Wet- en regelgeving voor elektronische toegang en handtekeningen in de Europese Unie (eIDAS)
Dit artikel is bedoeld als een verdieping in de wet- en regelgeving op het gebied van online toegang en digitale handtekeningen binnen de Europese Unie.
In de volksmond wordt de term ‘digitaal’ gebruikt, terwijl in de wetteksten voornamelijk ‘elektronisch’ wordt gebruikt. Voor het gemak kunnen deze twee termen als synoniemen van elkaar gezien worden tijdens het lezen van dit artikel.
1. Totstandkoming wet- en regelgeving
1.1 Wet elektronische handtekeningen
In 2003 werd in Nederland de Wet elektronische handtekeningen van kracht, een belangrijke juridische ontwikkeling in een steeds digitaler wordende wereld. Deze wet erkende elektronische handtekeningen als rechtsgeldig en gelijkwaardig aan handgeschreven handtekeningen bij het aangaan van juridische overeenkomsten en transacties.
De wet bood een kader voor het gebruik van elektronische handtekeningen in zowel de publieke als de private sector. Ze maakte onderscheid tussen verschillende niveaus van elektronische handtekeningen op basis van hun betrouwbaarheid en veiligheid. Dit zorgde ervoor, dat niet alle digitale handtekeningen gelijk werden behandeld, maar dat alleen diegene met een bepaalde mate van betrouwbaarheid juridische erkenning genoten.
De wet benadrukte ook de noodzaak van veiligheid en betrouwbaarheid bij het genereren van elektronische handtekeningen. Technologieën die werden gebruikt om deze handtekeningen te creëren, moesten bepaalde normen en beveiligingsmaatregelen volgen om fraude en vervalsing te voorkomen.
Met deze wet hoefden mensen niet langer fysiek aanwezig te zijn om documenten te ondertekenen. Ze konden elektronische handtekeningen gebruiken om juridische verplichtingen vast te leggen, variërend van contracten en overeenkomsten tot andere belangrijke documenten. Dit betekende een aanzienlijke tijdsbesparing en efficiëntie, aangezien het proces van documentondertekening aanzienlijk werd vereenvoudigd.
1.1 Ontstaan van eIDAS
Met het toenemen van het gebruik van elektronische handtekeningen begon een behoefte te ontstaan aan erkenning van het rechtsgevolg van de verschillende niveau’s tussen Europese lidstaten. Tot dan toe was de wetgeving per lidstaat uniek.
Op 23 juli 2014 werd Verordening (EU) No 910/2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (eIDAS), door het Europese Parlement en de Europese raad aangenomen.
Het doel van de eIDAS verordening wordt als volgt omschreven:
“..het vertrouwen in elektronische transacties in de interne markt te vergroten door te voorzien in een gemeenschappelijke grondslag voor veilige elektronische interactie tussen burgers, bedrijven en overheden, en bijgevolg ook de doeltreffendheid van publieke en private onlinediensten, e-business en elektronische handel in de Unie te verhogen.”
Heel kort samengevat bepaalt de eIDAS verordening voor alle EU lidstaten het gebruik, de acceptatie en de eisen voor elektronische identificatie, handtekeningen, verzegelingen en tijdstempels.
De verordening is vanaf 1 juli 2016 van toepassing op vertrouwensdiensten inclusief het toezicht daarop en vanaf 18 september 2018 op de verplichte erkenning van elektronische identificatiemiddelen uit andere lidstaten.
1.2 Aanpassing en toekomst van eIDAS
Begin 2021 heeft de Europese Commissie de Verordening geëvalueerd en kwam tot de volgende conclusie:
“Wat in de markt opkomt is een nieuwe omgeving waarin de focus is verschoven van het aanbieden en gebruiken van rigide digitale identiteiten naar het aanbieden en vertrouwen op specifieke kenmerken die verband houden met die identiteiten. Er is een toenemende vraag naar elektronische identiteitsoplossingen, die deze mogelijkheden kunnen bieden en die efficiëntiewinsten en een hoog niveau van vertrouwen in de hele EU opleveren, zowel in de particuliere als de publieke sector, waarbij wordt vertrouwd op de noodzaak om gebruikers te identificeren en te authenticeren met een hoog niveau van zekerheid”.
