Dat de hack van Diginotar heeft geleid tot vragen aan de Europese Commissie (EC) is bepaald niet opvallend. De huidige regels met betrekking tot elektronische handtekeningen zijn namelijk (nagenoeg) volledig afkomstig van de Europese Unie. Voor het doorvoeren van eventuele wijzigingen aan deze regels is dan ook Europees initiatief nodig.
Europese regels over elektronische handtekening
De huidige regels zijn afkomstig uit de richtlijn elektronische handtekeningen uit 1999. Deze richtlijn heeft in Nederland onder meer geleid tot de introductie van artikel 3:15a BW, waarin staat wat we verstaan onder een 'gewone', 'geavanceerde' en 'gekwalificeerde' elektronische handtekening. Aangezien de richtlijn alle lidstaten van de EU verplicht hun wetgeving aan te passen op de richtlijn, zouden in alle andere landen van de EU soortgelijke eisen moeten gelden met betrekking tot elektronische handtekeningen.
Verschillende soorten elektronische handtekening
Het systeem kan kort als volgt worden samengevat. Wanneer een document (bestand) met een 'gekwalificeerde' elektronische handtekening wordt ondertekend, dan zijn de rechtsgevolgen van die ondertekening gelijk aan die van ondertekening van een document met een real-life "natte" handtekening (in inkt).
Bovendien geldt algemeen dat wanneer de voor de elektronische ondertekening gebruikte methode in het specifieke geval volgens de rechter voldoende betrouwaar is, de rechter die elektronische handtekening ook gelijk kan stellen aan de "natte" handtekening in de "papieren wereld". Wie een geavanceerde elektronische handtekening gebruikt zit daarbij al snel aan de goede kant van de streep. De praktische reden hiervoor is dat deze handtekening al aan zoveel eisen moet voldoen dat deze waarschijnlijk de toets van de kritiek van de rechter wel doorstaat. De juridische reden is bovendien dat een geavanceerde elektronische handtekening die net niet voldoet aan de (bijkomende, strenge) eisen van een gekwalificeerde elektronische handtekening, niet geweigerd mag worden enkel en alleen omdat niet aan 1 van de bijkomende strenge eisen van de gekwalificeerde elektroniche handtekening wordt voldaan.
Geen uniform toezicht op certificaatdienstverleners
EU-breed bestaat er dus eenheid (althans, zou moeten bestaan) over wat er is te verstaan onder een elektronische handtekening. Ook de juridische gevolgen die een elektronische handtekening heeft zijn uniform geregeld. Wat echter niet uniform geregeld is, is het toezicht op de instanties die gekwalificeerde certificaten uitgeven. In de richtlijn staat slechts dat de lidstaten van de EU moeten "zorgen voor een passend systeem voor toezicht op de op hun grondgebied gevestigde certificatiedienstverleners die gekwalificeerde certificaten aan het publiek afgeven". Wat een 'passend' niveau van toezicht is staat er niet en dit wordt aan de lidstaten overgelaten.
Uit het antwoord van de Europese Commissie blijkt nu dat overwogen wordt hiervoor een Europese norm te gaan formuleren:
Het Europees Normalisatie-instituut voor Telecommunicatie (ETSI) werkt aan een norm inzake gemeenschappelijke minimumvereisten voor toezicht. De Commissie zal nagaan of het toezicht efficiënter kan worden gemaakt door een verwijzing naar deze norm in de herziene richtlijn.
Het is afwachten of het daadwerkelijk zo ver komt. Het eerste voorstel voor de herziene richtlijn wordt in 2012 verwacht. Het zal vervolgens nog wel enige tijd kunnen duren voordat dit voorstel de hele Europese wetgevingsprocedure heeft doorlopen. Daarna zullen de nieuwe regels nog in de wetgeving van alle lidstaten moeten worden omgezet.
Overigens houdt in Nederland de OPTA toezicht. Recent bleek ook dat de OPTA dit toezicht serieus neemt en in dat kader bijvoorbeeld Diginotar [intlink id="8255" type="post"]dwong om de uitgegeven certificaten terug te trekken[/intlink]. Hoe (goed) het toezicht in andere landen is, is mij niet bekend.
Risico's van gebrekkig toezicht
Diginotar was een instantie die gekwalificeerde elektronische handtekeningen kon uitgeven. Wie beschikte over een dergelijk certificaat van Diginotar en een "veilig middel" om de handtekening mee te zetten, kon (dus) handtekeningen zetten met juridisch bindende consequenties.
Aangezien de precieze omvang van de hack van Diginotar niet bekend is, zijn er mogelijk wel dergelijke certificaten uitgegeven. Vooralsnog lijkt het daar niet op. Er lijken vooral certificaten gebruikt om het internetverkeer mee te beveiligen (dat is wat anders dan de elektronische handtekening) door de hackers uitgegeven te zijn, maar helemaal zeker is dat (juist vanwege de onduidelijkheden rond de hack) niet.
Wat daar ook verder van zij, het vertrouwen in elektronische handtekeningen staat of valt natuurlijk met het vertrouwen dat het publiek heeft in de instanties die dergelijke handtekeningen uitgeven. Daarvoor is, zoals de Commissie schrijft, deugdelijk toezicht onontbeerlijk:
Er is namelijk deugdelijk toezicht nodig als men wil dat de gebruiker er vertrouwen in kan hebben.
