top of page
Man ondertekening

Elektronische handtekening (QES)

Ontdek hoe jij met een elektronische handtekening rechtsgeldig documenten digitaal kan ondertekenen.

Wat is een elektronische handtekening?

Een elektronische handtekening is een digitale manier om een document (zoals een contract of overeenkomst) te ondertekenen of een transactie te bevestigen. Het heeft dezelfde juridische waarde als een handgeschreven handtekening, mits aan bepaalde voorwaarden wordt voldaan. Het doel is om de identiteit van de ondertekenaar te verifiëren en de integriteit van het document te waarborgen.

Welke elektronische handtekeningen bestaan er?

Een elektrische handtekening komt voor in drie vormen.

1. Eenvoudige elektronische handtekening (EHS)

  • Dit is de basisvorm, zoals het typen van een naam onder een e-mail of het klikken op een "akkoord"-knop.

  • Minder veilig, omdat het gemakkelijker te vervalsen is.

2. Geavanceerde elektronische handtekening (AHS)

  • Gebruikt encryptietechnologie om de handtekening uniek en gekoppeld aan de ondertekenaar te maken.

  • Kan worden gevalideerd en waarborgt dat het document na ondertekening niet is aangepast.

3. Gekwalificeerde elektronische handtekening (QES)

  • De hoogste beveiligingsgraad.

  • Vereist een gekwalificeerd certificaat en een erkende leverancier van handtekeningen (QTSP).

  • Juridisch gelijkwaardig aan een handgeschreven handtekening.

Wat zijn de belangrijkste voordelen van elektronische handtekeningen?

  • Efficiëntie: Geen papierwerk of fysieke aanwezigheid ondertekenaar nodig.

  • Beveiliging: Moeilijker te vervalsen dan handgeschreven handtekeningen, vooral bij geavanceerde en gekwalificeerde varianten.

  • Kostenbesparing: Minder papier, print- en verzendkosten.

  • Rechtsgeldigheid: Elektronische handtekeningen worden erkend in veel rechtsgebieden, waaronder de EU (via de eIDAS-verordening) en de VS (via de ESIGN Act).

Hoe ziet de eIDAS vertrouwensdienst QES eruit?

De eIDAS-verordening regelt elektronische identificatie en vertrouwensdiensten binnen de Europese Unie. Een QES (Gekwalificeerde Elektronische Handtekening) volgens eIDAS is de hoogste vorm van een elektronische handtekening, met strikte eisen en een specifieke structuur.

De basis van een QES

  • Gekoppeld aan een persoon: Een QES is uniek aan de ondertekenaar en bevat een digitaal certificaat dat de identiteit van die persoon bevestigt.

  • Authenticatie via een certificaat: Het vereist een gekwalificeerd certificaat dat wordt uitgegeven door een gekwalificeerde vertrouwensdienstverlener (Trust Service Provider, TSP).

  • Gebruik van een veilige handtekeningcreatieapparatuur (Qualified Signature Creation Device, QSCD): Dit is een beveiligd apparaat dat het maken en opslaan van de handtekening mogelijk maakt, zoals een smartcard, USB-token of mobiele app.

De componenten van een QES

  • Digitale Certificaten: Het gekwalificeerde certificaat bevat de volgende gegevens:

    • De naam van de vertrouwensdienstverlener.

    • De identiteit van de ondertekenaar (bijvoorbeeld naam en identificatiegegevens).

    • Geldigheid van het certificaat (start- en vervaldatum).

    • Een publieke sleutel gekoppeld aan de ondertekenaar.

  • Veilige Ondertekeningstechnologie: Bij gebruik van een QES wordt cryptografische technologie toegepast, zoals:

    • Asymmetrische encryptie: Met een privé- en publieke sleutel om de handtekening te beveiligen.

    • Hashing-algoritmes: Om de integriteit van het document te waarborgen.

  • Trust Service Provider (TSP): Alleen door eIDAS gekwalificeerde TSP’s mogen certificaten uitgeven voor een QES. Deze aanbieders worden regelmatig gecontroleerd door toezichthoudende autoriteiten in de EU-lidstaten.

Hoe de QES werkt in de praktijk

  1. Identiteitsverificatie: De gebruiker moet zich eerst identificeren via een officieel erkende methode, zoals een paspoort, ID-kaart of een digitale identificatie (bijvoorbeeld eID).

  2. Certificaatuitgifte: Een gekwalificeerde TSP verstrekt een persoonlijk certificaat aan de gebruiker. Dit certificaat bevat alle nodige gegevens om een QES te creëren.

  3. Document ondertekenen:

    • De ondertekenaar gebruikt een QSCD om de handtekening te maken.

    • Dit kan via een fysieke tool (zoals een smartcard, USB token) of een cloud-gebaseerde oplossing (zoals een beveiligde mobiele app).

  4. Verificatie: Een derde partij kan de QES verifiëren door de bijbehorende publieke sleutel en het certificaat te controleren. Dit garandeert:

    • De authenticiteit van de ondertekenaar.

    • Dat het document na ondertekening niet is gewijzigd.

​​​​​​

​​​​​​Aan welke ETSI standaarden moet de eIDAS vertrouwensdienst QES voldoen?

De eIDAS-verordening verwijst naar specifieke standaarden ontwikkeld door de European Telecommunications Standards Institute (ETSI) om ervoor te zorgen dat vertrouwensdiensten, zoals de gekwalificeerde elektronische handtekening (QES), veilig en interoperabel zijn binnen de EU. ​Waarom zijn deze standaarden belangrijk?

  • Interoperabiliteit: De standaarden zorgen ervoor dat QES-systemen binnen de hele EU kunnen worden gebruikt.

