Mogelijkheden elektronische handtekening en DigiD Informatie over de elektronische handtekening in combinatie met DigiD
datum 24 oktober 2006 plaats Den Haag documentnr 2006/6035 versie Definitief 1.0 auteur Audrie Spelmink onderwerp Mogelijkheden elektronische handtekening en DigiD
Documentbeheer
Goedkeuring datum
versie
goedgekeurd door
28 september 2006
1.0
Beheerteam DigiD
pagina 2/18
versie 1.0 definitief
documentnr. 2006/6035
opmerking
onderwerp Mogelijkheden elektronische handtekening en DigiD
Inhoudsopgave 1 Inleiding 4 1.1 Achtergrond ....................................................................................................................... 4 1.2 Reikwijdte .......................................................................................................................... 4 1.3 Leeswijzer.......................................................................................................................... 4 2 Wat is een elektronische handtekening? 5 2.1 Inleiding ............................................................................................................................. 5 2.2 Elektronische handtekening............................................................................................... 5 2.3 Functies van een (elektronische) handtekening ................................................................ 6 2.4 Niveaus van elektronische handtekeningen ...................................................................... 7 2.5 Vereist niveau van elektronische handtekening .............................................................. 10 3 DigiD en een elektronische handtekening: wie doet wat en is waarvoor verantwoordelijk? 12 3.1 Wat regelt DigiD?............................................................................................................. 12 3.2 Wat moet een afnemer zoal regelen?.............................................................................. 12 3.3 Processchema plaatsen elektronische handtekening...................................................... 13 Bijlage A Voorbeelden van methoden voor het plaatsen van een elektronische handtekening 14 Bijlage A Voorbeelden van methoden voor het plaatsen van een elektronische handtekening 15 Inleiding ....................................................................................................................................... 15 Voorbeeld methoden voor het plaatsen van een elektronische handtekening bij DigiD door gebruikers ........................................................................................................................ 15 Bijlage B Voorbeeldmethode voor het plaatsen van een elektronische handtekening DigiD door een afnemer..................................................................................................................... 18
pagina 3/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD
1 Inleiding 1.1
Achtergrond
DigiD is een gemeenschappelijk authenticatiesysteem dat overheidsinstellingen in staat stelt om de identiteit te verifiëren van klanten die gebruikmaken van hun elektronische diensten. Aan DigiD wordt door afnemers steeds vaker de vraag gesteld wat de mogelijkheden zijn om met DigiD een elektronische handtekening te plaatsen en of deze handtekening vervolgens rechtsgeldig is.
1.2
Reikwijdte
Dit document is bedoeld als een eerste inventarisatie van de mogelijkheden van de elektronische handtekening in combinatie met DigiD. Door middel van uitleg omtrent de elektronische handtekening en bijbehorende wet- en regelgeving streeft DigiD ernaar u inzicht te verschaffen in de elektronische handtekening. Opgemerkt wordt dat DigiD niet adviseert welk niveau van elektronische handtekening vereist is voor bepaalde processen. Evenmin wordt ingegaan op het plaatsen van een elektronische handtekening door een bedrijf. Niet uitgesloten wordt, dat in een volgende release van dit document het plaatsen van een elektronische handtekening in het kader van DigiD voor bedrijven wel wordt uitgewerkt.
1.3
Leeswijzer
In hoofdstuk 2 wordt uitgelegd wat een (elektronische) handtekening is en welke functies zij heeft. Daarnaast worden de verschillende niveaus van elektronische handtekeningen uitgelegd. Hoofdstuk 3 behandelt vervolgens de verdeling van verantwoordelijkheden tussen een afnemer en DigiD. Wat is de rol van DigiD in het kader van het gebruik van elektronische handtekeningen door afnemers? Wie is waarvoor verantwoordelijk? Tenslotte wordt dit document afgesloten met een aantal voorbeelden uit de praktijk.
pagina 4/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD
2 Wat is een elektronische handtekening? 2.1
Inleiding
In dit hoofdstuk wordt toegelicht wat een elektronische handtekening is. Vervolgens wordt ingegaan op de verschillende functies van een (elektronische) handtekening. Dit hoofdstuk wordt afgerond met een toelichting op de verschillende niveau’s van elektronische handtekeningen en het vereiste niveau van handtekening.
