Beschrijving Proces Digitale handtekening. Inleiding Tijdens de archiefinspectie 2011 is de aanbeveling gedaan de procedure die wij hanteren rond het gebruik van de digitale handtekening te beschrijven en vast te leggen. Aanleiding om een digitale handtekening te gaan gebruiken De aanleiding hiervoor was de wens van de organisatie om een digitale werkomgeving te creëren waarin zo min mogelijk met papier wordt gewerkt. Vanaf 1-10-2010 is gestart met de behandeling van digitaal ontvangen aanvragen voor omgevingsvergunningen. De aanvragers vinden het prettig ook digitaal antwoord te krijgen. Vanaf 1-10-2011 is het Zaaksysteem in gebruik genomen. Ook hierin willen we zoveel mogelijk de correspondentie met onze klanten digitaal laten verlopen en hebben we gekozen voor digitaal informatiebeheer. Inwoners van de gemeente Teylingen die inloggen met hun DigiD kunnen hun zaken volgen via Mijn Teylingen. Wat is een elektronische handtekening De term elektronische handtekening is een wettelijke definitie voor verschillende methoden om de identiteit van iemand die een elektronisch bericht zendt te bevestigen. De term elektronische handtekening omvat daarom niet alleen een digitale handtekening maar bijvoorbeeld ook een ingescande handtekening. In Nederland is de Wet elektronische handtekeningen (WEH) op 21 mei 2003 ingevoerd. Deze wet is een implementatie van de Europese richtlijn: 99/93/EG van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (verder: richtlijn). De Wet elektronische handtekening biedt de mogelijkheid om documenten elektronisch te ondertekenen. De belangrijkste bepalingen in de Wet elektronische handtekening is te vinden in boek 3 en 6 van het Burgerlijk Wetboek en de Telecommunicatiewet. Artikel 3:15a Burgerlijk Wetboek (Nederland) (BW) zegt dat een digitale handtekening "dezelfde rechtsgevolgen als een handgeschreven handtekening" heeft, "indien de methode die daarbij is gebruikt voor authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval". Een met certificaten en beveiligde apparatuur geplaatste handtekening is meestal genoeg. De elektronische handtekening wordt geacht rechtsgeldig te zijn als er is voldaan aan de volgende voorwaarden (art. 3:15a lid 2 BW): -De handtekening is op unieke wijze aan de ondertekenaar verbonden -De handtekening maakt het mogelijk de ondertekenaar te identificeren -De handtekening is tot stand gekomen met middelen die onder de uitsluitende controle van de ondertekenaar staan: het moet met zijn computer zijn gebeurd -De handtekening moet zodanig aan het meegestuurde document zijn verbonden, dat elke wijziging achteraf kan worden opgespoord Verder moet het voldoen aan een gekwalificeerd certificaat (art. 3:15a lid 2 sub e BW en de artikelen 1.1 ss en 18.15 lid 1 + 2 Telecommunicatiewet). Het certificaat moet met een veilig middel zijn verkregen (art. 3.15 lid 2 sub f en art. 18.17 lid 1 Telecommunicatiewet: de veiligheidseisen staan in een AMvB). Daarnaast vermeldt de wet in art. 3.15 lid 3 dat een elektronische handtekening niet alleen op het enkel feit dat er geen gekwalificeerd certificaat is dat met een veilig middel is verkregen, kan worden aangemerkt als niet betrouwbaar. Dit zal afhankelijk zijn van het doel en de aard van de transactie waarvoor het wordt gebruikt. De algemene norm in artikel 3:15a BW maakt het gebruik van verschillende soorten elektronische handtekeningen mogelijk waardoor in het elektronisch rechtsverkeer de nodige flexibiliteit kan worden betracht. Afhankelijk van het doel kan een elektronische handtekening met een hoger of een lager veiligheids- en betrouwbaarheidsniveau worden gebruikt. Beschrijving Proces Digitale handtekening. 1
