Het stelsel van eHerkenningInloggen bij de overheid

NVvIR23 juni 2011

Marten Voulonm.b.voulon@duthler.nl

Agenda

• Wat is eHerkenning?• Juridisch kader elektronische handtekening• Betrouwbaarheidsniveaus• Toepassingen voor eJustice– Elektronisch procederen– Elektronisch proces-verbaal– Elektronische dagvaarding– ‘één-loket’ Dienstenrichtlijn

Een generieke authenticatievoorziening

Gebruiker Dienstverlener

Authenticatie-service

Authenticatiemiddelen

• Iets wat je weet• Iets wat je hebt• Iets wat je bent

• Single-factor authentication• Two-factor authentication• Multi-factor authentication

eHerkenning

• Initiatief van ministerie van EL&I• Netwerk

– Geen digitale sleutelbos– Niet nog een authenticatiemiddel (!)– Bedrijfseigen authenticatiemiddelen

• Extra functionaliteit: machtigingenregister• Marktbenadering

– Geen centrale IT-voorziening maar afsprakenstelsel– Marktpartijen bieden op commerciële basis herkenningsdiensten aan– Competitief/coöperatief

eHerkenning

Makelaar(broker)

Middelenuitgever

Authenticatiedienst

Machtigingenregister

Dienst-verlener

Gebruiker

Authenticatie

Intermediair

Bestuurder

eHerkenning

• Contractuele relaties

Gebruiker Dienstverlener

Beheerorganisatie

Deelnemer

Deelnemersovereenkomst

Overeenkomst inz. broker +gebruiksvoorwaarden

O.a. overeenkomst inz. authenticatie +gebruiksvoorwaarden

Juridisch kader e-handtekening

• Elektronische handtekening?

Geachte heer Van der Velde, beste Gerard,

Graag maak ik gebruik van je aanbod. De werkzaamheden kunnen wat mij betreft meteen beginnen.

Vriendelijke groet,Niels-----Start signature block-----3081 8902 8181 00C2 6868 0EFF 1B1E 6C2F 377 2BB0 4689-----End signature block-----

“Kardinale zwaktes”?•Gebrek aan persoonsgebondenheid•Nabootsbaarheid(Wiersma, JBPr 2006/4)

Art. 1 lid 2 sub a Handelsregisterbesluit•Handtekening is mede elektronische handtekening•Elektronische handtekening in handelsregister(Van Esch, Computerrecht 2009/1: ondoordachte koppeling)

Juridisch kader e-handtekening

• Hoofdregel– Elektronische handtekening heeft dezelfde rechtsgevolgen als de

handgeschreven handtekening– Indien de gebruikte methode voor authentificatie voldoende

betrouwbaar is• Wettelijk vermoeden van voldoende betrouwbaarheid

– Indien:• Geavanceerde handtekening (AES)• Gekwalificeerd certificaat (QC)• Veilig middel (SSCD)

(art. 3:15a BW)

Juridisch kader e-handtekening

• Welke rechtsgevolgen?– Minister:

• Sluiten van– Huurovereenkomst– Koopovereenkomst

• Tekenen van wilsverklaring(Kamerstukken I, 2002/03, 27 743, nr. 35, p. 10)

• Hoofdregel: vormvrij! – Uitzonderingen:

• Koop van woning door consument• Koop op afstand• Akte• ...

Juridisch kader e-handtekening

• Wanneer ‘voldoende betrouwbaar’?– Minister:

• Let op economische waarde van de rechtshandeling• Bij kopen boek of CD: gewone elektronische

handtekening volstaat • Bij kopen huis of auto is een handtekening met een

hoog niveau vereist(Kamerstukken II 2001/02, 27 743, nr. 6, p. 2)

Juridisch kader e-handtekening

• Elektronisch verkeer– ‘voldoende betrouwbaar en vertrouwelijk’• Gelet op aard, inhoud + doel elektronisch bericht(art. 2:14, 2:15 Awb)

– Elektronische handtekening voldoet aan het vereiste van ondertekening indien voldoende betrouwbaar• Art. 3:15a BW deels overeenkomstig van toepassing

(art. 2:16 Awb)

Juridisch kader e-handtekening

• ‘Voldoende betrouwbaar en vertrouwelijk’– Vergelijkbare waarborgen als het papieren verkeer– Beginselen van behoorlijk IT-gebruik

• Authenticiteit• Integriteit• Onweerlegbaarheid• Transparantie• Beschikbaarheid• Flexibiliteit• Vertrouwelijkheid

Wat is de verhouding tussen de open norm van betrouwbaarheid en vertrouwelijkheid en 2:16 Awb?•Nadere uitwerking van authenticiteit•Invulling van de open norm