2.2
Elektronische handtekening
In tegenstelling tot de elektronische handtekening kent de Nederlandse wetgeving geen definitie van de handgeschreven handtekening. Een synoniem van handtekening is ondertekening.1 Een handtekening kan worden omschreven als de naam van de ondertekenaar in leestekens, al of niet met zijn voornaam of letters, gesteld in het handschrift van de ondertekenaar , waarbij individualisering mogelijk is.2 De Hoge Raad verstaat onder ondertekening “het plaatsen van den naam, dien de onderteekenaar voert of draagt, met of zonder bijvoeging van den voornaam”3. Onder een elektronische handtekening wordt een handtekening verstaan die bestaat uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel van authenticatie.4 Het belangrijkste kenmerk van de handtekening is dat deze persoonsgebonden is. Voorbeelden van een elektronische handtekening zijn de digitale handtekening5, een ingescande handtekening en een pincode.
1
S. van der Hof, De juridische status van de digitale handtekening, Samsom Bedrijfsinformatie B.V., Alphen aan den Rijn/Diegem, 1997, blz. 115. 2 S. van der Hof, De juridische status van de digitale handtekening, Samsom Bedrijfsinformatie B.V., Alphen aan den Rijn/Diegem, 1997, blz. 116. 3 HR 17 december 1885, W 5251, HR 6 mei 1910, W. 9025. 4 Artikel 15a lid 4 Wet elektronische handtekeningen, Staatsblad 2003, 199. 5 Bij een digitale handtekening wordt gebruik gemaakt van encryptie.
pagina 5/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD
2.3
Functies van een (elektronische) handtekening
De handtekening heeft een aantal functies:6 7 8 • Authenticatie • Integriteit • Vastlegging van de wilsuiting Authenticatie Met identificatie wordt het vaststellen van iemands identiteit bedoeld. Identificatie is het proces waarbij iemand aan de hand van een identificatiemiddel bewijst dat hij is wie hij zegt te zijn en dat de wederpartij dit aan de hand van hetzelfde identificatiemiddel vaststelt.9 Met de geplaatste handtekening is het mogelijk om de identiteit van de ondertekenaar vast te stellen. In het verlengde van identificatiefunctie ligt authenticatie. Authenticatie is het proces waarbij iemand, een computer of applicatie nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn. Bij de authenticatie wordt gecontroleerd of een opgegeven bewijs van identiteit overeenkomt met echtheidskenmerken, bijvoorbeeld het een in het systeem geregistreerde bewijs. De authenticiteit van het object moet worden nagegaan. Authenticatie is de tweede stap in het toegangscontroleproces. De eerste stap in dit proces is identificatie, de derde en laatste stap is autorisatie. Kortom, authenticatie is één van de functies van een handtekening. In het kader van DigiD dient authenticatie ter verificatie van iemands geclaimde identiteit.10 Integriteit Met integriteit van het bericht wordt bedoeld, dat kan worden nagegaan of een bericht niet op een later tijdstip is gewijzigd.
