Archive for the 'Elektronische Handtekening' Category
Twee weken geleden heeft ETSI de nieuwe PADES standaard geintroduceerd.
Volgens deze standaard is het mogelijk om juridisch rechtsgeldige handtekeningen te zetten op basis van het PDF document formaat. Ondanks dat PDF handtekeningen al veel gebruikt worden, ontbrak het nog aan een officiële standaard.
De standaard is te downloaden op de site van ETSI
Adobe heeft meegewerkt aan de ontwikkeling van deze standaard. Naast PDF is er ook de XADES standaard (XML) en CADES standaard voor Cryptomatic. Een detail whitepaper over de ADES standaard is te vinden op de site van Adobe
25 maart stond er in Trouw een leuk artikel “Het papierloze kantoor is veiliger, sneller en groener” over de voortgang in het papierloos werken bij de grotere organisaties. Ondanks de langzame start zie je dat steeds meer organisaties de weg naar het papierloze tijdperk weten te vinden.
De kredietcrisis kan hierbij een belangrijke katalysator zijn omdat hierdoor kosten besparen en duurzaam ondernemen hoog op de agenda staan.
Ik had nog even contact met Maaike Bezemer van Trouw om een aantal van de ontwikkelingen toe te lichten.
Bijgaand een uitspraak van een rechter in Amerika, waarbij het niveau van de elektronische handtekening niet wordt goedgekeurd en daarmee geen rechtsgeldige handtekening is gerealiseerd.
In deze casus ging het om een medewerker die een elektronische handtekening had geplaatst op een intern document op basis van een gebruikersnaam/ wachtwoord dat uitgegeven was door het bedrijf van de medewerker.
Bij het vaststellen van het niveau van de elektronische handtekening kijkt de rechter naar de betrouwbaarheid van het proces van identificatie. In dit geval is het proces van identificatie het uitreiken van een interne gebruikersnaam en wachtwoord aan de medewerker. De rechter vond dat het bedrijf niet genoeg maatregelen had getroffen om de intranet wachtwoorden af te schermen en alleen de geautoriseerde medewerker toegang te geven. Ook systeembeheerders hadden immers de handtekening kunnen plaatsen.
Bij het realiseren van de elektronische handtekening is het belangrijk om het proces van identificatie zo betrouwbaar mogelijk in te richten.
Ik denk dat er nog veel van dergelijke zaken zullen volgen in de toekomst.
Door de crisis zijn veel organisaties gedwongen om anders te gaan werken en kosten te besparen.
Samen met het personeel vinden brainstormsessies plaats hoe en met welke projecten de crisis te bezweren. Zo ook de coalitie.
In veel gevallen staat het thema “papierloos” hoog op de agenda.
Projecten die het gebruik van papier in een waardeketen beperken zijn waardevolle projecten aangezien ze vaak:
- Voordeel en gemak opleveren voor de gebruikers
- Op de korte termijn kosten kunnen besparen (Verzendkosten, personeel, snellere verwerking, opslag)
- Ze maatschappelijk verantwoord zijn en bijdragen aan innovatie.
Het vrijgeven van de mogelijkheid voor elektronisch factureren is hier een voorbeeld van, maar tal van organisaties gaan bijvoorbeeld contracten en orders elektronisch verwerken.
Om voor 100% papierloos te werken is het wel vaak van belang om ook de papieren handtekening te vervangen door een elektronische handtekening.
In de periode van 16-22 februari organiseert ETSI een interoperabiliteit test voor de geavanceerde handtekening. Leveranciers van elektronische handtekening producten testen hierbij de samenwerking tussen de verschillende ondertekeningsproducten en of deze voldoen aan de technische standaarden:
XAdES & CAdES
Doel van deze testen is te zorgen dat elektronisch getekende documenten op een eenvoudige wijze uit te wisselen zijn tussen bedrijven onderling.
Binnen deze standaarden worden elementen gedefinieerd als:
- Onafhankelijk tijdstip van ondertekening
- Geldigheid en vertrouwensniveau van de identiteit bij ondertekening
- Archiveren van de handtekening
Met de opkomst van de Digitale Polis, Elektronisch factureren en andere elektronische documenten waarbij een elektronisch handtekening vereist is, stellen veel organisaties de vraag welk formaat ze moeten hanteren.
