Klant informatie Leest u dit in elk geval door, voordat u de aanvraag indient.
versie 1.1, 9 mei 2008
Inhoudsopgave 1.
2.
3.
4.
De elektronische handtekening
4
1.1
Wat is een elektronische handtekening?....................................................................................... 4
1.2
Welke soorten elektronische handtekeningen zijn er? ................................................................. 4
1.3
Hoe werkt de elektronische handtekening? .................................................................................. 4
1.4
Welke juridische waarde heeft de elektronische handtekening? ................................................. 4
1.5
Hoe wordt het sleutelpaar aan een persoon toegewezen?........................................................... 5
1.6
Kan de elektronische handtekening worden beperkt? .................................................................. 5
De certificatie-autoriteit
5
2.1
Welke taken heeft een certificatieautoriteit? ............................................................................... 5
2.2
Wie bewaakt de certificatieautoriteit? .......................................................................................... 6
Omgang met de elektronische handtekening
6
3.1
Hoe gaat u met de smartcard om? ................................................................................................ 6
3.2
Waar moet u bij het signeren en controleren op letten? .............................................................. 7
3.3
Hoe worden de elektronische handtekeningen gearchiveerd? ..................................................... 7
Verdere gegevens
7
4.1
Antwoorden op vaak gestelde vragen ........................................................................................... 7
4.2
Wat voor ons nog belangrijk is: ..................................................................................................... 8
4.3
Verdere informatiebronnen .......................................................................................................... 8
versie 1.1, 9 mei 2008
-2-
Geachte klant, De maatschappij gaat in toenemende mate van de traditionele papiergebonden communicatie over naar de elektronische communicatie. De toepassing van elektronische briefdiensten (e-mail) is niet meer uit ons privéen zakelijk leven weg te denken. Talloze documenten worden dagelijks via het Internet of in bedrijfsnetwerken verstuurd. Maar toch kon tot op heden niet de gehele communicatie elektronisch worden verwerkt, omdat voor bepaalde documenten in een bepaalde vorm niet wettelijk geregeld was. Dit betreft bijv. documenten die voor hun rechtsgeldigheid een handgeschreven handtekening vereisten. De wetgever heeft met de wet digitale handtekeningen WB3, art. 15, de handtekeningverordening en de wijziging van verdere wettelijke bepalingen nu de mogelijkheid geschapen, de gekwalificeerde elektronische handtekening als equivalent voor de eigenhandige natte handtekening te gebruiken. Strenge controlecriteria aan techniek en organisatie zorgen voor een hoog veiligheidsniveau voor de gekwalificeerde elektronische handtekening volgens de wet betreffende digitale handtekeningen en de Europese richtlijn voor elektronische handtekeningen. Met onderstaande informatie krijgt u gemakkelijker toegang tot de wereld van elektronische handtekeningen van ESG. Met het ter kennis nemen van deze informatie, bent u, op de hoogte gesteld. Lees de informatie zorgvuldig door voordat u het aanvraagformulier invult en neem bij vragen contact op met onze supportafdeling.
