Per 21 mei 2003 (0:00h) is de wet elektronische handtekeningen in werking getreden. Nederland is daarmee zo’n beetje het laatste land binnen de Europese Unie dat een dergelijke wetgeving invoert. ‘Het is een stapje vooruit om formele afspraken elektronisch en met rechtszekerheid af te handelen’, zegt ir. René van den Assem, partner van Verdonck, Klooster & Associates in Zoetermeer. ‘Deze wetgeving is op zich geen revolutie. De belastingdienst maakt bijvoorbeeld al gebruik van een vorm van elektronische handtekening voor de elektronische aangifte. De winst zit in de grotere rechtszekerheid en de standaardiserende werking: het feit dat we naar één niveau van vertrouwen toe gaan is winst.’
De nieuwe wet voert de rechtszekerheid van de elektronische handtekening drastisch op. Van den Assem: ‘Waar de elektronische handtekening in eerste instantie onder de vrije bewijsvoering viel heeft deze nu een wettelijke basis. Indien een elektronische handtekening voldoet aan de in de wet gestelde eisen bestaat er een rechtsvermoeden dat die handtekening betrouwbaar is. Bovendien is deze ook gelijkgeschakeld met de handgeschreven handtekening.’
Van den Assem verwacht een geleidelijk toenemend maatschappelijk belang van de elektronische handtekening. ‘De eerste toepassingen zullen gevonden worden voor enkele elektronische processen binnen het bedrijfsleven en de overheid, die heel betrouwbaar moeten zijn.
Maar een volgende stap is dat er wetgeving komt die het ook mogelijk maakt de officiële communicatie met de overheid elektronisch te gaan doen, denk bijvoorbeeld aan officiële besluiten zoals vergunningen. De elektronische handtekening wordt daarbij gebruikt om de betrouwbaarheid te garanderen.
Verder is er wet- en regelgeving op het gebied van elektronisch factureren en elektronisch inkopen waarbij de elektronische handtekening ook wordt gebruikt.'
Trusted Third Parties, hoe de business case rond te krijgen
Voor de elektronische handtekeningen zijn partijen nodig die 'digitale identiteiten' verstrekken, de zogenaamde Trusted Third Parties (TTP's), ook wel certificatiedienstverleners (in het engels: CSP's) genoemd. De verschijningsvorm zal vaak in hardware zijn, meestal een smartcard. Overigens is er ook nog een hele markt voor laagwaardiger digitale identiteiten die in de vorm van zogenaamde software certificaten in de browser van je PC kunnen voorkomen.
‘In beginsel kunnen die TTP's commerciële partijen en overheden zijn. De commerciële partijen (notarissen met Diginotar, banken met Identrus en Global Trust Authority, PINKRoccade) zullen zich vooral richten op die toepassingen en doelgroepen waar snel een business case voor is te maken, dus toepassingen in bedrijfsleven (elektronische handel) en overheid. Ook de Kamers van Koophandel nemen een proef voor het verstrekken van certificaten aan personen in het bedrijfsleven.’
Voor de burger en consument liggen de zaken veel moeilijker, omdat hier de businesscase voor een betrouwbare digitale identiteit moeilijk is te maken. Volgens Van den Assem zou de overheid een rol kunnen spelen met een identiteitsbewijs. ‘Met de aan te scherpen identificatieplicht zal toch iedereen zo’n bewijs op zak hebben’. De plannen die de overheid in deze richting heeft, de zogenaamde eNIK, richten zich nu vooral op de toevoeging van biometrie aan officiële reispapieren. De stap om hier de faciliteiten voor een elektronische handtekeningen aan toe te voegen is klein. ‘Die stap mag eigenlijk niet worden overgeslagen’ stelt Van den Assem. Andere partijen die in dit domein een rol kunnen spelen zijn de banken, die met de bankkaart al een behoorlijk betrouwbare identiteit hebben uitgerold. Eventueel kunnen mobile operators ook een rol spelen. Van den Assem: ‘De operators hebben echter de handicap dat hun uitgifte- en beheerproces thans niet bijster betrouwbaar is.’
Digitale sleutelbos of standaardisatie
Bij dit alles is standaardisatie van groot belang, anders krijgen we een 'digitale sleutelbos' met vele sleutels. Een paar sleutels is onvermijdelijk en is ook hanteerbaar (de gemiddelde consument heeft zes pasjes op zak), maar met tientallen sleutels wordt het echt onwerkbaar.
Het naadloos kunnen samenwerken van verschillende initiatieven op dit gebied ligt daarom voor de hand, waarbij standaarden onmisbaar zijn, zoals ze bijvoorbeeld in het kader van EESSI (European Electronic Signature Standardization Initiative) worden ontwikkeld. Maar ook het neerzetten van de benodigde Public Key Infrastructuren (PKI's) die een voldoende breed bereik hebben en die kunnen samenwerken met andere soortgelijke infrastructuren. Denk hierbij aan initiatieven zoals PKIOverheid.
'Er gebeurt veel op dit gebied, maar effectieve samenwerking over sectoren heen en daarna ook over landsgrenzen heen lijkt een voorwaarde te zijn om uiteindelijk de grote successen te realiseren.'
Ir. René van den Assem is voorzitter van de stuurgroep van EESSI (European Electronic Signature Standardization Initiative)
Verdonck, Klooster & Associates (VKA) is een onafhankelijke advies- en managementorganisatie met kennis van bedrijfskunde en ICT. VKA is sinds 1985 actief in:
- Strategische informatievoorziening (in samenwerking met The Yankee Group)
- ICT-Consultancy
- Programma- en Projectmanagement
- Organisatie- en Procesconsultancy
- Interim-management