Op dit moment zijn er twee logische documentformaten waarop een elektronische handtekening toegepast kan worden, XML en PDF. Dit omdat deze twee formaten genoemd worden in de archief wetgeving en de standaarden rondom elektronische handtekening voor XML en PDF het best beschreven zijn. Hier een aantal voorbeelden van een getekende XML of PDF
De keuze voor PDF of XML is eenvoudig te maken en hangt sterk samen met de toepassing.
Wanneer XML Signing?
- Automatische communicatie tussen organisaties onderling, waarbij automatische verwerking van de data mogelijk moet zijn. Dus bijvoorbeeld Leverancier A stuurt een getekende XML naar Klant B die de gegevens automatisch verwerkt in zijn back-office system. Dit is met PDF lastig.
- Het plaatsen van een handtekening op een webportaal kan ook via XML, aangezien de dienstverlener dan op basis van een stylesheet de presentatie van de XML aan de eindgebruiker kan verzorgen.
Wanneer PDF Signing?
- De organisatie stuurt een getekend document naar de eindgebruiker, bijvoorbeeld een factuur of polis, ter informatie en bevestiging. De eindgebruiker kan dit document eenvoudig bekijken met een PDF viewer, die op alle desktops beschikbaar is. De PDF viewer gaat ook goed om met het valideren van de digitale handtekening en geeft een melding aan de eindgebruiker als er problemen zijn.
Bijgaand een beschrijving van Adobe hoe je het beste kunt omgaan met het accepteren van een PDF handtekening bij de eindgebruiker.
Uiteraard is het ook mogelijk om beide formaten te hanteren per transactie. Je stuurt een getekende PDF naar de eindgebruiker ter bevestiging en de getekende XML stuur je door naar een ketenpartner om automatisch te verwerken.
Vandaag las ik een goed verhaal van Bruce Schneier over het gebruik van de “fax handtekening” en het feit dat deze nog altijd door veel organisaties en personen gebruikt wordt. Het artikel geeft een prachtig voorbeeld waarom de context van het zetten van een handtekening essentieel is.
Ik denk dat iedereen wel eens een bestelling of ander type document waar een handtekening vereist is over de fax heeft verstuurd. Dit terwijl het kinderlijk eenvoudig is om een dergelijke handtekening te kopiëren. Veel mensen hebben zelfs een ingescand plaatje van hun handtekening, zodat ze direct vanachter de PC kunnen faxen. Toch gaat het gebruik binnen zijn context toch vaak zonder problemen.
In vergelijking met de elektronische handtekening speelt hier hetzelfde fenomeen. De zwaarte en gebruik van een elektronische handtekening is sterk afhankelijk van zijn context.
Afhankelijk van de toepassing is het belangrijk om te kijken welk niveau van elektronische handtekening gewenst is. Is het mogelijk om een elektronische handtekening op basis van een username, wachtwoord of is een PKIOverheid handtekening gewenst. Uiteraard is in veel gevallen het risico van de transactie een belangrijke graadmeter.
In dit kader verscheen er 12 juni een artikel in het FD over het toepassen van een elektronische handtekening op een elektronische factuur. De auteurs pleiten ervoor dat een simpele PDF ook als rechtsgeldige factuur aangemerkt kan worden. Persoonlijk denk ik dat de manier van elektronische ondertekening op facturen eenvoudiger moet, maar dat het weglaten een brug te ver gaat.
Primair aandachtspunt is het opnemen van de functionaliteit in de bestaande facturatie en andere financiele pakketen. De praktijk is dat veel softwareleveranciers nog zeer traag zijn met het inbouwen van deze oplossing.
We all know the importance of standardisation.
For the European Commission, SEALED, DLA Piper and Across Communications are currently conducting a Public Survey on eSignatures standardisation aspects. This online survey aims to establish objective findings
reflecting the market needs in this area.
We urge you not to miss this opportunity to make your own contribution to a revamped eSignatures standardisation scheme for Europe. www.esstandardisation.eu.
