Voorbereidingen Digitaal Strafdossier Presentatie voor de Nederlandse Vereniging voor Informatietechnologie en Recht Ernst Jan van Nigtevecht 23 Juni 2011
Onderwerpen 1. De afgelopen jaren 2. Wetgeving 3. Invoering 4. Europese ontwikkelingen
De afgelopen jaren Digitalisering van dossier en overdracht –Geintegreerd Processysteem Strafrecht (GPS) [2001] –Digitaal Procesdossier Loopzaken (DPL) [2004] –Betrouwbaar Elektronisch Berichtenverkeer (EBV) [2008] Papieren dossiers bleven noodzakelijk... –AMvB Elektronisch Proces-Verbaal [ ] Een PV kan nu echt digitaal blijven
2. Wetgeving Digitaal Strafdossier –AMvB elektronisch proces-verbaal [ ] Document in een duurzaam formaat. –Achteraf converteren maakt de ondertekening ongeldig! –Duurzaam: PDF/A, XML, … –Zie Archiefregeling WJZ/ (8189) Minimale eisen; Houdt geen rekening met de waarde en houdbaarheid van de elektronische handtekening! Gekwalificeerde elektronische handtekening. –Uitgereikt “op persoon”; –Onder “zijn/haar controle”; –Op een “veilig middel” (usb-token/smartcard);
2. Wetgeving Digitaal Strafdossier –AMvB elektronisch proces-verbaal [ ] Handtekening voorzien van betrouwbaar tijdstempel. –Moment van tekenen is onweerlegbaar. Validatie ook op de lange-termijn aantoonbaar. –De techniek van de elektronische handtekening kan de integriteit voor een “bepaalde tijd” garanderen! –Wat te doen “daarna”? »Methode: “Evidence Records” »Bewijs van bestaan en integriteit op een bepaald tijdstip. »Toepasbaar op elk type document. Ook nuttig voor de ‘overige’ digitale stukken van het digitaal dossier … ? ?
2. Wetgeving Digitaal Strafdossier –AMvB elektronisch proces-verbaal [ ] Digitaal ‘kopie-conform-het-origineel’ mogelijk. –Scan van een papieren proces-verbaal. –Ondertekend door de persoon die verantwoordelijk is voor het maken van de kopie. –Gekwalificeerde elektronische handtekening! –Ondertekening is een ‘waarmerk’: de persoon stelt dat de kopie conform het origineel is, de persoon is niet verantwoordelijk voor de tekst van het proces-verbaal zelf (dat is de verbalisant).
2. Wetgeving Digitaal Strafdossier –Andere documenten dan een proces-verbaal? –Ondertekening door anderen dan de verbalisant? Getuigen, verdachte,.. –Is een gekwalificeerde handtekening altijd nodig?
2. Wetgeving Digitaal Strafdossier –Is een gekwalificeerde handtekening altijd nodig? Europese Context – Jos Dumortier (1) [2004] It is a common misunderstanding that, in Europe, in order to have a legally valid electronic signature, you need a “qualified” electronic signature. (..) The only consequence of using a “qualified” electronic signature is the “automatic” application of existing legal rules which are still referring to the handwritten signature. These rules are progressively disappearing because modern legislation no longer exclusively refers to information processing in paper format. The “qualified” electronic signature is therefore only a temporary concept, mainly useful for bridging a transition period. It can, on a longer term, be useful to have a standardized secure electronic signature for all kinds of applications, but such a standard should preferably not be dictated by the legal rules on the “qualified” electronic signature. (1) Jos Dumortier, 'Legal Status of Qualified Electronic Signatures in Europe', ISSE 2004-Securing Electronic Business Processes, 2004, p
2. Wetgeving Digitaal Strafdossier –Is een gekwalificeerde handtekening altijd nodig? Electronic Signature Group Een mening [17 juni 2011]: “The whole concept of qualified signature seems to build on the idea that you engage in high-value transactions with total strangers. Some people do but why base an entire system on edge-cases?”
2. Wetgeving Digitaal Strafdossier –Is een gekwalificeerde handtekening altijd nodig? In principe niet; afhankelijk van doel en context van het gebruik. Vereist wel nadere normering over de invulling van het begrip ‘voldoende betrouwbaar’. Als voorbeeld: Besluit elektronisch berichtenverkeer met de bestuursrechter Als voldoende betrouwbaar is aangemerkt een methode van authentificatie minimaal van betrouwbaarheidsniveau “2 STORK”.