De elektronische handtekening is een methode om de identiteit van iemand die een elektronisch bericht verzendt te bevestigen. De lichtste variant is bijvoorbeeld het vermelden dat het document digitaal is aangemaakt en daarom niet is voorzien van een handtekening. De zwaarste variant is de gekwalificeerde handtekening. Soorten elektronische handtekeningen (bijlage 1) 1. Gewone elektronische handtekening 2. Geavanceerde elektronische handtekening 3. Gekwalificeerde elektronische handtekening Waarom gekozen voor de gewone digitale handtekening in de vorm van een plaatje Deze zichtbare handtekening is prettig voor de burger. De handtekening is herkenbaarder dan een digitale code. Een deel van de burgers zal een code niet snappen. Er is voldoende zekerheid dat de handtekening alleen geplaatst wordt door de eigenaar van de handtekening. Het plaatje is even duurzaam als het PDF bestand waar het plaatje op gezet is. De kosten blijven beperkt tot eenmalige uitgave ipv hoge jaarlijkse kosten. De handtekeningen kunnen locatie onafhankelijk worden gezet door de thuiswerkoplossing. Welke aspecten spelen een rol bij het gebruik van de elektronische handtekening Betrouwbaarheid. Bij de keuze voor een bepaalde handtekening moet rekening gehouden worden met de betrouwbaarheid en veiligheid. De richtlijn bepaalt in artikel 5 lid 1 dat: [ ] een geavanceerde elektronische handtekening die is gebaseerd op een gekwalificeerd certificaat, is aangemaakt met behulp van een veilig middel en voldoet aan de wettelijke eisen die gelden voor handtekeningen, in belangrijke mate rechtskracht heeft als een handgeschreven handtekening op een papieren drager in de gegeven omstandigheden zou hebben. Aan een elektronische handtekening die met genoemde waarborgen is omgeven dient derhalve dezelfde juridische status te worden toegekend als aan een handgeschreven handtekening op een papieren drager[ ]. In de praktijk betekent dit dat een burger die een document ontvangt dat ondertekend is met een elektronische handtekening, gebaseerd op een gekwalificeerd certificaat, er van uit kan gaan dat: -de afzender degene is die hij of zij beweerd te zijn; -de afzender bevoegd was om het document te ondertekenen; -de inhoud van het document na ondertekening niet is gewijzigd. Daarnaast bepaalt de richtlijn in art. 5 lid 2: De lidstaten zorgen er voor dat een elektronische handtekening geen rechtskracht wordt ontzegd [ ] louter op grond van het feit dat: -de handtekening in elektronische vorm is gesteld, of -niet is gebaseerd op een gekwalificeerd certificaat, of -niet is gebaseerd op een geaccrediteerd [ ] certificaat, of -zij niet is aangemaakt met een veilig middel. Beschrijving Proces Digitale handtekening. 2
Jurisprudentie. In de jurisprudentie is er een verschil tussen privaat- en bestuursrecht. Recent heeft de afdeling in haar uitspraak van 10 april 2010 11 bepaald dat: voor wat betreft het bestuursrechtelijk verkeer met burgers, de enkele omstandigheid dat de ondertekening ontbreekt, in het geval als het onderhavige, waarin sprake is van een geautomatiseerd aangemaakte brief, niet dat aan deze brief het besluitkarakter moet worden ontzegd. Gelet hierop heeft het besluit [ ]wel rechtskracht gekregen. Hierbij dient echter opgemerkt te worden dat deze uitspraak betrekking had op de provincie ZuidHolland waarvan bekend is dat zij de besluiten nog niet elektronisch versturen. Over het gebruik van de verschillende vormen van de elektronische handtekening in het privaatrechtelijk verkeer is echter nog bijna geen jurisprudentie bekend. Wat is nu het juridische verschil? De gekwalificeerde elektronische handtekening is in bewijsrechtelijk opzicht gelijk aan de handgeschreven handtekening: de rechtsgeldigheid wordt aangenomen. Als iemand beweert dat de handtekening vals is, moet dit worden bewezen door wederpartij. Van andere elektronische handtekeningen moet in principe de ondertekenaar bewijzen dat de gebruikte handtekening voldoende betrouwbaar en dus rechtsgeldig is, tenzij de rechter een omgekeerde bewijslast formuleert. In Nederland is er dan nu de Wet Elektronische Handtekeningen. Deze wet wijzigt onder andere het Burgerlijk Wetboek, waarin