Elektronische handtekening en andere vertrouwensdiensten

Op 23 juli 2014 heeft de Europese Unie de eIDAS-verordeningExterne link aangenomen betreffende elektronische identificatie en vertrouwensdiensten. Sinds 1 juli 2016 vervangt ze Richtlijn 1999/93/EG betreffende de elektronische handtekening en de verstrekkers van certificatiediensten.

De hoofddoelstellingen van de eIDAS-verordening zijn drievoudig:

  • wegnemen van de juridische en technische belemmeringen voor de werking van de interne markt op het vlak van grensoverschrijdende administratieve formaliteiten;
  • zorgen voor een groter vertrouwen in elektronische transacties;
  • de rechtszekerheid versterken, zowel voor de verleners als voor de gebruikers van vertrouwensdiensten.

Behalve deze drie hoofddoelstellingen, komt ook de wil tot uiting om de innovatie en ontwikkeling van het aanbod aan vertrouwensdiensten en diensten voor elektronische identificatie te stimuleren.

In België is deze wil concreet vertaald in de goedkeuring van de wet van 21 juli 2016Externe link, “Wet eIDAS en elektronische archivering” genoemd, die de verordening uitvoert en aanvult door het vastleggen van bepalingen die het scheppen van een volledig, samenhangend juridisch kader voor elektronische archivering nastreven. In die context werd aan de FOD Economie de rol toegekend van toezichthoudende instantie, die instaat voor de kwalificatie en supervisie van de in België gevestigde vertrouwensdienstverleners.

Meer informatie over de juridische aspecten en aandachtspunten van de elektronische handtekening en andere vertrouwensdiensten.

Vertrouwensdiensten

Naast de elektronische handtekening omvatten de eIDAS-verordening en de wet eIDAS en elektronische archivering nog andere vertrouwensdiensten, zoals het elektronische zegel, de datumstempel, de dienst van elektronisch aangetekende zending, de authenticatie van websites en elektronische archivering.

“Een vertrouwensdienst is een elektronische dienst die gewoonlijk tegen betaling wordt verricht en het onderstaande inhoudt:

  • het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging en op deze diensten betrekking hebbende certificaten, of
  • het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites, of
  • het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben” (art. 3 §16 van de eIDAS-verordening).

Elektronische handtekening

Wat is een elektronische handtekening?

Volgens de eIDAS-verordening betreft het “gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn aan andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen” (art. 3 §10 van de verordening).

Deze definitie omvat alle soorten elektronische handtekeningen, zoals handgeschreven gescande handtekeningen, biometrische handtekeningen (bijvoorbeeld stemherkenning, irisherkenning, herkenning van vingerafdrukken), digitale handtekeningen of de eenvoudige codes van bankkaarten.

Wanneer een elektronische handtekening aan bepaalde eisen voldoet, kan ze “geavanceerd” of “gekwalificeerd” zijn.

Om geavanceerd te zijn, moet zij

  • op unieke wijze met de ondertekenaar verbonden zijn,
  • het mogelijk maken om de ondertekenaar te identificeren,
  • tot stand gekomen zijn met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken en
  • op zodanige wijze aan de daarmee ondertekende gegevens verbonden zijn, dat elke wijziging achteraf van de gegevens kan worden opgespoord (art. 26 van de eIDAS-verordening).

Zij is gekwalificeerd indien zij niet alleen geavanceerd is, maar ook aangemaakt is met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen en gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen (art. 3 §12 van de eIDAS-verordening).

De verordening specificeert dat een elektronische handtekening (ongeacht de gebruikte technologie en het niveau) niet als bewijsmiddel in juridische procedures mag worden geweigerd, louter om de reden dat ze elektronisch is of niet gekwalificeerd. Niettemin wordt alleen de gekwalificeerde handtekening gelijkgesteld met een handgeschreven handtekening (art. 25 van de eIDAS-verordening).

Elektronisch zegel

Zoals voor de elektronische handtekening, bestaan er drie niveaus van elektronisch zegel:

  • Het elektronische zegel (basisvorm): gegevens in elektronische vorm, die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die worden gebruikt om de oorsprong en integriteit daarvan te waarborgen (art. 3 §25 van de eIDAS-verordening).
  • Het “geavanceerde” elektronische zegel: het moet op unieke wijze aan de maker van het zegel verbonden zijn; het mogelijk maken om de maker van het zegel te identificeren; tot stand gekomen zijn met gebruikmaking van gegevens voor het aanmaken van elektronische zegels die de maker van het zegel met een hoog vertrouwensniveau onder zijn controle kan gebruiken voor het aanmaken van elektronische zegels; en op zodanige wijze verbonden zijn aan de gegevens waarop het betrekking heeft, dat elke wijziging achteraf van de gegevens kan worden opgespoord (art. 36 van de eIDAS-verordening).
  • Het “gekwalificeerde” elektronische zegel: dit is een geavanceerd elektronisch zegel dat aangemaakt is met behulp van een gekwalificeerd middel voor het aanmaken van elektronische zegels en dat gebaseerd is op een gekwalificeerd certificaat voor elektronische zegels (art. 3 §27 van de eIDAS-verordening).

