Richtlijn elektronische diensten en eenvoudige elektronische handtekening voor DKD Versie 1.0 Datum: 26 februari 2007
Richtlijn elektronische diensten en eenvoudige elektronische handtekening
Inhoudsopgave 1. INLEIDING ............................................................................................... 3 1.1 ALGEMEEN ........................................................................................... 3 1.2 DOELSTELLING DOCUMENT. ..................................................................... 3 1.3 SCOPE ................................................................................................ 3 1.4 BRONVERMELDING ................................................................................ 4 1.5 VERSIEGESCHIEDENIS ............................................................................ 4 1.6 GOEDKEURING EN ONDERHOUD ................................................................ 4 2. UITGANGSPUNTEN ELEKTRONISCHE DIENSTVERLENING......................... 5 2.1 TOEPASSELIJK KADER............................................................................. 5 2.2 UITGANGSPUNTEN WEBV EN AWB ............................................................. 5 2.3 BEVEILIGING EN BETROUWBAARHEID......................................................... 6 3. WET 3.1 3.2 3.3
ELEKTRONISCHE HANDTEKENING .................................................... 8 DEFINITIE ELEKTRONISCHE HANDTEKENING ................................................ 8 FUNCTIES VAN DE ELEKTRONISCHE HANDTEKENING ....................................... 8 VORMEN VAN ELEKTRONISCHE HANDTEKENING ............................................. 9
4. EISEN ELEKTRONISCHE DIENSTEN, INRICHTINGSASPECTEN................. 11 4.1 IDENTIFICATIE EN AUTHENTICATIE.......................................................... 11 4.2 VEILIGE DATACOMMUNICATIE ................................................................ 11 4.3 AUTORISATIE TOT (PERSOONS)GEGEVENS ................................................ 11 4.4 VASTLEGGING SESSIEGEGEVENS AUTHENTICATIE ........................................ 12 4.5 MELDING ONTVANGST AANVRAAG ........................................................... 12 4.6 SCHERM MEDEDELING ELEKTRONISCHE HANDTEKENING ................................ 12 4.7 KANAALKEUZE KLANT ........................................................................... 13 4.8 GEBRUIKERSVOORWAARDEN WEBDIENST .................................................. 13 5. TOEPASSING EENVOUDIGE ELEKTRONISCHE HANDTEKENING BIJ INDIENING AANVRAAG UITKERING OF BEZWAARSCHRIFT. ....................... 14 5.1 PROCESGANG PLAATSING EENVOUDIGE ELEKTRONISCHE HANDTEKENING .......... 14
Pagina 2 van 15
Richtlijn elektronische diensten en eenvoudige elektronische handtekening
1.
Inleiding
1.1
Algemeen
De samenwerkende partijen in de keten van werk en inkomen willen meer maatwerk gaan leveren aan verzekerden en werkgevers als het gaat om de bereikbaarheid van de organisatie, het aanvragen van een uitkering en het leveren van gegevens. Gezamenlijk wordt dan ook gewerkt aan dienstverlening via meerdere kanalen (multichannel). De klant moet kunnen kiezen uit de kanalen waarlangs de dienstverlening wordt aangeboden. De kanalen en dienstverlening worden hierbij zo ingericht dat ze aansluiten op de klantprocessen. Dat wil zeggen dat ze van buiten naar binnen worden ingericht. Hierdoor wordt aangesloten op de logica en de taal van de klant. Via elektronische koppelingen zijn de verschillende kanalen verbonden met dat deel van de organisatie waar de werkzaamheden worden uitgevoerd. Door medewerkers, maar in toenemende mate ook door computers. Het resultaat wordt via een of meerdere kanalen aan burgers en bedrijven geleverd. Bij dienstverlening aan de klant via meerdere kanalen is het belangrijk om voldoende zekerheid te hebben over de identiteit van de klant voor rechtsgeldige communicatie. Binnen de keten voor werk en inkomen is het voor de diensten via Internet noodzakelijk om te beschikken over een authenticatievoorziening die de identiteit van de klant met een bepaalde mate van zekerheid vaststelt. Om voor de klanten een digitale sleutelbos te voorkomen en om onnodige kosten voor ontwikkeling en beheer te vermijden is er voor gekozen om één nationale authenticatievoorziening voor alle overheidsorganen te ontwikkelen. De overheid heeft deze authenticatievoorziening ontwikkeld onder de naam van DigiD. DigiD staat voor Digitale Identiteit. De DigiD toegangscodes worden gebruikt voor het vaststellen van de identiteit van de klant en voor de betrouwbaarheid bij het plaatsen van een eenvoudige elektronische handtekening. Binnen de keten voor werk en inkomen is ervoor gekozen om de DigiD authenticatievoorziening in te zetten voor webdiensten via het Internet. Binnen de keten voor werk en inkomen zal bij de inrichting van de elektronische diensten langs meerdere kanalen onder meer rekening moeten worden gehouden met eisen uit de Algemene wet bestuursrecht en de Wet op het elektronisch bestuurlijk verkeer. Zo is in de Algemene wet bestuursrecht bepaald dat de aanvraag tot het geven van een beslissing ingediend bij een bestuursorgaan wordt ondertekend. Deze richtlijn gaat nader in op de eisen voor inrichting van de elektronische diensten binnen de keten voor werk en inkomen en het plaatsen van de eenvoudige elektronische handtekening onder webformulieren.