“Uit de evaluatie van de eIDAS-verordening is gebleken dat de huidige verordening niet tegemoetkomt aan deze nieuwe markteisen, vooral vanwege de inherente beperkingen ervan voor de publieke sector, de beperkte mogelijkheden en de complexiteit voor particuliere onlineaanbieders om verbinding te maken met het systeem, de ontoereikende beschikbaarheid van aangemelde eID-oplossingen in alle lidstaten en het gebrek aan flexibiliteit om een verscheidenheid aan gebruiksscenario’s te ondersteunen..”.
Daarom heeft de Europese Commissie op 3 juni 2021 een voorstel gepubliceerd om de verordening aan te passen met als doel:
“In 2030 moeten alle belangrijke overheidsdiensten online beschikbaar zijn, moeten alle burgers toegang hebben tot hun digitale medische dossiers en zou 80% van de burgers een digitale identiteitskaart moeten gebruiken”;
“Het vernieuwde Europese raamwerk voor digitale identiteit zal iedereen de middelen bieden om te controleren wie toegang heeft tot zijn digitale identiteit en tot welke gegevens precies”;
“Met het voorstel wil de Commissie een verschuiving bewerkstelligen van het vertrouwen op alleen nationale digitale identiteitsoplossingen naar het aanbieden van elektronische attesten van attributen die geldig zijn op Europees niveau”.
Dit moet bereikt gaan worden door de komst van een Europese Digitale Identiteit (EID) die de burger zelf tot zijn beschikking heeft in een Wallet App op een mobiele telefoon.
Op 16 maart 2023 heeft het Europese Parlement het voorstel tot wijziging definitief aangenomen. Na een overgangsperiode van 12/18 maanden moet de aanpassing in alle EU lidstaten in de wetgeving zijn opgenomen.
2. Elektronische identificatie
2.1 Inloggegevens
We gebruiken dagelijks verschillende inloggegevens zonder er verder al te veel over na te denken. We hebben accounts bij webshops, e-maildiensten, social media platformen, werk en school. Inloggegevens kennen verschillende verschijningsvormen. Bijvoorbeeld iets wat je weet (zoals een wachtwoord of pincode), iets wat je hebt (zoals een smartphone of een token), of iets wat je bent (zoals biometrische gegevens zoals vingerafdrukken of gezichtsherkenning). Dit zijn allemaal inloggegevens die gecombineerd een inlogmethode vormen, die wordt gebruikt als toegangsbeveiliging, zodat alleen jij bij je account kunt.
In veel gevallen is het niet noodzakelijk om je identiteit te bewijzen, om gebruik te kunnen maken van een online omgeving. Je mag zelf een gebruikersnaam en wachtwoord verzinnen en kan soms zelfs een andere naam gebruiken.
Zodra er juridische of financiële consequenties aan het gebruik van een online omgeving verbonden zijn, moeten er meer persoonsgegevens gedeeld worden én moeten deze soms eerst gecontroleerd worden. De dienst of instantie waar je zaken mee wilt doen, wil eerst zeker weten met wie ze te maken hebben. Dit proces heet identificatie.
Identificatie is nodig om een inloggegeven te verkrijgen, die gekoppeld is aan je persoonlijke identiteit. De methode die gebruikt wordt, bepaalt de betrouwbaarheid;
Authenticatie is het gebruik van een inloggegeven om in te loggen. De methode die gebruikt wordt, bepaalt de veiligheid.
2.2 Inlogmiddelen
Een inlogmiddel is een dienstverlener, die verantwoordelijk is voor het identificeren van gebruikers en het verstrekken van digitale identiteitsgegevens aan andere services of applicaties. Het stelt gebruikers in staat om met één set inloggegevens toegang te krijgen tot meerdere online omgevingen zonder bij elke omgeving afzonderlijk in te loggen.
Een inlogmiddel vormt als het ware een centrale hub voor het beheren van inloggegevens en het autoriseren van toegang tot verschillende diensten. Hiermee vormt een inlogmiddel een digitale identiteit, die je op meerdere plekken kunt gebruiken, afhankelijk van welke persoonlijke gegevens nodig zijn.