Hoewel een elektronisch zegel niet als bewijsmiddel in gerechtelijke procedures mag worden geweigerd louter op grond van het feit dat het zegel elektronisch is, geldt alleen voor de gekwalificeerde handtekening het vermoeden van integriteit van de gegevens en van juistheid van de oorsprong van de gegevens waaraan het is verbonden (art. 35 van de eIDAS-verordening).

Tijdstempel

Met elektronische tijdstempel wordt bedoeld: “gegevens in elektronische vorm die andere gegevens in elektronische vorm verbinden aan een bepaald tijdstip en die bewijzen dat die laatstgenoemde gegevens op dat tijdstip bestonden” (art. 3 §33 van de eIDAS-verordening).

Het elektronische tijdstempel maakt het mogelijk om

  • een document op precieze wijze te dateren en
  • te certificeren dat op een precies ogenblik een gegeven bestond of dat een verrichting langs elektronische weg werd uitgevoerd (elektronische handtekening, elektronische aangetekende zending, …).

Een elektronische tijdstempel wordt gekwalificeerd genoemd indien het voldoet aan volgende eisen:

  • het koppelt de datum en het tijdstip op zodanige wijze aan gegevens dat onmerkbare wijziging van de gegevens redelijkerwijs kan worden uitgesloten;
  • het is gebaseerd op een nauwkeurige tijdsbron die aan de gecoördineerde universele tijd is gekoppeld; en
  • het wordt ondertekend met behulp van een geavanceerde elektronische handtekening of verzegeld met een geavanceerd elektronisch zegel van de gekwalificeerde verlener van vertrouwensdiensten, of met behulp van een andere gelijkwaardige methode (art. 42 van de eIDAS-verordening).

Voor een gekwalificeerde elektronische tijdstempel geldt het vermoeden van de juistheid van de aangegeven datum en het aangegeven tijdstip, en van de integriteit van de gegevens waaraan de datum en het tijdstip zijn gekoppeld (art. 41 van de eIDAS-verordening).

Dienst van elektronische aangetekende zending

“Een dienst van elektronisch aangetekende zending” is een dienst die het mogelijk maakt gegevens via elektronische middelen tussen derden te verzenden en die bewijs verschaft ten aanzien van het hanteren van de verzonden gegevens, met inbegrip van bewijs van het verzenden en ontvangen van de gegevens, en die de verzonden gegevens beschermt tegen het risico van verlies, diefstal, beschadiging of onbevoegde wijzigingen” (art. 3 §36 van de eIDAS-verordening; daarin wordt deze dienst verwoord als “dienst voor economische bezorging”).

Voor gegevens die via een gekwalificeerde dienst van elektronisch aangetekende zending worden verstuurd en ontvangen, geldt het vermoeden

  • van integriteit van de gegevens,
  • van de verzending van die gegevens door de geïdentificeerde afzender,
  • van de ontvangst daarvan door de geïdentificeerde geadresseerde, en
  • van de juistheid van de datum en het tijdstip van verzending en van ontvangst, zoals aangegeven door de gekwalificeerde dienst van elektronische aangetekende zending (art. 43 van de eIDAS-verordening).

Om van de gekwalificeerde status te genieten, moet de dienst van elektronische aangetekende zending aan de volgende eisen voldoen:

  • hij wordt door een of meerdere gekwalificeerde vertrouwensdienstverleners geleverd;
  • hij garandeert de identificatie van de afzender en de bestemmeling met een hoge vertrouwensgraad;
  • de verzending en de ontvangst van de gegevens worden beveiligd door een geavanceerde elektronische handtekening of door een geavanceerd elektronisch zegel van een gekwalificeerde verlener van vertrouwensdiensten, zodat elke niet op te sporen mogelijkheid tot wijziging van de gegevens wordt uitgesloten;
  • de verzender en de geadresseerde van de gegevens worden op duidelijke wijze in kennis gesteld van elke wijziging van de gegevens die nodig is voor het verzenden of het ontvangen van de gegevens;
  • de datum en het tijdstip van het verzenden, ontvangen en wijzigen van gegevens worden aangegeven met een gekwalificeerd elektronisch tijdstempel. Voor gegevens die via een dienst van gekwalificeerde elektronische aangetekende zending worden verstuurd en ontvangen, geldt het vermoeden van
    • integriteit van de gegevens,
    • de verzending van die gegevens door de geïdentificeerde afzender,
    • de ontvangst daarvan door de geïdentificeerde geadresseerde, en
    • de juistheid van de datum en het uur van de zending en van de ontvangst die door de dienst van gekwalificeerde aangetekende zending worden aangeduid (art. 44 van de eIDAS-verordening).

Websiteauthenticatie

Diensten voor authenticatie van websites vormen een middel waarmee websitebezoekers er zeker van kunnen zijn dat het om de website van een werkelijk bestaande, legitieme entiteit gaat. Die diensten dragen bij tot toenemend vertrouwen in onlinezakendoen.

