De rol van de digitale handtekening in eIDAS
De komst van eIDAS zorgt ervoor dat overal in Europa dezelfde standaard gaat gelden op het gebied van online zaken regelen. Daardoor wordt een groter vertrouwen in digitale transacties mogelijk. Zeker voor bedrijven en burgers die – veelvuldig – over de grens actief zijn, moet het makkelijker worden om zaken te doen.
Voor bedrijven en publieke organisaties die al met compliant digitale handtekeningen werken, geldt dat deze straks in alle Europese landen geaccepteerd moeten worden. Dit is een forse verbetering, waardoor grensoverschrijdende transacties niet meer bemoeilijkt worden vanwege verschillende nationale regelingen. Een Nederlandse bank – uitgerust met een elektronische handtekening – kan straks een burger uit een ander Europees land een document digitaal laten ondertekenen, waarbij rechtsgeldigheid wordt verleend door het land van herkomst van de ondertekenaar. Een ander voorbeeld: “Nederlanders die in Frankrijk een huis willen kopen – en dat gebeurt nog wel eens als ik het tv-programma ‘Ik Vertrek’ mag geloven – kunnen bij een Franse notaris digitaal op een tablet ondertekenen. Deze eSignature is rechtsgeldig.
Juridische waarde
De gekwalificeerde elektronische handtekening heeft in Nederland sinds 2003 dezelfde juridische waarde als de pengeschreven variant. De wet erkent hier in feite drie vormen van de elektronische handtekening. De eerste is een eenvoudige vorm, gericht op authenticatie, om te kunnen zien wie de afzender is van elektronische gegevens. De tweede, geavanceerde vorm moet voldoen aan vier voorwaarden: hij moet uniek met de ondertekenaar verbonden zijn, de ondertekenaar moet erdoor te identificeren zijn, hij moet geplaatst worden met middelen die alleen de ondertekenaar ter beschikking staan en hij is zo verbonden met het document waaraan het is gehecht, dat achteraf is te zien of na ondertekening nog wijzigingen aan het document hebben plaatsgevonden. Om die geavanceerde versie ook nog te laten kwalificeren voor juridische erkenning – waardoor het bewijsrechtelijk dezelfde waarde krijgt als de handgeschreven handtekening – moet de handtekening voorzien zijn van een gekwalificeerd certificaat dat is uitgeschreven door een ‘Trusted Third Party’ (TTP). Bovendien moet de handtekening geplaatst worden met een ‘veilig middel’ en moet de ondertekenaar in levende lijve aanwezig zijn bij het plaatsen. Pas als aan die voorwaarden is voldaan, is de handtekening in Nederland rechtsgeldig.
Solide basis
Goed om te beseffen is dat juridisch gezien een elektronische handtekening van alles kan zijn, van een irisscan tot een vingerafdruk, of een uniek stukje hardware dat een gebruiker bij zich draagt. Mits het maar voldoet aan de eisen die de wet hieraan stelt. Voor de gekwalificeerde elektronische variant zijn handtekening-tablets beschikbaar die een groot aantal geavanceerde biometrische gegevens opslaan, zoals de snelheid, de druk en de hoek van de pen tijdens het bewegen, waardoor een persoonlijk en uniek patroon ontstaat die volgens deskundigen vele malen meer zekerheid biedt dan bijvoorbeeld de vingerafdruk. Elke elektronische handtekening die via deze oplossingen wordt gezet, krijgt een eigen gekwalificeerd digitaal certificaat van de ondertekenaar en een ‘cryptografische hash’, die gekoppeld wordt aan zowel het document als ondertekenaar. Daarmee is de elektronische handtekening niet te vervalsen, niet herbruikbaar, onveranderlijk en onherroepelijk, maar hij ook eenvoudig te verifiëren en te lezen. Dankzij deze vorderingen in techniek en op juridisch vlak, is de elektronische handtekening een solide basis geworden voor een digitaal Europa, vrij internetverkeer en de bevordering van handel en administratieve procedures.
Privacywetgeving
Wat betreft wettelijke eisen, komt ook privacy om de hoek kijken. Vanaf mei dit jaar moeten alle organisaties zich houden aan de privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG/GDPR), die de huidige Wet bescherming persoonsgegevens vervangt en strengere eisen stelt aan de manier waarop persoonsgegevens worden verwerkt. Goede eSignature oplossingen creëren en verwerken elektronische handtekeningen die voldoen aan deze privacyregels. Bedrijven moeten zich er bewust van zijn dat hun identificatiemethode(s) compliant moeten zijn. Dat kan een uitdagend traject zijn, maar wel eentje die je goed moet implementeren, omdat de boetes voor overtreding van de GDPR niet mals zijn.
ERP-toepassingen
Voor bedrijven die Europees opereren, biedt eIDAS grote voordelen. Grote bedrijven als T-Mobile, KPN en Vodafone kunnen eSignature oplossingen vanaf september in alle Europese landen gebruiken. Daarnaast kunnen ze op vertrouwde wijze hun markten uitbreiden naar andere Europese landen, waar de handtekening dezelfde juridische waarde heeft. Dat werkt allemaal een stuk efficiënter. Recentelijk zijn ook applicaties ontwikkeld voor ondernemingen om de eSignature ook intern in te zetten. Bedrijven integreren de elektronische handtekening in hun CRM- of andere ERP-oplossingen. Daarmee wordt de efficiëntie eveneens verhoogd en – niet onbelangrijk – wordt het papierverbruik drastisch gereduceerd.
Thomas Kaeb is Senior Sales Manager Wacom Europe.