1.2
Doelstelling document.
Het beschrijven van de relevante eisen uit de wettelijke kaders voor elektronische diensten langs meerdere kanalen en het maken van een vertaalslag naar een praktische toepassing.
1.3
Scope
De in dit document beschreven eisen worden voorgeschreven voor alle webdiensten binnen de keten van werk en inkomen waarbij wordt uitgegaan van de DigiD authenticatiedienst welke ingezet wordt binnen het DKD portaal of de portalen van de samenwerkende partijen binnen de keten van werk en inkomen.
Pagina 3 van 15
Richtlijn elektronische diensten en eenvoudige elektronische handtekening
1.4 • • • • • • • • • • • • • • • • • • • • • • • •
Bronvermelding
Elektronische handtekening met DigiD, Harry Gijzen, Hidde Andriessen, Daniel s.a. Khan 4 september 2006 Strategisch Beleid B&P Tactisch Beleid B&P Verantwoordingsrichtlijn Suwinet PSA Digitaal Klantdossier UWV 2006 versie 0.9 Achtergrond Studies en Verkenningen 23 (AV-23) van CBP E-authenticatie voor managers ECP.nl Dossier e-Authenticatie ECP.nl Dossier Elektronische handtekening en certificatieverleners ECP.nl Stand van zaken e-Authenticatie in Nederland ECP.nl E-OK Raamwerk ECP.nl DigiD Betrouwbaarheidsniveaus Authenticatie en handtekening versie 1.3 Handreiking aanwijzingen en specificaties DigiD versie 1.0 - 12 juli 2005 Architectuur DigiD 1.3 PKI Overheid Factsheet De elektronische handtekening E-overheid De Wet Elektronische Handtekeningen Wet SUWI Wet bescherming persoonsgegevens (WBP) Wet Elektronisch Bestuurlijk Verkeer (Webv) UWV Handreiking inzake gebruik DigiD (versie 0.3) DigiD – De sleutel tot het UWV dossier versie 1.0 Mogelijkheden elektronische handtekening en DigiD concept 1.0 UWV E-mail beleid versie 0.8 Multichanneling – Richting en Aanpak versie 0.44
1.5
Versiegeschiedenis
Versie Datum
Verschil met voorgaande versie
0.1
23 januari 2007
Eerste versie structuur
0.2
12 februari 2007
Aanpassing na review van werkgroep DKD Privacy en Beveiliging
1.0
26 februari 2007
Definitieve versie
1.6
Goedkeuring en onderhoud
Dit document is opgesteld door de werkgroep DKD Privacy en Beveiliging en binnen de Domeingroep Privacy en Beveiliging afgestemd met de CWI, UWV, SVB, CP/ICT, BKWI en IB. Het document is op xx-xx-2007 vastgesteld door het Algemeen KetenOverleg (AKO). De goedkeuring van dit document vindt plaats door de Domeingroep Privacy en Beveiliging (DPB). Onderhoud van dit document wordt gedaan door de DPB of door een andere partij in opdracht van de DPB. Nieuwe versies van dit document zullen worden voorgelegd aan het DPB ter goedkeuring.
Pagina 4 van 15
Richtlijn elektronische diensten en eenvoudige elektronische handtekening
2.