Om de authenticatie van websites ingang te doen vinden als een middel om het vertrouwen te versterken, definieert de eIDAS-verordening het certificaat voor websiteauthenticatie als een attestering die het mogelijk maakt om de authenticiteit van een website vast te stellen en die de website verbindt aan de natuurlijke persoon of rechtspersoon aan wie het certificaat is afgegeven. Om de gekwalificeerde status te behalen, moet het certificaat aan een hele reeks eisen, opgenomen in de eIDAS-verordening, voldoen (art. 3 §38 en bijlage IV van de eIDAS-verordening).

Elektronische archivering

In tegenstelling tot de andere elektronische diensten wordt de elektronische archivering niet op Europees niveau in de eIDAS-verordening gedefinieerd. In de Belgische wet eIDAS en elektronische archivering van 21 juli 2016 tot uitvoering van de eIDAS-verordening staat de definitie van elektronische archivering en het begrip gekwalificeerde elektronische archiveringsdienst. Ter herinnering: door deze wet worden de nieuwe bepalingen ingelast in het Wetboek van economisch recht (WER).

“Een gekwalificeerde elektronische archiveringsdienst is een vertrouwensdienst ter aanvulling van de diensten zoals bedoeld in de eIDAS-verordening, die bestaat in het bewaren van elektronische gegevens of het digitaliseren van papieren documenten en die aangeboden wordt door een vertrouwensdienstverlener in de zin van de eIDAS-verordening of die voor eigen rekening wordt uitgebaat door een openbare instantie of een natuurlijke persoon of rechtspersoon; (WER, art. 18, 17°).

De wet onderscheidt dus twee types elektronische archivering:

  • de archivering door een dienstverlener en
  • de “interne” archivering, met name een natuurlijk persoon of een rechtspersoon die voor eigen rekening een elektronische archiveringsdienst uitbaat.

Beide types van archivering kunnen de gekwalificeerde status verkrijgen en genieten hierdoor een vermoeden van integriteit en conformiteit. Een digitale kopie van een papieren document wordt geacht een getrouwe en duurzame kopie ervan te zijn wanneer die met een gekwalificeerde elektronische archiveringsdienst wordt gemaakt en bewaard (WER, art. XII.25, §6).

Veiligheid en controle

De verleners van vertrouwensdiensten zijn verplicht om technologische en organisatorische middelen in te zetten die beantwoorden aan eisen die regelmatig worden verstrengd.

Bovendien worden de verleners van vertrouwensdiensten met gekwalificeerde status vooraf en achteraf aan controle onderworpen in een periodieke audit (om de twee jaar) of een eventuele buitengewone audit op verzoek van de toezichthoudende instantie.

De wet van 21 juli 2016 heeft officieel de FOD Economie als toezichthoudende instantie aangesteld om de in België gevestigde vertrouwensdienstverleners te controleren, met inbegrip van de verleners van elektronische archiveringsdiensten (WER, art. 18, 16°).

Voor meer informatie over deze controles, uitgevoerd door de FOD Economie, raadpleeg de presentatie over de infosessie van 27 januari 2016Externe link.

Hoe verkrijgt u een gekwalificeerde elektronische handtekening of een andere gekwalificeerde vertrouwensdienst ? 

Het volstaat dat u hiervoor contact opneemt met een gekwalificeerde dienstverlener.

De in België gevestigde vertrouwensdienstverleners die gekwalificeerde diensten willen aanbieden, zijn wettelijk verplicht om hun activiteiten bij de FOD Economie aan te melden.

Wanneer de gekwalificeerde status aan de dienstverlener en de door hem aangeboden diensten wordt toegekend, wordt hij in een officiële lijst (Trusted List) opgenomen, die om de vier maanden wordt gepubliceerd.

Raadpleeg de Trusted ListExterne link voor België

Gekwalificeerde vertrouwensdienstverleners mogen op hun website ook het EU-vertrouwenslabel gebruiken en weergeven, zoals vastgelegd in de eIDAS-verordening (art. 23 van de eIDAS-verordening).

Gekwalificeerde dienstverleners gevestigd in Belgïe en de gekwalificeerde diensten die ze afleveren

afgeven van certificaten voor elektronische handtekeningenafgeven van certificaten voor elektronische zegelsafgeven van certificaten voor websiteauthenticatieelektronisch aangetekende bezorging
CertipostExterne linkX
SWIFTExterne link **
QuoVadis TrustlinkExterne linkX
ZetesExterne linkX
elektronische tijdstempelsvalidering van elektronische handtekeningenvalidering van elektronische zegelsbewaring van elektronische handtekeningen
CertipostExterne link
SWIFTExterne link **
QuoVadis TrustlinkExterne link
ZetesExterne link
bewaring van elektronische zegelselektronische archivering *
CertipostExterne link
SWIFTExterne link **
QuoVadis TrustlinkExterne link
ZetesExterne link

* nationale erkenning
** Society for Worldwide Interbank Financial Telecommunication

Nuttige Links

Wetgeving

Dienst Elektronische Certificatie

FOD Economie, K.M.O., Middenstand en Energie
Algemene Directie Kwaliteit en Veiligheid
Dienst Elektronische Certificatie

North Gate
Koning Albert II-laan 16
1000 Brussel

E-mail : BE.SIGN@economie.fgov.be