6
Zie ook Recht en Informatietechnologie, Handboek voor Rechtspraktijk en beleid, elektronische handtekeningen, Simone van der Hof & Sylvia Huydecoper, maart 2003. 7 Recht en Computer, H. Franken, H.W.K. Kaspersen, A.H. de Wild, Kluwer – Deventer 2001, blz. 175. 8 Overigens kent de handtekening meerdere functies. Zie hiervoor S. van der Hof, De juridische status van de digitale handtekening, Samsom Bedrijfsinformatie B.V., Alphen aan den Rijn/Diegem, 1997, blz. 119 e.v. 9 S. van der Hof, De juridische status van de digitale handtekening, Samsom Bedrijfsinformatie B.V., Alphen aan den Rijn/Diegem, 1997, blz. 119. 10 Recht en Computer, H. Franken, H.W.K. Kaspersen, A.H. de Wild, Kluwer – Deventer 2001, begrippenlijst.
pagina 6/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD
Wilsuiting Bij het zetten van een (elektronische) handtekening is een essentieel element het vastleggen van een wilsuiting van de ondertekenaar. Het vastleggen van een wilsuiting is van belang in het kader van rechtsgevolg en/of bewijsvoering. In een aantal gevallen stelt de wet de eis van een handtekening. In dat geval is sprake van een vormvereiste. Denk hierbij aan artikel 4:2 Awb (aanvraag), artikel 6:5 eerste lid Awb (bezwaaren beroepschrift) en artikel 9:4 tweede lid Awb (klaagschrift).
2.4
Niveaus van elektronische handtekeningen
Op hoofdlijnen worden op grond van de Wet elektronische handtekeningen (WEH) twee soorten elektronische handtekeningen onderscheiden, te weten: een “gewone” elektronische handtekening en de geavanceerde elektronische handtekening. Daarnaast is een derde vorm te onderscheiden, te weten de “gekwalificeerde elektronische handtekening”. Deze laatste vorm wordt niet expliciet in de wet genoemd. De “gewone” elektronische handtekening Met een “gewone” elektronische handtekening wordt – zoals eerder is aangegeven – een handtekening bedoeld waarvan de elektronische gegevens zijn vastgehecht aan of logisch zijn geassocieerd met andere elektronische gegevens en die worden gebruikt als middel voor het verifiëren van de identiteit van de ondertekenaar. Hierbij kan bijvoorbeeld worden gedacht aan een gescande handtekening die aan een elektronisch document is toegevoegd. De geavanceerde elektronische handtekening Een geavanceerde elektronische handtekening is daarentegen met meer waarborgen omkleed. Zij stelt eisen die ondermeer zekerheid bieden ten aanzien van de identiteit en de wilsuiting van de ondertekenaar. Volgens de Wet elektronische handtekeningen dient een geavanceerde elektronische handtekening te voldoen aan de volgende eisen:11 • zij is op een unieke wijze aan de ondertekenaar verbonden • zij maakt het mogelijk de ondertekenaar te identificeren • zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden en • zij is op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.
11
Artikel 3:15a lid 2 sub a t/m d Burgerlijk wetboek (Wet elektronische handtekeningen).
pagina 7/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD
De “gekwalificeerde” elektronische handtekening Naast de bovengenoemde eisen kent de Wet elektronische handtekeningen de volgende twee aanvullende eisen:12 • zij is gebaseerd op een gekwalificeerd certificaat dat voldoet aan eisen zoals gesteld in de Telecommunicatiewet en • zij is gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen. Bij een geavanceerde elektronische handtekening die aan de bovengenoemde aanvullende eisen voldoet, wordt de methode voor authenticatie voldoende betrouwbaar geacht en heeft beginsel dezelfde rechtsgevolgen als een handgeschreven handtekening. Deze laatst bedoelde handtekening wordt aangeduid als een gekwalificeerde elektronische handtekening. Deze vorm van handtekening wordt niet expliciet in wet- en regelgeving genoemd maar kan als een derde vorm van handtekening worden gezien. Wanneer sprake is van een gewone elektronische handtekening of geavanceerde elektronische handtekening (zonder gekwalificeerd certificaat en veilig middel) dient hiervan in het geval van een geschil bewezen te worden dat deze gelijk zou zijn aan een handgeschreven handtekening. Tevens dient tussen beide partijen vooraf te worden geregeld dat het een handtekening is. Er is sprake van een omgekeerde bewijslast. Uiteindelijk is het aan de rechter om in geval van een geschil te bepalen of in de gegeven omstandigheden de desbetreffende gebruikte methode voldoende betrouwbaar is voor rechtsgeldigheid van de elektronische handtekening. Een elektronische handtekening geplaatst met een gekwalificeerd certificaat (zoals bijvoorbeeld PKIoverheid, maar ook van diverse marktpartijen) voldoet aan de bovengenoemde eisen en heeft dezelfde rechtsgevolgen als een handgeschreven handtekening. Hierbij hoeven partijen onderling niets meer te regelen. Bovenstaande is hieronder schematisch weergegeven:
Kenmerken /eisen
12
Elektronische handtekening
Geavanceerde elektronische handtekening
“Gekwalificeerde” elektronische handtekening
elektronische gegevens die
elektronische gegevens die
elektronische gegevens die
zijn vastgehecht aan of logisch
zijn vastgehecht aan of logisch
zijn vastgehecht aan of logisch
geassocieerd zijn met andere
geassocieerd zijn met andere
geassocieerd zijn met andere
elektronische gegevens en die
elektronische gegevens en die
elektronische gegevens en die
Artikel 3:15a lid 2 sub e en f Burgerlijk wetboek (Wet elektronische handtekeningen).
pagina 8/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD
worden gebruikt als middel van
worden gebruikt als middel van
worden gebruikt als middel van
authenticatie
authenticatie
authenticatie
zij is op een unieke wijze aan
zij is op een unieke wijze aan
de ondertekenaar verbonden
de ondertekenaar verbonden
zij maakt het mogelijk de
zij maakt het mogelijk de
ondertekenaar te identificeren
ondertekenaar te identificeren
zij komt tot stand met middelen
zij komt tot stand met middelen
die de ondertekenaar onder
die de ondertekenaar onder
zijn uitsluitende controle kan
zijn uitsluitende controle kan
houden en
houden en
zij is op zodanige wijze aan het
zij is op zodanige wijze aan het
elektronisch bestand waarop
elektronisch bestand waarop
zij betrekking heeft verbonden,
zij betrekking heeft verbonden,
dat elke wijziging achteraf van
dat elke wijziging achteraf van
de gegevens kan worden
de gegevens kan worden
opgespoord.
opgespoord. zij is gebaseerd op een gekwalificeerd certificaat dat voldoet aan eisen zoals gesteld in de Telecommunicatiewet en zij is gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen.
Rechtsgeldig?
Ja, mits partijen hierover
Ja, mits partijen hierover
Ja, hiervan bestaat het
afspraken hebben gemaakt.
afspraken hebben gemaakt.
vermoeden dat de gebruikte
(art. 15a zesde lid BW).
(art. 15a zesde lid BW)
methode voor authenticatie
In dit geval geldt omgekeerde
In dit geval geldt omgekeerde
dat deze elektronische
bewijslast, hetgeen betekent
bewijslast, hetgeen betekent
handtekeningen dezelfde
dat partijen zullen moeten
dat partijen zullen moeten
rechtskracht heeft als een
aantonen dat de gebruikte
aantonen dat de gebruikte
handgeschreven handtekening
voldoende betrouwbaar is en
pagina 9/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD
methode voor authenticatie
methode voor authenticatie
(art. 15a tweede lid BW).
gelet op de aard van de
gelet op de aard van de
transactie voldoende
transactie voldoende
Als voorbeeld kan worden
betrouwbaar is.
betrouwbaar is.
gedacht aan elektronische handtekeningen geplaatst met
2.5
Gedacht kan worden aan een
een PKIoverheid-certificaat en
gescande handtekening
elektronische Nederlandse
geplaatst op een document.
Identiteitskaart (eNIK).