Onze contactgegevens bij vragen: Telefonisch +31 (0)495 566 355 Per fax +31 (0)495 561 847 per email
[email protected] Per post ESG 4 Europe Pelmersheideweg 16 6005 PK Weert
versie 1.1, 9 mei 2008
-3-
1. De elektronische handtekening 1.1 Wat is een elektronische handtekening? De eigenhandige natte handtekening verbindt een papieren document met de ondergetekende. De ondergetekende sluit bijv. een contract af door met zijn eigenhandige handtekening te ondertekenen. De elektronische handtekening verbindt daarbij nog eens een ondertekenaar met elektronische gegevens bijv. een tekstdocument zodanig, dat deze toewijzing correct kan worden gecontroleerd. In tegenstelling tot de eigenhandige handtekening waarvoor de ondertekenaar “pen en papier” nodig heeft, gebruikt wordt bij de elektronische handtekening een mathematische methode. 1.2 Welke soorten elektronische handtekeningen zijn er? De wet betreffende digitale handtekeningen definieert drie soorten elektronische handtekeningen: 1. De eenvoudige elektronische handtekening 2. De geavanceerde elektronische handtekening 3. De gekwalificeerde elektronische handtekening Nummer 3 word in de wet betreffende digitale handtekeningen uitvoerig beschreven en is verregaand aan de eigenhandige handtekening gelijkgesteld maar biedt een hogere rechtszekerheid. 1.3 Hoe werkt de elektronische handtekening? Public-Key methodes vormen in de regel de basis voor de elektronische handtekening. Voor deze methodes heeft u een speciaal digitaal sleutelpaar nodig. Gegevens die met de ene sleutel worden gecodeerd, kunnen alleen met de bijbehorende andere sleutel worden gedecodeerd. Deze eigenschap wordt voor het zetten van een elektronische handtekening en de controle ervan toegepast. Bij de elektronische handtekening wordt eerst een digitale vingerafdruk van het document aangemaakt. De vingerafdruk wordt met de eerste (privé) sleutel gecodeerd; dit is in feite de elektronische handtekening. Het elektronisch gesigneerde document kan nu verder worden verwerkt doordat de ondertekenaar ter controle van de elektronische handtekening de tweede (publieke) sleutel aan de andere gebruikers geeft. Met deze sleutel en de informatie aan wie deze sleutel is toegewezen, kan iedereen een veilige controle uitvoeren. 1.4 Welke juridische waarde heeft de elektronische handtekening? De gekwalificeerde elektronische handtekening is gelijkgesteld aan de eigenhandige handtekening. Dit betekent, dat in veel rechtshandelingen de toepassing van de gekwalificeerde handtekening naast en als vervanging van de eigenhandige natte handtekening mogelijk is. Informeert u zich van tevoren of dit in de betreffende rechtshandeling is toegelaten. Voorbeelden uit de praktijk zijn: contracten in privaatrecht, verstrekkingen, voorbelasting enz. Door toepassing van uw privé sleutel wordt de gekwalificeerde elektronische handtekening aan u toegewezen. D.w.z. u tekent als verantwoordelijke zoals bij een eigenhandige handtekening.
versie 1.1, 9 mei 2008
-4-
1.5 Hoe wordt het sleutelpaar aan een persoon toegewezen? De toewijzing van een persoon en een sleutel wordt door een gekwalificeerd certificaat bevestigd. Een certificaat is een soort elektronische legitimatie. De certificatieautoriteit, bijv. de CSP ESG B.V., identificeert de persoon en bevestigt de toewijzing van een sleutel met een gekwalificeerde elektronische handtekening. 1.6 Kan de elektronische handtekening worden beperkt? Het is mogelijk de elektronische handtekening door een kenmerk in het gekwalificeerde certificaat op bepaalde toepassingen in soort en omvang te beperken. In het gekwalificeerde certificaat kan staan een vertegenwoordigingsbevoegdheid voor derden (bijv. procura).
