6 beste praktijken voor gebruikers van elektronische handtekeningen (deel I)
Na het bekijken (hier en hier) van zes vormen van logisch basisgedrag om uw elektronische identiteit te beschermen en gebruik te maken van vertrouwensdiensten en -apparaten, zullen we ons nu richten op de beste praktijken bij ingebruikname en het gebruik van elektronische handtekeningtechnologie.
In dit artikel en het volgende zullen we samen zes aanbevelingen en enkele praktische adviezen bespreken, die ervoor zullen zorgen dat uw elektronische handtekening geldig blijft en u de juiste juridische zekerheid bieden voor een langere periode.
1. Gebruik alleen op normen gebaseerde elektronische handtekeningtechnologie
In een opkomende markt, zoals de markt voor elektronische ondertekening, is het een komen en gaan van leveranciers en aanbieders. Sommigen van hen doen het goed, anderen besluiten na een tijdje om hun diensten te veranderen of verdwijnen zelfs volledig. Dus, wat doet u in een van deze situaties? Hoe weet u zeker dat uw elektronische handtekening geldig en toegankelijk blijft?
Technologienormen zijn uiterst belangrijk, omdat ze een stabiele omgeving creëren, die de voorkeur geeft aan technologieneutraliteit. Door gebruik te maken van een technologie die is gebaseerd op gepubliceerde en algemeen erkende normen, kunt u op elk moment in de toekomst toegang krijgen tot uw elektronisch ondertekende documenten en deze verifiëren met behulp van beschikbare software, zelfs in de meest ongelukkige scenario’s.
Als u vanaf het begin kiest voor een op standaarden gebaseerde elektronische handtekeningtechnologie, heeft u ook speelruimte als u op een bepaald moment besluit van aanbieder te veranderen. Het maakt een betere migratie van systemen mogelijk, wat zich vertaalt in lagere overgangskosten en minder onvoorziene problemen.
Bovendien moeten we er rekening mee houden dat normen meestal afhankelijk zijn van wettelijke vereisten of zelfs worden opgelegd door autoriteiten. Documenten die elektronisch worden ondertekend volgens de normen in de industrie voldoen dus ook aan de huidige regelgeving, althans, in een hogere mate dan niet-gestandaardiseerde e-handtekeningen. Bovendien hebben elektronische handtekeningen die zijn gemaakt op basis van internationale normen verschillende functies die meer bescherming bieden tegen beveiligingsrisico’s en in geval van een rechtszaak.
In het veld voor het maken van elektronische handtekeningen, of nauw verwant, is er al een breed scala aan normen gepubliceerd. Hieronder vindt u een niet-uitputtende lijst van de meest voorkomende normen en certificeringen die u kunt vragen aan uw aanbieder voor vertrouwensdiensten, wat ons ook naar het tweede punt brengt.
- ETSI Elektronische handtekeningnormen
- ISO-normen (ISO 90012008, ISO 270012013, ISO 200002011, ISO 145332017...)
- De normen van het Europees Comité voor normalisatie (CEN) (TS 419 261:2015...)
- De normen van de Internet Engineering Task Force (IETF) (IETF RFC 5280, ETF RFC 6960...)
- Basisvereisten browserforum certificeringsinstantie (CA/Browserforum)
2. Werk alleen samen met vertrouwde, gecertificeerde leveranciers
Als de bovenstaande normen voornamelijk betrekking hebben op de technologie die nodig is om elektronische handtekeningen uit te voeren, gaan ze ook hand in hand met de certificeringen of formele erkenning van de aanbieders zelf. Elke doorgewinterde ondernemer kent de waarde van due diligence, van het vragen om referenties en het controleren van het portfolio van toekomstige ondernemers, dus we zullen hier niet aandringen op deze aspecten.
We willen erop wijzen dat gecertificeerde dienstverleners, in tegenstelling tot andere dienstverleners, moeten voldoen aan specifieke strenge wettelijke vereisten om hun status te verkrijgen en te behouden. Ze worden regelmatig geëvalueerd en gecontroleerd door onafhankelijke regelgevende instanties, die de kwaliteit van hun dienstverlening beoordelen en garanderen. Daarom bieden ze betere betrouwbaarheid en toewijding aan hoogwaardige kwaliteit in de industrie. We hebben hier uitleg gegeven over de rol van gekwalificeerde aanbieders van vertrouwensdiensen bij het creëren van elektronische eIDAS-handtekeningen met het hoogste niveau van zekerheid en hoe we deze op de markt kunnen herkennen.
Nu is het dus tijd om naar de praktische kant te kijken. We zullen u laten zien hoe u ervoor kunt zorgen dat de e-handtekening die u hebt gemaakt of gezien wordt aangeboden door geaccrediteerde dienstverleners in Europa. Open hiervoor een PDF-document dat u wilt ondertekenen met Adobe Reader of Acrobat. Ga naar Bewerken–>Voorkeuren. Kies in het nieuw geopende venster de subsectie Vertrouwensmanager aan de linkerkant. Zorg er vervolgens voor dat in de updates van de Automatische Adobe Approved Trust List (AATL) en Automatische European Union Trusted List (EUTL) de secties “Betrouwbare certificaten laden van een Adobe AATL/EUTL-server” zijn aangevinkt.
Waarom is dit belangrijk?
Om de veiligheid, authenticiteit en integriteit van een elektronische handtekening te garanderen, heeft Adobe de Adobe Authorized Trust List (AATL) gecreëerd. Het is een verzameling vertrouwde certificaten uitgegeven door certificeringsinstanties, bedrijven of overheden in de hele wereld. Deze entiteiten moeten een aanvraag indienen die is geverifieerd en goedgekeurd door Adobe als ze op de lijst willen worden gepubliceerd. De lijst wordt regelmatig bijgewerkt en de software is geprogrammeerd om deze periodiek te downloaden. Als de gemaakte elektronische handtekening is gekoppeld aan een digitaal certificaat op de AATL, geeft Adobe u de bevestiging dat de handtekening geldig is en kan worden vertrouwd.
Bovendien heeft Adobe ook de Adobe European Union Trust List (EUTL) gecreëerd. Deze lijst bevat de Europese gekwalificeerde aanbieders van vertrouwensdiensten (trustserviceproviders; QTSP’s) die op de EU Trusted List zijn gepubliceerd. Dit is duidelijk een kleinere lijst omdat deze beperkt is tot de QTSP’s en hun gekwalificeerde trustdiensten die door de EU-lidstaten worden erkend als eIDAS-conform.
Het is zeer waarschijnlijk dat sommige (zo niet alle) QTSP’s ook op de AATL-lijst staan, maar voor extra zekerheid selecteert u ook de EUTL-lijst. U krijgt de garantie dat de e-handtekening die u hebt uitgevoerd geldig is en eigendom is van een dienstverlener die wordt erkend door onafhankelijke EU-organen.
Het werken met gecertificeerde dienstverleners die diensten voorstellen op basis van algemeen erkende technologienormen zijn sine qua non-voorwaarden. Ze zorgen ervoor dat u stappen zet op innovatiegebied zonder de veiligheid en ontwikkeling van uw bedrijf op de lange termijn in gevaar te brengen. In het volgende bericht zullen we ons richten op nog eens vier best practices voor het gebruik van technologie voor elektronische handtekeningen. Tot spoedig...