Vereist niveau van elektronische handtekening
Artikel 3:15a van het Burgerlijk Wetboek luidt: “Een elektronische handtekening heeft dezelfde rechtsgevolgen als een handgeschreven handtekening indien de methode die daarbij is gebruikt voor authenticatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval13.” Voor afnemers is met name de zinsnede “gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval” relevant. Dit betekent dat niet voor alle doeleinden het hoogste niveau van elektronische handtekening is vereist. De mate van betrouwbaarheid dient te worden beoordeeld aan de hand van het doel waarvoor de elektronische gegevens worden gebruikt en alle overige omstandigheden van het geval.14 Opgemerkt wordt dat een elektronische handtekening strikt genomen betrekking heeft op de authenticiteit van het bericht. De term betrouwbaarheid uit artikel 3:15a BW heeft een veel ruimere reikwijdte en ziet bijvoorbeeld ook op de integriteit15 van het bericht. Het vaststellen van het benodigde niveau van een handtekening dat voldoende betrouwbaar is voor de desbetreffende webdienst/handeling is – net als het vaststellen van de hoogte van het niveau van authenticatie – de verantwoordelijkheid van de afnemer. De afnemer dient een risicoafweging te maken. Wederom wordt opgemerkt dat in geval van een geschil uiteindelijk de rechter zal beoordelen of in de gegeven omstandigheden de desbetreffende gebruikte methode voldoende betrouwbaar is voor rechtsgeldigheid van de elektronische handtekening. Dit wordt 13
Zie ook artikel 2:15 Algemene wet bestuursrecht. Memorie van toelichting op de Wet elektronische handtekeningen, Tweede Kamer, vergaderjaar 20002001, 27 743, nr. 3. 15 Integriteit: is het document na ondertekening door de ondertekenaar gewijzigd? 14
pagina 10/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD
niet centraal vanuit DigiD geregeld aangezien het vereiste betrouwbaarheidsniveau afhangt van de processen en eventuele (sector)wetgeving waar een afnemer mee te maken heeft. Voor het maken van de keuze voor het geschikte niveau van elektronische handtekening zijn enkele handreikingen voor handen: • Zicht op e-dienstverlening van Egem (www.egem.nl http://www.egem.nl/kennisbank/organisatieinrichting/product/zichtop) • Zie ook “Verantwoordelijke Elektronische Overheidsdienstverlening” geactualiseerde versie oktober 2004 van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties • Handleiding voor verwerkers van persoonsgegevens http://www.justitie.nl/images/handleidingwbp_tcm74-38038.pdf?refer=true
pagina 11/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD
3 DigiD en een elektronische handtekening: wie doet wat en is waarvoor verantwoordelijk? DigiD wordt momenteel primair gebruikt voor de functie authenticatie. DigiD verifieert in dat geval iemands identiteit. Omdat DigiD de identiteit van een natuurlijk persoon verifieert, kan het bijdragen aan (de controle die nodig is bij) het gebruik van een elektronische handtekening. Dit betekent dat de afnemer een aantal zaken dient te regelen. In dit hoofdstuk wordt ingegaan op de verdeling van de verantwoordelijkheden indien een afnemer besluit DigiD te gebruiken als een elektronische handtekening.
3.1
Wat regelt DigiD?
Indien een afnemer besluit DigiD in te zetten als een elektronische handtekening verzorgt DigiD het onderdeel “authenticatie”. DigiD is verantwoordelijk voor: 1. Het onderdeel “authenticatie” van de elektronische handtekening. 2. Het kenbaar maken in haar gebruiksvoorwaarden dat de DigiD-inlogcode door afnemers zowel als authenticatiemiddel kan worden gebruikt als voor het plaatsen van een elektronische handtekening. Of de DigiD-inlogcode (eveneens) wordt ingezet voor het zetten van een handtekening is de keuze van een afnemer.
3.2
Wat moet een afnemer zoal regelen?
