Digitale handtekening abc
Geplaatst op 22-06-2023 in Kennisbank
De digitale handtekening blijkt voor veel accountantskantoren nog een complex onderwerp. Het vraagt om specifieke kennis en vaardigheden om correct en rechtsgeldig digitaal te ondertekenen. Daarnaast moet je als kantoor ervoor zorgen dat je voldoet aan de geldende wet- en regelgeving. Van een gekwalificeerde digitale handtekening heb je wellicht weleens gehoord. Maar ben je ook bekend met termen als gekwalificeerde digitale handtekening, LTV of fysieke token? We hebben alle belangrijke termen voor je op een rijtje gezet.
Inhoudsopgave
Klik op een van onderstaande termen om gelijk naar de beschrijving te gaan.
- AES: de geavanceerde digitale handtekening
- Beroepscertificaat
- Compliant
- Detached signature
- eIDAS
- ETSI
- Fysieke token
- Hash
- Inline signature
- ISO27001
- LTV (long term validity)
- Ondertekeningsproces
- PKIoverheid certificaat
- QTSP (trust service provider)
- QES: de gekwalificeerde digitale handtekening
- Rechtsgeldig
- SBR Assurance
- SES: de gewone digitale handtekening
- Validatie
- Wettelijke naleving
- XBRL-bestand
- XML-bestand
AES: de geavanceerde digitale handtekening
AES staat voor Advanced Electronic Signature. Deze handtekening heeft hogere eisen en is dus betrouwbaarder en veiliger dan de gewone elektronische handtekening. Gegevens zoals afzender, document en tijdstip worden vastgelegd, waardoor traceerbaarheid gewaarborgd is. De geavanceerde handtekening is geschikt voor overeenkomsten met gemiddeld juridisch risico.
Beroepscertificaat
Voor het ondertekenen met de gekwalificeerde digitale handtekening heb je een persoonsgebonden certificaat nodig. Onderteken je gekwalificeerd vanuit hoofde van je beroep, dan heb je een beroepscertificaat nodig. Accountants gebruiken deze handtekening alleen voor verklaringen bij de jaarrekening als ze bij de NBA zijn ingeschreven. Elke ondertekening wordt uitgevoerd met een persoonsgebonden beroepscertificaat, waarbij steeds de validiteit van de inschrijving bij het NBA wordt gecheckt.
Compliant
Compliant verwijst naar het voldoen aan de wettelijke en technische vereisten voor het gebruik van de digitale handtekening. De digitale handtekening moet voldoen aan de geldende wet- en regelgeving en technische standaarden voor authenticiteit, integriteit en vertrouwelijkheid van elektronische documenten. Het naleven is van belang om de juridische geldigheid en betrouwbaarheid van de digitale handtekening te waarborgen.
Detached signature
Een detached signature is losgekoppeld van het ondertekende elektronische document. De digitale handtekening wordt apart opgeslagen in een apart bestand met een extensie zoals .p7s of .sig. Het gebruik van een detached signature is afhankelijk van het ondertekeningsproces. Het voordeel is dat er niet alleen pdf-bestanden getekend kunnen worden, maar ook databestanden zoals XML en XBRL. Ook kan het elektronische document veilig gedeeld worden zonder dat de handtekening in het document staat.
eIDAS
De digitale handtekening wordt geregeld in de eIDAS-verordening. ‘eIDAS’ staat voor Electronic Identification and Trust Services en is een EU-verordening die van kracht is sinds 2014. De verordening legt vast wat een digitale handtekening is, aan welke eisen deze moet voldoen en onder welke voorwaarden het rechtsgeldig is. Volgens de eIDAS-verordening zijn er drie verschillende soorten handtekening met elk hun eigen veiligheidsniveaus. Door de verordening is de digitale handtekening binnen de Europese Unie beter geharmoniseerd en juridisch erkend. Het biedt een kader dat de wettelijke geldigheid en betrouwbaarheid van de digitale handtekening vergroot.
ETSI
ETSI is het onafhankelijke ‘European Telecommunications Standards Institute’, verantwoordelijk voor het ontwikkelen en bevorderen van technische standaarden voor communicatie- en informatietechnologieën. Voor de digitale handtekening speelt ETSI een rol bij het vaststellen van technische normen en standaarden. Deze moeten de compatibiliteit en veiligheid van de digitale handtekening bevorderen. Twee belangrijke normen voor de digitale handtekening zijn:
- ETSI TS 101 903: Deze norm definieert de structuur en syntaxis van geavanceerde digitale handtekeningen op basis van digitale certificaten. Het biedt richtlijnen voor de implementatie van geavanceerde digitale handtekeningen.