  • Juridische zekerheid: Ze waarborgen dat de QES voldoet aan de wettelijke eisen van eIDAS.

  • Beveiliging: Ze stellen strikte eisen aan systemen en processen om misbruik of vervalsing te voorkomen.

Hieronder vind je een overzicht van de belangrijkste ETSI-standaarden waaraan een eIDAS-conforme gekwalificeerde elektronische handtekening (QES) moet voldoen.

1. Algemene standaard voor vertrouwensdiensten

  • ETSI EN 319 401: “General Policy Requirements for Trust Service Providers”

    • Definieert de algemene eisen waaraan een Trust Service Provider (TSP) moet voldoen.

    • Inclusief eisen voor beveiligingsbeheer, operationele procedures en auditvereisten.

2. Standaarden voor certificaten en TSP's

  • ETSI EN 319 411-1: “Policy and security requirements for Trust Service Providers issuing certificates - Part 1: General requirements”

    • Bevat de basisvereisten voor de uitgifte van digitale certificaten.

    • Richt zich op de betrouwbaarheid en beveiliging van certificaatbeheer.

  • ETSI EN 319 411-2: “Policy and security requirements for Trust Service Providers issuing certificates - Part 2: Requirements for qualified certificates”

    • Specificeert aanvullende eisen voor TSP's die gekwalificeerde certificaten uitgeven, zoals vereist voor QES.

    • Vereist identiteitsverificatie van de ondertekenaar en gebruik van veilige mechanismen voor certificaatbeheer.

  • ETSI EN 319 412: “Certificate profiles".

    • Specificeert de eisen gesteld aan certificaat profielen:

      • Deel 1: "Overview and common data structures"

      • Deel 2: "Certificate profile for certificates issued to natural persons"

      • Deel 3: "Certificate profile for certificates issued to legal persons"

      • Deel 4: "Certificate profile for web site certificates"

      • Deel 5: "QC statements"

3. Standaard voor creatie en validatie van elektronische handtekeningen

  • ETSI EN 319 102-1: “Procedures for Creation and Validation of AdES Digital Signatures”

    • Beschrijft hoe geavanceerde elektronische handtekeningen (AdES) moeten worden gecreëerd en gevalideerd.

4. Aanvullende standaarden voor formaten van elektronische handtekeningen

  • ETSI EN 319 122-1: "Part 1: Building blocks and CAdES baseline signatures"

    • Richt zich op Cryptographic Message Syntax Advanced Electronic Signatures (CAdES) voor digitale documenten.

  • ETSI EN 319 122-2: "Part 2: Extended CAdES signatures"

    • Richt zich op extended CAdES elektronische handtekeningen.

  • ETSI EN 319 132-1: "Part 1: Building blocks and XAdES baseline signatures"

    • Richt zich op XAdES (XML) elektronische handtekeningen.​

  • ETSI EN 319 132-2: "Part 2: Extended XAdES signatures"

    • Richt zich op extended XAdES elektronische handtekeningen.

  • ETSI EN 319 142-1: "Part 1: Building blocks and PAdES baseline signatures"

    • Richt zich op PAdES (PDF) elektronische handtekeningen.​

  • ETSI EN 319 142-2: "Part 2: Additional PAdES signature profiles"

    • Richt zich op additionele PAdES profielen voor elektronische handtekeningen.

  • ETSI EN 319 162-1: "Associated Signature Containers (ASiC) - Part 1: Building blocks and ASiC Baseline containers".​​

    • Richt zich op ASiC data containers waarin een set van file objects en bijbehorende elektronische handtekeningen en/of tijdstempels opgenomen in een ZIP file.​

  • ETSI EN 319 162-2: "Associated Signature Containers (ASiC) - Part 2: Additional ASiC containers"

    • Richt zich op additionele ASiC containers.​

A further standard for JAdES (JSON Web Signatures) is under development.​

Aanvullende specificaties en veiligheidseisen

Afhankelijk van de opzet en inrichting van de vertrouwensdienst zal vanuit bovenstaande standaarden verwezen worden naar diverse technische specificaties en/of aanvullende veiligheidseisen. Voorbeelden hiervan zijn:

  • CEN EN 419 241-1: “Security Requirements for Trustworthy Systems Supporting Server Signing - Part 1: General System Requirements”

    • Bevat algemene veiligheidseisen voor systemen die server-side handtekeningen ondersteunen.

  • CEN EN 419 241-2: “Security Requirements for Trustworthy Systems Supporting Server Signing - Part 2: Protection Profiles”

    • Beschrijft specifieke beveiligingsprofielen voor QSCD’s, waaronder hardware en software.

  • ETSI TS 119 431-1: "Policy and security requirements for trust service providers - Part 1: TSP service components operating
    a remote QSCD / SCDev"

    • ​Specificeert de vereisten voor het beheer van een remote handtekeningcreatiemiddel (QSCD / SCDev).

  • ETSI TS 119 431-2: "Policy and security requirements for trust service providers - Part 2: TSP service components supporting AdES digital signature creation"

    • ​Specificeert de vereisten voor componenten om een geavanceerde digitale handtekening te creeren.

  • ETSI TS 119 461: "Policy and security requirements for trust service components providing identity proofing of trust service subjects"

    • ​Specificeert de vereisten voor identiteitsvaststelling waaraan voldaan moet worden.

 

Vereisten voor archivering van elektronische handtekeningen

  • ETSI TS 119 511: "Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques"

    • Bevat de vereisten voor de lange termijn bewaring van elektronische handtekeningen.​

  • ETSI TS 119 512: "Protocols for trust service providers providing long-term data preservation services"

    • Bevat aanvullende protocollen voor de lange termijn bewaring van elektronische handtekeningen.

bottom of page