geregeld staat hoe contracten en andere overeenkomsten gesloten kunnen worden. Er wordt een nieuw artikel toegevoegd (boek 3, artikel 15a) dat komt te luiden Een elektronische handtekening heeft dezelfde rechtsgevolgen als een handgeschreven handtekening, indien de methode die daarbij is gebruikt door authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval. Zowel gewone als geavanceerde elektronische handtekeningen kunnen dus rechtsgeldig zijn, mits ze maar voldoende betrouwbaar zijn. Lid 2 van dit artikel zegt dat een elektronische handtekening betrouwbaar genoeg wordt geacht wanneer de handtekening op unieke wijze aan de ondertekenaar verbonden is, dat de ondertekenaar kan worden geïdentificeerd, dat de ondertekenaar de middelen waarmee hij de handtekening zet onder zijn controle heeft, en dat de handtekening zodanig is gekoppeld aan het getekende bestand dat elke wijziging achteraf kan worden opgespoord. Ook moet er gebruik zijn gemaakt van een betrouwbaar certificaat. Hierbij worden de geavanceerde elektronische handtekeningen dus rechtsgeldig. Gebruiksveiligheid. Onder veiligheid wordt gerekend het onjuist en/of onbevoegd gebruik van de elektronische handtekening. Bij een geavanceerde handtekening is misbruik lastiger maar voor een handige gebruiker niet onmogelijk: het programma dat gebruikt wordt om de handtekening te zetten kan geïnstalleerd worden op een andere pc. Met de gekwalificeerde handtekening wordt in dat opzicht het minste risico gelopen. Hoewel er natuurlijk altijd de mogelijkheid is dat een medewerker de Smart Card waarop de elektronische handtekening is geplaatst verliest of dat de pincode aan derden wordt gegeven. Bij verlies is het gevolg gering omdat er voor het gebruik van de handtekening ook andere middelen nodig zijn (pincode en cardreader). Het uitlenen van een pincode heeft grotere gevolgen omdat daardoor onbevoegd een handtekening gezet kan worden. Juridisch gezien is er geen verschil tussen een gestempelde of digitale handtekening. Er zijn geen rechterlijke uitspraken bekend dat een besluit met een gestempelde of digitale handtekening geen rechtskracht zou hebben. Wanneer de overheid een digitale handtekening gebruikt in het rechtsverkeer met haar burgers gaat het erom dat de burgers erop moeten vertrouwen dat de elektronisch handtekening dezelfde (bewijsrechtelljke) waarde heeft als een handgeschreven handtekening. We moeten daarom hiervoor intern waarborgen treffen. Het is daarom vooral een (intern) onderwerp van de overheid, Beschrijving Proces Digitale handtekening. 3
wat aandacht in processen moet hebben, zodat van de digitale handtekening geen verkeerd gebruik wordt gemaakt. Beheer van de handtekeningen De plaatjes staan op de schijf van Functioneel Beheer en op eigen schijf gebruiker. We adviseren de handtekening alleen te bewaren op de persoonlijke schijf. Iedere kopie zorgt voor extra risico. Kosten en baten gewone handtekening Kosten Aan het gebruik van een gewone handtekening zijn geen kosten verbonden. Blue beam is geschikt om deze vorm van elektronische handtekening per direct in te zetten. Baten Tegenover de kosten staan ook baten door het gebruik van de handtekening. Het gaat dan vooral om financiële baten en verhoging van de dienstverlening. De financiële baten kunnen zijn: Minder gebruik van papier Minder ruimte nodig voor opslag archiefbescheiden Minder kosten voor het achteraf scannen (digitaliseren) van ondertekende documenten Besparing portokosten Besparing op formatie Het gebruik van de elektronische handtekening bespaart in het gebruik van papier, enveloppen, de benodigde archiefruimte en op termijn op het aantal fte. Het is dan namelijk niet meer nodig om documenten uit te printen, te voorzien van een analoge handtekening om daarna de papieren versie weer in te scannen en in een numerieke serie op te bergen. Hierdoor is op termijn ook minder opslagruimte nodig voor het archief. Mandaatregeling