De e-handtekening in de EU

Met deze richtlijn wordt er een wettelijk kader op Europees niveau opgesteld voor elektronische handtekeningen (e-handtekeningen) en de erkenning van de certificatiedienstverleners. Het doel is:

—	e-handtekeningen makkelijker in het gebruik te maken en

—	wettelijke erkenning ervan in alle EU-landen te bevorderen.

BESLUIT

Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen.

SAMENVATTING

In deze richtlijn staan de criteria die de basis vormen voor de wettelijke erkenning van e-handtekeningen. In de richtlijn wordt nadruk gelegd op de bepalingen voor certificatiedienstverleners. Hierin staan:

—	de gemeenschappelijke eisen voor certificatiedienstverleners om grensoverschrijdende erkenning van e-handtekeningen en certificaten in de hele Europese Unie (EU) te verzekeren;

—	gemeenschappelijke regels inzake aansprakelijkheid om vertrouwen op te bouwen onder gebruikers die afhankelijk zijn van de certificaten;

—	samenwerkingsmechanismen om grensoverschrijdende erkenning van e-handtekeningen en certificaten met niet-EU-landen te bevorderen.

In de richtlijn worden nieuwe ideeën gedefinieerd over:

—	de elektronische handtekening, elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor verificatie;

—

de geavanceerde elektronische handtekening, die aan de volgende eisen voldoet:

—	deze is op unieke wijze aan de ondertekenaar verbonden;

—	deze maakt het mogelijk de ondertekenaar te identificeren;

—	deze komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden;

—	deze is gekoppeld aan het te verifiëren elektronische document. Dit moet ervoor zorgen dat elke latere wijziging van dit document kan worden opgespoord;

—

het gekwalificeerde certificaat, dat met name het volgende moet bevatten:

—	een indicatie dat het is afgegeven als een gekwalificeerd certificaat;

—	de identificatie van de certificatiedienstverlener;

—	de naam van de ondertekenaar;

—	de mogelijkheid om een bepaald aanvullend element van verificatie van de ondertekenaar, zoals een geboortedatum, in te voegen (afhankelijk van het beoogde doel van het certificaat);

—	gegevens voor het verifiëren van de handtekening: deze moeten overeenstemmen met de gegevens voor het aanmaken van de handtekening die onder controle van de houder staan;

—	de datum van begin en einde van de geldigheidsduur van het certificaat;

—	de identiteitscode van het certificaat;

—	de geavanceerde elektronische handtekening van de afgevende certificatiedienstverlener;

Het certificaat moet ook worden afgegeven door een certificatiedienstverlener die aan bepaalde vereisten uit de richtlijn voldoet.

Markttoegang

EU-landen mogen het leveren van certificatiediensten niet onderhevig maken aan enige vorm van voorafgaande autorisatie.

EU-landen kunnen hun eigen regelingen treffen om certificatie met verbeterde functies aan te moedigen. Ze mogen geen beperkingen opleggen aan het aantal geaccrediteerde certificatiedienstverleners. Evenmin mogen zij de levering van certificatiediensten uit andere EU-landen aan banden leggen.

EU-landen mogen het gebruik van e-handtekeningen in de openbare sector onderhevig maken aan eventuele aanvullende vereisten. Deze vereisten moeten objectief, transparant, evenredig en niet-discriminerend zijn.

Rechtsgevolgen van de e-handtekening

Een geavanceerde e-handtekening gebaseerd op een gekwalificeerd certificaat voldoet aan de wettelijke eisen voor een handtekening ten aanzien van gegevens in elektronische vorm, net zoals een handgeschreven handtekening dat doet voor gegevens op een papieren drager. [Voor het gemak kan dit soort handtekening een „gekwalificeerde e-handtekening” worden genoemd. Hoewel de richtlijn hier een beschrijving voor geeft, wordt dit niet echt gedefinieerd]. De e-handtekening is ook een bewijsmiddel in gerechtelijke procedures.

Een e-handtekening mag niet worden geweigerd als bewijs in gerechtelijke procedures louter op grond van het feit dat de handtekening:

—	in elektronische vorm is gesteld;

—	niet is gebaseerd op een gekwalificeerd certificaat;

—	niet met een veilig middel is aangemaakt.

Aansprakelijkheid

EU-landen moeten ervoor zorgen dat een certificatiedienstverlener die een certificaat als gekwalificeerd certificaat afgeeft, bepaalde verantwoordelijkheden op zich neemt. Dit omvat onder andere aansprakelijkheid voor schade die bij natuurlijke of rechtspersonen die in redelijkheid op dit certificaat hebben vertrouwd, is ontstaan in samenhang met:

—	de juistheid, op het tijdstip van afgifte, van alle gegevens in het gekwalificeerde certificaat,

—	het feit dat een certificaat op het tijdstip van afgifte alle voorgeschreven gegevens voor een gekwalificeerd certificaat bevat en dat de in het gekwalificeerd certificaat geïdentificeerde ondertekenaar de persoon is voor wie het certificaat is afgegeven.

De certificatiedienstverlener kan een grens aangeven voor de transactiewaarde waarvoor het certificaat kan worden gebruikt. Deze grens moet wel voor derden herkenbaar worden gemaakt. De dienstverlener is niet aansprakelijk voor schade die voortvloeit uit overschrijding van de grenzen in het gebruikte gekwalificeerde certificaat.