Er zijn veel verschillende soorten inlogmiddelen, maar ze kunnen functioneel grofweg opgedeeld worden in twee categorieën.
2.2.1 Private inlogmiddelen
Private inlogmiddelen zijn geschikt om in te loggen bij private diensten, zoals webshops, werk- en school accounts, banken en PKIsigning. Voor accounts en gegevens waarbij een lage betrouwbaarheid van de identiteit van een persoon voldoende is, kun je denken aan Microsoft, Google en Meta. Voor hogere niveaus bestaan iDIN (inloggen met de gegevens van je bank), itsme (identiteitsbewijs controle) en yivi (DigiD). Deze laatste is uniek, omdat yivi het mogelijk maakt om via DigiD verkregen identiteitsgegevens via een omweg te gebruiken voor private diensten, zoals PKIsigning.
2.2.2 Publieke inlogmiddelen
Publieke inlogmiddelen zijn geschikt om in te loggen bij publieke instellingen, zoals de gemeente, Belastingdienst en andere (semi) publieke diensten. In Nederland is dit DigiD voor burgers en eHerkenning voor bedrijven. Publieke inlogmiddelen die ook in andere Europese lidstaten worden erkend, worden door hun lokale overheden aangeboden als genotificeerd elektronisch identiteitsschema. In Nederland is dit DigiD.
In sommige EU lidstaten zijn deze genotificeerde inlogmiddelen ook geschikt als inlogmiddel voor de private sector. In Nederland is dat helaas niet zo, omdat DigiD gebruik maakt van het burgerservicenummer als unieke sleutel en dit persoonsgegeven niet door organisaties zonder een publieke taak verwerkt mag worden.
2.2.3 Toekomst
De aanpassing van de eIDAS verordening, zoals beschreven in hoofdstuk 1.2, moet er in de toekomst voor gaan zorgen, dat één digitale identiteit in een wallet-app naar keuze, in principe overal gebruikt kan worden. De Nederlandse overheid is naar aanleiding van de verplichtstelling bezig met de ontwikkeling van de NL publieke voorbeeldwallet, die naar verwachting eind 2023 of begin 2024 beschikbaar moet zijn. Deze zal dan nog zeer beperkte functies hebben, maar wordt in de loop van 2024 doorontwikkeld. Daarnaast lopen er verschillende trajecten met publiek/private samenwerkingen voor andere wallet apps.
2.3 Betrouwbaarheidsniveaus
De betrouwbaarheid van een inlogmiddel wordt bepaald door de identificatiemethode. eIDAS kent drie betrouwbaarheidsniveau’s:
Laag
Substantieel
Hoog
De dienst waar je wilt inloggen bepaalt, welk betrouwbaarheidsniveau wordt geaccepteerd. Vaak heb je geen keuze en wordt er om een specifiek inlogmiddel gevraagd, bijvoorbeeld DigiD Substantieel of eHerkenning 3. Het kan dus voorkomen, dat je moet inloggen met een middel met een hoger betrouwbaarheidsniveau dan je tot je beschikking hebt. Andersom kan het ook zijn dat je over een inlogmiddel beschikt met een hoger betrouwbaarheidsniveau dan waar om gevraagd wordt, maar deze niet kunt gebruiken. Dit moeten de wallet-apps gaan oplossen.
eIDAS Betrouwbaarheidsniveau | Identificatiemethode | Authenticatiemethode | Publieke inlogmiddelen in NL | Private inlogmiddelen in NL |
---|---|---|---|---|
Laag | Zelf inschrijving, verificatie persoonsgegevens (e-mailadres, telefoonnummer, IP adres) | Gebruikersnaam en wachtwoord, Multi-factor authenticatie (SMS, App, OTP) | DigiD basis, DigiD 2-factor, eHerkenning 2, eHerkenning 2+ | Microsoft, Google, Meta |
Substantieel | NFC identiteitsbewijs controle op afstand (identiteitskaart of paspoort) | Multi-factor authenticatie (SMS, App, OTP) | DigiD Substantieel, eHerkenning 3 | iDIN, itsme, yivi (IRMA), DataKeeper, Ockto, Schluss, JanusID en anderen |
Hoog | Fysieke identificatie, NFC identiteitsbewijs controle op afstand (identiteitskaart of paspoort) + biometrische identificatie op afstand | PKI gebaseerde multi-factor authenticatie (SIM, Token, Applet) | DigiD Hoog, eHerkenning 4, NL publieke voorbeeldwallet | NL publieke voorbeeldwallet, yivi (IRMA) |
3. Elektronische handtekeningen
Vertrouwensdienstverleners
Vertrouwensdienstverleners zijn gecertificeerde organisaties die gespecialiseerde diensten aanbieden om het vertrouwen en de veiligheid in digitale transacties en communicatie te waarborgen. Ze worden ook wel aangeduid als Trusted Service Provider (TSP) of Qualified Trusted Service Provider (QTSP), afhankelijk van de diensten die ze aanbieden en hoe deze gecertificeerd zijn.