In het mandaatstatuut van de gemeente Teylingen is het afdoenings- en ondertekeningsmandaat en het ondermandaat geregeld. Hierdoor is het duidelijk welke functionaris namens welk bestuursorgaan een besluit mag nemen en ondertekenen. In het statuut wordt geen verschil gemaakt tussen natte handtekeningen, handtekeningstempels en digitale handtekeningen. Voor het zetten van een digitale handtekening zijn geen aanvullende afspraken gemaakt. Voor een digitale handtekening gelden dus dezelfde regels als voor een natte handtekening. Aanbevelingen 1. De digitale handtekeningen alleen nog maar te bewaren op de persoonlijke schijf. 2. De plaatjes door Ict-beheer op de persoonlijke schijf te laten zetten en niet meer per mail te verzenden. 3. Punt 2 van de Gedragscode voor ambtenaren van de gemeente Teylingen staat: Je gaat vertrouwelijk om met gevoelige informatie. Dat betekent dat je je netwerkwachtwoorden niet aan anderen geeft zodat ze ook niet bij jouw handtekening kunnen. Als iedereen zorgvuldig met zijn/haar eigen digitale handtekening omgaat is de veiligheid voldoende gegarandeerd. Afdeling ISI, team Informatiebeheer, Elly Wabeke 09-08-2012 Beschrijving Proces Digitale handtekening. 4
Bijlage 1 Soorten handtekeningen: 1. Gewone elektronische handtekening Onder een gewone elektronische handtekening wordt ingevolge artikel 2, tweede lid, van de richtlijn verstaan: elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en wordt gebruikt als middel voor authentificatie. Hierbij valt bijvoorbeeld te denken aan een ingescande handtekening van een papieren drager. 2. Geavanceerde elektronische handtekening De geavanceerde elektronische handtekening is met meer waarborgen omkleed dan de gewone elektronische handtekening. Volgens de richtlijn artikel 2, tweede lid, is sprake van de geavanceerde elektronische handtekening als deze: -op unieke wijze aan de ondertekenaar is verbonden. -het mogelijk maakt de ondertekenaar te identificeren. -tot stand komt met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden. -op zodanige wijze aan het elektronische bestand waarop zij betrekking heeft is verbonden dat elke wijziging achteraf van de gegevens kan worden opgespoord. In de praktijk bestaan twee vormen van de geavanceerde elektronische handtekening: zonder certificaat en met certificaat. Voorbeeld is de provincie Zuid-Holland, zij maakt gebruik van de elektronische handtekening zonder certificaat. Het uitgangspunt bij de provincie Zuid-Holland is: na het nemen van het besluit worden de documenten geprint en fysiek per post verstuurd. Dit uitgangspunt [...]betekent dat er op dit moment geen sprake is van een directe elektronische externe werking.[...] Een volledig geavanceerde of gekwalificeerde elektronische handtekening is daarom nu niet aan de orde. 3. Gekwalificeerde elektronische handtekening Eén van de vormen van een geavanceerde elektronische handtekening is de gekwalificeerde variant. Hieraan zijn, bovenop de eisen die aan een geavanceerde elektronische handtekening worden gesteld, nog verdere eisen verbonden. Deze gekwalificeerde elektronische handtekening: -Is vervaardigd met een certificaat, uitgegeven door een bij de Opta ingeschreven Certificatiedienstverlener (TTP). Welk certificaat door de TTP is aangemerkt als gekwalificeerd (staat in het certificaat); -Bij de afgifte aan de toekomstige gebruiker face to face is gecontroleerd op diens identiteit (niet bijvoorbeeld per post met een kopie legitimatiebewijs). -Is gebaseerd op een gekwalificeerd certificaat dat voldoet aan strenge eisen zoals gesteld in de telecommunicatiewet. -Is gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen (bijv. smartcard of usb token). De laatste twee vereisten zijn een gevolg van de inwerkingtreding van de Wet Elektronische Handtekening (art. 3.15a lid 2 sub e en f BW). 2.2. Het verschil tussen de verschillende soorten handtekeningen Het verschil in de soorten handtekening ligt voornamelijk in het feit of er wel of geen certificaat aan de handtekening verbonden is en welk soort certificaat. Onderscheid kan worden gemaakt tussen: -de gewone elektronische handtekening, hieraan ligt geen certificaat ten grondslag -de geavanceerde elektronische handtekening met gewoon certificaat -de geavanceerde elektronische handtekening met een gekwalificeerd certificaat Beschrijving Proces Digitale handtekening. 5