Uitgangspunten elektronische dienstverlening
2.1
Toepasselijk kader
De Wet elektronisch bestuurlijk verkeer (Webv) vult de Algemene wet bestuursrecht (Awb) aan met regels voor het verkeer langs elektronische weg tussen burgers en bestuursorganen en tussen bestuursorganen onderling. Onder elektronisch bestuurlijk verkeer wordt verstaan: iedere vorm van elektronische gegevensuitwisseling met een ander (bestuursorganen met burgers en bestuursorganen onderling). Het gaat hierbij onder meer om e-mail, Internet en Intranet, fax en sms. In de Webv wordt elektronisch verkeer in beginsel gelijkgesteld met schriftelijk verkeer. De Webv formuleert abstracte normen waaraan elektronisch verkeer moet voldoen teneinde voldoende beveiligd te zijn. De wijze waarop aan deze normen kan worden voldaan, is afhankelijk van de stand van de techniek. De normen kunnen technisch worden uitgewerkt in bijzondere regelgeving, gedragscodes of protocollen.
2.2
Uitgangspunten Webv en Awb
Hieronder worden de belangrijkste algemene uitgangspunten uit de Webv en Awb weergegeven. Voor een gedetailleerdere beschrijving van deze uitgangspunten wordt verwezen naar het document “DigiD Beleid voor DKD versie 1.0”. Vrije kanaalkeuze burgers Burgers mogen er niet toe worden gedwongen om gebruik te maken van elektronisch verkeer. Het moet zijn gewaarborgd dat bepaalde burgers of groepen in de samenleving, die niet wensen of kunnen deelnemen aan elektronisch verkeer toegang blijven houden tot informatie via de overige kanalen. Kenbaarmaking kanaalkeuze burger De burger moet van tevoren kenbaar hebben gemaakt dat hij/zij langs deze weg bereikbaar is. Een verantwoordelijk mag er niet van uitgaan dat een betrokkene via elektronisch verkeer voldoende bereikbaar is als deze, naast persoonsgegevens, ook zijn/haar e-mailadres heeft opgegeven. Principe van nevenschikking Het elektronische communicatiekanaal mag de papieren versie niet volledig verdringen. Immers, niet iedereen heeft toegang tot een computer. Derhalve is het een bestuursorgaan niet toegestaan bepaalde zaken alleen nog langs elektronische weg te doen, tenzij álle betrokkenen hiermee instemmen. Tijdstip van verzending en ontvangst Het is van belang om het tijdstip van verzending en ontvangst vast te leggen in verband met bepaalde termijnen waarbinnen een beslissing afgegeven of bezwaar ingediend kan worden. Tijdstip van verzending Als tijdstip waarop een bericht door een bestuursorgaan elektronisch is verzonden, geldt het tijdstip waarop het bericht een systeem voor gegevensverwerking bereikt waarover het bestuursorgaan geen controle heeft (bijvoorbeeld het systeem van de internet serviceprovider. Tijdstip van ontvangst
Pagina 5 van 15
Richtlijn elektronische diensten en eenvoudige elektronische handtekening Het bestuursorgaan moet de ontvangst van een elektronisch ingediende aanvraag altijd bevestigen (artikel 4:3a Awb). Als tijdstip waarop een bericht door een bestuursorgaan wordt ontvangen, geldt het tijdstip waarop het bericht zijn systeem voor gegevensverwerking heeft bereikt (artikel 2:17 Awb). Juridische bekendmaking Als een betrokkene onvoldoende kenbaar heeft gemaakt dat hij/zij elektronisch bereikbaar is en/of niet gereageerd heeft op het bericht, kan niet per definitie van uit worden gegaan dat een elektronisch bericht daadwerkelijk is aangekomen. In dat geval zal ook van de conventionele weg gebruik gemaakt moeten worden. De conventionele (papieren) versie geldt dan als officiële juridische bekendmaking (artikel 3:42 Awb). Ondertekening Artikel 4:2 van de Awb stelt de eis dat de aanvraag tot het geven van een beslissing ingediend bij een bestuursorgaan wordt ondertekend. De ondertekening van de aanvraag vult de volgende functies in: De eerste functie is om de aanvrager te identificeren. De tweede functie betreft de wilsuiting.
Met de ondertekening gaat de klant akkoord met de aanvraag en bijbehorende inhoud. Artikel 2:16 Awb bepaalt dat een elektronische handtekening met een conventionele handtekening mag worden gelijkgesteld indien de methode voor authenticatie voldoende betrouwbaar is.