Een van deze diensten is het verstrekken van middelen. Voorbeelden van middelen zijn inlogmiddelen (eHerkenning), encryptiemiddelen (e-mailversleuteling) en ondertekenmiddelen voor het gebruik van elektronische handtekeningen.
Afhankelijk van het benodigde betrouwbaarheids- of zekerheidsniveau identificeert de (Q)TSP’er een natuurlijk persoon of juridische entiteit conform de eisen aan dat niveau om het middel uit te kunnen geven. Bij gebruik van het middel garandeert de QTSP’er de geldigheid van het middel en de juistheid van de identiteit van de gebruiker.
3.1 eIDAS niveaus
Het rechtsgevolg van een elektronische handtekening wordt, voor een groot deel maar niet uitsluitend, bepaald door het niveau van de elektronische handtekening die wordt gebruikt. eIDAS kent drie niveaus van elektronische handtekeningen:
Simpele (of normale) elektronische handtekening (SeS)
Geavanceerde elektronische handtekening (AeS)
Gekwalificeerde elektronische handtekening (QeS)
De instantie of persoon die om een handtekening vraagt, moet bepalen welk niveau gebruikt moet worden. Dit is afhankelijk van het doel en de omstandigheden. In sommige gevallen bestaat er specifieke regelgeving die een minimaal niveau vereist.
In de praktijk werkt dit vaak anders. Als er om een elektronische handtekening wordt gevraagd, vertrouwen partijen op het niveau, dat door een ondertekenoplossing wordt aangeboden. In de meeste gevallen is dat een SeS of AeS, omdat een ondertekenaar voor deze niveau’s niet over een persoonlijk gekwalificeerd certificaat voor een QeS hoeft te beschikken. Alleen voor bepaalde beroepsgroepen en processen is de QeS inmiddels gemeengoed geworden.
Elektronische handtekening | eIDAS eis | Ondertekenmethode | Validatiemethode | Rechtsgevolg |
---|---|---|---|---|
Simpel (SeS) | Gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen. | Naam ondertekenaar, afbeelding of scan van handgeschreven handtekening | Naam van de ondertekenaar in het document en/of het valideren van de handgeschreven handtekening door middel van een geldig identiteitsbewijs | eIDAS artikel 25: “Het rechtsgevolg van een elektronische handtekening en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet.” Burgerlijk Wetboek 3:15a: “..hebben dezelfde rechtsgevolgen als een handgeschreven handtekening, indien voor deze beide elektronische handtekeningen de methode voor ondertekening die gebruikt is voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische handtekening is gebruikt en op alle overige omstandigheden van het geval..”
