Ga direct naar inhoud

Wettelijke verplichtingen voor de geavanceerde elektronische handtekening

Publicatie | 28-10-2024

Tijdens inspecties heeft de Rijksinspectie Digitale Infrastructuur (RDI) vastgesteld dat het betrouwbaarheidsniveau van digitale handtekeningen niet altijd voldoet aan de eIDAS-verordening. Recent heeft de RDI zelfs een sanctie opgelegd omdat een handtekening ten onrechte als ‘geavanceerd’ werd aangeduid.

De RDI roept aanbieders van geavanceerde digitale handtekeningen op om richting gebruikers van de handtekening duidelijkheid te geven over de status van de aangeboden handtekening. Door middel van deze handreiking willen wij aanbieders (Trust Service Providers) informeren over de voorwaarden van en eisen aan geavanceerde elektronische handtekeningen.

Betrouwbaarheidsniveau

De geavanceerde elektronische handtekening is de op één na hoogst betrouwbare digitale handtekening (na de gekwalificeerde elektronische handtekening). De geavanceerde handtekening is in de meeste gevallen rechtsgeldig, als deze tenminste voldoet aan het vereiste betrouwbaarheidsniveau. Wat de RDI ziet is dat handtekeningen die als geavanceerd worden aangeboden het betrouwbaarheidsniveau niet halen en draagt daardoor ten onrechte de claim ‘geavanceerd’.

Als het voorgespiegelde betrouwbaarheidsniveau niet gehaald wordt, is de handtekening niet altijd rechtsgeldig. Hierdoor is het onduidelijk of het gebruik van elektronische handtekeningen voldoet aan de behoeften van de gebruikers en vertrouwende partijen. Deze onduidelijkheid kan ook een negatieve impact hebben in het vertrouwen op andere vertrouwensdiensten en het stelsel van vertrouwensdiensten in zijn geheel (waar de digitale handtekening onderdeel van is).

Alle vormen van elektronische handtekeningen van de aanbieders, de Trust Service Providers (TSP), moeten voldoen aan de eIDAS-verordening.

Wat is de geavanceerde elektronische handtekening?

‘Geavanceerd’ is een kwalificatie die aangeeft welke mate van veiligheid, betrouwbaarheid en het vertrouwen dat men aan een handtekening mag hechten.

In de eIDAS-verordening staan de basisvereisten voor een geavanceerde elektronische handtekening beschreven. De verordening stelt onder meer dat een geavanceerde handtekening met een unieke code aan de ondertekenaar is verbonden en dat deze code het mogelijk maakt om de ondertekenaar te identificeren. Deze unieke code, die een hoog vertrouwensniveau moet hebben, mag alleen onder controle van de ondertekenaar gebruikt worden. De identificatiegegevens hiervan moeten, ook na wijzigingen, achteraf getraceerd kunnen worden.

Waar moet een geavanceerde handtekening aan voldoen?

Volgens artikel 3, onderdeel 11, van de eIDAS-verordening is een geavanceerde elektronische handtekening een elektronische handtekening die voldoet aan de eisen van artikel 26 van de eIDAS-verordening.

Artikel 26, sub a tot en met d, van de eIDAS-verordening bepaalt dat een geavanceerde elektronische handtekening dient te voldoen aan de volgende eisen:

  1. zij is op unieke wijze aan de ondertekenaar verbonden;
  2. zij maakt het mogelijk de ondertekenaar te identificeren;
  3. zij komt tot stand met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken, en
  4. zij is op zodanige wijze aan de daarmee ondertekende gegevens verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.

Naast de bepalingen van de eIDAS-verordening, stelt het Besluit Vertrouwensdiensten dat een verlener van vertrouwensdiensten dient te handelen conform de eIDAS-verordening.

Wat is de rechtspositie van de elektronische handtekening?

In artikel 3:15a van het Burgerlijk Wetboek (hierna: BW) staat dat een ‘geavanceerde elektronische handtekening’ en de andere ‘elektronische handtekeningen’ dezelfde rechtspositie hebben als de handgeschreven handtekening. Juridische gelijkschakeling met de handgeschreven handtekening is alleen het geval als de elektronische handtekening voldoende mate van betrouwbaarheid heeft en dezelfde functies vervult als een handgeschreven handtekening.

Wat doet de RDI?

De RDI stelt dat aanbieders van elektronische handtekeningen de term geavanceerd alleen dienen te gebruiken als deze voldoet aan de eisen die gesteld zijn in de eIDAS-verordening. Dit om verwarring en onwenselijk gebruik van de handtekening te voorkomen. De RDI houdt toezicht op de naleving van de eIDAS-verordening in Nederland en daarmee op elektronische vertrouwensdiensten, zoals de geavanceerde elektronische handtekening.

Een onderzoek bij een TSP kan onderdeel van het toezicht zijn. Aanleiding voor een onderzoek kan zijn: klachten, incidenten en/of meldingen uit de markt. Naar aanleiding van deze signalen beoordeelt de RDI of een elektronische handtekening voldoet aan de eisen uit de eIDAS-verordening.

Met een oordeel over de rechtmatigheid wordt de inspectie afgerond. Een sanctie voor de vastgestelde overtredingen kan een gevolg zijn van de inspectie. Bij onrechtmatigheden is de TSP verplicht de vastgestelde overtredingen volgens de vastgestelde voorschriften en termijn naar behoren recht te zetten.

Samen voor een veilig verbonden Nederland

Veiligheid en betrouwbaarheid zijn in het stelsel van vertrouwensdiensten essentieel. De RDI vindt het belangrijk dat het voor afnemers en vertrouwende partijen duidelijk is welk niveau van betrouwbaarheid een elektronische handtekening heeft. Het vertrouwen begint met de juiste implementatie en naleving van de eIDAS-verordening door de vertrouwensdienstverlener. Zo werken wij samen aan een veilig verbonden Nederland.