2.3
Beveiliging en betrouwbaarheid
Berichten die langs elektronische weg door bestuursorganen worden verzonden of ontvangen, dienen in voldoende mate beveiligd te zijn. In de Webv wordt deze eis tot uitdrukking gebracht door te spreken van betrouwbaarheid en vertrouwelijkheid. De volgende aanduidingen geven een goede uitwerking aan de open normen van betrouwbaarheid en vertrouwelijkheid:
Authenticiteit = oorsprong van het document: de zekerheid dat gegevens werkelijk van de afzender afkomstig zijn
Integriteit = de zekerheid dat gegevens volledig zijn en niet onbevoegd zijn gewijzigd. Onweerlegbaarheid = het voorkomen van weerlegbaarheid; onloochenbaarheid. Transparantie = de mogelijkheid dat wijzigingen van de gegevens achteraf kunnen worden opgespoord en inzichtelijk kunnen worden gemaakt. Beschikbaarheid = toegankelijkheid en bereikbaarheid van het document. Flexibiliteit = de mate waarin aan nieuwe of oude gebruikseisen kan worden voldaan. Vertrouwelijkheid = exclusiviteit: het document is alleen toegankelijk voor hen voor wie het is bestemd.
Bij elektronisch verkeer zullen deze beginselen in acht genomen moeten worden. Net als in de WBP vereist de Webv dat betrouwbaarheid en vertrouwelijkheid zijn gewaarborgd. De verantwoordelijke moet hierbij letten op de aard en inhoud van het bericht (risicoklasse) en het doel waarvoor het wordt gebruikt. Ofwel; steeds moet worden beoordeeld of en in hoeverre de elektronische vorm functioneel is en in voldoende mate de betrouwbaarheid verschaft die past bij de aard, inhoud en doel van het bericht. De elektronische weg moet ‘functioneel adequaat’ zijn, dat wil zeg-
Pagina 6 van 15
Richtlijn elektronische diensten en eenvoudige elektronische handtekening gen: met de elektronische weg moeten minstens dezelfde functies kunnen worden gerealiseerd als met de conventionele weg.
Pagina 7 van 15
Richtlijn elektronische diensten en eenvoudige elektronische handtekening
3.
Wet elektronische handtekening
3.1
Definitie elektronische handtekening
De Wet elektronische handtekening (WEH) biedt de mogelijkheid om documenten elektronisch te ondertekenen. De WEH onderscheidt verschillende soorten elektronische handtekeningen en geeft de waarborgen en de rechtskracht aan die bij die verschillende soorten handtekeningen horen. Definitie elektronische handtekening Binnen de memorie van toelichting van artikel 15a boek 3 van het Burgerlijk Wetboek wordt de volgende definitie gehanteerd voor de elektronische handtekening: Artikel 15a Dit artikel regelt de rechtsgevolgen van het gebruik van elektronische handtekeningen. Lid 4 bepaalt dat onder «elektronische handtekening» wordt verstaan de elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authenticatie. Met «logisch geassocieerd» wordt bedoeld dat de elektronische gegevens en de overige elektronische gegevens zodanige elektronische toegangskenmerken bevatten, dat de computer die deze kenmerken vergelijkt, vaststelt dat zij bij elkaar horen. Op grond van het eerste lid van dit artikel geldt dat een elektronische handtekening dezelfde rechtsgevolgen heeft als een handgeschreven handtekening mits aan een aantal voorwaarden is voldaan. De methode van authenticatie dient voldoende betrouwbaar te zijn. De mate van betrouwbaarheid dient te worden beoordeeld aan de hand van het doel waarvoor de elektronische gegevens werden gebruikt en alle overige omstandigheden van het geval.
3.2
Functies van de elektronische handtekening
De elektronische handtekening wordt gebruikt voor de volgende functies: • • •
Identificatie Authenticatie Wilsuiting
Identificatie is het kenbaar maken van de identiteit van een subject (een gebruiker of een proces) in de informatietechnologie. De identiteit wordt gebruikt om de toegang van het subject tot een object te beheersen. Een object is bijvoorbeeld een computerbestand of een record in een database. Identificatie en authenticatie kan op verschillende manieren plaatsvinden: • • •
Gebruik van een gebruikersnaam of user-id op inlogschermen; Gebruik van een vingerafdruk of ander biometrisch kenmerk; Gebruik van een token (zoals een smartcard).