|
Geavanceerd (AeS) | Een geavanceerde elektronische handtekening voldoet aan de volgende eisen:
| Verificatie van een of meerdere persoonsgegevens + PKI encryptie + Audit Trail | PDF-viewer met elektronische handtekeningvalidatie (Adobe, Foxit, enz.) om de geldigheid van de handtekening te valideren + Audit trail met geverifieerde persoonlijke gegevens van de ondertekenaar | |
Persoonlijk geavanceerd certificaat uitgegeven door een vertrouwensdienstverlener (TSP) in de EU | PDF-viewer met elektronische handtekeningvalidatie (Adobe, Foxit, enz.) om de geldigheid van de handtekening en de identiteit van de ondertekenaar te valideren (AATL) | |||
Gekwalificeerd (QeS) | Een geavanceerde elektronische handtekening die is aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen. | Persoonlijk gekwalificeerd certificaat uitgegeven door een gekwalificeerde vertrouwensdienstverlener (QTSP) in de EU | PDF-viewer met elektronische handtekeningvalidatie (Adobe, Foxit, enz.) om de geldigheid van de handtekening en de identiteit van de ondertekenaar te valideren (AATL) | eIDAS artikel 25: “Een gekwalificeerde elektronische handtekening heeft hetzelfde rechtsgevolg als een handgeschreven handtekening.” “Een gekwalificeerde elektronische handtekening die op een in een lidstaat afgegeven gekwalificeerd certificaat is gebaseerd, wordt in alle andere lidstaten als een gekwalificeerde elektronische handtekening erkend.” |
3.2 Onduidelijkheid rondom implementatie
In de ogen van de Europese Commissie is een van de grote tekortkomingen van eIDAS, de onduidelijkheid in de markt over de technische implementatie van de AeS en het verkrijgen van middelen voor een QeS.
De meeste ondertekenoplossingen bieden als laagste niveau een AeS aan op basis van een twee-factor authenticatie. Dit komt grotendeels door een gebrek aan betaalbare private identiteitverstrekkers. Dat leidt tot de situatie, dat een ondertekenaar op betrouwbaarheidsniveau laag wordt geïdentificeerd om toegang te krijgen tot een document en diezelfde gegevens hergebruikt worden om, aangevuld met de overige eisen, een AeS te vormen. In sommige lidstaten is het zelfs mogelijk om een Gekwalificeerd persoonlijk certificaat te verkrijgen door een identificatie op betrouwbaarheidsniveau substantieel.
Hier wordt met de aanpassing van eIDAS een einde aan gemaakt. Een identificatie op een bepaald betrouwbaarheidsniveau kan straks niet langer resulteren in de uitgifte en het gebruik van middelen en elektronische handtekeningen op een hoger niveau.
Via de Wallet apps moet het straks voor alle EU-burgers mogelijk zijn om relatief eenvoudig een Gekwalificeerd persoonlijk certificaat te verkrijgen. Of dit ook daadwerkelijk op grote schaal gebruikt gaat worden, zal afhangen van aanvullende wet- en regelgeving in de lidstaten.
3.3 Aanvullende wet- en regelgeving
Lidstaten hebben een bepaalde vrijheid om voor specifieke procedures rondom elektronische toegang en elektronische handtekeningen, aanvullende wet- en regelgeving te introduceren. Een voorbeeld hiervan is het Standard Business Reporting project van de Nederlandse overheid om gegevens te kunnen hergebruiken. Accountants zijn verplicht om een controleverklaring voor een middelgrote entiteit via een vastgesteld proces van linking and signing te ondertekenen met een Persoonlijk Gekwalificeerd Beroepscertificaat en deze vast te hechten aan het publicatiestuk waarover de verklaring wordt afgegeven.
Er bestaan meer van dit soort verplichtstellingen voor het gebruik van persoonlijk gekwalificeerde certificaten. De toename hiervan, vooral in het burgerdomein, zal een grote rol spelen bij de adoptie van de QeS, zoals de Europese Commissie deze voor ogen heeft.
3.4 PKIoverheid
Het PKIoverheid stelsel is een door de overheid beheerde standaard voor het uitgeven van certificaten. In de basis zijn er twee typen certificaten beschikbaar: servicescertificaten en persoonsgebonden certificaten. Servicescertificaten worden gebruikt voor authenticatie, encryptie en verzegeling op systeemniveau. Persoonsgebonden certificaten worden gebruikt voor authenticatie, encryptie en elektronische handtekeningen op persoonsniveau. Dit laatste type certificaat kan weer onderverdeeld worden in drie verschillende typen:
PKIoverheid Burgercertificaat
PKIoverheid Organisatie Persoonscertificaat
PKIoverheid Beroepcertificaat
Al deze certificaten zijn Persoonsgebonden gekwalificeerde certificaten en verschillen qua rechtsgevolg niet van elkaar. Ze verschillen wel in de toepassing. Een Burgercertificaat is beschikbaar voor alle burgers in Nederland. Een Organisatie Persoonscertificaat bevat de gegevens van een juridische entiteit waar de houder werkzaam is. Een beroepcertificaat bevat voor een aantal geregistreerde beroepen ook de titel van de houder van het certificaat.
4. Hoe werkt dit bij PKIsigning
Nu we alle wet- en regelgeving en de implementatie daarvan behandeld hebben, tonen we hoe dit bij PKIsigning in de praktijk wordt toegepast.
4.1 Toegang tot verzoeken
Een persoon kan toegang krijgen tot een verzoek door zich te identificeren via de door de verzoekeigenaar gekozen identificatiemethode. PKIsigning biedt op dit moment drie verschillende methoden. In de nabije toekomst zullen we meer methoden gaan toevoegen.
Identificatiemethode | eIDAS betrouwbaarheidsniveau | Geadviseerde toepassing |
---|---|---|
E-mail + SMS | Laag | Alle gevallen waarbij de vertrouwelijkheid van de gegevens beperkt is. |
E-mail + WhatsApp | Laag | Alle gevallen waarbij de vertrouwelijkheid van de gegevens beperkt is. |
E-mail + iDIN | Substantieel | Alle gevallen waarbij de vertrouwelijkheid van de gegevens hoog is. |
4.2 Documenten elektronisch ondertekenen
Het elektronisch ondertekenen van documenten kan bij PKIsigning op twee niveau’s: geavanceerd en gekwalificeerd. Zoals eerder uitgelegd onder 3.2 eIDAS signature levels, beschikken burgers en ondernemers bijna nooit over een persoonlijk gekwalificeerd certificaat. We gaan er daarom standaard vanuit, dat alle externe personen een geavanceerde elektronische handtekening zetten. Het meerendeel van de PKIsigning gebruikers tekent zelf wél met een persoonlijk gekwalificeerd certificaat. Dit maakt PKIsigning uniek.
Elektronische handtekening | Ondertekenmiddel | Geadviseerde toepassing |
---|---|---|
Geavanceerd (AeS) | Geen (de geverifieerde persoonsgegevens voor authenticatie worden gebruikt). | Alle gevallen waarbij de juridische reikwijdte van de ondertekening beperkt is. |
Gekwalificeerd (QeS) | Persoonlijk gekwalificeerd certificaat. | Alle gevallen waarbij de juridische reikwijdte van de ondertekening hoog is. |
4.3 Validatie
Om de rechtsgevolgen van door personen verrichte acties aan te kunnen tonen, is het noodzakelijk om de bewijslast te kunnen valideren. Het gaat daarbij om bestanden, die gezamenlijk deel uitmaakten van een verzoek. PKIsigning biedt bewijslast op zowel documentniveau als verzoekniveau.
4.3.1 Elektronische handtekeningen valideren
Het valideren van elektronische handtekeningen vindt plaats op documentniveau. Elk elektronisch met PKIsigning ondertekend document, is versleuteld met de persoonlijke gegevens van de ondertekenaars. Als er voor de ondertekening een persoonlijk gekwalificeerd ondertekencertificaat is gebruikt, kan de validatie in elke moderne PDF-viewer, zoals Adobe Acrobat, worden gedaan. De vertrouwensdienstverlener die het persoonlijke certificaat heeft uitgegeven, levert alle bewijslast die nodig is via openbare vertrouwenslijsten (AATL).
Als er geen persoonlijk ondertekencertificaat is gebruikt, kan de integriteit van een handtekening ook worden gevalideerd in elke moderne PDF-viewer, maar de identiteit van de ondertekenaar kan niet worden gevalideerd zonder extra bewijslast.
PKIsigning biedt dit aanvullende bewijs op documentniveau via een openbare validatiedienst, bereikbaar via https://pkisigning.nl/validatie. Iedere persoon die een kopie van het elektronisch ondertekende document heeft, kan dit uploaden en Valideer
selecteren. Het platform ontsleutelt de persoonsgegevens van alle ondertekenaars, die in het document aanwezig zijn en biedt deze aan als downloadbare audittrail. Persoonsgegevens zijn deels onherkenbaar gemaakt om te voldoen aan de AVG. Een volledige versie is op te vragen via support@pkisigning.nl.
