Digitale handtekening

Achtergrond

De ondersteuning van het werken met digitale stukken in plaats van papieren stukken biedt belangrijke mogelijkheden om de doelmatigheid en kwaliteit van het strafrechtproces te verbeteren. Digitale stukken zijn gelijktijdig voor iedere werkplek toegankelijk en gegevens hoeven niet meer overgetypt te worden. Voor de toepassing van digitale stukken in een strafrechtproces (de digitale processtukken) zijn er diverse voorzieningen nodig om handelingen te kunnen ondersteunen of digitale waarborgen te bieden. Denk hierbij aan het indienen of verstrekken van processtukken, het ondertekenen van processtukken en het waarborgen van de integriteit van de processtukken. Besluitvorming over de wetgeving voor het gebruik van digitale stukken in het strafrechtproces heeft in 2016 plaatsgevonden. De toepassing en eisen die gesteld worden aan de voorzieningen zijn vastgelegd in het Besluit digitale stukken Strafvordering. Er volgen tevens eisen uit de Wet herziening tenuitvoerlegging strafrechtelijke beslissingen, met name hoe de elektronische betekening plaatsvindt en welke informatie hierover ten minste moet worden vastgelegd ten bewijze dat de betekening heeft plaatsgevonden. In aanloop naar deze besluitvorming is er binnen J&V in opdracht van DGR&R gewerkt aan een gemeenschappelijke voorziening waarmee burgers en bedrijven kunnen vaststellen dat digitale documenten van J&V authentiek en integer zijn. Deze voorziening wordt geleverd als dienst door JustID onder de naam GAAV (Gemeenschappelijke Authenticatie Associatie en Valideringsdienst). Eind 2015 heeft de J&V CIO Raad een besluit genomen over deze dienst als gemeenschappelijke voorziening op basis van “comply or explain”. Een gemeenschappelijke voorziening houdt in dat er geen vergelijkebare eigen voorzieningen worden gebruikt (comply), tenzij er zwaarwegende redenen zijn om het toch anders te doen (explain). De CIO Raad heeft tegelijkertijd besloten dat de Politie, OM en Rechtspraak in hun onderlinge uitwisseling van processtukken geen gebruik maken de GAAV dienst. In 2017 is er aanvullend beleid ontwikkeld met 3 partijen in de Strafrechtketen (Politie, OM en Rechtspraak) om de eisen van de wetgeving en de besluitvorming van de CIO Raad verder te vertalen naar uitgangspunten voor daadwerkelijke voorzieningen. Zo zijn er afspraken gemaakt over de processtukken die ondertekend en gewaarmerkt worden, de technische invulling en het toezicht op deze voorzieningen middels onafhankelijke audits. Met de het wetgevingsbesluit, de besluitvorming in de CIO raad en het aanvullend beleid is vormt deze architectuurbouwsteen “Digitale Handtekening” een praktisch en bindend kader voor de toepassing van digitale handtekeningen in de strafrechtketen.

Typologie

Toelichting Authenticatie, Associatie en Validatie

Bij het werken met digitale stukken moeten maatregelen worden getroffen om de integriteit, bruikbaarheid, authenticiteit en betrouwbaarheid van informatie te waarborgen. De digitale handtekening is een middel waarmee burgers, bedrijven en andere betrokkenen de authenticiteit en integriteit van digitale stukken kunnen vaststellen. Met vaststellen van authenticiteit wordt bedoeld dat ondertekenaar kan geverifieerd. In de papieren werkwijze wordt dit bereikt met de “natte handtekening”. Met integriteit wordt gedoeld op de zekerheid dat de inhoud van het document of de transactie volledig is en niet onbevoegd is gewijzigd of beschadigd. In de papieren werkwijze wordt dit o.a. bereikt met zegels, paraferen van pagina’s en watermerken. In de digitale werkwijze is het noodzakelijk om metagegevens vast te leggen en te bewaren over de oorsprong/totstandkoming van een digitaal document of transactie, vanaf het moment van creatie. Het vastleggen en bewaren van die informatie vereist een zogeheten ‘unbroken chain of custody’ (ononderbroken beheer van digitale documenten of transacties). De informatie die wordt vastgelegd en bewaard over de oorsprong/totstandkoming van digitale documenten of transacties noemen we provenance en de digitale handtekening vormt hier een onderdeel van. Het digitaal ondertekenen of waarmerken van stukken is een combinatie van processtappen authenticatie en associatie. Met authenticatie levert de ondertekenaar bewijs van zijn identiteit. De ondertekenaar gebruikt hiervoor een middel dat voldoet aan de in het besluit gestelde eisen. De tweede stap van het ondertekenproces ziet op de associatie van het bewijs dat de ondertekenaar van zijn identiteit heeft geleverd, met de inhoud van het te ondertekenen stuk. Het ondertekende stuk wordt verzegeld door middel van het berekenen van een hash-waarde. Deze waarde wordt met de documentkenmerken vastgelegd in een bewijsrecord. Het bewijsrecord wordt beveiligd en op een veilige plaats opgeslagen. Op basis van deze waarde kan later, tijdens validatie, vastgesteld worden of het document integer (ongewijzigd) is. De verschillende stappen vinden typisch plaats in een processysteem, dat gebruik kan maken van een externe associatieservice en provenance store.

Informatiearchitectuurkaders

Samenvatting Architectuurkaders, eisen en afspraken

Hieronder worden de kaders, eisen en afspraken voor het gebruik van digitale handtekeningen in de strafrechtketen samengevat zoals die volgen uit de geldende wet- en regelgeving, standaarden en beleidskaders.

