Van mijn collega kreeg ik de volgende vragen voorgelegd:

Een document is digitaal ondertekend en gearchiveerd.

  • Hoe geldig is deze ondertekening nog bij het verlopen van het certificaat na een x aantal jaren?
  •  Moet een leverancier de verstrekte certificaat nog bewaren of moeten wij (de gemeente) dat doen?

Mijn eerste gedachte is dat ook bij het verlopen van het certificaat de gezette digitale handtekening zijn geldigheid behoudt. Maar zeker weten doe ik het niet.

Op Internet vond ik geen sluitend antwoord.  Dus de keuze om deze vragen te posten op Breed, was snel gemaakt.

Daarnaast is mijn collega ook erg geholpen met documentatie die de antwoorden onderbouwd.

Weergaven: 182

Hierop reageren

Berichten in deze discussie

Een gekwalificeerd certificaat als bedoeld in artikel 1.1, onderdeel dd Telecommunicatiewet, afgegeven aan het publiek door een certificatiedienstverlener gevestigd in een derde land, heeft dezelfde geldigheid als een gekwalificeerd certificaat afgegeven door een in de Europese Gemeenschap dan wel een van de overige staten die partij zijn bij de Overeenkomst betreffende de Europese Economische Ruimte gevestigde

certificatiedienstverlener, indien:

a. de certificatiedienstverlener voldoet aan de in richtlijn nr. 99/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen

(PbEG L 13) gestelde eisen en beschikt over een in het kader van een in een lidstaat van de Europese Gemeenschap Gemeenschap dan wel een van de overige staten die partij zijn bij de Overeenkomst betreffende de Europese Economische Ruimte afgegeven bewijs van toetsing als bedoeld in artikel 18.16, eerste lid Telecommunicatiewet, dan wel

b. een in de Europese Gemeenschap of een van de overige staten die partij zijn bij de Overeenkomst betreffende de Europese Economische Ruimte gevestigde certificatiedienstverlener die voldoet aan de eisen van richtlijn nr. 99/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (PbEG L 13) voor dat certificaat instaat, dan wel

c. het certificaat of de certificatiedienstverlener is erkend in het kader van een bilaterale of multilaterale overeenkomst tussen de Europese Gemeenschap dan wel een van de overige staten die partij zijn bij de Overeenkomst betreffende de Europese Economische Ruimte en derde landen of internationale organisaties;

Uit:

Wet van 8 mei 2003 tot aanpassing van Boek 3 en Boek 6 van het Burgerlijk Wetboek, de

Telecommunicatiewet en de Wet op de economische delicten inzake elektronische handtekeningen ter uitvoering van richtlijn nr. 1999/93/EG van het Europees Parlement en de Raad van de Europese Unie van 13 december

1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (PbEG L 13)

(Wet elektronische handtekeningen)

Het lijkt me dat het certificaat zelf moet bewaren, heb je de nieuwe selectielijst nagekeken?

lastig. Vraag is in hoeverre dit na verloop van tijd nog nodig is. Ik bedoel: als er op het moment van opmaak en ontvangst, het aangaan van de overeenkomst o.i.d. geen twijfel is over de authenticiteit van het stuk (door de handtekening met certificaat), waarom zouden we er later dan aan gaan twijfelen? 
Zou je kunnen volstaan met op een of andere manier documenteren van het verloop?

Op oudere documenten met natte handtekeningen ontbreekt ook nog al eens een bijbehorende naam en/of functie van degene die de handtekening heeft gezet. Hoe gaan we daarmee om? Wantrouwen we de authenticiteit van die stukken nu? 

Laatste punt van Jack is voor mij ook een trigger. Was laatst in een museum waar een schilderij hing van een internationaal zeer bekende schilder die later zijn oor afsnee. Een ieder vertrouwt er volledig op dat hij zelf het schilderij heeft gemaakt en heeft getekend....

