Het stelsel van eHerkenning Inloggen bij de overheid NVvIR 23 juni 2011 Marten Voulon m.b.voulon@duthler.nl

Agenda Wat is eHerkenning? Juridisch kader elektronische handtekening Betrouwbaarheidsniveaus Toepassingen voor eJustice Elektronisch procederen Elektronisch proces-verbaal Elektronische dagvaarding ‘één-loket’ Dienstenrichtlijn

Een generieke authenticatievoorziening Gebruiker Dienstverlener Authenticatie-service

Authenticatiemiddelen Iets wat je weet Iets wat je hebt Iets wat je bent Single-factor authentication Two-factor authentication Multi-factor authentication

eHerkenning Initiatief van ministerie van EL&I Netwerk Geen digitale sleutelbos Niet nog een authenticatiemiddel (!) Bedrijfseigen authenticatiemiddelen Extra functionaliteit: machtigingenregister Marktbenadering Geen centrale IT-voorziening maar afsprakenstelsel Marktpartijen bieden op commerciële basis herkenningsdiensten aan Competitief/coöperatief

eHerkenning Dienst-verlener Middelenuitgever Authenticatiedienst Gebruiker Dienst-verlener Middelenuitgever Authenticatiedienst Makelaar (broker) Machtigingenregister

Authenticatie

Intermediair

Bestuurder

eHerkenning Contractuele relaties Beheerorganisatie Gebruiker Deelnemersovereenkomst Overeenkomst inz. broker + gebruiksvoorwaarden O.a. overeenkomst inz. authenticatie + gebruiksvoorwaarden Gebruiker Deelnemer Dienstverlener

Juridisch kader e-handtekening Elektronische handtekening? Art. 1 lid 2 sub a Handelsregisterbesluit Handtekening is mede elektronische handtekening Elektronische handtekening in handelsregister (Van Esch, Computerrecht 2009/1: ondoordachte koppeling) Geachte heer Van der Velde, beste Gerard, Graag maak ik gebruik van je aanbod. De werkzaamheden kunnen wat mij betreft meteen beginnen. Vriendelijke groet, Niels -----Start signature block----- 3081 8902 8181 00C2 6868 0EFF 1B1E 6C2F 377 2BB0 4689 -----End signature block----- “Kardinale zwaktes”? Gebrek aan persoonsgebondenheid Nabootsbaarheid (Wiersma, JBPr 2006/4)

Juridisch kader e-handtekening Hoofdregel Elektronische handtekening heeft dezelfde rechtsgevolgen als de handgeschreven handtekening Indien de gebruikte methode voor authentificatie voldoende betrouwbaar is Wettelijk vermoeden van voldoende betrouwbaarheid Indien: Geavanceerde handtekening (AES) Gekwalificeerd certificaat (QC) Veilig middel (SSCD) (art. 3:15a BW)

Juridisch kader e-handtekening Welke rechtsgevolgen? Minister: Sluiten van Huurovereenkomst Koopovereenkomst Tekenen van wilsverklaring (Kamerstukken I, 2002/03, 27 743, nr. 35, p. 10) Hoofdregel: vormvrij! Uitzonderingen: Koop van woning door consument Koop op afstand Akte ...

Juridisch kader e-handtekening Wanneer ‘voldoende betrouwbaar’? Minister: Let op economische waarde van de rechtshandeling Bij kopen boek of CD: gewone elektronische handtekening volstaat Bij kopen huis of auto is een handtekening met een hoog niveau vereist (Kamerstukken II 2001/02, 27 743, nr. 6, p. 2)

Juridisch kader e-handtekening Elektronisch verkeer ‘voldoende betrouwbaar en vertrouwelijk’ Gelet op aard, inhoud + doel elektronisch bericht (art. 2:14, 2:15 Awb) Elektronische handtekening voldoet aan het vereiste van ondertekening indien voldoende betrouwbaar Art. 3:15a BW deels overeenkomstig van toepassing (art. 2:16 Awb)

Juridisch kader e-handtekening ‘Voldoende betrouwbaar en vertrouwelijk’ Vergelijkbare waarborgen als het papieren verkeer Beginselen van behoorlijk IT-gebruik Authenticiteit Integriteit Onweerlegbaarheid Transparantie Beschikbaarheid Flexibiliteit Vertrouwelijkheid Wat is de verhouding tussen de open norm van betrouwbaarheid en vertrouwelijkheid en 2:16 Awb? Nadere uitwerking van authenticiteit Invulling van de open norm (Kamerstukken II, 2001/02, 28 483, nr. 3, p. 14-16, 20-22)