Bijlage 2 Beschrijving voor het aanvragen van een handtekening Gebruiker zet handtekening op A-4. Functioneel beheer scant dit naar een digitaal formaat en zet om naar Tiff-bestand. Functioneel beheer zet het plaatje om naar een BRX bestand voor gebruik door het programma Bluebeam. Ict-beheer zet de digitale handtekening op de persoonlijke schijf van de medewerker. Beschrijving Proces Digitale handtekening. 6
Bijlage 3. Werkwijze voor het ondertekenen van brieven. Als auteur aanbieden via de mail om te laten ondertekenen 1 maak aan brief in TripleC. 2 Kies in het menu onder Bestand de optie Afdrukken en selecteer PDF creator af. Sla het document op het bureaublad of een locale schijf op. 3 Maak een email en voeg het document als bijlage toe. 4 Zet in het onderwerp Digitale ondertekening 5 Verstuur de mail naar degene naar wie je tot op heden fysieke brieven stuurt om te controleren en/of te ondertekenen. eventuele verbeteringen 6 als degene die de brief controleert of de ondertekenaar wijzigingen wilt aanbrengen krijg je de wijziging per mail toegezonden. Pas de brief aan en volg daarna de stappen 2 t/m 5 verzenden en archiveren 7 na ondertekening krijg je de brief per mail toegezonden. Als voor de zaak met een aanvrager is afgesproken dat er digitaal gecorrespondeerd mag worden stuur je de email met bijlage door. Let er op dat je het veld Onderwerp en eventueel de tekst van het bericht aanpast en je eigen handtekening in de mail zet. Als niet digitaal gecorrespondeerd mag worden print de brief de 1 keer uit. Stop die in een envelop en stuur die naar de bode om te verzenden. 8 Sla de bijlage van de email (=ondertekende brief) op je lokale schijf of bureaublad op. 9 Ga naar de zaak in TripleC. naar het tabblad documenten. 10 Klik op het icoontje van het document waarvan je de Wordversie wilt vervangen door de ondertekende pdf versie. 11 Verwijder de opgeslagen pdf van bureaublad of lokale schijf. Als controleur 1 Je krijgt ondertekende brieven in je postvak IN als bijlage bij een email. (Of in het speciale mapje als je dat hebt ingesteld. 2 Open de bijlage. Als je wijzigingen wilt laten aanbrengen mail die dan naar de auteur. Als je geen wijzigingen hebt sluit je de bijlage en stuur je de mail door naar de volgende behandelaar of ondertekenaar. Als je een brief doorstuurt naar de secretaris moet je er op letten wie op dat moment ondertekent. 3 Pas de adressering van de mail aan. N.B. als een brief ondertekent moet worden door secretaris en/of burgemeester moet je het te ondertekenen document mailen naar ondertekeningbenw@teylingen.nl Beschrijving Proces Digitale handtekening. 7
Als ondertekenaar (muv secretaris en burgemeester) 1 Je krijgt te ondertekenen brieven in je postvak IN als bijlage bij een email. (Of in het speciale mapje als je dat hebt ingesteld. 2 Sla de bijlage op in je lokale schijf of op je bureaublad. 3 Open het document (met Bluebeam). Als je wijzigingen wilt laten aanbrengen mail die dan naar de auteur. Als de brief akkoord is plaats je de stempels met je handtekening en de datumstempel (alleen als je zeker weet dat de brief dezelfde dag wordt verzonden). Klik op flatten om stempels en oorspronkelijke pdf samen te voegen. 4 Als de brief door twee ondertekenaars ondertekend moet worden: klik bij de mail op doorzenden en voeg brief als bijlage bij. Vul de naam van de geadresseerde in. 5 Verwijder de opgeslagen pdf van bureaublad of lokale schijf. Beschrijving Proces Digitale handtekening. 8