Vanuit de optiek van informatiebeveiliging is identificatie van een subject de eerste stap in het autorisatieproces. De tweede stap is authenticatie, het verifiëren van de juistheid van de geclaimde identiteit. De derde stap in dit proces is autorisatie, het vaststellen of het subject toegang tot het object mag verkrijgen. Als vierde stap kan worden genoemd het vaststellen of het subject namens een ander subject is gemachtigd taken uit te voeren en waarvoor dit andere subject autorisatie verleent. Het machtigen valt echter buiten de scope van dit document. Om de identiteit op een zinvolle manier te gebruiken, is het noodzakelijk dat elke toegepaste identiteit uniek is. Doorgaans gebeurt dit door aan iedere gebruiker van de informatievoorziening en aan elk geautomatiseerd proces een unieke gebruikersPagina 8 van 15
Richtlijn elektronische diensten en eenvoudige elektronische handtekening naam toe te kennen en deze identiteit te beveiligen met een persoonlijk wachtwoord dat de gebruiker dan ook geheim moet houden. Als laatste functie voor de elektronische handtekening moet de wilsuiting van de ondertekenaar vastgelegd worden. Artikel 4:2 van de Awb stelt de eis dat de aanvraag tot het geven van een beslissing ingediend bij een bestuursorgaan is ondertekend. Met het plaatsen van een elektronische handtekening geeft de aanvrager te kennen dat hij/zij akkoord gaat met de aanvraag en bijbehorende inhoud voor een uitkering/voorziening of indiening van een bezwaar- dan wel beroepschrift.
3.3
Vormen van elektronische handtekening
In het Burgerlijk Wetboek wordt een elektronische handtekening beschreven als een pakket dat bestaat uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authenticatie (art. 3:15a, vierde lid BW) Binnen de omschrijving van de elektronische handtekening, zoals het Burgerlijk Wetboek deze geeft, passen bijvoorbeeld: Pincode, biometrie, dynamische handtekening (digitale pen), ondertekening van de elektronische belastingaangifte. De eenvoudige elektronische handtekening Een eenvoudige handtekening kan een e-mailbericht, webformulier zijn waarin persoonsgegevens staan of een ingescande handtekening. Uiteraard moet deze handtekening voldoen aan art. 3:15a, vierde lid BW, oftewel de elektronische handtekening moet bestaan uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die gegevens worden gebruikt als middel voor authenticatie. De rechtskracht van een eenvoudige elektronische handtekening Een eenvoudige elektronische handtekening heeft dezelfde rechtskracht als een schriftelijke handtekening, maar bij twijfel moet de burger op een of andere manier de betrouwbaarheid van zijn elektronische handtekening aantonen en beslist de rechter over de geldigheid. De rechter is vrij in het toekennen van bewijskracht aan de elektronische handtekening. In het algemeen zal de rechter eerder besluiten de gebruikte elektronische handtekening dezelfde rechtsgevolgen als de handgeschreven handtekening toe te kennen als de rechter overtuigd is van de betrouwbaarheid en authenticiteit. Om te beoordelen of in een bepaald geval een elektronische handtekening voldoende betrouwbaar is, dient te worden gelet op de aard en de inhoud van het bericht en het doel waarvoor het wordt gebruikt. Geavanceerde elektronische handtekening De geavanceerde elektronische handtekening bestaat uit gegevens over de ondertekenaar en een certificaat van een certificaatdienstverlener. Aan de geavanceerde elektronische handtekening worden een aantal vereisten gesteld bovenop de eisen die aan een eenvoudige elektronische handtekening worden gesteld, deze vereisten kan men hieronder vinden. De vereisten voor een geavanceerde elektronische handtekening Zij is op unieke wijze aan de ondertekenaar verbonden. Zij maakt het mogelijk de ondertekenaar te identificeren. Zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden. Zij is op zodanige wijze aan het elektronische bestand waarop zij betrekking heeft verbonden dat elke wijziging achteraf van de gegevens kan worden opgespoord.
Pagina 9 van 15
Richtlijn elektronische diensten en eenvoudige elektronische handtekening Zij is gebaseerd op een gekwalificeerd certificaat dat voldoet aan strenge eisen zoals gesteld in de telecommunicatiewet. Zij is gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen (bijv. smartcard). De laatste twee vereisten zijn een gevolg van de inwerkingtreding van de WEH.
De rechtskracht van een geavanceerde elektronische handtekening De handtekening heeft door het gekwalificeerde certificaat dwingende bewijskracht; aan de betrouwbaarheid van de handtekening wordt niet meer getwijfeld.
Pagina 10 van 15
Richtlijn elektronische diensten en eenvoudige elektronische handtekening
4.
