Beste IT-auditor, kies voor gemak en onderteken met QES bij versturen van audits over DigiD-assessments

De termen AES en QES hebben te maken met het niveau van rechtszekerheid. Denk bijvoorbeeld aan een situatie waarin je samen iets overeenkomt, de een de ander vervolgens een mail stuurt ter bevestiging en er een akkoord volgt. Hierbij is het niveau van rechtszekerheid laag, je weet immers niet zeker wie op dat akkoord via e-mail reageert. Dat kan iedereen wel zijn. 

Hoger niveau van rechtszekerheid

Een hoger niveau van rechtszekerheid ontstaat bij het tekenen van een papieren contract dat je vervolgens met elkaar deelt. Wanneer je dit document door een ambtenaar, zoals bijvoorbeeld een notaris of een gerechtsdeurwaarder, laat bekrachtigen dan bereik je het allerhoogste niveau van rechtszekerheid. 

In de digitale wereld werkt het precies zo, ook daarin heb je verschillende niveaus van rechtszekerheid die gaan over digitaal vertrouwen. Het hoogste niveau is QES, dat staat voor Qualified Electronic Signature, het niveau daaronder is AES dat staat voor Advanced Electronic Signature, en het derde niveau is SES, voluit Simple Electronic Signature (de gebruikelijke term; Electronic Signature) 

Alle DigiD-koppelingen geaudit

Nu is het zo dat alle DigiD-koppelingen geaudit gaan worden door register IT-auditors die zijn verbonden aan NOREA: de beroepsorganisatie van IT-auditors. De overheid heeft via Logius richting deze auditors gecommuniceerd dat vanaf januari 2023 de rapporten die uit deze audits volgen digitaal ondertekend moeten worden. En dat mag op twee manieren gebeuren, via QES of AES. 

En die keuze geeft onduidelijkheid onder ruim 1600 IT-auditors die ons land rijk is. Want wanneer doe je het nu goed? Als je ondertekent via een Qualified Electronic Signature of is een lager niveau, de Advanced Electronic Signature ook voldoende?  

Verouderde visie

‘De keuze die de overheid hierin geeft maakt het verwarrend en komt voort uit een verouderde visie die gaat over het idee dat elektronische handtekeningen duur en onhandig zijn. Dat was ook zo: tot een jaar of 10 geleden, maar dit speelt al lang niet meer’, aldus Ton Oosterwijk, eigenaar van PKIpartners. ‘Ik heb jarenlang deelgenomen aan de klankbordgroep authenticatie rijksoverheid en er is, onder meer, een duidelijke handreiking geschreven over onder meer dit onderwerp.’ 

‘Je zou denken dat het lagere niveau, de AES, het eenvoudigst en het goedkoopst is. Maar dat is niet zo, want hierbij onderteken je een document met een verificatie die je via e-mail of sms ontvangt. Daar moet dan weer een rapport aan ten grondslag liggen en daarvoor kan je een abonnement met een bundel afsluiten bij onze partner Evidos. Dus kiezen voor AES is niet per definitie eenvoudig, goedkoop of handiger.’ 

Onze boodschap

Kies, vanwege meerdere redenen, voor QES!  

Dan weet je per definitie zeker dat de manier waarop je als IT-auditor ondertekent toereikend is. Verder betaal je één bedrag wat je voor een QES dat bovendien drie jaar geldig is zónder dat er een prijs per tik wordt berekend. Daarnaast is ook de gratis Acrobat Reader geschikt voor QES ondertekenen, zonder dat je aanvullende handelingen moet verrichten door naar online aanbieders te moeten gaan. 

Mocht je er nog vragen over hebben, neem dan gerust contact met ons op

Bron: ec.europa.eu 

Het najaar staat voor de deur: heb jij in beeld hoe je certificaten er dan uitzien? 

Heb je een fijne zomervakantie gehad? Je bent ongetwijfeld alweer weken aan de slag en je vakantie misschien alweer bijna vergeten. We nodigen je van harte uit om na te denken over een onderwerp waar je waarschijnlijk niet elke dag bij stilstaat: namelijk aan PKIoverheid certificaten en de toepassing daarvan.  

Digitale wereld steeds complexer 

In deze wereld die in rap tempo nog meer digitaal en daarmee soms complexer wordt, kom je er niet meer onderuit om na te denken over oplossingen rondom identiteit, echtheid en waarmerken in de digitale wereld. Hoe is dat op dit moment voor jouw organisatie geregeld? Denk dan aan het certificaatbeheer, zoals de verlenging en het tijdig aanvragen bijvoorbeeld? En hoe gaat het als er iemand uit dienst gaat en er een ander e-mailadres gekoppeld moet worden? Zijn jullie daarnaast goed op de hoogte van de regelmatige wijzigingen in de regel- en wetgeving? En wanneer je dat op dit moment bij een andere leverancier hebt belegd, heb je dan het gevoel dat zij je volledig ontzorgen op dit vlak? Kortom, de wereld van certificaten en alles wat daarmee samenhangt is ingewikkeld en voor velen relatief ondoorzichtig. Dat is ook logisch, omdat je deze materie er niet zomaar even bij doet. Bij PKIpartners hebben we er onze kernactiviteit van gemaakt waardoor we dag in dag uit bezig zijn met dit onderwerp. 

Naar uw feedback wordt geluisterd

Daarnaast richten we ons ook op het steeds verder verbeteren van onze dienstverlening, waarbij we luisteren naar de feedback die we van onze relaties ontvangen. Een mooi voorbeeld van dat actief verbeteren is ons telefoonnummer dat niet meer anoniem wordt weergegeven. Dit betekent dat je ons met naam en toenaam in je telefoon kunt zetten, en direct kunt zien wanneer we bellen. Handig als je met spoed op een certificaat zit te wachten en je ziet dat wij het zijn vanuit één van deze nummers: 085 9020 820 en 023 7600 345. 

Tipje: voor zover je er zelf nog niet aan gedacht had, plaats ons 085- en 023-nummer in je mobiel of je telefooncentrale, en zie direct dat wij bellen. Dat scheelt certificaatstress. Daarnaast is het ook handig, omdat je ons snel weet te vinden, als er iets aan de hand is met een certificaat. 

Een ander voorbeeld van de manier waarop we bezig zijn met feedback, is het overzicht van alle PKIupdates dat voortaan terug te vinden is op onze website. Op die manier is alle relevante informatie rondom certificaten en alles wat daarmee samenhangt ten alle tijden eenvoudig beschikbaar. Voor het geval je nog eens iets na wilt lezen. Of die ene handige tip toe wilt passen, maar niet precies meer weet hoe het zat.  

De kracht van samenwerking: eHerkenning 3 met korting

Samenwerking PKIpartners

Nog even in de herhaling: wat is eHerkenning 3 ook alweer? In gewoon Nederlands uitgelegd, als burger kun je met je DigiD inloggen bij de overheid, en als medewerker bij een bedrijf of organisatie doe je dit door middel van eHerkenning. ‘We werken sinds jaar en dag als partners samen met Digidentity. En naar volle tevredenheid’, aldus Ton Oosterwijk.

Digidentity is in 2008 opgericht met een duidelijk doel voor ogen: het digitale leven van mensen faciliteren en beschermen. Jaren later staat dat doel bij Digidentity nog steeds centraal. Men wil bijdragen aan een veilig en duurzaam digitaal ecosysteem voor iedereen.

Ton: ‘Er is veel energie binnen de organisatie en zij begrijpen de wederzijdse afhankelijkheid en het belang van een goede samenwerking. Men staat open voor groei en bloei om zo te zeggen. Onlangs hebben we onze samenwerking met dit bedrijf nog verder uitgebreid en dat resulteert onder andere in een mooie actie voor onze klanten. Er worden namelijk 250 promocodes beschikbaar gesteld die 10% korting geven in het eerste jaar, op de aankoop van eHerkenning 3. Na het eerste jaar wordt het reguliere tarief gerekend. De coupon is geldig tot en met 1 juli 2024. ‘

  • 10% korting geldig in het eerste jaar, daarna regulier tarief. 
  • Coupon geldig t/m 1 juli 2024. 
  • Beperkt aantal beschikbaar: 250 stuks te vergeven, wees er dus snel bij. 
  • De code gebruik je zo: vul bij het aanvraagproces bij promocode PKIPARTNERS in dan wordt de 10% korting vanzelf verrekend.  

Aanvraagproces eHerkenning 3-certificaat vernieuwd 

Ton: ‘Verder is het aanvraagproces van dit eHerkenning 3-certificaat verfijnd, waardoor dit nog gemakkelijker gaat. Het werkt intuïtief, snel en wordt als zeer laagdrempelig ervaren door aanvragers. Mocht je er nog vragen over hebben, neem dan gerust contact met ons op Er is ook meer informatie te vinden op de website van van Digidentity En uiteraard verzorgen wij, zonder dat je dit extra geld kost, graag het volledige aanvraagproces. Juist omdat we hier dag in dag uit mee bezig zijn, is dit voor ons een hele kleine moeite.’ 

Voor meer informatie neemt gerust contact met ons op.

Veranderingen binnen je organisatie? Informeer ons. 

‘Als er een verandering is rondom een certificaatbeheerder dan is het zaak dat er actie ondernomen wordt. Want dit is een wijziging die echt impact heeft binnen je organisatie. Wijs, om te beginnen, een ander persoon aan zodat het juiste certificaat geleverd kan worden. PKIpartners verzorgt niet alleen de levering van dit soort certificaten, we regelen ook het beheer en bewaken welke certificaten er in omloop zijn. Zo houden we bijvoorbeeld de verloopdata bij zodat alle certificaten binnen de betrokken organisatie geldig en actueel zijn.  
Het thema certificaten, beveiligd inloggen en dan ook nog door de juiste persoon, is sowieso een terugkerend thema dat in toenemende mate aandacht krijgt. Zo vindt men bijvoorbeeld dat de manier van inloggen verbeterd moet worden. 

Zo heeft Bureau Financieel Toezicht, kortweg het BFT, de wettelijke uitvoeringstaak om toezicht te houden op de financiële gezondheid van de zogenaamde vrije beroepsbeoefenaars, gerechtsdeurwaarders en notarissen. Een belangrijke taak, want vanuit kantoren is het verplicht om een aantal keren per jaar cijfers aan te leveren. In totaal gaat dat om zo’n 8.500 indieningen op jaarbasis. En waar dat in het verleden nog om het vullen van een gebruikersnaam en wachtwoord ging, zie je nu de nadruk verlegd is op het rechtsgeldig elektronisch ondertekenen van de indiening. Een goede zaak, want we herinneren ons vast nog de zaken uit media waar door frauduleuze boekingen miljoenen euro’s verduisterd werden door ogenschijnlijk betrouwbare personen.  

Het is van belang dat de indieningen onweerlegbaar zijn en dat wordt gerealiseerd door het zetten van een rechtsgeldige elektronische handtekening met bijvoorbeeld een beroepscertificaat of een persoonsgebonden certificaat al de indiening wordt gedaan door een medewerkers van het kantoor of diens gedelegeerde. 

De eerste stappen  

Dit betekent dat er een elektronische handtekening bijgevoegd is, waardoor je precies na kunt gaan wie er voor een bepaalde (trans)actie getekend heeft. Inmiddels is het, mede door alle zaken die misliepen, verplicht om dit inloggen inderdaad op deze nieuwe manier te doen. Het BFT heeft daartoe een nieuw portaal ingericht. En wat blijkt? Mensen lopen tegen problemen aan en velen daarvan nemen contact op met onze helpdesk. Men wil bijvoorbeeld weten hoe aan het juiste certificaat te komen. En verder krijgen we veel vragen binnen omtrent digitaal ondertekenen en de begeleiding naar nieuwe certificaten. Onze dienstverlening is erop gericht om de beroepsbeoefenaars of de medewerker van het (notariskantoor) kantoor of de gedelegeerde (de boekhouder/accountant) bij te staan in het verkrijgen van een handtekening en het leren gebruiken van de handtekening om een indiening te kunnen tekenen voordat het geüpload wordt.

De oude manier wordt uitgefaseerd 

Ook is het zo dat in de toekomst notariskantoren en gerechtsdeurwaarders zelf hun financiële verslaglegging moeten indienen. De onderliggende stukken moeten wederom rechtsgeldig ondertekend worden geüpload. En we hebben het al vaker gezegd: het is en blijft complexe materie. Zo worden onder het stelsel van PKIoverheid verschillende typen certificaten uitgegeven, die allemaal hun eigen toepassing hebben. Het is dus ook logisch dat er veel vragen zijn: je kunt immers een bepaald persoon námens een organisatie documenten laten ondertekenen en dat betekent nogal wat. Zeker als mensen niet te goeder trouw handelen. Een ander aspect gaat dan weer over de check of het juiste certificaat aanwezig is. In de ideale wereld zou het zo zijn dat als iemand een certificaat gebruikt of dit uploadt, dat het nieuw BFT-portaal dan kijkt naar de juistheid ervan in die specifieke situatie. Maar zo ver zijn we nog niet: die functie zit er nog niet in. Tot die tijd, en uiteraard ook daarna, nodigen we iedereen, die welke vraag dan ook heeft over PKIoverheidcertificaten of iets dat daarmee samenhangt, uit om contact met ons op te nemen. Je bereikt ons rechtstreeks via 085 90 20 820 of info@pkipartners.nl Of je vult het contactformulier in.