• eIDAS: Digitale handtekening voldoet aan de volgende eisen:
  • zij is op unieke wijze aan de ondertekenaar verbonden;
  • zij maakt het mogelijk de ondertekenaar te identificeren;
  • zij komt tot stand met gegevens voor het aanmaken van digitale handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken, en
  • zij is op zodanige wijze aan de daarmee ondertekende digitale documenten verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.
• Voor het ondertekenen van digitale documenten maken we gebruik van de digitale handtekening (en nietvoor een geprinte versie met natte handtekening)
• In die gevallen waarvoor regelgeving geen ondertekening voorschrijft maar het nu gebruikelijk is om te ondertekenen, zal niet worden getekend tenzij uit jurisprudentie of de praktijk blijkt wat de toegevoegde waarde van de ondertekening is voor het strafproces.
• Gebruik en acceptatie door de ontvangers vraagt om uniformiteit en standaardisatie in het proces van ondertekenen en het resultaat van de ondertekening. We streven naar één identieke representatie van de digitale handtekening op het digitale document voor alle organisaties.
• De ondertekenaar authentiseert zich met een middel dat voldoet aan de wettelijke eisen en het toepasselijke hoge vertrouwensniveau (o.a. 2-factor authenticatie). De wijze van 2-factor authenticatie is voor de SRK-organisaties niet uniform bepaald.
• De gegevens waaruit de digitale handtekening bestaat, zijn op zodanige wijze verbonden aan de digitale gegevens waarop deze betrekking heeft, dat de identiteit van de ondertekenaar, de rol van de ondertekenaar, het moment van ondertekening en elke wijziging na ondertekening van de gegevens kan worden vastgesteld.
• Het bewijs dat een rechter, officier van justitie of een opsporingsambtenaar levert van zijn identiteit als hij inlogt op zijn smartphone of DMS kan worden hergebruikt bij het ondertekenen. Voor het ondertekenen hoeft de persoon die al is ingelogd dus niet opnieuw bewijs van zijn identiteit te leveren. In plaats van een authenticatie kan dan volstaan dat de ondertekenaar op een onderteken en/of verzendknop drukt. Dit proces dient op de achtergrond wel altijd te resulteren in een elektronische handtekening die op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft is verbonden, dat de identiteit van de ondertekenaar, het moment van ondertekening en elke wijziging na ondertekening van het document kunnen worden vastgesteld.
• We kiezen er voor dat SRK-organisaties de Authenticatie en Associatie met eigen middelen en voorzieningen kunnen realiseren. (Wel onderzoeken of een gemeenschappelijke A&A voorziening kan bijdragen).
• We gebruiken allen de validatieservice van GAAV om de integriteit van het document te valideren. Bewijsrecords worden toegankelijk gemaakt voor GAAV.
• Een ontvanger moet een eerste visuele check kunnen uitvoeren op de identiteit, organisatie en dagtekening van een document. We maken afspraken over de (vorm)vereisten voor het aanleveren van digitale (proces)stukken ten behoeve van een uniform en eenduidig validatieproces.
• Om het extern vertrouwen te borgen wordt het digitaal ondertekenen bij elke keten organisatie periodiek geauditeerd op inrichting en werking door een onafhankelijke auditor.
• Toekomstig voor justitiabelen: We bieden een voorziening (webportaal) aan justitiabelen met de mogelijkheid om een document met wettelijk erkende middelen te ondertekenen. Het bewijsrecord wordt centraal opgeslagen. Het opsturen van papieren documenten moet vooralsnog voor burgers mogelijk blijven. De strafrechtketen digitaliseert deze documenten ‘onder substitutie’ en voldoet hiermee aan de vereisten om een papieren document om te zetten naar een gewaarmerkt digitaal document.

Technische architectuurkaders

Standaarden

• OASIS SAML v2.0: uitwisseling identiteit-en eventueel attribuutverklaringen)
• ETSI specificaties: geavanceerde elektronische XML-, CMS-of PDF-handtekeningen en drager van handtekeningen: XAdES, CAdES, PAdES en ASiC
• W3C PROV: uitwisseling van oorsprong-of herkomstinformatie, ook wel provenance genoemd
• PREMIS: uitwisseling van integriteitinformatie, ook wel fixity genoemd
• DCMI: inbedding metagegevens in digitale documenten of transacties

Implicaties

Impact van de kaderstelling

Door de KIS is gevraagd om bij het opstellen van architectuurkaders voor zover mogelijk aan te geven wat de bedrijfsmatige impact daarvan is. Het is duidelijk dat het geld en inspanning kost om digitale gegevensverwerking van digitale handtekeningen te voorzien. De omvang van deze kosten is afhankelijk van de omvang van de digitale gegevensverwerking en kan niet in algemene zin worden ingeschat. De noodzaak van deze kosten volgt uit de toepasselijke regelgeving om het werken met digitale gegevens veilig en betrouwbaar te maken en niet uit dit architectuurkader. Het architectuurkader geeft standaarden voor werkwijzen, technische oplossingen en gemeenschappelijke voorzieningen die het mogelijk maken om samen te werken maar die tevens als effect hebben dat de kosten voor afzonderlijke organisaties worden gereduceerd.

Wijzigingen

Wijzigingen en verwerking reviewcommentaar

Afstemming

Verspreiding en afstemming