2. De certificatie-autoriteit 2.1 Welke taken heeft een certificatieautoriteit? ESG 4 Europe, is een Certification Service Provider CSP volgens de Wet Elektronische Handtekening en PKIOverheid en ETSI gecertificeerd. 1. Identificatie van de klant De CSP ESG 4 Europe controleert bij aanvraag uw identiteit aan de hand van een legitimatiebewijs of reisdocument. 2. Codering van de smartcard Het Trust Center maakt beide sleutels in een bijzonder beveiligde omgeving aan. De privé sleutel wordt bij het Trust Center niet opgeslagen of gearchiveerd. De privé sleutel wordt op de smartcard onuitleesbaar opgeslagen en de smartcard wordt van een elektronische transportbeveiliging voorzien. 3. Ontwikkeling van gekwalificeerde certificaten Het Trust Center voegt de identificatiegegevens en de privé sleutel samen en bevestigt deze verbinding door een elektronische handtekening. 4. Levering U krijgt de smartcard tijdens de registratie overhandigt en de noodzakelijke certificaten beveiligd per email toegestuurd. 5. Beschikbaar stellen in een directory service U controleert de transportbeveiliging en geeft het Trust Center een terugmelding. Als uw terugmelding positief is, stelt de Trustcenter het gekwalificeerde certificaat via de directory service ter beschikking. Het gekwalificeerde certificaat kan vervolgens in de directory service via het Internet op geldigheid en beschikbaarheid worden gecontroleerd. Als u de afroep uit het bestand hebt bevestigd, kan uw gekwalificeerde certificaat nu uit de directory service worden geladen. Dit is een eenvoudige services via e-mail 6. Blokkering van gekwalificeerde certificaten De CSP ESG 4 Europe biedt een 24-uurs-cardservice. U kunt de blokkering telefonisch doorgeven er is voor de bewerking uw telewachtwoord nodig. 0800 – 374 5397 (gratis) +31 (0)495 566 355 (voor blokkeringen vanuit het buitenland)
versie 1.1, 9 mei 2008
-5-
2.2 Wie bewaakt de certificatieautoriteit? De certificatieautoriteit is wettelijk verplicht zich aan omvangrijke veiligheidsmaatregelen te houden. Dit garandeert een algemeen geldend hoog veiligheidsniveau voor gekwalificeerde elektronische handtekeningen. De bewaking van de certificatieautoriteit ligt bij PKI-Overheid en GBO-Overheid als verantwoordelijke instantie voor de wet betreffende digitale handtekeningen opgedragen.
3. Omgang met de elektronische handtekening 3.1 Hoe gaat u met de smartcard om? De handtekeningen die met uw smartcard worden ontwikkeld, worden direct aan u toegewezen, derhalve is het raadzaam de volgende aanwijzingen in elk geval op te volgen: • Houd de smartcard altijd ter bewaring bij u. Draag deze indien mogelijk tegen diefstal beschermd op uw lichaam en niet los in kledingstukken • Als u uw smartcard hebt verloren, moet u het certificaat onmiddellijk blokkeren. • Wanneer uw smartcard beschadigd is, kan dit op een poging tot manipulatie wijzen. Als u beschadigingen niet kunt achterhalen, moet u het bijbehorende certificaat voor alle zekerheid blokkeren. • Gebruik de smartcard nooit bij toepassingen, machines, terminals, waarvan u de functies niet kent, of die u verdacht of onbetrouwbaar voorkomen. Eenmaal beschadigd dan is de smartcard onbruikbaar geworden • Wij adviseren de smartcard alleen in applicaties te gebruiken die conform de Wet Elektronische Handtekening betreffende digitale handtekeningen zijn bevestigd. • Let in elk geval op de gebruiks- en veiligheidsaanwijzingen van alle toepassingen waarin u de smartcard wilt gebruiken. • Als u uw smartcard niet meer wilt gebruiken, vernietigt u de chip met een standaard perforator. Blokkeer in dit geval het bijbehorende certificaat. • Houd uw PIN en uw telewachtwoord zoals bij elektronische card geheim. Verander regelmatig uw PIN en zorg ervoor dat u de PIN niet noteert. Bij verdenking dat iemand uw PIN weet, verandert u onmiddellijk de PIN.