Hieronder volgt een indicatief overzicht van een aantal zaken waarvoor een afnemer verantwoordelijk is. Let op, dit is geen limitatieve opsomming! 1. De keuze van niveau van elektronische handtekening voor de desbetreffende webdienst.
pagina 12/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD
2. Het toestaan van het gebruik van een bepaalde elektronische handtekening. De afnemer dient dit te regelen in zijn beleid, (gebruiks)voorwaarden16 richting gebruikers (burgers). 3. Het technisch kunnen het plaatsen van de elektronische handtekening. De afnemer dient zorg te dragen voor de “logische associatie17 tussen de ondertekenaar en de elektronische handtekening en vervolgens de elektronische handtekening en het document”. De elektronische handtekening dient op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft, te zijn verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord. Dit dient de afnemer zelf te (laten) bouwen. 4. Het informeren van gebruikers wanneer sprake is van authenticatie en wanneer van het plaatsen van een handtekening. Indien een afnemer ten behoeve van zijn webdienst DigiD – naast de primaire functie van authenticatie – wenst te gebruiken als een elektronische handtekening dan dient het voor gebruikers (burgers en bedrijven) duidelijk te zijn wanneer bij het gebruik van DigiD sprake is van authenticatie en wanneer sprake is van het zetten van een elektronische handtekening. Dit is juist van belang indien voor authenticatie en het plaatsen van elektronische handtekening hetzelfde middel wordt gebruikt (bijvoorbeeld gebruikersnaam met wachtwoord). Opgemerkt wordt dat het gebruik feitelijk dezelfde technische handeling kan zijn, echter de (juridische) consequenties zijn niet hetzelfde!
3.3
Processchema plaatsen elektronische handtekening
Zie onderstaand processchema.
16
Zie bijvoorbeeld de gebruiksvoorwaarden die de Belastingdienst hanteert in het kader van de Aangiftesoftware op http://www.belastingdienst.nl/download/1187.html ,. 17 Met “logisch geassocieerd” wordt bedoeld dat de elektronische gegevens en de andere elektronische gegevens zodanige elektronische toegangskenmerken bevatten dat de computer die deze kenmerken vergelijkt, vaststelt dat zij bij elkaar horen.
pagina 13/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD
DigiD
Afnemer
Voor dienst is authenticatie vereist
Ontvangen verzoek dienst ;
Gebruiker Aanvraag elektronische dienst bij afnemer
Handtekening voorziening
Redirect naar DigiD
Authenticeren bij DigiD authenti catie
Authenticatie geslaagd ; Geeft Sofinummer (BSN)/ A-nummer van gebruiker terug aan afnemer
Voor dienst moet formulier worden ingevuld/gecontroleerd
Vult formulier in
Indienen ingevuld / gecontroleerd formulier
Doornemen voorwaarden ;
Identificatie gebruiker ; beschikbaar stellen dienst
Verzoek akkoord met voorwaarden elektronische handtekening Voorwaarden handtekening
Akkoord met voorwaarden
Akkoord
Redirect naar handtekening voorziening Zetten van elektronische handtekening
Elektronische handtekening geslaagd
Verificatie van identiteit gebruiker
Verzoek DigiD voor verificatie identiteit gebruiker van handtekening
Resultaat
Geef resultaat terug aan afnemer
Geef Sofi-nummer (BSN)/ A-nummer gebruiker terug aan afnemer Geef resultaat terug aan gebruiker Bekijk resultaat en log uit
GBO.Overheid
pagina 14/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD
Bijlage A Voorbeelden van methoden voor het plaatsen van een elektronische handtekening Inleiding In deze bijlage worden voorbeelden van verschillende methoden voor het plaatsen van een elektronische handtekening in combinatie met DigiD. Allereerst worden voorbeeldmethoden uitgewerkt voor het plaatsen van een handtekening geplaatst door gebruikers. Vervolgens wordt een voorbeeldmethode uitgewerkt voor het plaatsen van een handtekening door een afnemer.