3. Invoering Elektronische handtekening –Meeliften op de Rijkspas (?!) Fase 1: toegang tot gebouwen. Fase 2: authenticatie voor applicaties (login). Fase 3: elektronische handtekening. –Aanpassingen bedrijfsprocessen Systemen Politie: rekening houden bij vernieuwing BVH / BVO ! OM: GPS... –Specifieke voorzieningen...
3. Invoering Elektronische handtekening –Digitaal Archief Centraal Digitaal Depot (CDD) Justitiele Informatiedienst. –Certificaten PKI voorziening Ministerie van Veiligheid en Justitie. –Documenten ondertekenen en valideren met behoud van lange-termijn validatie Waarmerk-, Teken- en Validatie (WTV) service Justitiele Informatiedienst. “Met de WTV worden elektronische (duurzame) documenten gemaakt waarvan de integriteit en authenticiteit onomstotelijk aantoonbaar moet zijn, zolang als nodig.” ?
3. Invoering Centraal Digitaal Strafdossier... ?! –Authenticatie & Autorisatie! Diverse organisaties met eigen IT infrastructuur –Inloggen gebeurd 'lokaal' –Gedelegeerde Autorisatie vereist (Federated Identity Management) »Rollen – Rechten; Complex bij grote organisatie! Wie mag wat zien? –Realisatie... Gemeenschappelijk systeem politie, OM en ZM Hoe eenvoudig is dat? »Voorbeeld: ontwikkeling GPS 10 jaar »Andere voorbeelden?
4. Europese Ontwikkelingen Frankrijk –“A writing in electronic form is admissible as proof provided it can be duly identified with the person from whom it emanates and it is established under conditions which can guarantee its integrity.” Article of the Civil Code Garantie van de integriteit, ook voor de lange-termijn. Gebruik van “Evidence Records”.
4. Europese Ontwikkelingen Duitsland –BSI Technical Guideline 03125: Preservation of Evidence of Cryptographically Signed Documents. Electronic document in and of themselves can be neither perceived nor read. Furthermore, they do not in and of themselves offer any evidence for their integrity and authenticity and for protecting and keeping the legal claims of the issuer or third parties and proof of their correctness in electronic legal and business transactions. Rather, additional technical and organisational measures must be taken in order to generate and maintain these characteristics over the long term for the purposes of the long-term preservation of electronic documents. Thus, both the administration and companies face the challenge of having to guarantee the readability, availability, integrity, and authenticity for increasing numbers of data and documents created, processed, and stored electronically, even in the distant future. With the Technical Guideline BSI-TR “Preservation of Evidence of Cryptographically Signed Documents", BSI is providing a guide that describes how electronically signed data and documents can be stored in a trustworthy manner in the sense of legally valid preservation of evidence over long periods of time - until the end of the retention periods.
4. Europese Ontwikkelingen Harmonisatie EU-Regelingen Elektronische Handtekeningen –Certificaat uitgifte Services “Wie is te vertrouwen?” Gekwalificeerde certificaat uitgevers: “Trusted Status List” Geavanceerde certificaten? –Betekenis van certificaat gegevens Nederlandse archiefregeling geeft aan dat het serienummer moet worden bewaard. Maar: “(..) the serialNumber as such may not be a directly usable resource of any given e-signatures application.” IDABC programme, Study on European Federated Validation Service (EFVS): Analysis and Assessment, September 2009
4. Europese Ontwikkelingen Harmonisatie EU-Regelingen Elektronische Handtekeningen –Tijdstempels Services Voorkomt antidatering “The lack of a clear legal framework timestamps complicates issues surrounding the long term validity of electronic signatures.. The promotion of signature formats including timestamps like XADES/CADES-T and their integration as a service of any CA or VA is therefore advisable. However, a clear European framework for such services is still missing, leading Member States to implement their own and diverging rules, presenting interoperability risks.” –Validatie Services –“Cross-Border” validatie PEPPOL –Archief Services –Aantoonbaarheid van de ‘ongewijzigde staat’ van de digitale archiefobjecten (denk aan Duitse richtlijn). IDABC programme, Study on European Federated Validation Service (EFVS): Analysis and Assessment, September 2009
4. Europese Ontwikkelingen Wat is de invloed van de Europese ontwikkeling op de wettelijke kaders van het Digitaal Strafdossier?