versie 1.1, 9 mei 2008
-6-
3.2 Waar moet u bij het signeren en controleren op letten? De wet betreffende digitale handtekeningen schrijft niet voor, welke toepassingscomponenten van de handtekening u met uw smartcard moet gebruiken voor het signeren of controleren. Dit kunt u naar eigen goeddunken doen. De onderstaande adviezen dient u echter in acht te nemen. • Gebruik een kaartenlezer met PINpad, uw PIN is hierdoor beter tegen misbruik beschermd. • Houd uw computer altijd op de nieuwste veiligheidsstand. Als er storingen in de veiligheid optreden, stelt de leverancier van uw besturingssysteem (bijv. Windows) meestal een patch als download ter beschikking. • Gebruik antivirus- en firewall software voor uw computer en laad regelmatig de nieuwste versies. • Beveilig uw computer door wachtwoorden voor BIOS, beeldschermbeveiliging enz. of met behulp van een smartcard voor onbevoegde toegang. • Neem de aanwijzingen in het handboek van uw handtekeningsoftware in acht. • Signeer altijd alleen informatie waarvan u de inhoud van tevoren hebt gecontroleerd. • Twijfelt u aan uw elektronische handtekening, dan controleert u voor de verzending de handtekening en de inhoud zelf nog eens. • Maak van de mogelijkheid gebruik het gekwalificeerde certificaat in de directory service online te controleren. 3.3 Hoe worden de elektronische handtekeningen gearchiveerd? Elektronische handtekeningen verliezen op grond van de mathematische methode na verloop van tijd hun veiligheid. In het bijzonder door de verdere ontwikkeling van de computers, voor wat betreft vermogen en snelheid, daalt de veiligheidswaarde. Daarom is het noodzakelijk ook gearchiveerde elektronische handtekeningen weer op hun nieuwste technologische stand van veiligheid te brengen. De gearchiveerde documenten worden door opnieuw signeren en tijdstempels weer geactualiseerd.
4. Verdere gegevens 4.1 Antwoorden op vaak gestelde vragen Hoe veilig zijn de mathematische methodes? De methodes die in de ESG certificaten worden toegepast ondergaan constante controles door wetenschap en research. De algoritmen worden door de PKI Overheid jaarlijks op geschiktheid gecontroleerd. De methodes gelden als veilig volgens de nieuwste technische stand. Beschermt de handtekening het bericht tegen onbevoegden? Elektronische handtekeningen dienen niet ter versluiering of codering van gegevens. Als u uw berichten wilt beveiligen, moet u deze versleutelen. Waar moet ik bij een verhuizing op letten of doen? Geeft u ons in elk geval alle wijzigingen in elk geval onmiddellijk door. Voor de communicatie met de certificatieautoriteit is het vooral belangrijk een mededeling over wijziging van het e-mailadres te ontvangen. Contro-
versie 1.1, 9 mei 2008
-7-
leer regelmatig uw elektronisch postvak; alleen op die manier kan worden gegarandeerd, dat u tijdig informatie of waarschuwingsberichten krijgt. Hiervoor heeft u geen nieuw certificaat nodig. Moet het gekwalificeerde certificaat ook worden gesigneerd of kan dit als bijlage worden toegevoegd? Wij adviseren u alle gegevens die met de handeling te maken hebben in de gekwalificeerde handtekening in te binden. 4.2 Wat voor ons nog belangrijk is: U hebt het gevoel, dat één van onze medewerkers of gemachtigden niet zorgvuldig werkt. Meld u ons deze voorvallen aan het genoemde adres. Ondanks gedetailleerde controles en maatregelen kunnen zich problemen voordoen. Om ervoor te zorgen, dat wij onmiddellijk kunnen reageren, is uw mening voor ons zeer belangrijk. U hebt voorstellen voor verbeteringen. Voor kwaliteit leggen wij een hoge maatstaf aan. Ons doel is een goed ingelichte klant die zich op het gebied van ”elektronische handtekeningen” zeker voelt. Laat u ons uw voorstellen weten en deel ons uw vragen mee. Wij stellen uw mening zeer op prijs.
4.3 Verdere informatiebronnen Informeert u zich regelmatig op de volgende website: www.esg4.eu Informatie van de certificatieautoriteit CSP ESG 4 Europe. Actuele wijzigingen en aanvullingen worden hier ter beschikking gesteld.
Informatie over beveiligingsproducten en dienstverleningen. www.pkioverheid.nl Informatie over de verantwoordelijke instantie over Certification Service Provider (CSP), technische componenten, wettelijke regelingen
versie 1.1, 9 mei 2008
-8-
