7 vragen en antwoorden over de digitale handtekening

Een geschreven handtekening roept door de sierlijke krullen allerlei nostalgische gevoelens op. Het is al sinds mensenheugenis een officiële bevestiging. Waar het vroeger gebeurde met een pen van riet, een ganzenveer of een vulpen staan we nu aan de vooravond van een digitale variant. In het huidige computertijdperk schrijven en printen we immers steeds minder, dus waarom vasthouden aan de ouderwetse pennenstreek? Het is tijd dat de digitale handtekening (e-signing) eindelijk gemeengoed wordt.

Door Colin van Oosterhout, Principal Solutions Consultant bij Adobe

Het goede nieuws is dat het mogelijk wordt om ook documenten te ondertekenen met een digitale handtekening, die juridisch net zo waterdicht is als een geschreven, of natte, handtekening. Een consortium van dertien bedrijven, waaronder Adobe, verwacht dat de standaard voor digitale handtekeningen eind 2016 grotendeels is gedefinieerd, waarna gewerkt kan worden aan de uitvoering en implementatie in 2017. Deze digitale variant wordt dus snel realiteit, maar bij het grote publiek is nog steeds niet volledig duidelijk wat de mogelijkheden zijn. In dit artikel geef ik zeven antwoorden op vragen over e-signing.

1. Voor wie is e-signing bedoeld?
In de digitale revolutie maken veel organisaties de overstap van papier naar digitaal. Het digitale bestandsformaat pdf is sinds 1993 uitgegroeid naar de standaard voor de uitwisseling van digitale documenten. Inmiddels beschikt bijna 90 procent van alle zakelijke professionals in de wereld over een tool om pdf-documenten te bekijken. De weg naar digitale transformatie wordt geopend als men ook daadwerkelijk begint met de elektronische handtekening, de laatste ontbrekende stap richting het volledig digitale werkproces.

2. Wat is het voordeel van een digitaal werkproces ten opzichte van een op papier gebaseerd proces?
Papier gebaseerde processen zijn duurder en trager dan digitale processen en introduceren een data-integriteitvraagstuk. Hoe weet je bijvoorbeeld zeker of een document niet is aangepast of dat de complete set aan pagina’s ook daadwerkelijk is teruggestuurd? Daarnaast geldt dat veel documenten gescand worden maar niet tekstdoorzoekbaar worden gemaakt. Het vinden van informatie wordt daardoor lastig en dat neemt veel tijd in beslag. 

3. Welke afdeling is verantwoordelijk voor deze digitalisering?
Er zijn dus veel voordelen te benoemen, maar een organisatie laten bewegen van papier naar digitaal is een lastige opgave, ook al staat bij iedere organisatie de digitale transformatie hoog op de agenda. Papier is namelijk nog vaak de belangrijkste drager van informatie en omwille van een goede digitale transformatie wordt papier gedigitaliseerd. Het digitaliseren van werkprocessen behoort niet tot de verantwoordelijkheid van één afdeling binnen de organisatie. Het zou een transformationele laag binnen ieder onderdeel in uw organisatie moeten zijn.

4. Zijn digitale handtekeningen hetzelfde als elektronische handtekeningen?
De digitale handtekening is een methode voor het bevestigen van de juistheid van digitale informatie door middel van asymmetrische cryptografie, op een wijze vergelijkbaar met het ondertekenen van papieren documenten aan de hand van een geschreven handtekening. De term elektronische handtekening is een wettelijke definitie voor diverse, niet noodzakelijk cryptografische, methodes om de identiteit van iemand die een elektronisch bericht zendt te bevestigen.

De begrippen 'elektronische' en 'digitale' ondertekening lijken hetzelfde fenomeen aan te duiden, maar feitelijk zijn het twee verschillende benaderingen van het ondertekenen van documenten. Digitale handtekeningen zijn een subset van de grotere categorie 'elektronische handtekeningen'. 

Waar typische elektronische handtekeningen diverse methoden kunnen bevatten voor de verificatie van ondertekenaars (zoals e-mail, bedrijfs-id's of telefoonverificatie), gebruiken digitale handtekeningen één specifieke methode. Digitale handtekeningen verifiëren de identiteit van ondertekenaars aan de hand van digitale id's, die zijn gebaseerd op certificaten. Deze certificaten worden meestal door een vertrouwde certificeringsinstantie (derde partij) uitgegeven.

5. Hoe wordt de autorisatie bij een digitale handtekening geregeld?
Het is belangrijk om de juiste authenticatie te doen van de partij die zal ondertekenen. Dit wordt standaard gedaan op basis van een e-mailadres. Deze is uniek en dus heeft alleen een geautoriseerde persoon er toegang toe. Mocht dit niet voldoende zekerheid bieden, dan zijn er aanvullende opties. Zo kan er een wachtwoord op het document worden gezet dat apart aan de ontvanger kan worden gecommuniceerd. 

Het is daarnaast ook mogelijk om gebruik te maken van zogenaamde tweefactor-authenticatie. Hierbij wordt een extra stap ingebouwd tijdens het loginproces voor de persoon die zal gaan ondertekenen. Dit wordt gedaan via het principe van ‘something you know or have’, oftewel iets wat alleen die persoon kan weten of hebben. Concreet gaat het dan om een unieke code die per sms verzonden wordt naar de mobiele telefoon van degene die moet tekenen. Pas als hij die code heeft ingevoerd, kan hij bij het document komen om verder te gaan met ondertekenen.

6. Waarom wordt alle informatie over het digitale ondertekenproces opgeslagen?
Ongeacht of er mobiel of via het web wordt ondertekend, alle documenten, inclusief de audit-trail, worden automatisch en veilig (gecertificeerd) opgeslagen. Zowel de verzender als de ontvanger ontvangen een kopie van het ondertekende document. De audit-trail wordt als laatste pagina aan het ondertekende document toegevoegd.

In de audit-trail worden een aantal belangrijke zaken vastgelegd. Denk hierbij aan een unieke documentidentificatie, het tijdstip van ondertekening, het mailadres van degene die ondertekent en het IP-adres van de machine waarvandaan de ondertekening is gedaan. Het ondertekende document, inclusief de audit-trail, wordt ook nog eens gecertificeerd. Er komt als het ware een stempel in het document waarmee wordt verzekerd dat het document authentiek is, afkomstig is van een geverifieerde bron en niet is gewijzigd.

7. Zijn deze digitale handtekening juridisch bindend, ontvankelijk en uitvoerbaar?
De wetgeving van de Europese Unie voor services op het gebied van elektronische identificatie en vertrouwen (eIDAS) ging in juli 2016 van kracht, waarmee een enkele, gestandaardiseerde wetgeving werd ingeluid voor alle 28 lidstaten van de EU. Voor andere landen gelden vergelijkbare wetten. Met eIDAS krijgt de elektrische handtekening dezelfde rechtsgevolgen als een fysieke handtekening en deze wetgeving kan worden gezien als springplank naar een open standaard om digitale handtekeningen mogelijk te maken.

Hoe nostalgisch de vertrouwde en sierlijke handtekening ook is, moderne tijden vragen om moderne oplossingen.