Betrouwbaarheidsniveaus Registratiefase Identificatieprocedure (fysieke verschijning?) Proces van uitgifte Authenticatiefase Type en robuustheid middel Security van authenticatiemechanisme Gebruiker Dienstverlener Relevant voor: EU-richtlijn 1999/93 ETSI TS 101 456 ETSI TS 102 042 STORK 2:15, 2:16 AWB Besluit elektronisch verkeer met de bestuursrechter Regeling aanwijzing betrouwbaarheidsniveau Beleidsregel DigiD & inzage in GBA Authenticatie-service

Betrouwbaarheidsniveaus Wet AES + QC + SSCD AES + QC AES ‘normale’ ES ETSI TS 101 456 QCP public + SSCD QCP public Gericht op elektronische handtekening STORK Quality of Authentication Assurance model (STORK QAA levels) No or minimal assurance Low assurance Substantial assurance High assurance ETSI TS 102 042 NCP+ NCP LCP EVCP+ EVCP Niet alleen gericht op elektronische handtekening Ook authenticatie en encryptie

STORK Secure identity across borders linked EU programma Doelstelling: implementatie EU-brede interoperabele authenticatie 4 niveaus Afhankelijk van: Registration phase Identification procedure Identity issuing process Quality of the issuing entity Electronic authentication phase Type and robustness of the identity credential Security of authentication mechanism (Deliverable D2.3 - Quality authenticator scheme)

Elektronisch procederen Elektronisch verkeer met bestuursrechter Art. 8:40a Awb: Afd. 2.3 Awb overeenkomstig van toepassing Bij of krachtens AMvB: Nadere regels elektronisch verkeer Nadere regels videoconferentie Besluit elektronisch verkeer: Art. 1: “een vanwege de gerechten aangegeven wijze” Webformulier Integratie met kantoorsoftware? Art. 2: t.a.v. 2:16 en 6:5 Awb: door de minister aangewezen betrouwbaarheidsniveau Regeling aanwijzing betrouwbaarheidsniveau authentificatie STORK 2: DigiD & eHerkenning

Elektronisch procederen Burgerlijke rechtsvordering Art. 33 Rv Ingevoerd met Wapieb Verzoeken, mededelingen & processtukken kunnen elektronisch als procesreglement dat toestaat Gerecht kan verzoek of mededeling elektronisch verzenden indien geadresseerde aangeeft langs deze weg bereikbaar te zijn Besluit elektronisch rolberichten verkeer (Stb. 2008, 275) Regels betrouwbaarheid en vertrouwelijkheid Gerecht: identificatie, authenticiteit, integriteit DigiD in beroepsmatige hoedanigheid?

Elektronisch proces-verbaal Art. 153 lid 2 Sv Persoonlijk, gedagtekend, ondertekend Mag ook elektronisch Besluit elektronisch proces-verbaal e-pv = langs elektronische weg opgemaakt; of omgezet in digitaal afschrift voorzien van elektronische dagtekening QC & SSCD

Elektronische indiening dagvaarding Indiening van (afschrift van exploot van) civiele dagvaarding Wetsvoorstel (Kamerstukken II, 2010/11, 32 695) Bij of krachtens AMvB: regels inz. betrouwbaarheid en vertrouwelijkheid

Elektronisch strafrechtelijk dagvaarden Hof ‘s-Hertogenbosch, 20 juni 2011, BQ8567 ‘Wetgever heeft niet voorzien in e-dagvaarding’

‘één-loket’ Dienstenrichtlijn Verplichting tot instellen ‘één-loket’ NL: antwoord voor bedrijven + berichtenbox Dienstenregeling centraal loket en interne markt informatiesysteem Cross-border herkenning EU beschikking 2009/767/EG Verplichting tot gebruik en aanvaarding: AES, QC, al dan niet SSCD Trusted list (vertrouwenslijst) Regeling vertrouwenslijst

Conclusies Wetgeving sluit aan bij handgeschreven handtekening Aansluiten bij beveiligingsverplichtingen? Eeuwige zoektocht naar het juiste betrouwbaarheidsniveau Behoefte aan interoperabiliteit

Vragen? ? ? ?