Gekwalificeerde handtekening duur en vaak niet nodig

Dat gaat op dit moment ook op voor digitale handtekeningen (zie kader). In theorie is de digitale handtekening op basis van een gekwalificeerd certificaat (hierna: de ‘gekwalificeerde handtekening’) de beste oplossing. Dit komt onder meer door het grote aantal waarborgen dat verbonden is aan dit type handtekening. De schaduwzijde van deze waarborgen is dat dergelijke handtekeningen erg duur zijn. In sommige gevallen worden zelfs enkele honderden euro’s in rekening gebracht. Daarmee is wat in theorie de beste oplossing is, in de praktijk niet meer dan een duur alternatief, vergeleken met de veel minder dure technisch geavanceerde digitale handtekening (hierna: de ‘geavanceerde handtekening’). Maar wanneer moet welke handtekening worden gebruikt? Beoordeling Voor het antwoord op die vraag biedt de wet, waarin de digitale handtekeningen worden geregeld en die op 21 mei 2003 in werking trad, een goed beoordelingskader. Een bepaling in die wet zegt dat het van een aantal punten afhangt of een elektronische handtekening dezelfde geldigheid heeft als een geschreven handtekening. Allereerst hangt het af van de methode voor authentificatie. Die zal waarschijnlijk voldoende betrouwbaar zijn als de elektronische handtekening aan een zestal eisen voldoet (zie kader). Maar, als er geen sprake is van een gekwalificeerd certificaat of gecertificeerde dienstverlener of van een veilig middel, dan is een digitale handtekening niet per se onvoldoende betrouwbaar. Het hangt dan af van het doel waarvoor de elektronisch te verzenden gegevens worden gebruikt en van alle overige omstandigheden van het geval, aldus de wettelijke bepaling. Deze bepaling is belangrijk; zij zegt dat een elektronische handtekening niet steeds ongeldig kan worden verklaard, alleen maar omdat aan een of meer van de zes voorwaarden niet is voldaan en er dus geen sprake is van een gekwalificeerde handtekening. Met ander woorden: de wet rammelt aan de poorten van iedereen die juist op basis van diezelfde wet probeert te beweren, dat alleen een gekwalificeerde handtekening zorgt voor betrouwbaarheid en zekerheid. Voorbeelden daarvan zijn de overheid en Diginotar. Welke omstandigheden spelen dan een rol om een handtekening, en dan niet een gekwalificeerde, als voldoende betrouwbaar aan te merken? Allereerst is dat de contractvrijheid van de partijen. De toelichting bij de wet maakt duidelijk dat het partijen vrij staat om onderling overeen te komen of zij elektronisch ondertekende gegevens zullen aanvaarden en, zo ja, onder welke voorwaarden. Zo kunnen partijen in contract vastleggen dat zij gebruikmaken van de minder dure geavanceerde handtekening. Uiteraard moet dit wel toegestaan zijn in het geldende nationale recht, zeker als de partijen uit verschillende lidstaten komen. De afspraak tussen partijen kan dus meebrengen dat, hoewel geen gebruik is gemaakt van een gekwalificeerde handtekening, er toch sprake is van voldoende betrouwbaarheid en veiligheid en dat de gebruikte handtekening dus dezelfde geldigheid heeft als een geschreven handtekening. Een gekwalificeerde handtekening is dan zeker niet nodig. Op de tweede plaats: de aard van de te verzenden gegevens. Heel vaak zal men betogen dat, vanwege de aard van de gegevens, alleen een gekwalificeerde handtekening de betrouwbaarheid voldoende waarborgt. Maar een gekwalificeerde handtekening met een sleutellengte van 1024 bits zou wel eens veel minder bescherming kunnen bieden dan een - al bestaande - geavanceerde handtekening met een sleutellengte van circa 64.000 bits. Daarnaast is het zo dat de zwakste schakel de kracht van de ketting bepaalt. En als de organisatorische, juridische en overige technische aspecten binnen de organisatie van de gebruiker niet goed zijn geregeld, dan kan de gekwalificeerde handtekening met nog zoveel waarborgen zijn omgeven, zij is dan zeker geen waarborg voor voldoende betrouwbaarheid. Met een gekwalificeerde handtekening koopt men geen betrouwbaarheid, daar is meer voor nodig. Verder speelt het doel waarvoor de elektronische gegevens worden verzonden een rol. Stel dat het doel is het verzorgen van digitale facturatie, dan volstaat een geavanceerde handtekening, aldus de minister van Financiën in een daartoe strekkend besluit. Maar gaat het om het afgeven van beschikkingen door een gemeente aan een burger (bijvoorbeeld een visvergunning), dan wordt het een ander verhaal. Het afgeven van een beschikking heeft juridische gevolgen voor degene aan wie de beschikking is gericht. Voor die gevallen is een gekwalificeerde handtekening noodzakelijk, aldus de