Eisen elektronische diensten, inrichtingsaspecten
De uitgangspunten uit de toepasselijke kaders worden in dit hoofdstuk vertaald naar eisen en inrichtingsaspecten voor elektronische dienstverlening en de elektronische handtekening. Voor elke eis en bijbehorend inrichtingsaspect volgt een korte toelichting. De eisen worden hieronder cursief weergegeven.
4.1
Identificatie en authenticatie
De identificatie en authenticatie van de klant moet met een bepaalde mate van betrouwbaarheid vastgesteld worden Voor eigenaren van elektronische (web)diensten binnen de keten van werk en inkomen is het nodig om met “voldoende zekerheid” te weten welke klant de diensten vraagt. Voor de webdiensten is het dan ook noodzakelijk om te beschikken over een authenticatievoorziening die de identiteit van de klant met een bepaalde mate van zekerheid vaststelt. Hiertoe wordt gebruik gemaakt van de authenticatievoorziening DigiD. Na succesvolle identificatie en authenticatie kunnen persoonsgegevens aan de klant via de webdienst worden getoond. Het kan voorkomen dat de klant zich heeft geauthenticeerd met betrouwbaarheidsniveau basis en vervolgens diensten wil afnemen welke een hoger betrouwbaarheidsniveau vragen. Wanneer dit aan de orde is, zal de klant binnen de sessie alsnog zich moeten authenticeren met een hoger betrouwbaarheidsniveau.
4.2
Veilige datacommunicatie
Afhankelijk van de classificatie moeten persoonsgegevens versleuteld uitgewisseld worden over de datalijnen Daar met de klant of werkgever persoonsgegevens uitgewisseld gaat worden of de klant of werkgever persoonsgegevens gaat inzien via de elektronische diensten van de keten voor werk en inkomen is het vereist dat de gegevensuitwisseling tussen de klant en de dienst afhankelijk van de classificatie van de persoonsgegevens versleuteld plaatsvindt. Bij uitwisseling van persoonsgegevens van risicoklasse II en III is versleuteling een vereiste. De communicatie tussen de klant en de webdienst van de keten voor werk en inkomen moet dan ook versleuteld plaats vinden alsmede de communicatie tussen de webdienst van de keten voor werk en inkomen en de authenticatieserver van DigiD.
4.3
Autorisatie tot (persoons)gegevens
De klant mag alleen toegang hebben tot zijn eigen (persoons)gegevens De klant mag alleen toegang hebben tot zijn eigen persoonsgegevens zoals opgenomen in de verschillende registraties binnen de keten voor werk en inkomen. De persoonsgegevens mogen alleen gebruikt worden binnen de omgekeerde intake als de klant over een geactiveerde toegangscode van DigiD beschikt. De burger mag met een nog niet geactiveerde toegangscode van DigiD wel aanvragen of verzoeken tot dienstverlening indienen mits alle persoonsgegevens door burger zelf wordt ingevuld binnen het webformulier. Aan werkgevers mogen alleen die werknemer gegevens getoond worden waarbij hij is aan te merken als belanghebbende in de zin van de Awb. De werkgever mag alleen gegevens van zijn werknemers zien, voor zover hij hier belang bij heeft.
Pagina 11 van 15
Richtlijn elektronische diensten en eenvoudige elektronische handtekening
4.4
Vastlegging sessiegegevens authenticatie
De sessiegegevens van het authenticatieproces met DigiD moeten worden vastgelegd bij webformulieren die ondertekend moeten worden. Ingeval van aanvragen tot een uitkering/voorziening, het indienen van een bezwaar of beroepschrift moeten de volgende sessiegegevens inclusief tijdstempel worden vastgelegd binnen het webformulier naast de overige webformuliergegevens.
Authenticatiebewijs van DigiD (dit is het antwoordbericht van de A-Select server op de vraag van de applicatie om de authenticatie te verifiëren) Datum en tijdstip van authenticatie Uniek volgnummer webformulier/aanvraagnummer
In het geval dat de klant zich een tweede maal met een hoger betrouwbaarheidsniveau moet authenticeren of met SMS authenticatie zijn eenvoudige elektronische handtekening gaat plaatsen, zullen bovengenoemde sessiegegevens aangevuld moeten worden met de nieuwe gegevens uit het authenticatieproces en opgenomen in het webformulier naast de overige formuliergegevens.
4.5
Melding ontvangst aanvraag
Aan de klant moet de ontvangst van een verzoek of aanvraag bevestigd worden. Bij aanvragen tot een uitkering/voorziening, het indienen van een bezwaar of beroepschrift moet de ontvangst van de aanvraag bevestigd worden richting de aanvrager. Dit kan via een scherm mededeling bij webdiensten. De volgende gegevens moeten naast de specifieke formulier gegevens worden opgenomen in het webformulier en kunnen ook getoond worden binnen de scherm mededeling richting de aanvrager: • •
Uniek volgnummer webformulier / aanvraagnummer Datum en tijdstip van ontvangst van de aanvraag door de ketenpartij
Bij aanvragen/verzoeken via de e-mail zal aan de klant een bevestiging van ontvangst via de e-mail of een brief via de post aangeboden moeten worden met vermelding van datum en tijdstip van ontvangst.
4.6
Scherm mededeling elektronische handtekening
Middels een scherm mededeling moet de klant erop worden geattendeerd dat hij/zij een elektronische handtekening gaat plaatsen. Bij de aanvraag tot een uitkering/voorziening, het indienen van een bezwaar of beroepschrift moet de elektronische handtekening geplaatst worden binnen het webformulier. Voor de webdiensten binnen de keten voor werk en inkomen betreft het een eenvoudige elektronische handtekening waarvoor de DigiD toegangscodes van het betrouwbaarheidsniveau basis en midden ingezet kunnen worden. De aanvrager moet via een scherm mededeling erop worden geattendeerd dat hij op het punt staat zijn aanvraag af te ronden en zijn wilsuiting kenbaar maakt middels het plaatsen van de elektronische handtekening. Na plaatsing van de handtekening moet de aanvrager via een schermmededeling geïnformeerd worden dat hij/zij de aanvraag elektronisch heeft ondertekend. Naast de sessiegegevens met de authenticatieserver van DigiD zoals beschreven bij 4.4 moeten ook de sessiegegevens van de aanvrager met de webdienst van de keten voor werk en inkomen en de tijdstempel worden opgenomen in het webformulier. Hiermee wordt invulling gegeven aan de logische associatie zoals beschreven in de memorie van toelichting in artikel 3.15a van het Burgerlijk Wetboek. De sessiegegevens van de DigiD authenticatieserver worden hierbij gebruikt voor identificatie en Pagina 12 van 15
Richtlijn elektronische diensten en eenvoudige elektronische handtekening authenticatie welke dan vervolgens worden aangevuld met de sessie gegevens van de webdienst voor de wilsuiting (akkoord met de inhoud). De verzamelde en vastgelegde set van elektronische gegevens zijn dan logisch met elkaar te associëren.
4.7
Kanaalkeuze klant
Klanten hebben een vrije keuze in het communicatie kanaal. Klanten moeten van tevoren expliciet kenbaar hebben gemaakt dat hij zij langs deze weg diensten willen afnemen of correspondentie ontvangen. Een verantwoordelijk mag er niet van uitgaan dat een betrokkene via elektronisch verkeer voldoende bereikbaar is als deze, naast persoonsgegevens, ook zijn/haar e-mailadres heeft opgegeven.
4.8
Gebruikersvoorwaarden webdienst
Klanten moeten verwezen worden en akkoord gaan met de gebruikersvoorwaarden. Alvorens burgers gebruik kunnen maken van de webdiensten van de samenwerkende partners binnen de keten van werk en inkomen, zullen zij de gebruikersvoorwaarden van DigiD en de webdienst (DKD) moeten accepteren. In deze gebruikersvoorwaarden wordt de gebruiker onder andere verantwoordelijk gesteld voor de juistheid en volledigheid van de door de hem/haar ingevoerde gegevens. Voorts wordt de gebruiker gewezen op het vertrouwelijke karakter van DigiD en de webdienst toepassingen van de keten voor werk en inkomen en de consequenties van misbruik en oneigenlijk gebruik. Binnen de webdiensten van de keten voor werk en inkomen zal nadrukkelijk een verwijzing naar de gebruikersvoorwaarden moeten worden opgenomen.