Het gebruik van de openbare validatiedienst voor afzonderlijke documenten is alleen nodig, als je niet beschikt over het Detached Certificate van het verzoek, aangezien dit al alle gegevens bevat die nodig zijn om de identiteit van een ondertekenaar te valideren.
4.3.2 Een verzoek valideren (Detached Certificate)
De zwaarste bewijslast wordt geleverd door het Detached Certificate. Dit is een XML-bestand dat in elke webbrowser kan worden bekeken en automatische validatie mogelijk maakt.
Het Detached Certificate bevat alle gevalideerde persoonsgegevens en de betrouwbaarheidsniveaus waaraan ze voldoen, alle uitgevoerde acties en alle bestanden die onderdeel uitmaakten van een verzoek. Daarnaast bevat het alle cryptografische hashes van de gebruikte certificaten en alle hashes van de bestanden. Dit bewijst de relatie van de bestanden als onderdeel van één verzoek en of een document is gewijzigd na afronding van een verzoek. Zodra het Detached Certificate is gegenereerd, wordt het automatisch versleuteld om een sluitende bewijslast te vormen.
Wanneer het Detached Certificate is ingeschakeld, ontvangen alle personen en de eigenaar van het verzoek een volledige kopie.
5. Definities
|
|
---|---|
AATL (Adobe Approved Trust List) | De Adobe Approved Trust List is een lijst van door Adobe goedgekeurde certificeringsinstanties. Deze lijst wordt gebruikt in o.a. Adobe-software om de geldigheid van digitale handtekeningen te verifiëren en vertrouwde elektronische documenten te markeren. Het versterkt het vertrouwen in digitale handtekeningen en vergemakkelijkt de acceptatie van elektronische transacties. |
Audit trail | Een audit trail is een gedetailleerde registratie van activiteiten en gebeurtenissen binnen een systeem of organisatie. Het biedt transparantie, helpt bij beveiliging, naleving van regels en het oplossen van problemen door een overzicht van wie wat heeft gedaan en wanneer. |
Authenticatie | Authenticatie is het proces van verifiëren of iemand of iets daadwerkelijk is wie of wat het beweert te zijn, meestal door het verstrekken van bewijsmateriaal zoals wachtwoorden, biometrische gegevens of digitale certificaten. |
Autorisatie | Autorisatie is het toekennen van specifieke rechten, bevoegdheden en toegangsniveaus aan geautoriseerde gebruikers, waardoor ze gemachtigd zijn om bepaalde acties uit te voeren of bronnen te benaderen binnen een systeem, netwerk of applicatie. |
DigiD | DigiD is een online identificatiemiddel, dat in Nederland wordt gebruikt om veilige toegang te krijgen tot overheidsdiensten en -websites. Het stelt gebruikers in staat om zich online te identificeren en hun persoonlijke gegevens te beheren voor overheidszaken en digitale transacties. |
eHerkenning | eHerkenning is een digitaal authenticatiemiddel, dat bedrijven en organisaties in Nederland kunnen gebruiken om zich veilig online te identificeren en toegang te krijgen tot diverse overheidsdiensten en zakelijke platforms. Het faciliteert betrouwbare digitale communicatie en transacties tussen bedrijven en de overheid en het verifieert de identiteit van gebruikers voor verschillende zakelijke doeleinden. |
eIDAS | eIDAS staat voor ‘Electronic Identification and Trust Services’ en is een Europese verordening, die tot doel heeft een geharmoniseerd wettelijk kader te creëren voor elektronische identificatie en vertrouwensdiensten binnen de lidstaten van de Europese Unie. Het bevordert grensoverschrijdende digitale interacties door wederzijdse erkenning van elektronische identificatiemiddelen en digitale handtekeningen en versterkt het vertrouwen in veilige online transacties en communicatie over de grenzen heen. |
eIDAS betrouwbaarheidsniveau | Een eIDAS Betrouwbaarheidsniveau is een classificatie, die aangeeft hoe zeker en betrouwbaar de identiteit van een persoon kan worden vastgesteld bij het gebruik van elektronische identificatiemiddelen. Deze niveaus (Laag, Substantieel en Hoog) bepalen het niveau van zekerheid, dat nodig is voor specifieke online transacties en diensten, en ze zijn vastgelegd in de eIDAS-verordening in de Europese Unie. |
