Digitale ondertekening
Beste Zaalberg,
Wij gaan binnenkort gebruik maken van een applicatie voor het gebruiken van digitale handtekeningen. Hiermee worden alle documenten die een handtekening nodig hebben alleen nog maar digitaal ondertekend middels een geavanceerde digitale handtekening.De logging van deze handtekening wordt opgeslagen in de applicatie die de handtekeningen genereert en niet in het zaaksysteem.In het zaaksysteem worden deze metagegevens dus niet opgeslagen. Het betreffen zowel de vernietigen als te bewaren processen.– Wat zijn de eisen aan een digitale handtekening voor het archief, ook me het oog op overbrenging?– Moet de logging van de handtekening bewaard worden bij de zaak in het zaaksysteem of is het voldoende wanneer deze alleen opgeslagen wordt in de applicatie die de handtekeningen genereert?– Moeten de metatagegevens van de logging overgebracht worden naar een eventueel E depot?– Kan de digitale handtekening op deze wijze ook gebruikt worden voor processen die in applicaties zitten die niet archiefwaardig zijn?
Antwoord:
Het antwoord op de vraag is te vinden in de Handreiking electronische handtekening van de VNG (pag. 50 en 51). Ik citeer hieruit, met het advies de Handreiking er ook op na te slaan.De eisen die gesteld worden aan de digitale handtekening, de gegevens die vastgelegd moeten worden, vind je in art. 24 lid c van de Archiefregeling:“Voor zover gebruik is gemaakt van een digitale handtekening:1 De houder van de digitale handtekening;2 Het moment van validatie van de digitale handtekening, alsmede het resultaat daarvan;3 De voor de validatie verantwoordelijke functionaris; en4 Voor zover bekend ten tijde van het werkproces: de identificatie van het certificaat van de digitale handtekening.”Als er digitaal wordt ondertekend moeten de kenmerken van de digitale ondertekening worden vastgelegd en bewaard.“Punt 2 maakt duidelijk dat niet de handtekening zelf maar de registratie van de validatie gearchiveerd dient te worden. Punt 2 beschrijft daarmee dat er geen noodzaak is voor validatie op langere termijn.De toelichting hierbij, beschreven in Staatcourant, nr. 70 (Stcrt. 2010, 70) is als volgt:“De digitale handtekening zélf hoeft ingevolge de Archiefwet 1995 niet te worden bewaard. Dat neemt niet weg, dat in voorkomende gevallen wel steeds de gegevens moeten kunnen worden herleid, [die op basis van de metadata uit art. 24 sub c over de validatie zijn vastgelegd]. Eén van de doelen van de digitale handtekening is vaak om te kunnen vaststellen van wie een document afkomstig is. Het gaat dan om authentificatie van de opsteller(s) of afzender(s) van het document. Na controle en validatie van de handtekening verliest deze zijn rol en hoeft ten behoeve van archivering niet te worden bewaard. In de regel is validatie van een digitale handtekening na verloop van tijd niet meer mogelijk, enerzijds om technische redenen (niet meer te reproduceren), anderzijds om organisatorische redenen, omdat de gegevens over functionaris en bijbehorende handtekening niet meer beschikbaar zijn of gewijzigd.”Een lang citaat, waarin expliciet gesteld wordt dat de rol van de ondertekening tijdelijk is en vooral gezien moet worden in de context van de processtap waarin de ondertekening plaatsvond. Het duidt aan dat vooral het registratieproces van belang is, en niet zozeer de registratie van de handtekening zelf. Archivering moet het mogelijk maken om het proces na te gaan zoals dat is verlopen. Voor de ondertekening betekent dit, dat we moeten kunnen nagaan wie de ondertekenaar was en hoe dat is gevalideerd. Het behouden van de ondertekening zelf, op een manier die validatie in de toekomst mogelijk maakt, hoeft dus niet. Tenslotte is de toepassing van dit artikel uit de Archiefregeling beperkt tot archiefbescheiden die blijvend bewaard moeten worden, waardoor het niet geldt voor de overgrote hoeveelheid archiefbescheiden die (op termijn) vernietigbaar zijn. Gezien de intentie van dit artikel, de redenering en de toelichting, geeft de Archiefregeling echter wel een heel bruikbare en duurzame methode om met archivering van elektronische handtekeningen om te gaan. De vastlegging van de validatie (het moment en het resultaat daarvan) is goed mogelijk, zowel handmatig als automatisch. Door die gegevens als metadata aan de archiefbescheiden te koppelen, ontstaat een volledig beeld van de context waardoor het proces kan worden gereproduceerd.”Je vindt de Handreiking hier https://vng.nl/sites/default/files/2021-02/electronische-handtekening_20210127.pdf