- ETSI TS 102 778: Deze norm beschrijft de technische vereisten en specificaties voor de gekwalificeerde digitale handtekening. Het richt zich op het waarborgen van de wettelijke geldigheid en de interoperabiliteit van gekwalificeerde digitale handtekeningen binnen de Europese Unie.
Fysieke token
Een fysieke token is een hardware device dat wordt gebruikt om de digitale handtekening van een persoon te gebruiken en op te slaan. Het hardware device kan een smartcard, USB-token of hardware beveiligingsmodule (HSM) zijn. De ondertekenaar moet in bezit zijn van de fysieke token om een handtekening te zetten. Met de geïntegreerde oplossing van PinkWeb is geen fysieke token nodig. PinkWeb werkt namelijk met een persoonsgebonden beroepscertificaat in de cloud.
Meer over ondertekenen via de cloud
Hash
Een hash staat ook wel bekend als een unieke digitale vingerafdruk. Deze wordt gemaakt wanneer je op ‘ondertekenen’ klikt bij het plaatsen van een digitale handtekening. De hashfunctie wordt gebruikt om een unieke hashwaarde te genereren op basis van de inhoud van het document. In plaats van het hele document te ondertekenen, wordt de handtekening gemaakt door de hashwaarde te versleutelen met behulp van de privésleutel van de ondertekenaar. Bij het valideren van een document wordt geanalyseerd of de inhoud ongewijzigd is gebleven sinds de ondertekening. Dit wordt gedaan door het vergelijken van de hashwaarde van het document.
Inline signature
Inline signature is het tegenovergestelde van detached signature. De digitale handtekening wordt direct in het elektronische document verwerkt. De handtekening wordt op een gestructureerde manier direct in het document opgenomen.
ISO27001
ISO 27001 is een internationale norm voor informatiebeveiliging die richtlijnen en best practices biedt voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). Het is een belangrijk referentiekader voor organisaties om informatiebeveiliging effectief te beheren en risico’s te minimaliseren.
PinkWeb is gecertificeerd volgens de ISO/IEC 27001:2017 norm voor informatiebeveiliging. Deze certificering onderschrijft dat PinkWeb alle processen op het gebied van informatiebeveiliging op orde heeft en het informatiebeveiligingssysteem beschikt over een solide en veilige structuur. Hiermee bieden we onze klanten transparantie over de beveiliging van onze digitale ondertekenoplossing.
Lees hier alles over onze beveiliging
LTV (long term validity)
LTV, long term validity, gaat over de langdurige geldigheid van een digitale handtekening. Het houdt in dat de digitale handtekening gedurende een lange periode geldig blijft en juridisch erkend wordt. Om de langdurigheid te waarborgen worden verschillende maatregelen getroffen zoals het gebruik van langlopende certificaten, het toevoegen van tijdstempels en het archiveren in een betrouwbare omgeving.
Ondertekeningsproces
Het ondertekeningsproces gaat over de specifieke stappen en procedures die worden doorlopen om een document digitaal te (laten) ondertekenen. Het proces is bedoeld om de identiteit van de ondertekenaar te verifiëren, de integriteit van het document te waarborgen en de geldigheid van de digitale handtekening te controleren.
PKIoverheid certificaat
Het PKIoverheid certificaat is een digitaal certificaat gebaseerd op de Public Key Infrastructure (PKI). PKI maakt het mogelijk om op een betrouwbare manier digitaal te communiceren met de banken, de belastingdienst en de Nederlandse overheid. Er zijn verschillende certificaten namelijk: servercertificaten, beroepscertificaten, persoonlijke certificaten en groepscertificaten. Als accountant kun je een PKIoverheid beroepscertificaat aanvragen en ben je bevoegd om te autoriseren, authenticeren en vertrouwelijkheid te waarborgen. De accountant kan zijn beroepscertificaat bovendien gebruiken om een gekwalificeerde digitale handtekening te plaatsen.
QTSP (trust service provider)
Een Qualified Trust Service Provider (QTSP) is een organisatie die digitale vertrouwensdiensten aanbiedt zoals de digitale handtekening of certificaten en voldoet aan de strenge eisen en normen van de Europese eIDAS-verordening. Alle Nederlandse QTSP’s staan op de Trusted List Browser van de Europese Commissie. Zo werkt PinkWeb met persoonsgebonden beroepscertificaten in de cloud verzorgd door de gekwalificeerde certificaatautoriteit KPN.
QES: de gekwalificeerde digitale handtekening
QES staat voor Qualified Electronic Signature. Deze handtekening heeft het hoogste betrouwbaarheidsniveau en staat gelijk aan de ‘natte handtekening’. Net als bij de geavanceerde handtekening wordt hierbij een unieke code gebruikt, alleen wordt er bij de gekwalificeerde ‘digitale’ handtekening ook een certificaat verlangd van een door de overheid erkende certificaatdienstverlener. Voor accountants geldt bovendien dat zij alleen een gekwalificeerde elektronische handtekening kunnen zetten op een verklaring bij de jaarrekening, als zij zijn ingeschreven bij de NBA. Elke ondertekening wordt dan gedaan met een persoonsgebonden beroepscertificaat, waarbij steeds de validiteit van de inschrijving bij de NBA wordt gecheckt.
Rechtsgeldig
Rechtsgeldig verwijst naar de geldigheid en juridische gebondenheid van een digitale handtekening. Een rechtsgeldige gekwalificeerde digitale handtekening heeft dezelfde juridische waarde als een ‘natte handtekening’. Om als rechtsgeldig beschouwd te worden, moet de digitale handtekening voldoen aan wettelijke vereisten en normen.
SBR Assurance
Voor middelgrote bedrijven is het verplicht om de jaarrekening digitaal en volgens de SBR standaard te deponeren bij de Kamer van Koophandel. Onmisbaar is daarbij SBR Assurance. Deze oplossing geeft accountants bij hun digitale verantwoording dezelfde zekerheid als bij een verantwoording op papier. Het is een gestandaardiseerde methode voor het digitaal rapporteren en controleren van financiële gegevens van bedrijven.
Alles over SBR Assurance met PinkWeb
SES: de gewone digitale handtekening
SES staat voor Standard Electronic Signature. Dit is de simpelste digitale handtekening. Het kan een scan zijn van een met pen geschreven handtekening, maar hij kan ook digitaal worden gezet in bijvoorbeeld Word. Deze digitale handtekening is niet waterdicht. Het is niet altijd te achterhalen of de ondertekenaar wel is wie hij beweert te zijn. Iemand kan een handtekening makkelijk namaken. Daarom volstaat een gewone elektronische handtekening niet voor wettelijk bindende documenten, maar wel voor minder belangrijke zaken. Denk aan het akkoord geven in een computerprogramma.
Validatie
Het valideren van een digitale handtekening is het proces waarbij de geldigheid en authenticiteit wordt gecontroleerd. De digitale handtekening wordt geanalyseerd en geëvalueerd om te bevestigen of deze geldig is en getekend is door de beoogde ondertekenaar. Er wordt ook gekeken of het ondertekende document ongewijzigd is gebleven sinds de ondertekening. Dit wordt meestal gedaan door het vergelijken van de hashwaarde van het document
Wettelijke naleving
Wettelijke naleving gaat over het voldoen aan de wet- en regelgeving met betrekking tot het gebruik en de geldigheid van digitale handtekeningen. Het houdt in dat de digitale handtekening en het ondertekeningsproces in overeenstemming zijn met de relevante wetten, verordeningen en richtlijnen in de accountancy.
XBRL-bestand
Bij SBR Assurance wordt gebruikgemaakt van eXtensible Business Reporting Language (XBRL). Dit is een gestandaardiseerde taal ontworpen om financiële gegevens te structureren, te taggen en te presenteren op een leesbare en begrijpelijke manier. XBRL maakt het proces van het samenstellen, controleren en analyseren van financiële gegevens eenvoudiger. Bij het deponeren van de XBRL jaarrekening worden uiteindelijk drie bestanden verstuurd: de jaarrekening, de accountantsverklaring en het detached signature-bestand dat de hashes bevat.
XML-bestand
Controlerende accountants ondertekenen de verklaring bij de jaarrekening als een XML-bestand. Dit wordt gedaan met een persoonsgebonden beroepscertificaat. XML (eXtensible Markup Language) is een standaard en specifiek ontworpen bestand voor het uitwisselen en rapporteren van financiële gegevens in de accountancysector.
Een soepel digitaal ondertekeningsproces
Nu je op de hoogte bent over de belangrijkste termen, is het tijd om je te verdiepen in het ondertekeningsproces. Als kantoor moet je streven naar een veilige en efficiënte manier om documenten te (laten) ondertekenen. Het risico op fouten is hoog zodra er te veel handmatige acties uitgevoerd moeten worden. Maar hoe richt je dit proces in? Je leest het in de whitepaper ‘De winst van een soepel digitaal ondertekeningsproces’.