Vragen? Ernst Jan van Nigtevecht
Auteur Ervaringen rondom Elektronische Handtekening / Wet & Regelgeving / Digitaal Dossier / Uitwisseling Politie-OM / PKI / PKIoverheid –Technisch projectleider / Architect Waarmerk-, Teken- en Validatie-service Justitiele Informatiedienst –Impact Analyses, Studies, Realisatie m.b.t. gebruik elektronische handtekening en digitaal dossier vtsPN, Justitiele Informatiedienst, Ministerie van VenJ Programma ePV Programma eRechtsbestel Waarmerk-, Teken- en Validatie-service (WTV) Digitaal Procesdossier Loopzaken (DPL) Elektronisch Berichtenverkeer Justitie (EBV) –Advies rondom electronische handtekening AMvB Elektronisch Proces-Verbaal –Lid van OASIS Standaardisatie Instituut TC Member Digital Signature Services eXtended (DSS-X)
PKI Technologie Tijdsafhankelijk! G1 (SHA-1 – RSA1024) PKI Technologie G3 (SHA-3 – RSA4096) G2 (SHA-2 – RSA2048) verlopen ingetrokken geldig tijd on-line valideren Ondertekening beschermt integriteit. (BW3, Artikel 15a, lid 2d) Ondertekening beschermt integriteit niet Evidence Record Evidence Record Evidence Record Evidence Record <
PKI Technologie Intermezzo: Lange-termijn validatie –Elektronische handtekeningen worden gemaakt met certificaten m.b.v. een PKI. –Na verloop van tijd is de geldigheid niet meer aantoonbaar. Geldigheid certificaat informatie niet meer on-line via PKI, 6 mnd na intrekken/verlopen van certificaat. De geldigheid van de ondertekening is niet meer te bepalen tenzij er extra maatregelen worden genomen. Technologie verouderd; integriteit t.z.t. niet meer te garanderen. BW3, Artikel 15a, Lid 2d is dan niet mee mogelijk: “zij is op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord” <
WTV Service – JustID Behoud van bewijskracht Integriteits Gegevens 3: Lange-Termijn Validatie Gegevens 2: Actuele Validatie Handtekening Waarmerk 1: Ondertekening Document 0: Creatie XML:XAdES-T PDF:PAdES-3 XML:XAdES-A PDF:PAdES-4 ANY:DSS-X-VR ANY:LTANS ERS-XML XML:XML (+CSS) PDF:PDF/A Formaat & Standaard <
WTV Service – JustID Basis opzet WTV Kern Beveiligings nivo: Departementaal Vertrouwelijk Waarmerk, Teken, Validatie Opdrachten T.b.v. duurzame validatie HSM tbv Waarmerk Certificaten Bewaring met “Evidence Records” om de lange termijn validatie & integriteit te realiseren. Time Stamping Authority Certificate Service Providers Werkomgeving/Bedrijfsapplicatie Zorgdrager Controle op geldigheid certificaat Dagtekening <
1.Een elektronische handtekening heeft dezelfde rechtsgevolgen als een handgeschreven handtekening, indien de methode die daarbij is gebruikt voor authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval. 2. Een in lid 1 bedoelde methode wordt vermoed voldoende betrouwbaar te zijn, indien een elektronische handtekening voldoet aan de volgende eisen: a) zij is op unieke wijze aan de ondertekenaar verbonden; b) zij maakt het mogelijk de ondertekenaar te identificeren; c) zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; en d) zij is op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord; e) zij is gebaseerd op een gekwalificeerd certificaat als bedoeld in artikel 1.1, onderdeel dd Telecommunicatiewet; en f) zij is gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen als bedoeld in artikel 1.1, onderdeel gg Telecommunicatiewet. BW3 – Artikel 15a
3.Een in lid 1 bedoelde methode kan niet als onvoldoende betrouwbaar worden aangemerkt op de enkele grond dat deze: – niet is gebaseerd op een gekwalificeerd certificaat als bedoeld in artikel 1.1, onderdeel dd Telecommunicatiewet; – niet is gebaseerd op een door een certificatiedienstverlener als bedoeld in artikel 18.16, eerste lid, Telecommunicatiewet afgegeven certificaat; of – niet met een veilig middel voor het aanmaken van elektronische handtekeningen is aangemaakt als bedoeld in artikel 1.1, onderdeel gg Telecommunicatiewet. 4. Onder elektronische handtekening wordt een handtekening verstaan die bestaat uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authentificatie. 5. Onder ondertekenaar wordt degene verstaan die een middel voor het aanmaken van elektronische handtekeningen als bedoeld in artikel 1.1, onderdeel ff Telecommunicatiewet gebruikt. 6. Tussen partijen kan van lid 2 en 3 worden afgeweken. BW3 – Artikel 15a