Voor veel accountantskantoren stopt digitaal ondertekenen met het aanschaffen van een PKIOverheid beroepscertificaat….
Door Wim Zoet MSc Ri
Het gebruik van digitale ondertekening door accountants is flink toegenomen met de invoering van SBR assurance. Voor veel accountantskantoren stopt digitaal ondertekenen met het aanschaffen van een PKIOverheid beroepscertificaat en het installeren van de bijbehorende software. Dat een PKIOverheid beroepscertificaat ook kan worden gebruikt voor het ondertekenen van andere documenten en een betere governance biedt dan de methode van ondertekening die meeste onlinediensten hanteren, wordt vaak over het hoofd gezien.
Het digitaal ondertekenen van documenten wordt steeds bekender. Bij SBR Assurance wordt de controleverklaring ondertekend en het publicatiestuk gewaarmerkt. Daarnaast worden ook pdf-documenten steeds vaker voorzien van een digitale handtekening. Diverse accountantskantoren maken hiervoor gebruik van een online ondertekendienst. Minder bekend is dat het PKIOverheid beroepscertificaat dat wordt gebruikt voor SBR Assurance ook gebruikt kan worden voor digitale ondertekening van pdf-documenten. Er kan eenvoudig een handtekening worden gezet die gebruik maakt van het token, bijvoorbeeld via Acrobat Reader. Onder de optie Gereedschappen, Certificaten bevindt zich een knop Digitaal ondertekenen. Zonder extra kosten wordt hiermee een document op gekwalificeerde wijze ondertekend, terwijl betaalde online ondertekendiensten vaak slechts een geavanceerde handtekening plaatsen.
Sinds juli 2016 is de eIDAS verordening van kracht. Deze verordening biedt onder andere een set aan afspraken over digitale ondertekening voor alle EU-lidstaten. Hierin staat ook dat een elektronische handtekening dezelfde rechtsgevolgen heeft als een ‘natte’ handtekening. PKIOverheid certificaten zijn gebaseerd op deze regelgeving. Een handtekening gezet met een PKIOverheid certificaat wordt dus internationaal vertrouwd en als rechtsgeldig gezien. De mate van vertrouwen is echter wèl afhankelijk van de methode van ondertekenen. De eIDAS verordening maakt onderscheid in vier niveaus, waarbij alléén niveau drie (geavanceerd) en vier (gekwalificeerd) als vervanging voor de fysieke handtekening kunnen dienen.
Geavanceerd of gekwalificeerd?
Een PKIOverheid beroepscertificaat, mits geplaatst op een gekwalificeerd hardtoken of een gekwalificeerde HSM, is een middel voor het zetten van een gekwalificeerde handtekening. Het certificaat bevat hiervoor het kenmerk ‘non-repudiation’ (onherroepbaar) en bevat de naam van een natuurlijk persoon. Een beroepscertificaat bevat daarnaast nog de officiële functietitel van de houder. Door deze eigenschappen is iedere handtekening onlosmakelijk verbonden aan de persoon die hem heeft gezet. Een extra vereiste is dat alleen de eigenaar het certificaat mag gebruiken om te ondertekenen: de ‘sole control’. In een pdf-reader wordt na ondertekening vermeld dat het document is ondertekend en wordt ook de naam van de ondertekenaar in de handtekening genoemd (figuur 1).
Een geavanceerde handtekening wordt gezet met behulp van een certificaat dat is afgegeven aan een organisatie, een zogenoemd eSeal. Wanneer een persoon een document ondertekent, worden diverse gegevens van deze persoon, zoals de naam, het e-mailadres en het mobiele telefoonnummer opgeslagen in een audit-trail. Ter verificatie wordt de gebruiker vaak gevraagd om een sms-bevestigingscode in te voeren of om in te loggen met bijvoorbeeld IDIN. Een geavanceerde handtekening is doorgaans goedkoper, omdat het certificaat maar eenmalig wordt aangeschaft en door de aanbieder van de ondertekenservice gedeeld wordt met alle gebruikers. In een pdf-reader zal na ondertekening worden vermeld dat het document is ondertekend en wordt de naam van de ondertekendienst genoemd (figuur 2). De werkelijke ondertekenaar moet in de audit-trail worden opgezocht.
Figuur 1. Gekwalificeerde handtekening: de ondertekenaar wordt genoemd in de handtekening
Figuur 2. Geavanceerde handtekening: de naam van de ondertekendienst staat in de handtekening
Er bestaat een belangrijk juridisch verschil in beide handtekeningen. Van een gekwalificeerde handtekening zal door de sole-control altijd worden aangenomen dat deze is gezet door de eigenaar ervan. Het token of de HSM waar het certificaat op staat is ontworpen om dit af te dwingen door het ingeven van een pincode of wachtwoord. De eigenaar zal zelf moeten aantonen dat het middel is misbruikt. Voor een geavanceerde handtekening ligt de bewijslast andersom. Hierbij moet worden aangetoond dat de persoon die de handtekening heeft gezet ook daadwerkelijk die persoon is geweest. De audit-trail bewijst hier zijn waarde. De hierop genoemde zekerheden als een IP-adres of mobiel nummer zijn echter manipuleerbaar. Een VPN-verbinding kan het werkelijke IP-adres van een gebruiker maskeren. Het sms-systeem waarover de verificatiecodes worden verstuurd bestaat ook al tientallen jaren en bevat dus ook geen accurate beveiliging. De ondertekenaar kan hierdoor diverse redenen aandragen dat de handtekening niet door hem of haar is gezet.
De keuze voor geavanceerd of gekwalificeerd ondertekenen is dus mede afhankelijk van de waarde die de handtekening vertegenwoordigd. Voor eenvoudige documenten, zoals een opdrachtbevestiging is dit vaak voldoende, maar voor gewichtigere documenten, zoals een accountantsverklaring, is alleen een gekwalificeerde handtekening bruikbaar.
Lange termijn validatie (LTV) en tijdstempels
Ieder certificaat heeft een bepaalde geldigheid wat wordt bepaald bij de aanschaf. Ook kan een certificaat in geval van verlies worden ingetrokken. Dit staat gelijk aan het blokkeren van een bankpas. Met het intrekken van een certificaat of het verlopen van de geldigheid kan het niet langer worden gebruikt. Een pdf-reader zal een melding tonen dat de handtekening niet gevalideerd kan worden of ongeldig is. Voor een handtekening in het SBR Assurance proces geldt hetzelfde.
De geldigheid van een certificaat wordt door een pdf-reader gecontroleerd door middel van een intrekkingslijst (CRL) of via een statusverzoek aan de certificaatverstrekker (OCSP). Digipoort controleert de handtekening voor SBR Assurance op dezelfde manier. Wanneer een certificaat is verlopen of ingetrokken komt het voor op een CRL of wordt een OCSP-antwoord ontvangen dat het certificaat niet langer geldig is. Het betekent echter niet dat de handtekening op het moment van ondertekenen ongeldig was. De meldingen die door een pdf-reader worden gegeven kunnen een gebruiker echter op het verkeerde been zetten.
Om ook op langere termijn de handtekening te kunnen valideren, wordt de CRL of OCSP van de handtekening opgeslagen in het document en voorzien van een tijdstempel. Een tijdstempel is een tijdsmarkering die is ondertekend door een certificaatleverancier en dus niet ongemerkt gewijzigd kan worden. Door het opslaan van deze informatie kan het op een later moment worden gebruikt om te bepalen of een certificaat op het moment van ondertekenen geldig was. In Acrobat Reader wordt de aanwezigheid van deze informatie getoond bij de handtekening: “De handtekening is geschikt voor LTV” (figuur 1 en 2). Ook voor SBR Assurance bestaat de mogelijkheid om LTV-informatie op te nemen. Dit wordt momenteel nog niet door alle leveranciers ondersteund.
In de ideale situatie zou iedere elektronische handtekening een gekwalificeerde handtekening zijn en is deze voorzien van LTV-informatie. Helaas is het nog niet voor iedereen weggelegd om gekwalificeerd te ondertekenen. Een accountant met de beschikking over een PKIOverheid certificaat heeft echter alle middelen ter beschikking om dit te doen en zou niet meer anders moeten willen.
Wim Zoet is business analist en lead developer bij PKIsigning. Wim heeft een grote passie voor systeemintegratie en informatiebeveiliging. Hij studeerde bedrijfskundige informatica en specialiseerde zich daarna in de integratie van gegevensverwerkende systemen. Menig HBO student kent hem als docent informatica en ook is hij geen onbekende bij de diverse softwareleveranciers in de accountancy.