(Kamerstukken II, 2001/02, 28 483, nr. 3, p. 14-16, 20-22)

Betrouwbaarheidsniveaus

1. Registratiefase– Identificatieprocedure (fysieke

verschijning?)– Proces van uitgifte

2. Authenticatiefase– Type en robuustheid middel– Security van

authenticatiemechanisme

Gebruiker Dienstverlener

Authenticatie-service

Relevant voor:•EU-richtlijn 1999/93

• ETSI TS 101 456• ETSI TS 102 042

•STORK•2:15, 2:16 AWB

• Besluit elektronisch verkeer met de bestuursrechter• Regeling aanwijzing

betrouwbaarheidsniveau• Beleidsregel DigiD & inzage in GBA

Betrouwbaarheidsniveaus

Wet– AES + QC + SSCD– AES + QC– AES– ‘normale’ ES

ETSI TS 101 456– QCP public + SSCD– QCP public

– Gericht op elektronische handtekening

ETSI TS 102 042– NCP+– NCP– LCP– EVCP+– EVCP

– Niet alleen gericht op elektronische handtekening

– Ook authenticatie en encryptie

STORK Quality of Authentication Assurance model (STORK QAA levels)

1.No or minimal assurance2.Low assurance3.Substantial assurance4.High assurance

STORK

• Secure identity across borders linked– EU programma– Doelstelling: implementatie EU-brede interoperabele

authenticatie• 4 niveaus• Afhankelijk van:

– Registration phase» Identification procedure» Identity issuing process» Quality of the issuing entity

– Electronic authentication phase» Type and robustness of the identity credential» Security of authentication mechanism

(Deliverable D2.3 - Quality authenticator scheme)

Elektronisch procederen

• Elektronisch verkeer met bestuursrechter– Art. 8:40a Awb:

• Afd. 2.3 Awb overeenkomstig van toepassing• Bij of krachtens AMvB:

– Nadere regels elektronisch verkeer– Nadere regels videoconferentie

– Besluit elektronisch verkeer:• Art. 1: “een vanwege de gerechten aangegeven wijze”

– Webformulier– Integratie met kantoorsoftware?

• Art. 2: t.a.v. 2:16 en 6:5 Awb: door de minister aangewezen betrouwbaarheidsniveau– Regeling aanwijzing betrouwbaarheidsniveau authentificatie

» STORK 2: DigiD & eHerkenning

Elektronisch procederen

• Burgerlijke rechtsvordering– Art. 33 Rv

• Ingevoerd met Wapieb• Verzoeken, mededelingen & processtukken kunnen

elektronisch– als procesreglement dat toestaat

• Gerecht kan verzoek of mededeling elektronisch verzenden indien geadresseerde aangeeft langs deze weg bereikbaar te zijn

• Besluit elektronisch rolberichten verkeer (Stb. 2008, 275)– Regels betrouwbaarheid en vertrouwelijkheid

» Gerecht: identificatie, authenticiteit, integriteit» DigiD in beroepsmatige hoedanigheid?

Elektronisch proces-verbaal

• Art. 153 lid 2 Sv– Persoonlijk, gedagtekend, ondertekend– Mag ook elektronisch• Besluit elektronisch proces-verbaal

– e-pv =» langs elektronische weg opgemaakt;» of omgezet in digitaal afschrift» voorzien van elektronische dagtekening» QC & SSCD

Elektronische indiening dagvaarding

• Indiening van (afschrift van exploot van) civiele dagvaarding– Wetsvoorstel (Kamerstukken II, 2010/11, 32 695)

• Bij of krachtens AMvB:– regels inz. betrouwbaarheid en vertrouwelijkheid

Elektronisch strafrechtelijk dagvaarden

• Hof ‘s-Hertogenbosch, 20 juni 2011, BQ8567– ‘Wetgever heeft niet voorzien in e-dagvaarding’

‘één-loket’

• Dienstenrichtlijn– Verplichting tot instellen ‘één-loket’– NL: antwoord voor bedrijven + berichtenbox

• Dienstenregeling centraal loket en interne markt informatiesysteem

– Cross-border herkenning• EU beschikking 2009/767/EG

– Verplichting tot gebruik en aanvaarding:» AES, QC, al dan niet SSCD

– Trusted list (vertrouwenslijst)» Regeling vertrouwenslijst

Conclusies

• Wetgeving sluit aan bij handgeschreven handtekening– Aansluiten bij beveiligingsverplichtingen?

• Eeuwige zoektocht naar het juiste betrouwbaarheidsniveau

• Behoefte aan interoperabiliteit

? ??

Vragen?