De Archiefregeling, art. 24, lid c, schrijft voor dat er over de digitale handtekening enkel metadata vastgelegd moeten worden. Deze praktische oplossing is verzonnen, omdat het bewaren van de digitale handtekening lastig is. Lees de toelichting er maar op na (vanaf onderaan op blz. 40):

"Met onderdeel c is ten opzichte van de Regeling geordende en toegankelijke staat archiefbescheiden een vast te leggen element toegevoegd, dat betrekking heeft op digitale handtekeningen. Hierover bestaat tot op heden in de praktijk veel verwarring. De digitale handtekening zélf hoeft ingevolge de Archiefwet 1995 niet te worden bewaard. Dat neemt niet weg, dat in voorkomende gevallen wel steeds de gegevens moeten kunnen worden herleid, bedoeld in onderdeel c, onder 1° tot en met 4°.

Eén van de doelen van de digitale handtekening is vaak om te kunnen vaststellen van wie een document afkomstig is. Het gaat dan om authentificatie van de opsteller(s) of afzender(s) van het document. Na controle en validatie van de handtekening verliest deze zijn rol en hoeft ten behoeve van archivering niet te worden bewaard. In de regel is validatie van een digitale handtekening na verloop van tijd niet meer mogelijk, enerzijds om technische redenen (niet meer te reproduceren), anderzijds om organisatorische redenen, omdat de gegevens over functionaris en bijbehorende handtekening niet meer beschikbaar zijn of gewijzigd.

Er kunnen echter andere redenen zijn, bijvoorbeeld juridische, om toch de digitale handtekening te bewaren. Ook in dat geval is er de plicht om de handtekening te valideren en moeten de validatiege- gevens zoals beschreven in dit artikel bewaard worden, omdat deze een bewijs zijn van wie het document wanneer heeft verstuurd."

https://www.digitalehandtekeningen.nl/support/Timestamping

Op deze site is het volgende te lezen:


Geldigheid handtekening
De geldigheidsduur van een digitale handtekening is afhankelijk van de geldigheid van het gebruikte digitale certificaat. Als de geldigheid van dit certificaat is verstreken, geeft de digitale handtekening een foutmelding. De geldigheid van een digitale handtekening is hierdoor meestal enkele jaren. Ook het bovenliggende rootcertificaat heeft een geldigheid van bijvoorbeeld tien jaar. Een Certificaat Autoriteit (CA) kan ophouden met bestaan. In al deze gevallen is validatie van een ondertekend document niet meer mogelijk. Het gebruik van een digitale handtekening in combinatie met een timestamp voorkomt foutmeldingen. De timestamp bewijst dat het certificaat ten tijde van de ondertekening wel degelijk geldig was; hierdoor verloopt een digitale handtekening met timestamp nooit. Dit maakt validatie op lange termijn ook zonder een geldig certificaat, rootcertificaat of actieve CA mogelijk.


Ondertekening
De meeste ondertekensoftware biedt de mogelijkheid tot toevoeging van een timestamp aan een digitale handtekening. Hiermee wordt het exacte tijdstip van ondertekening vastgelegd in de digitale handtekening. Het tijdstip is gebaseerd op een externe en onafhankelijke timestamp-server (TSA). Dit geeft de digitale handtekening extra waarde; een derde partij heeft aangegeven wanneer de handtekening is gezet.



Dit lezend zou je kunnen concluderen:
- dat het bewaren van het certificaat niet nodig is;
- dat een timestamp in de digitale handtekening essentieel is voor validatie op de lange(re) termijn.

Ik denk dat je een Pades-4 moet gebruiken als je een timestamp wil 'refreshen'. Dwz, stel dat je vandaag een timestamp op een document zet, die over 5 jaar vervalt. Dan zal het document niet meer verifieerbaar zijn na deze 5 jaar. Met Pades-4 zou je na 4 jaar en 11 maanden gewoon een nieuwe timestamp kunnen zetten, zodat het opnieuw 5 jaar geldig is. Dit kan niet met Pades-2.

Moest je echter dat Pades-2 document op tijd in een qualified legal archive stoppen, dan maakt het niet uit dat die timestamp vervalt na 5 jaar, zolang je maar kan aantonen dat er niet geknoeid is met het archief.

Antwoorden op discussie

RSS

© 2017   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden