Digitale handtekening rechtsgeldig
Op grond van Europese Richtlijn 99/93/EG is nu de Nederlandse Wet Elektronische Handtekeningen van kracht. Met deze wet worden "betrouwbare" digitale handtekeningen nu geacht even rechtsgeldig te zijn als papieren handtekeningen. Alhoewel de wet in principe ook ingescande papieren handtekeningen toelaat, worden met name de cryptografisch veilige digitale handtekeningen rechtsgeldig verklaard. De wet stelt ook eisen aan de certificaten waarmee dergelijke digitale handtekeningen moeten worden gecontroleerd en aan de instanties (TTP's) die die certificaten gaan uitgeven.
Inhoudsopgave
Digitale handtekeningen
Voor e-commerce, maar ook bijvoorbeeld voor processen verbaal zou het erg handig zijn als alles elektronisch afgehandeld kon worden. Hierbij wordt meestal voorgesteld om elektronische of digitale handtekeningen te gebruiken. Met behulp van wiskundige technieken kan een document worden voorzien van een unieke code, de digitale handtekening, waarmee kan worden nagegaan of het document compleet en ongewijzigd is en waarmee de oorsprong van het document kan worden vastgesteld. De plaatser maakt deze code met behulp van een geheime sleutel. Met een bijbehorende publieke sleutel kan de code worden gecontroleerd op echtheid. Hieruit volgt dat alleen de houder van de geheime sleutel de digitale handtekening had kunnen genereren, en daarmee is vastgesteld dat hij het werk heeft gesigneerd.
Een probleem bij digitale handtekeningen is dat er de nodige redelijk complexe technologie voor nodig is. Een papieren handtekening zet men met een pen op een stuk papier. Voor een digitale handtekening is een beveiligd kastje nodig waarin een geheime sleutel is ge�nstalleerd en dat gekoppeld is aan de pc. De software op de pc stuurt het te tekenen document naar het kastje en ontvangt het getekende document terug. De ontvanger heeft software nodig om de handtekening te kunnen controleren op echtheid. Daartoe moet hij beschikken over een zogeheten certificaat dat afgegeven moet zijn door een vertrouwde tussenpersoon. Als ook maar ��n van deze schakels onbetrouwbaar of onjuist werkend blijkt, dan is de digitale handtekening niet te vertrouwen.
De nieuwe richtlijn
Rechtsgeldig
Eind jaren negentig is er een aantal initiatieven geweest om een dergelijke betrouwbare keten op te zetten, maar deze systemen zijn nooit echt aangeslagen. De voornaamste reden hiervoor lijkt te zijn dat er geen duidelijkheid is over de rechtsgeldigheid van een digitale handtekening en de minimum-eisen voor de te gebruiken apparatuur en dergelijke. Aan wat voor eisen moet dat kastje voldoen, wat moet er allemaal in zo'n certificaat staan en wat voor bewijskracht heeft een digitaal getekend contract?
Daarnaast schrijft de wet in bepaalde gevallen nog eens voor dat er schriftelijke verklaringen moeten worden opgesteld (bijvoorbeeld dat proces verbaal). Zelfs al zou het volkomen veilig zijn, dan nog mag zo'n proces verbaal simpelweg niet elektronisch worden opgesteld en getekend. Het is dan simpelweg niet rechtsgeldig.
Richtlijn 99/93/EG
Om deze problemen op te lossen, en e-commerce te stimuleren, verscheen eind 1999 Europese Richtlijn nr. 99/93/EG betreffende elektronische handtekeningen. Deze richtlijn schrijft voor dat de lidstaten van de Europese Unie wetten moet aannemen om digitale handtekeningen rechtsgeldig te laten zijn. De Richtlijn maakt onderscheid tussen "gewone" elektronische handtekeningen en "geavanceerde elektronische handtekeningen". Onder een "gewone" elektronische handtekening verstaat de Richtlijn "elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authentificatie." Hierbij denkt men bijvoorbeeld aan een ingescande handtekening van een papieren drager.
