Als je binnen Europa gebruikmaakt van digitale identificatiemethoden en handtekeningen, doet u dit het best binnen een vast wettelijk kader. Een digitale handtekening moet namelijk aan bepaalde richtlijnen voldoen. Goed om te weten is dat deze richtlijnen voor elke lidstaat van de EU verschillend kunnen zijn. We kunnen ons voorstellen dat je door de talloze regels en opties door de bomen het bos soms niet meer ziet. In dit artikel scheppen we duidelijkheid en geven we een antwoord op de meest prangende vragen: welke drie types digitale handtekeningen bestaan er (zoals vastgelegd in de eIDAS-verordening) en wat zijn hun voor- en nadelen?
Simpele elektronische handtekening
Moet je een pakketje in ontvangst nemen? Een digitaal vakje op een computerscherm aanvinken? Een met de hand ondertekend document scannen? Dan volstaat een simpele elektronische handtekening. Hiervoor zet je zelf een handtekening op een computerscherm (die daarna digitaal wordt opgeslagen) of klik je op de knop ‘Ik ga akkoord’. De goedkeuring of aanvaarding van deze handtekening gebeurt altijd aan de hand van een certificaat.
Gewoonlijk wordt deze methode gebruikt voor minder belangrijke zaken. Er bestaat namelijk geen waterdichte manier om te achterhalen of de ondertekenaar wel is wie hij beweert te zijn. Als iemand de handtekening van een andere persoon kopieert en op het document zet, is het zeer moeilijk om dit te bewijzen (of zelfs te ontdekken). Om deze reden volstaat een gewone elektronische handtekening mogelijk niet voor wettelijk bindende documenten, afhankelijk van het gebruikte proces. Neem nu verzekerings-, vastgoed- of financiële documenten: om zeker(der) te zijn van de identiteit van de ondertekenaar, moet een handtekening op dit soort documenten aan strengere normen voldoen.
Geavanceerde elektronische handtekening
Deze manier van ondertekenen gaat veel verder dan een gewone elektronische handtekening en voldoet aan vier specifieke wettelijke vereisten. Ten eerste is de handtekening op een unieke manier aan de ondertekenaar verbonden. Ten tweede is het mogelijk om de identiteit van de ondertekenaar te achterhalen. Ten derde wordt de handtekening geplaatst via een uiterst veilig mechanisme dat ervoor zorgt dat de ondertekenaar als enige het document kan ondertekenen. Een bankkaart die aan de gemeenschappelijke rekening van een echtpaar is gekoppeld, kan bijvoorbeeld niet worden gebruikt om de ondertekenaar te identificeren. Er zijn namelijk twee personen wettelijk gekoppeld aan deze rekening en daarom is dit geen unieke wijze van identificatie. Tot slot zijn eventuele wijzigingen aan het ondertekende document achteraf traceerbaar.
In vergelijking met een gewone elektronische handtekening is deze optie duidelijk veiliger. Toch blijkt ook een geavanceerde elektronische handtekening niet 100% betrouwbaar, omdat de vier bovenstaande normen nogal vrij te interpreteren zijn. Samengevat: deze handtekening voldoet volledig aan de eIDAS-verordening, is erg betrouwbaar en kan niet worden vervalst. Toch voldoen de identiteitscontroles mogelijk niet aan de strengste vereisten op het vlak van betrouwbaarheid. Dit hangt af van het proces dat wordt gebruikt. Kort gezegd vormt deze manier van elektronisch ondertekenen de gulden middenweg tussen een aangename gebruikerservaring en een doeltreffend beheer van de risico’s. Een biometrische handtekening via een Wacom tablet of een handtekening met iDIN zijn twee voorbeelden van een geavanceerde elektronische handtekening.
Gekwalificeerde elektronische handtekening
Is een ‘natte’ handtekening op papier volgens jou de enige veilige optie voor je document? Overweeg dan haar digitale tegenhanger: de gekwalificeerde elektronische handtekening. Bij dit type is de identiteit van de ondertekenaar met de handtekening verbonden door een persoonlijk, gekwalificeerd certificaat van een Qualified Trust Service Provider (QTSP). Zo weet je dat de handtekening niet alleen geldig is in het EU-land waar ze is geplaatst, maar dat ze in alle lidstaten van de Europese Unie wordt erkend als een geldige, wettelijk bindende handtekening. Dankzij de bijzondere wettelijke status binnen Europa leent deze handtekening zich voor zeer belangrijke documenten waar grote risico’s mee gemoeid zijn, van levensverzekeringen tot kredietaanvragen. Uiteraard speelt de lokale wetgeving hier een rol. Behalve aan de vier vereisten die we hierboven hebben toegelicht, moet deze onweerlegbare digitale handtekening nog aan enkele andere voorwaarden voldoen. Zo moet de handtekeningsleutel van de gebruiker door een Qualified electronic Signature Creation Device (QSCD) worden beheerd. Alleen de ondertekenaar kan dan zijn of haar persoonlijke sleutel zien en gebruiken. De gegevens om de handtekening aan te maken, zijn bovendien uniek, vertrouwelijk en beveiligd tegen vervalsing.
Door deze bijkomende vereisten is de gekwalificeerde elektronische handtekening de betrouwbaarste van allemaal. Alleen met deze handtekening kan je de ondertekenaar met 100% zekerheid identificeren, omdat er eerst een persoonlijke controle of een gelijkwaardige procedure vereist is. Indien er op een bepaald moment twijfel over de handtekening bestaat, moet de ondertekenaar bewijzen dat ze authentiek is. Bij de gewone en geavanceerde variant ligt de bewijslast dan weer bij de partij die de aanzet heeft gegeven tot de handtekening. Enkele voorbeelden van de erg veilige gekwalificeerde elektronische handtekening zijn een handtekening via eID en itsme®.
Wat is het verschil?
Zoals we hierboven al uitlegden, delen we elektronische handtekeningen in volgens de mate van zekerheid die ze bieden. Elk van de drie manieren van ondertekenen is rechtsgeldig volgens eIDAS. Omdat de inhoud na ondertekening van het document niet kan worden gewijzigd, is een zekere vorm van integriteit altijd verzekerd. Hoe veilig elk type digitale handtekening is, verschilt dan weer wel sterk. Als je voor een rechter moet bewijzen dat de handtekening echt is en bewust op een bepaald document is gezet, dan is er een verschil in het bewijs dat je moet voorleggen.
Goed, beter, best
Als bedrijf wil je uiteraard een gebruiksvriendelijke oplossing die je waar en wanneer dan ook kan inzetten, die betrouwbaar is én die aan de wettelijke vereisten voldoet. Welk type handtekening geknipt is voor jouw bedrijf, hangt af van uw situatie en noden. Een kort overzicht met een woordje uitleg.
| Goed | Beter | Best | |
|---|---|---|---|
| Wat? | Simpele elektronische handtekening | Geavanceerde elektronische handtekening | Gekwalificeerde elektronische handtekening |
| Waarom? | - Snel & makkelijk! - Gemakkelijk bruikbaar op mobiele apparaten - Ziet er hetzelfde uit als op papier | - Verbonden aan ondertekenaar - Biedt meer wettelijk bindend bewijs - Betrouwbaarder dan gewone variant | - Hoogste mate van veiligheid - Persoonlijk aan ondertekenaar gekoppeld - Digitale tegenhanger van natte handtekening - Wettelijke verplichting |
| Wanneer? | - Ondertekenen voor ontvangst van een pakketje - Simpele goedkeuring - Onboarding van klanten* - Toekenning van een krediet* - ... *afhankelijk van de lokale wetgeving of het risico | - Onboarding van klanten* - Toekenning van een krediet* - ... *afhankelijk van de lokale wetgeving of het risico | - Ondertekenen van verzekeringsdocumenten - Overheidsadministratie |
| Connective oplossing | - SMS OTP - Mail OTP - Handmatige handtekening | - SMS OTP - Mail OTP - Biometrische handtekening | - .beID - LuxID - itsme® sign |
Heb je vragen over de verschillende elektronische handtekeningen of wil je een van de drie types die we in deze blog hebben toegelicht gebruiken? Neem dan gerust contact met ons op, want Connective biedt alle types aan. We bespreken graag samen met jou welke optie het best bij je past.