wetgever. Het uitgangspunt zou voorlopig moeten zijn dat wanneer een wetgever een gekwalificeerde handtekening niet verplicht heeft gesteld, een geavanceerde handtekening volstaat. Het aantal keren dat de wetgever dit heeft vastgelegd is tot nu toe op de vingers van één hand te tellen. Vangnet Tot slot is er het vangnet van ‘de omstandigheden van het geval’. Zo kan het zijn dat het netwerk waarover wordt gecommuniceerd, al zo veilig is dat een gekwalificeerde handtekening niet nodig is. Denk daarbij aan het C2000-netwerk van de hulpdiensten in Nederland. Een ander voorbeeld is het gebruik van een extreem lange sleutellengte bij het zetten van een digitale handtekening, of een zware vorm van EDI. De duur en de aard van de communicatie kan ook een dergelijke omstandigheid vormen. Wat als er maar één keer een berichtje wordt verzonden? Moet er dan toch een gekwalificeerde handtekening aan te pas komen? Het lijkt mij niet. Er bestaat dus een algemene norm in de wet, die bepaalt dat een elektronische handtekening gelijk staat aan een handgeschreven handtekening, als die elektronische handtekening, gelet op de punten hierboven, voldoende betrouwbaar dezelfde functies kan vervullen als een handgeschreven handtekening. Deze norm is heel algemeen waardoor in een juridisch conflict een rechter of arbiter veel flexibiliteit en vrijheid biedt. En dat is precies wat nodig is om conflicten te beoordelen waarin communicatie, voorzien van een elektronische handtekening, een rol speelt. De rechter of arbiter gaat daarbij overigens uit van het ‘open bewijsstelsel’. Dit betekent dat bewijs kan worden geleverd door alle middelen die zich daarvoor lenen. De waardering van de diverse bewijsmiddelen is vervolgens overgelaten aan de rechter. Een rechter kan dan tot de slotsom komen dat zelfs een gekwalificeerde handtekening onvoldoende bewijs biedt. Niet vanwege de handtekening zelf, maar vanwege het proces waarin de handtekening is gebruikt. Ondanks de nadruk op de gekwalificeerde handtekening, is het verstandig om op basis van bovenstaande punten na te gaan welk type handtekening volstaat voor de bescherming van de behoeften en belangen. Deze uitgangspunten zijn dezelfde als die de rechter zal gebruiken in het geval van een conflict. In de meeste gevallen zal een geavanceerde digitale handtekening volstaan en zal een gekwalificeerde handtekening niet nodig zijn. Handtekeningen volgens de wet Centraal in de wet staat een bepaling die de voorwaarden beschrijft wanneer een elektronische handtekening net zo betrouwbaar is als een normale handtekening. De wet maakt onderscheid tussen ‘gewone’ elektronische en geavanceerde elektronische handtekeningen. Een ingescande handtekening is een voorbeeld van een gewone elektronische handtekening. De digitale handtekening is een van de meest gangbare vormen van een geavanceerde elektronische handtekening. Bij digitale handtekeningen spreken we over een standaard digitale handtekening, een technisch geavanceerde digitale handtekening (de geavanceerde handtekening) en een digitale handtekening gebaseerd op een gekwalificeerd certificaat (de gekwalificeerde handtekening). Bij alle typen digitale handtekeningen wordt gebruikgemaakt van twee sleutels, een publieke en een private sleutel, die onlosmakelijk met elkaar verbonden zijn en die uniek zijn voor een (rechts)persoon. Welke publieke sleutel bij welke (rechts)persoon hoort, wordt door degene die de sleutel aanmaakt, vastgelegd in een digitaal certificaat. De standaard digitale handtekening vormt de basis en voldoet aan de voorwaarde dat er gebruik wordt gemaakt van een publieke en private sleutel. De geavanceerde en gekwalificeerde handtekening moeten aan meer voorwaarden voldoen. Een gekwalificeerde handtekening moet aan zes voorwaarden voldoen, die in de wet staan vermeld: • -zij is op unieke wijze aan de ondertekenaar verbonden; • -zij maakt het mogelijk de ondertekenaar te identificeren; • zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; • -zij is zodanig verbonden aan het bestand waarop het betrekking heeft, dat elke wijziging achteraf kan worden opgespoord; • -zij is gebaseerd op een gekwalificeerd certificaat; • -zij is gegenereerd door een veilig middel. De laatste twee voorwaarden vormen de basis voor twee bijlagen waarin nog eens dertig extra waarborgen zijn opgenomen. De geavanceerde handtekening hoeft ‘alleen maar’ te voldoen aan de eerste vier voorwaarden. Mr. F.W. de Jong (jong@silver-back.nl) is directeur van Silverback, dat zich onder meer bezighoudt met digitale handtekeningen, digitaal factureren en juridische diensten op het gebied van beveiliging en privacy.