Voorbeeld methoden voor het plaatsen van een elektronische handtekening bij DigiD door gebruikers Elektronische handtekening geplaatst door een burger Verschillende methodieken zijn voorhanden voor het plaatsen van een elektronische handtekening bij DigiD voor burgers. Hieronder wordt een aantal voorbeelden gegeven. Voorbeeld Belastingdienst inkomstenbelasting Sinds februari 2006 is het mogelijk om een elektronische aangifte te ondertekenen met de DigiD-inlogcode of met de elektronische handtekening (pincode). De Belastingdienst geeft er de voorkeur aan dat de ondertekening van de elektronische aangifte met een DigiD-inlogcode plaatsvindt in plaats van met een elektronische handtekening (pincode). De Belastingdienst is voornemens op termijn helemaal overstappen op DigiD. De manier waarop de DigiD-inlogcode gebruikt wordt om de aangifte in te vullen, wijkt iets af van het gebruik van de DigiD-inlogcode voor andere overheidsdiensten. Het invullen en ondertekenen van de aangifte vindt namelijk op de computer van de ondertekenaar plaats en niet op een website. Hierdoor ontstaan de volgende verschillen: •
De ondertekenaar wordt niet naar de DigiD-website geleid om zijn inlogcode in te voeren.
•
Als de ondertekenaar zijn aangifte wil verzenden, vult hij zijn DigiD-inlogcode in het aangifteprogramma in.
•
De code wordt gecontroleerd zodra hij zijn aangifte verzendt.
Voorbeeld button “ok” of “onderteken” Een ander voorbeeld van een elektronische handtekening kan zijn dat door middel van een button met bijvoorbeeld “ok” of “onderteken” een elektronische handtekening wordt geplaatst. Partijen zijn overeengekomen dat het plaatsen van elektronische handtekening op deze wijze beschouwd wordt als een rechtsgeldige handtekening.
pagina 15/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD
Voorbeeld WebSign Webflex en Gemnet CSP hebben een samenwerkingsovereenkomst gesloten. Doel van de samenwerking is om aan centrale en decentrale overheden een infrastructurele identiteitsvoorziening te kunnen bieden. Hierbinnen kunnen onder meer DigiD en het WebSign dienstenpakket worden opgenomen. WebSign is een pakket van op platformonafhankelijke webservices gebaseerde vertrouwensdiensten waarmee de betrouwbaarheid, authenticiteit en integriteit van documenten wordt gewaarborgd. De webservices zijn bereikbaar via het Internet en via het Gemnetnetwerk. De WebSign-diensten kunnen eenvoudig worden geïntegreerd in de bestaande infrastructuur van een organisatie. WebSign heeft een webapplicatie beschikbaar, waar de gebruiker een document (PDF, Word, of een willekeurig ander formaat) kan aanbieden. Hierna wordt de gebruiker door het proces van plaatsen van de elektronische handtekening geleid. Via WebSign is het ook mogelijk burgers en bedrijven in staat stellen een handtekening te zetten onder elektronische formulieren met hun DigiD-inlogcode. Hiermee is een organisatie in staat verantwoording af te leggen over de verstrekte informatie en voldoet ze aan het schriftelijkheidsvereiste in de wetgeving. Het WebSign-platform is gekoppeld met DigiD. Bij deze vorm van de elektronische handtekening dient de gebruiker zich te authenticeren bij DigiD, waarna WebSign het sofi- of A-nummer van de gebruiker krijgt. De aanvrager vult in de frontoffice een HTML-formulier in en klikt op een button om te verwerken. Vervolgens wordt een PDF-document getekend met behulp van het server-certificaat van de WebSign-server, waarbij het sofi- of A-nummer wordt toegevoegd aan het handtekeningveld. Hierdoor ontstaat een persoonsgebonden handtekening. De