Van een "geavanceerde elektronische handtekening" is sprake indien de handtekening op unieke wijze aan de ondertekenaar is verbonden, zij het mogelijk maakt de ondertekenaar te identificeren, zij tot stand is gekomen met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden en zij op zodanige wijze aan de gegevens waarop zij betrekking heeft is verbonden, dat elke wijziging achteraf van gegevens kan worden opgespoord. Dit is wat in de technische literatuur een "digitale handtekening" wordt genoemd. Een dergelijke handtekening bestaat namelijk uit een bepaalde (digitale) code die met wiskundige technieken wordt berekend.
Nieuwe wet
In Nederland is er dan nu de Wet Elektronische Handtekeningen. Deze wet wijzigt onder andere het Burgerlijk Wetboek, waarin geregeld staat hoe contracten en andere overeenkomsten gesloten kunnen worden. Er wordt een nieuw artikel toegevoegd (boek 3, artikel 15a) dat komt te luiden "Een elektronische handtekening heeft dezelfde rechtsgevolgen als een handgeschreven handtekening, indien de methode die daarbij is gebruikt voor authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval." Zowel "gewone" als "geavanceerde" elektronische handtekeningen kunnen dus rechtsgeldig zijn, mits ze maar voldoende betrouwbaar zijn.
Lid 2 van dit artikel zegt dat een elektronische handtekening betrouwbaar genoeg wordt geacht wanneer de handtekening op unieke wijze aan de ondertekenaar verbonden is, dat de ondertekenaar kan worden ge�dentificeerd, dat de ondertekenaar de middelen waarmee hij de handtekening zet onder zijn controle heeft, en dat de handtekening zodanig is gekoppeld aan het getekende bestand dat elke wijziging achteraf kan worden opgespoord. Ook moet er gebruik zijn gemaakt van een betrouwbaar certificaat. Hierbij worden de "geavanceerde" elektronische handtekeningen dus rechtsgeldig.
Certificaten
Een elektronische handtekening kan dus het beste worden gezet met behulp van een betrouwbaar certificaat. Een certificaat is een bestand dat de publieke sleutel koppelt aan de identiteit van de plaatser. De elektronische handtekening wordt gecontroleerd op echtheid met de publieke sleutel. Als dit klopt, volgt daaruit dat de persoon die in het certificaat wordt ge�dentificeerd deze handtekening gezet heeft. Het is dus zaak dat de instantie die het certificaat maakt te vertrouwen is. Meestal wordt van instantie dan ook "vertrouwde derde" of Trusted Third Party (TTP) genoemd. Wie een contract of offerte accepteert op basis van de digitale handtekening, is dus afhankelijk van de betrouwbaarheid van certificaat en TTP.
De nieuwe wet bevat dan ook een aantal bepalingen over certificaten en instanties die ze uitgeven. In plaats van specifieke voorschriften over wat zo'n instantie nu wel en niet moet doen, wordt de TTP simpelweg aansprakelijk gesteld voor de correctheid van de certificaten die hij uitgeeft. Dat wil zeggen dat als iemand redelijkerwijs mocht vertrouwen op de correctheid van de certificaten, bijvoorbeeld omdat de TTP adverteert dat hij zich houdt aan de wettelijke eisen, hij zijn schade kan verhalen op de TTP. De TTP kan bij een certificaat aangeven wat de maximale waarde van zo'n schadeclaim mag zijn. Het is te verwachten dat er later keurmerken of accreditatie-instellingen zullen verschijnen om dit verder te regelen. Een certificaat voor toegang tot bijvoorbeeld een 18+ website is van minder groot belang dan een certificaat voor een proces verbaal, dus het vertrouwen in de betreffende TTP's mag dan ook wel iets minder zijn.
Daarnaast zijn TTP's verplicht zich bij de OPTA (de onafhankelijke post- en telecom-autoriteit) te registreren. Hiermee ontstaat de mogelijkheid van onafhankelijk toezicht op TTP's.
Smartcards
Ook de smartcards (of software) waarmee elektronische handtekeningen worden gezet, krijgen bepaalde eisen opgelegd. Deze eisen moeten nog nader worden uitgewerkt. Het is waarschijnlijk dat een instantie als TNO deze smartcards zal certificeren, en dat alleen met gecertificeerde smartcards rechtsgeldige elektronische handtekeningen kunnen worden gezet. Op die manier is de kans dat er vervalste handtekeningen gezet kunnen worden het kleinst.
