eIDAS maakt erkenning van e-identiteiten en elektronische handtekeningen over landsgrenzen heen mogelijk

  1. 21 dec 2016
  2. 0 reacties

De Europese Unie heeft op 1 juli 2016 zijn oude EU-richtlijn vervangen met de nieuwe eIDAS-verordening. Daarmee gaan de obstakels voor de erkenning van e-identiteiten en elektronische handtekeningen tot het verleden behoren. Omdat het een verordening is, wordt eIDAS een bindende wet in alle 28 lidstaten die hier geen eigen interpretatie aan kunnen geven. Het uiteindelijke doel van eIDAS is om het digitaal zakendoen binnen Europa te vereenvoudigen. Maar heel bekend is eIDAS zelfs binnen de EU zelf nog niet. Michael Laurie, Vice President Product Strategy bij eSignLive by VASCO, legt uit waarom dit geen probleem is.

  • foto eSign Live Michael Laure
  • “De mensen die van eIDAS moeten weten, zoals juristen en compliancyspecialisten bij grote bedrijven en overheden, zijn bekend met de verordening”, zegt Michael Laure, Vice President Product Strategy bij eSignLive by VASCO. “Het zijn de gewone Europese burgers die uiteraard minder bekend zijn met de verordening, vooral omdat het complexe stof is. Er zijn ook maar weinig pogingen ondernomen om eIDAS uit te leggen aan de consument omdat het een technische verordening is die vertaald zou moeten worden in lekentaal voordat consumenten en eindgebruikers begrijpen waar het over gaat.”

Brede verordening

eIDAS is breder dan de richtlijn die hij vervangt. De nadruk ligt op eID’s en handtekeningen, maar de verordening bevat ook bepalingen rond onder meer elektronische verzending, tijdsaanduidingen en website-authenticatie. Om de erkenning van eID’s over landsgrenzen heen te bevorderen, legt eIDAS verschillende niveaus van identiteitsvaststellingen vast en verplicht iedere lidstaat om eID’s die zijn uitgegeven door een andere lidstaat te accepteren. Voorwaarde is dat de eID voldoet aan het minimale veiligheidsniveau waar een dienst naar vraagt.

Onder de eIDAS-regels geldt alle data die met andere digitale data wordt meegestuurd of logisch deel uitmaakt van die data om te ondertekenen een elektronische handtekening. Voor iedere vorm van elektronische handtekening geldt dat de juridische binding ervan niet louter mag worden betwist op grond van dat het een elektronische vorm heeft, of dat het niet voldoet aan de eisen van gekwalificeerde elektronische handtekeningen.

Verschillende elektronische handtekeningen

eIDAS onderscheidt drie hoofdsoorten elektronische handtekeningen: elektronische handtekeningen, geavanceerde elektronische handtekeningen en gekwalificeerde elektronische handtekeningen. Bij alle drie is de benadering expliciet technologieneutraal. De verordening schrijft geen specifieke technologie voor. De handtekening dient echter wel aan bepaalde criteria voldoen:

  • Een elektronische handtekening dient te worden gezet door de persoon van wie de handtekening is, op een manier die het voornemen duidelijk maakt. De handtekening moet ook geassocieerd zijn met het document of de data die de ondertekenaar wilde ondertekenen.
  • Een geavanceerde elektronische handtekening (Advanced Electronic Signature, AES) bouwt voort op de elektronische handtekening. Deze dient de ondertekenaar te identificeren en uitsluitend in het beheer zijn van de ondertekenaar, evenals wijzigingen aan het document of data bijhouden voor zover deze worden aangebracht na het bijvoegen van de AES.
  • Een gekwalificeerde elektronische handtekening (Qualified Electronic Signature, QES) bouwt weer voort op de AES en moet daarnaast zijn aangemaakt op een gekwalificeerd apparaat, zoals een smartcard. Het moet worden ondersteund door een gekwalificeerd certificaat dat aan de ondertekenaar is uitgegeven in een gedaante waar hij het beheer over kan voeren.