dienst ondersteunt het huidige niveau van gebruikersnaam en wachtwoord, maar is ook geschikt voor de zwaardere niveaus die in de toekomst worden voorzien. Het is tevens mogelijk om een afbeelding toe te voegen aan het handtekeningveld. Zo kan bijvoorbeeld het logo van de organisatie of een gescande persoonlijke handtekening worden ingevoegd. Hiermee kan de herkenbaarheid van en het vertrouwen in de elektronische handtekening worden vergroot. De burger plaatst in dit kader van DigiD met naam / wachtwoord een gewone elektronische handtekening, die daarna met een aantal extra waarborgen wordt omgeven. Voorbeeld PKI voor de overheid Wat zijn certificaten? Een digitaal certificaat is uniek gekoppeld aan één persoon en voldoet aan internationale PKI-standaarden. Iemand die gebruik wil maken van PKI moet beschikken over een dergelijk certificaat. Dit certificaat bevat onder meer informatie over de eigenaar van het certificaat zoals de naam en de organisatie die wordt vertegenwoordigd, de uitgever van het certificaat, de periode waarbinnen het certificaat geldig is en voor welke doeleinden het certificaat mag worden gebruikt. Zo kan een certificaat bedoeld zijn voor versleuteling van gegevens, voor identificatie of voor het zetten van een elektronische handtekening. Certificaten worden altijd in een hiërarchie geplaatst. Op het stamcertificaat na, zijn alle certificaten in de hiërarchie onbetwistbaar gekoppeld aan een hoger liggend certificaat. Dit maakt het mogelijk om een certificaat terug te leiden tot een stamcertificaat, de hoogste in de hiërarchie en daarmee het centrale punt van vertrouwen (zie Figuur 1).
pagina 16/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD
Stamcertificaat
Domeincertificaat CSPcertificaat
CSPcertificaat
CSPcertificaat
Eindgebruikercertificaat
Figuur 1 Certificaten hiërarchie De Nederlandse overheid heeft een dergelijk stamcertificaat. Door vertrouwen te leggen in dit stamcertificaat, kunnen ook certificaten lager in de hiërarchie worden vertrouwd. Er zijn hoge eisen gesteld aan uitgevers van certificaten binnen de hiërarchie van de overheid, ofwel certificaten die binnen PKI voor de overheid vallen. Hierdoor hebben certificaten binnen deze hiërarchie een hoog betrouwbaarheidsniveau. Meer informatie vindt u op
www.pkioverheid.nl
pagina 17/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD
Bijlage B Voorbeeldmethode voor het plaatsen van een elektronische handtekening DigiD door een afnemer Verschillende methodieken zijn voorhanden voor het plaatsen van een elektronische handtekening bij DigiD geplaatst door een afnemer. Hieronder is een voorbeeld opgenomen. Voorbeeld WebSign en gemeente Beverwijk Door integratie van WebSign in de frontoffice van een gemeente kunnen volledig geautomatiseerd uittreksels uit de GBA worden uitgegeven. Het frontoffice-systeem dient daartoe gekoppeld te zijn aan de backoffice, voor het verkrijgen van de juiste gegevens. Het elektronische waarmerk wordt geplaatst met behulp van een PKIoverheidcertificaat, dat op het frontoffice-systeem van de gemeente is geïnstalleerd. De ontvanger heeft alleen een PC met Internet nodig en daarop Acrobat-reader. In geval van Beverwijk is er voor gekozen om een machine de handtekening te laten zetten, hierdoor is er conform de wet op de elektronische handtekening (WEH) sprake van een geavanceerde handtekening.
Figuur 2: WebSign-toepassing in Beverwijk: Uitgifte van elektronisch gewaarmerkte uittreksels
pagina 18/18
versie 1.0 definitief
documentnr. 2006/6035
onderwerp Mogelijkheden elektronische handtekening en DigiD