Pagina 13 van 15
Richtlijn elektronische diensten en eenvoudige elektronische handtekening
5. Toepassing eenvoudige elektronische handtekening bij indiening aanvraag uitkering of bezwaarschrift. 5.1
Procesgang plaatsing eenvoudige elektronische handtekening
Hieronder zal stapsgewijs de procesgang beschreven worden voor het plaatsen van de eenvoudige elektronische handtekening binnen webformulieren. 1. De klant authenticeert zich met DigiD voor de webdienst. Na succesvolle authenticatie mag binnen de webdienst een voorvulling van de persoonsgegevens uit de keten administraties en overige leverende bronnen plaatsvinden. Zonder een geactiveerde toegangscode van DigiD mag aan de klant geen persoonsgegevens getoond worden in de voorvulling. Voorinvulling van webformulieren conform de nieuwe wet eenmalige gegevensuitvraag is dan nog niet aan de orde. De klant mag echter wel het webformulier zelf volledig handmatig invullen bij aanvragen tot een dienst. De sessiegegevens van het authenticatieproces moeten worden vastgelegd naast de overige gegevens binnen het webformulier. Het authenticatieproces in deze stap heeft als doel het identificeren en authenticeren van de klant. 2. De klant kan gegevens aanvullen binnen het webformulier of gegevens corrigeren waarvan hij of zij de beheerder is (bijvoorbeeld mobiel nummer of email adres). Gegevens afkomstig uit authentieke bronnen mogen door de klant niet direct gewijzigd kunnen worden. Binnen de webdienst moet de klant verwezen worden naar de beherende instantie welke de gegevens uit de authentieke bronnen mogen corrigeren op verzoek van de klant. 3. Bij het plaatsen van de eenvoudige elektronische handtekening moet de klant via een schermmededeling erop worden geattendeerd dat hij op het punt staat zijn eenvoudige elektronische handtekening staat te plaatsen. 4. De klant zal zich eventueel nogmaals moeten authenticeren voor het plaatsen van de eenvoudige elektronische handtekening (het plegen van de wilsuiting). Het authenticatieproces aan de kop van het proces had als doel de klant te identificeren en invulling te geven aan de eisen van de WBP. Zonder een tweede authenticatieproces zullen webdiensteigenaren een vrijbrief hebben voor de inhoud van de webformulieren. Het tweede authenticatieproces heeft als doel het vastleggen van de wilsuiting van de klant en daarmee het akkoord gaan met de inhoud van de aanvraag. 5. In het geval dat de webdienst is ingericht voor authenticatie met enkel het betrouwbaarheidsniveau basis van DigiD, is een tweede authenticatie stap niet nodig. Er worden vanuit de DigiD authenticatieserver geen nieuwe gegevens aangeboden dan al vastgelegd bij stap 1. De wilsuiting van de klant moet echter nog wel worden vastgelegd. Hiertoe moeten de sessiegegevens met de webdienst van de keten voor werk en inkomen worden vastgelegd naast de overige gegevens van het webformulier. Het moment van het akkoord klikken van de OK-button zal moeten worden vastgelegd. Datum en tijdstip samen het unieke volgnummer van het webformulier/aanvraagnummer zal moeten worden toegevoegd aan de overige gegevens van het webformulier. Met de vastgelegde gegevens uit stap 1, 2 en 6 zal invulling gegeven kunnen worden aan de bewijslast en daarmee de Pagina 14 van 15
Richtlijn elektronische diensten en eenvoudige elektronische handtekening rechtsgeldigheid van de aanvraag. Op deze manier wordt een set van elektronische gegevens verzameld die gebruikt zijn als middel voor authenticatie en logisch met elkaar zijn geassocieerd zoals gesteld in de toelichting op artikel 3:15a van het BW. 6. In het geval dat de klant over meerdere authenticatiemiddelen beschikt zoals DigiD basis en midden (SMS) dan zullen de sessiegegevens van het authenticatieproces met het hoogste betrouwbaarheidsniveau zoals het authenticatiebewijs van DigiD, datum en tijdstip en het unieke volgnummer vastgelegd moeten worden. Deze gegevens vullen aan of vervangen op onderdelen de bij stap 1 vastgelegde sessiegegevens met de authenticatieserver van DigiD. Hiernaast zullen de sessiegegevens met de webdienst (akkoord klikken Okbutton) van de keten voor werk en inkomen moeten worden vastgelegd zoals beschreven bij stap 5 voor de wilsuiting en logische associatie. 7. Aan de klant moet bevestigd worden dat hij zijn eenvoudige elektronische handtekening heeft geplaatst en dat zijn aanvraag met vermelding van datum en tijdstip eventueel aangevuld met een uniek volgnummer van het webformulier of aanvraagnummer door de (verantwoordelijke/uitvoerende) ketenpartner in goede orde is ontvangen.
Pagina 15 van 15