Compliancy

Laurie legt uit: “Bedrijven kunnen alle drie de vormen van elektronische handtekeningen die in eIDAS worden beschreven aanwenden. Wel is het zo dat de acceptatie bij twee vormen – AES en QES – eenvoudiger en beter is als er onenigheid ontstaat over een transactie.”

Laptop Om erachter te komen of een bedrijf voldoet aan eIDAS kunt u naar het volgende kijken:

De oplossing dient in het geval van AES authenticatie te bieden die een uniek identiteitsbewijs van de ondertekenaar koppelt aan de handtekening. De oplossing moet ook waarborgen dat de data aangewend voor de handtekening volledig onder beheer van de ondertekenaar staat. En als laatste moet iedere handtekening over een digitale handtekening beschikken die de integriteit van de gegevens controleert.

Belangrijk is dat een AES gebaseerd is op een digitale handtekening zoals hierboven beschreven. De eIDAS vraagt niet van elke ondertekenaar om een digitaal certificaat te overleggen. De eis is alleen dat de data waarmee de handtekening wordt aangemaakt in beheer staat van de ondertekenaar, en dat alleen hij deze kan gebruiken. Een enkel digitaal certificaat kan deze data als onderdeel van de handtekening borgen.

De ondertekening lijkt bij een QES op die van een AES, met als verschil dat het apparaat waar de QES op wordt aangemaakt net als elke ondertekeneer over een gekwalificeerd certificaat dient te beschikken. Deze moet zijn uitgegeven door een Qualified Trust Service Provider (QTSP). eIDAS is technologieneutraal, maar de standaarden voor QES zijn gebaseerd op technologie voor digitale certificaten en digitale handtekeningen. De QTSP die deze uitgeeft staat gelijk aan een certificaatautoriteit (CA). Deze handtekening is bijzonder veilig, maar is ook een stuk groter in omvang en duurder dan bij een AES. Het enige voordeel van een QES is dat deze automatisch wordt erkend wanneer een wet voorschrijft dat een handtekening handgeschreven dient te zijn.

Technische uitdagingen

“Bepaalde onderdelen van de eIDAS-verordening zijn complex, vooral op zaken die naast de verschillende elektronische handtekeningen van belang zijn”, stelt Laurie. “Om de verordening helemaal te begrijpen, kunt u het beste kijken op de website van de Europese Commissie. Maar het goede nieuws is dat grote bedrijven en overheden alleen de beschrijvingen van de handtekeningen hoeven na te slaan en hieruit het model kunnen kiezen dat het beste past bij het risicoprofiel van hun digitaal ondertekende transacties. De geavanceerde elektronische handtekening biedt de beste balans tussen veiligheid en gebruiksvriendelijkheid, maar voor sommige organisaties zal de gekwalificeerde elektronische handtekening beter aansluiten op het risicoprofiel. Bij onzekerheden kan het beste een in eIDAS en elektronische handtekeningen gespecialiseerde jurist worden geraadpleegd.”

Juridische consequentie en Brexit

De juridische consequentie van eIDAS is dat rechters in lidstaten van de EU het gebruik van elektronische handtekeningen niet kunnen blokkeren voor welke transactie dan ook. Dit zal het gebruik van technologie als elektronische handtekeningen door Europese bedrijven en overheden stimuleren, en dat is een opsteker voor mobiele en online transacties.

Als het gaat om Brexit, dan is het korte antwoord dat Groot-Brittannië op niet zal afwijken van eIDAS. Het Verenigd Koninkrijk heeft al een op elektronische handtekeningen aangenomen, en die blijft van kracht. Deze wet is helemaal in lijn met de eisen die eIDAS aan handtekeningen stelt. Er zullen dus geen problemen ontstaan bij transacties tussen het Verenigd Koninkrijk en de EU-lidstaten.

Van de redactie