Internationale aspecten

EU-landen moeten ervoor zorgen dat er wederzijdse erkenning van gekwalificeerde certificaten en e-handtekeningen uit niet-EU-landen wordt toegepast. Er moet aan bepaalde betrouwbaarheidsvoorwaarden worden voldaan, zoals:

—	niet-EU-dienstverleners voldoen aan de eisen van deze richtlijn en zijn in een vrijwillig accreditatiestelsel van een EU-land geaccrediteerd; of

—	een EU-dienstverlener die aan de eisen van deze richtlijn voldoet, kan dezelfde garantie verschaffen voor certificaten van een niet-EU-dienstverlener als aan zijn eigen certificaten.

De Europese Commissie kan voorstellen doen om ervoor te zorgen dat internationale normen en overeenkomsten volledig worden uitgevoerd.

Gegevensbescherming

EU-landen moeten ervoor zorgen dat certificatiedienstverleners en nationale organen die verantwoordelijk zijn voor accreditatie of toezicht Richtlijn 95/45/EG inzake debescherming van persoonsgegevens naleven.

Nieuwe verordening voor elektronische identificatie en vertrouwensdiensten (eIDAS) aangenomen

De eIDAS-verordening (Verordening (EU) nr. 910/2014) werd in 2014 goedgekeurd. Deze trad inwerking op 17.9.2014 en is van toepassing vanaf 1.7.2016 met uitzondering van enkele artikelen die in artikel 52 van de verordening worden genoemd. Met Richtlijn (EU) nr. 910/2014 wordt Richtlijn 1999/93/EG op 30.6.2016 ingetrokken.

Kijk voor meer informatie op de website Digitale agenda van de Europese Commissie voor Europese vertrouwensdiensten.

REFERENTIES

Besluit	Datum van inwerkingtreding	Uiterste datum voor omzetting in nationaal recht	Publicatieblad van de Europese Unie
Richtlijn 1999/93/EG	19.1.2000	18.7.2001	PB L 13 van 19.1.2000 blz. 12-20

Achtereenvolgende wijzigingen en correcties aan Richtlijn 1999/93/EG zijn in de basistekst opgenomen. Deze geconsolideerde versie dient alleen voor referentiedoeleinden.

GERELATEERDE BESLUITEN

Mededeling van de Commissie aan de Raad, het Europees Parlement, het Europees Economisch en Sociaal Comité en het Comité van de Regio's - Actieplan inzake elektronische handtekeningen en elektronische identificatie voor het bevorderen van de grensoverschrijdende publieke dienstverlening op de interne markt (COM(2008) 798 definitief van 28.11.2008).

In deze mededeling stelt de Commissie een actieplan voor om EU-landen te helpen bij de tenuitvoerlegging van wederzijds erkende en interoperabele e-handtekeningen en e-identificatieoplossingen en zo het verlenen van grensoverschrijdende openbare diensten in een elektronische omgeving te bevorderen. Dit is noodzakelijk om versnippering van de eengemaakte markt te voorkomen.

Acties in dit actieplan zijn verdeeld in twee delen:

—	acties gericht op het verbeteren van grensoverschrijdende interoperabiliteit van gekwalificeerde e-handtekeningen en geavanceerde e-handtekeningen gebaseerd op gekwalificeerde certificaten.

—	acties die de interoperabiliteit van elektronische identiteit verbeteren.

Verslag van de Commissie aan het Europees Parlement en de Raad - Verslag over de werking van richtlijn 1999/93/EG betreffende een gemeenschappelijk kader voor elektronische handtekeningen (COM(2006) 120 definitief van 15 maart 2006).

In dit verslag staat dat EU-landen de algemene beginselen van de richtlijn ten uitvoer hebben gelegd.

De Commissie merkt op dat het omzetten van de richtlijn in de wetgeving van de EU-landen voldoet aan de behoefte voor de wettelijke erkenning van e-handtekening. Ze is daarom van mening dat er volledig is voldaan aan de doelstellingen in de richtlijn en dat er op dit moment geen noodzaak is ontstaan om deze te herzien. De Commissie is desondanks van plan om de landen en belanghebbenden te raadplegen om een aantal kwesties aan te pakken, met name voor interoperabiliteitsproblemen, technische aspecten en normalisering.

2003/511/EG: Beschikking van de Commissie van 14 juli 2003 inzake de bekendmaking van referentienummers van algemeen erkende normen voor producten voor elektronische handtekeningen overeenkomstig Richtlĳn 1999/93/EG van het Europees Parlement en de Raad (Publicatieblad L 175 van 15.7.2003, blz. 45-46).

Deze richtlijn geeft de referentie van drie algemeen erkende normen voor de producten van elektronische handtekeningen die naleving van de gekwalificeerde elektronische handtekening veronderstellen.

2000/709/EG: Beschikking van de Commissie van 6 november 2000 betreffende de minimumcriteria die de lidstaten in acht moeten nemen bij de aanwijzing van instanties overeenkomstig artikel 3, lid 4, van Richtlijn 1999/93/EG van het Europees Parlement en de Raad betreffende een gemeenschappelijk kader voor elektronische handtekeningen (Publicatieblad L 289 van 16.11.2000, blz. 42-43).

In deze richtlijn staan de criteria waarmee EU-landen rekening moeten houden bij het aanwijzen van nationale organen om de overeenstemming van veilige apparaten voor het aanmaken van handtekeningen te beoordelen.

Laatste wijziging: 09.01.2015