Veel organisaties vragen zich vaak af wat nu de stand van zaken is in verband met het gebruik van een elektronische handtekening. Bijgaand een overzicht van de juridische werking.
Op 21 mei 2003 is de Wet Elektronische Handtekening in werking getreden. Deze wet hield de aanpassing van voornamelijk het Burgerlijk Wetboek (boek 3 en boek 6) en de Telecommunicatiewet in.
Het doel van een elektronische handtekening ligt erin om te voorzien in:
* Zekerheid over identiteit van de afzender van elektronische gegevens (authenciteit);
* Zekerheid over de onveranderlijkheid van verzonden elektronische gegevens (integriteit).
De definitie van de elektronische handtekening staat in art. 15a boek 3 BW . Onder elektronische handtekening wordt een handtekening verstaan die bestaat uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authentificatie.
Dit betekent dat een handtekening die niet voldoet aan deze basisdefinitie dus geen elektronische handtekening IS.
Te denken is bijvoorbeeld aan:
* Username/password;
* Op een website “akkoord” of “bestellen” klikken;
* Het meesturen van een gescande handtekening.
Waarom is het van belang om te weten of een methode een elektronische handtekening oplevert?
Definitie Boek 3 BW (art. 15a):
Een elektronische handtekening heeft dezelfde rechtsgevolgen als een handgeschreven handtekening, indien de methode die daarbij is gebruikt voor authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval.
Als er dus geen sprake is van een elektronische handtekening is er ook geen gelijkstelling met de handgeschreven handtekening. Dat wil overigens niet zeggen dat er onder omstandigheden dan juridisch niets zou zijn, maar het heeft niet persé dezelfde rechtsgevolgen als een handgeschreven handtekening.
Er zijn grofweg 3 soorten elektronische handtekeningen te onderscheiden:
1. De gewone elektronische handtekening;
2. De geavanceerde elektronische handtekening;
3. De gekwalificeerde elektronische handtekening.
1. De gewone elektronische handtekening
Deze handtekening bestaat uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en wordt gebruikt als middel voor authentificatie.
2. De geavanceerde elektronische handtekening
Aan deze handtekening zitten 4 eisen:
1. Zij is op unieke wijze aan de ondertekenaar verbonden;
2. Zij maakt het mogelijk de ondertekenaar te identificeren;
3. Zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; en
4. Zij is op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.
3. De gekwalificeerde elektronische handtekening
Dit is een GEAVANCEERDE elektronische handtekening die bovendien:
* Is vervaardigd met een certificaat, uitgegeven door een bij de Opta ingeschreven Certificatiedienstverlener (TTP);
* Welk certificaat door de TTP is aangemerkt als “gekwalificeerd” (staat in het certificaat);
* Is gemaakt met een “veilig middel” (bijv. goedgekeurde smartcard, usb token); en
* Bij de afgifte de toekomstige gebruiker “face to face” is gecontroleerd op diens identiteit (niet bijvoorbeeld per post met een kopie-legitimatiebewijs).
Wat is nu het juridische verschil?
De gekwalificeerde elektronische handtekening is in bewijsrechtelijk opzicht gelijk aan de handgeschreven handtekening: de rechtsgeldigheid wordt aangenomen. Als iemand beweert dat de handtekening “vals” is, moet dit worden bewezen door wederpartij.
Van andere elektronische handtekeningen moet in principe de ondertekenaar bewijzen dat de gebruikte handtekening voldoende betrouwbaar en dus rechtsgeldig is, tenzij de rechter een omgekeerde bewijslast formuleert
Met de komst van Vista en Office 12 komt er een goed alternatief voor het toepassen van elektronische handtekeningen in Microsoft Office documenten.
Microsoft Office producten bleven altijd achter bij het gebruik van de elektronische handtekening. Als je al in staat was om een handtekening te plaatsten in bijvoorbeeld een word document, dan was het noodzakelijk dat de ontvanger ook de specifieke versie van Office in gebruik had. Dit werkte niet aangezien veel organisaties over oudere, danwel met andere versies van MS Office werken. Veel gebruikers zetten in dit geval het document om naar PDF en voorzien dit vervolgens van een elektronische handtekening. Elektronische Handtekening PDF
(meer…)
