Er is veel te doen om de langdurige geldigheid van elektronische handtekeningen. Is een document dat je bijvoorbeeld vandaag ondertekent over tien of zelfs vijftig jaar nog geldig? In dit artikel leggen we uit wat een elektronische handtekening juridisch bindend maakt, hoelang e-handtekeningen geldig kunnen blijven en welke cruciale rol technologie daarbij speelt.
Hoelang moet een elektronische handtekening geldig zijn?
Een van de eerste vragen die je jezelf moet stellen, is hoelang je e-handtekening eigenlijk geldig moet zijn. Als een e-handtekening slechts een paar jaar geldig hoeft te zijn, heeft het natuurlijk weinig zin als de geldigheid ervan maar blijft voortduren.
Het is daarom belangrijk om stil te staan bij het type document dat je ondertekent. De bewaartermijn zal namelijk per documenttype verschillen. Je zult ook rekening moeten houden met (inter)nationale, regionale en lokale wetten met betrekking tot het bewaren van documenten. Controleer daarom altijd wat de wettelijke regels zijn, of je nu een arbeidscontract, servicevoorwaarden, bankgegevens of een medisch dossier ondertekent. Denk ook aan specifiek beleid dat jouw organisatie hanteert voor geschillen, verjaringstermijnen, belastingen of financiële verslaglegging.
Wat maakt een elektronische handtekening juridisch bindend?
In de meeste delen van de wereld zijn elektronische handtekeningen juridisch bindend. Niettemin zullen landen hun eigen specifieke regelgeving hebben. In de VS vallen e-handtekeningen bijvoorbeeld onder de Electronic Signatures in Global and National Commerce Act (ESIGN) en de Uniform Electronic Transactions Act (UETA). In het VK daarentegen zijn de Electronic Communications Act 2000 (ECA 2000) en de Electronic Signatures Regulations 2002 (ESR 2002) van toepassing. In Europa is de juridische status van e-handtekeningen vastgelegd in de verordening betreffende elektronische identificatie en vertrouwensdiensten, kortweg de eIDAS-verordening.
Hoewel e-handtekeningen als juridisch bindend worden beschouwd, wordt de geldigheid ervan beperkt door het bijbehorende certificaat voor elektronische handtekeningen. Voor deze certificaten worden verschillende namen gebruikt (zoals ondertekeningscertificaat en digitaal certificaat). Ze worden echter allemaal uitgegeven door een certificeringsinstantie (CA) die als poortwachter fungeert en de authenticiteit en integriteit van certificaten garandeert. Wanneer een certificaat door een vertrouwde CA is afgegeven, betekent dit dat de persoon die het document ondertekent, is wie hij zegt dat hij is.
Wat gebeurt er als het certificaat vervalt of de CA ophoudt te bestaan?
Digitale certificaten die door een CA zijn afgegeven, zijn slechts bepaalde tijd geldig. Meestal één tot drie jaar. Maar wat als een document vijf jaar geldig moet zijn en het certificaat halverwege deze periode vervalt? En wat als de certificeringsinstantie die het certificaat afgeeft plotseling niet meer actief is?
Om ervoor te zorgen dat een elektronische handtekening geldig blijft, dus ook wanneer certificaten verlopen of CA’s hun activiteiten beëindigen, moeten er twee componenten in het document worden geïntegreerd. Dit zijn een officiële tijdstempel die door een vertrouwde tijdstempelinstantie is uitgegeven, en een verificatie van het originele ondertekeningscertificaat. Hieronder wordt uitgelegd waarom deze belangrijk zijn.
Tijdstempel voor elektronische handtekeningen
Elektronische handtekeningen met een lange geldigheidsduur bevatten een tijdstempel dat aantoont wanneer de handtekening is gemaakt. Als uit de tijdstempel blijkt dat het document is ondertekend op het moment dat het digitale certificaat van de CA nog geldig was, dan is de elektronische handtekening dat ook. Zelfs als de CA niet meer actief is, blijft het document geldig zolang het is ondertekend op het moment dat de CA nog wel actief was.
De tijdstempel zelf wordt verstrekt en toegewezen door een onafhankelijke vertrouwde partij, een zogeheten tijdstempelinstantie (oftewel een TSA). Dit verhoogt de integriteit van elektronische handtekeningen en zorgt ervoor dat deze niet gemakkelijk kunnen worden gemanipuleerd of geantedateerd.
Verificatie van het ondertekeningscertificaat
Naast een tijdstempel bevatten elektronische handtekeningen met een lange geldigheidsduur ook gegevens waarmee de geldigheid van de digitale certificaten op het tijdstip van ondertekening kan worden geverifieerd. Dit gebeurt meestal met behulp van een CRL- (certificate revocation list) of OCSP-controle (Online Certificate Status Protocol). Als de OCSP-verificatiemethode beschikbaar is, heeft deze de voorkeur. De belangrijkste reden hiervoor is dat deze methode minder gegevens vergt en er dus minder opslagruimte wordt ingenomen.
De elektronische handtekening blijft geldig zolang het certificaat geldig was op het tijdstip van ondertekening (en dit door de tijdstempel wordt bevestigd).
Welk documentformaat is het meest geschikt voor e-handtekeningen met een lange geldigheidsduur?
Documentformaten waarin gegevens zijn ingesloten, zoals PDF/A, worden aanbevolen. PDF/A-documenten bevatten niet alleen gegevens, ze zijn ook een gestandaardiseerd formaat en voldoen aan ISO 19005. Bovendien kan het open-bestandsformaat van de documenten met verschillende soorten software gedownload en geopend worden.
PDF/A-documenten zijn kortom op zichzelf staande bestanden van een zelfdocumenterend formaat, die niet afhankelijk zijn van specifieke typen hard- en software. Hierdoor zijn ze ideaal voor langdurige toegankelijkheid.
Wat gebeurt er als de software wordt gehackt?
Het voordeel van software voor elektronische handtekeningen is dat veilige algoritmen worden gebruikt om gegevens te versleutelen, waardoor deze moeilijk te hacken zijn. Elektronische handtekeningen berusten echter op technologie. Deze zal op gegeven moment verouderen, wat van invloed is op de software en de algoritmen.
Om dat risico te verkleinen, moeten nieuwere versleutelingsstandaarden worden gebruikt om een technologische voorsprong te behouden. Een voorbeeld hiervan is de certificaten regelmatig te voorzien van nieuwe tijdstempels met een bijgewerkt algoritme, voordat de technologie is verouderd en de certificaten kwetsbaar zijn geworden voor hacking.
Zijn elektronische handtekeningen voor altijd rechtsgeldig?
Of jouw e-handtekening voor altijd geldig is, hangt uiteindelijk af van de wijze waarop de handtekening is opgesteld. Voor een onbeperkte geldigheid moet de handtekening een tijdstempel en een actief digitaal verificatiecertificaat bevatten. Daarnaast moet de handtekening worden beschermd aan de hand van periodieke tijdstempels die de algoritmische complexiteit op peil houden en veroudering voorkomen.
Langetermijnbeveiliging mogelijk maken is een van de kerntaken van Connective. Met Connective eSignatures, onze oplossing voor elektronisch ondertekenen, weet u zeker dat uw belangrijke documenten veilig en geldig zijn zolang dat nodig is.
