs in de rechtbank. Dit wordt in reclame vaak ‘wettelijk geaccepteerde handtekening’ of ‘wettelijk geregelde handtekening’ genoemd. Toch zegt deze regeling, die ook werd herhaald in de handtekeningenwetgeving van eIDAS of in de Zwitserse ZertES, niets anders dan dat een elektronische handtekening niet mag worden verworpen als bewijs in de rechtbank omdat ze elektronisch is. Want zodra een SES of AES op de tafel van de rechter ligt, begint hier de vrije beoordeling van bewijs waarbij de rechter naar verschillende indirecte bewijzen kijkt, zoals of er een getuige is die kan bewijzen dat bepaalde zaken zijn afgesproken.
Vertrouwensdiensten die geavanceerde handtekeningen uitgeven hoeven niet gekwalificeerd te zijn en zijn niet onderworpen aan de voorafgaande controle van een toezichthoudende autoriteit. Dit is wel nodig bij het uitgeven van gekwalificeerde handtekeningen (QES). Alleen wanneer duidelijk wordt dat een geavanceerde handtekening onjuist of vervalst is, kan een toezichthoudende autoriteit contact opnemen met de aanbieder van de vertrouwensdienst. De rechter zal dan om een deskundig oordeel vragen om samen met de vertrouwensdienst te controleren hoe ‘bewijsvast’ de uitgegeven handtekening is. Als de kans op vervalsing groot is, is het bewijs – vergelijkbaar met de eenvoudige handtekening – afhankelijk van begeleidende omstandigheden zoals getuigen en begeleidend gedrag etc.
Toch is de geavanceerde handtekening op zich niet verkeerd en vooral gekwalificeerde, gevestigde vertrouwensdiensten geven geavanceerde handtekeningen uit. Deze kunnen veel van de genoemde nadelen wegnemen: Het is nuttig als de gekwalificeerde vertrouwensdienst vrijwillig een Europese standaard voor geavanceerde handtekeningen van de standaardisatieorganisatie ETSI volgt, en bij voorkeur de hoogste standaard voor geavanceerde handtekeningen, de zogenaamde “NCP+” standaard. Deze wordt regelmatig geaudit en controleert de betrouwbaarheid van de identificatie, zorgt voor een adequate authenticatieprocedure en maakt wereldwijde uniciteit van het handtekeningcertificaat mogelijk.
Deze vertrouwensdiensten moeten hun geavanceerde elektronische handtekening officieel registreren voor de Trust List van de Europese Commissie. Als ze vervolgens de strenge standaard van Adobe (AATL) volgen, die bijvoorbeeld een face2face-achtige identificatie vereist, wordt de geavanceerde elektronische handtekening beloond met een groen vinkje in Adobe Reader. Elke rechter kan dan vertrouwen op het goedkeuringszegel van de auditor voor de geavanceerde elektronische handtekening volgens NCP+.
Alleen QES bereikt het hoogste niveau van rechtszekerheid en gemoedsrust
De ideale oplossing voor alle elektronische handtekeningen is de gekwalificeerde elektronische handtekening. Deze is zeer nauwkeurig wettelijk geregeld op basis van de voorschriften van de ETSI-organisatie. In veel rechtssystemen is de bewijslast omgekeerd: degene die beweert dat de handtekening vervalst is, moet dat ook bewijzen. Niet voor niets wordt de gekwalificeerde handtekening in de meeste rechtssystemen gelijkgesteld aan de handgeschreven handtekening. De gekwalificeerde handtekening biedt veruit de hoogste authenticiteits- en integriteitsbescherming – een steeds belangrijker aspect in een tijd waarin cybercriminaliteit aan de orde van de dag is.
Waarom wordt QES toch nog maar zelden gebruikt? Afgezien van de iets hogere kosten, is het voor een ondertekenaar geen gemakkelijke procedure vooral door de moeite die de identificatie met zich meebrengt. Vroeger ging het gebruik bijvoorbeeld altijd gepaard met een bezoek aan een postkantoor. Toch wordt het beter met procedures zoals het gebruik van de eID van de ID-kaart, een identificatie met je bankrekening of met een AI-ondersteunde zelfidentificatie door middel van een camera van een mobiele telefoon.
De sterke bewijskracht die ermee gepaard gaat, zou deze kleine extra inspanning waard moeten zijn. Daarnaast kunnen door middel van QES processen worden afgehandeld zonder analoge handelingen, neemt de productiviteit toe, daalt het afhaakpercentage en daarbij zet QES ook nieuwe standaarden op het gebied van cyberveiligheid.
Nik Fuchs, CEO van Swisscom Trust Services