eIDAS handtekeningniveau | Een eIDAS handtekeningniveau verwijst naar de mate van betrouwbaarheid en juridische geldigheid van een digitale handtekening volgens de eIDAS-verordening in de Europese Unie. Deze niveaus (Simpel, Geavanceerd en Gekwalificeerd) geven aan hoe sterk de identiteit van de ondertekenaar is geverifieerd en in hoeverre de handtekening wettelijk gelijkwaardig is aan een handgeschreven handtekening. |
Identificatie | Identificatie verwijst naar het proces van vaststellen wie of wat iets is. Het houdt in het verkrijgen van bewijs van of informatie over de identiteit van een persoon, object, systeem of entiteit, meestal om toegang te verlenen tot bepaalde rechten, privileges of bronnen. |
Identiteitverstrekker | Zie Identity Provider. |
Identity Provider | Een Identity Provider (IDP) is een dienstverlener, die verantwoordelijk is voor het verifiëren van de identiteit van gebruikers en het verstrekken van digitale identiteitsgegevens aan andere services of applicaties. Het stelt gebruikers in staat om met één set inloggegevens toegang te krijgen tot meerdere online platforms zonder op elk platform afzonderlijk in te loggen. |
PKI (Public Key Infrastructure) | Public Key Infrastructure is een set van technologieën, beleidsregels en procedures, die worden gebruikt om digitale communicatie te beveiligen via het genereren, verspreiden en beheren van digitale certificaten en bijbehorende sleutelparen. Het maakt gebruik van asymmetrische cryptografie, waarbij er een paar sleutels is: een openbare sleutel voor versleuteling en een privésleutel voor ontcijfering. PKI zorgt voor vertrouwen en authenticatie in digitale omgevingen, zoals beveiligde websites en elektronische transacties. |
TSP (Trusted Service Provider) | Een Trusted Service Provider is een betrouwbare aanbieder van digitale diensten die vertrouwensdiensten aanbiedt, zoals digitale handtekeningen, digitale zegels en tijdstempels, met naleving van wettelijke en veiligheidsnormen. TSP's spelen een cruciale rol in het waarborgen van de authenticiteit en integriteit van elektronische transacties en communicatie. Ze worden vaak gecertificeerd volgens specifieke regelgeving. |
QTSP (Qualified Trusted Service Provider) | Een Qualified Trusted Service Provider is een specifieke categorie van vertrouwde dienstverleners, die voldoen aan strenge wettelijke eisen en normen, zoals vastgesteld in de eIDAS-verordening in de Europese Unie. QTSP's bieden hoogwaardige digitale vertrouwensdiensten, zoals gekwalificeerde digitale handtekeningen en zegels, die dezelfde wettelijke status hebben als handgeschreven handtekeningen en zegels. Deze dienstverleners hebben een bijzondere certificering en worden erkend als betrouwbare partners voor veilige elektronische transacties en communicatie. |
QSCD (Qualified Electronic Signature/Seal Creation Device) | Een Qualified Security Certificate Device (QSCD) is een specifiek hardware- of softwarecomponent, dat wordt gebruikt bij het genereren en beheren van gekwalificeerde digitale handtekeningen en zegels volgens de eIDAS-verordening in de Europese Unie. Een QSCD voldoet aan strikte veiligheidsnormen en biedt een hoog niveau van beveiliging om de vertrouwelijkheid en integriteit van digitale certificaten en sleutels te waarborgen. |
Vertrouwensdienstverlener | Zie TSP/QTSP |
6. Bronnen
Wanneer gebruik ik een elektronische handtekening? | Rijksoverheid.nl
VERORDENING (EU) Nr. 910/2014 VAN HET EUROPEES PARLEMENT EN DE RAAD | Europa.eu
wetten.nl - Regeling - Telecommunicatiewet - BWBR0009950 (overheid.nl)
wetten.nl - Regeling - Wet elektronische handtekeningen - BWBR0015046 (overheid.nl)
Kamerstuk 34413, nr. 3 | Overheid.nl > Officiële bekendmakingen (officielebekendmakingen.nl)
eSignature Knowledge Base - eSignature Knowledge Base - (europa.eu)
© 2020 PKIsigning, SBRS B.V.