Voor meer informatie over het nieuwe DiginBFT portaal kunt  u terecht bij  BFT 

Telefoon: 030 – 251 69 84

e-mail: bft.post@bureauft.nl
website: http://www.bureauft.nl/

‘De ontwikkelingen in certificaatbeheer gaan snel. Rázendsnel’, Gert Heyblom, Commercial Product Manager Identity bij KPN 

‘Toen ik in september 2021 bij KPN startte, bestond de relatie met PKIpartners al. Al snel kwamen eigenaar Ton en ik met elkaar in contact en dat was een bijzonder boeiend gesprek. En tegelijkertijd was het een heel verontrustend gesprek, daar in Haarlem bij PKIpartners op locatie.’

Aan het woord is Gert Heyblom, Commercial Product Manager Identity bij KPN. Hij vertelt over de samenwerking met PKIpartners rondom certificaatbeheer. ‘Men heeft mij namelijk meegenomen in de wereld van PKI, certificaten en de lokale overheid. Naast dat ik merkte hoeveel passie voor het vak er bij dit bedrijf zit, was het ook wel duidelijk dat er werk aan de winkel is. In beginsel dacht ik nog dat een en ander wel mee zou vallen, maar toen ik twee uur later buiten stond drong tot me door dat de zorgen die PKIpartners aan ons uitsprak, reëel zijn. Waar die zorgen dan precies over gingen? Wel, de markt van certificaten is volop aan het veranderen en dat vraagt om snel mee veranderen. Ook vanuit KPN. Denk dan aan het op tijd verlengen van bepaalde certificaten die nodig zijn om het werk van bedrijven, gemeentes en andere instellingen uit te kunnen blijven voeren.’ 

Gert Heyblom, Commercial Product Manager Identity bij KPN 
Gert Heyblom, Commercial Product Manager Identity bij KPN 

PKIoverheid stopt met het uitgeven van publiek vertrouwde webserver certificaten

Gert vervolgt: ‘Die zorgen gaan bijvoorbeeld over het feit dat PKIoverheid stopt met het uitgeven van publiek vertrouwde webserver (SSL/TLS) certificaten. Zo heeft Logius aangekondigd per 4 december 2022 te stoppen met het uitgeven van publiek vertrouwde webserver (SSL/TLS) certificaten onder PKIoverheid. Dit geldt uitsluitend voor de “publiek vertrouwde servercertificaten” en niet voor de andere PKIoverheid certificaten, zoals Private servercertificaten, Private Digipoort, eSeal, Groeps, Beroepscertificaten en Persoonlijke certificaten. Dit betekent dat de uit te geven publiek vertrouwde servercertificaten een maximale geldigheidsduur kunnen hebben tot uiterlijk 4 december 2022. KPN zal in de loop van 2022 de overstap maken naar een nieuwe vervangende oplossing. (Noot van de redactie: deze overstap is inmiddels gemaakt en de certificaten zijn beschikbaar). Deze oplossing zal een veilig en vertrouwd alternatief zijn, welke aan de hoogste security eisen en eIDAS richtlijnen voldoet. De overige dienstverlening die onder PKIoverheid valt, wordt overigens ongewijzigd doorgezet. Klanten hoeven op dit moment nog niets te doen, want onze dienstverlening blijft vooralsnog ongewijzigd en in ieder geval gegarandeerd tot 4 december 2022. Maar feitelijk had ik de werkzaamheden hieromtrent vanuit mijn rol al in december 2021 op willen pakken zodat er meer tijd was geweest om een en ander te regelen.’ 

KPN werkt samen met PKIpartners
KPN werkt samen met PKIpartners

Snel schakelen gewenst 

‘Het betekent in elk geval dat we, en dan niet alleen rondom dit onderwerp, snel moeten schakelen en intensief moeten samenwerken. En dan bij voorkeur met een ervaren, professionele partij als PKIpartners’, aldus Gert. ‘Ik heb er alle vertrouwen in dat zij ons goed kunnen begeleiden bij het aanvragen, controleren en beheren van de relevante certificaten. Wat dat betreft passen we ook wel goed bij elkaar: eigenaar Ton en ik, want ook ik ben vrij pragmatisch van aard en houd ervan om de handen uit de mouwen te steken.’ 

Materie complex: organisaties hebben hulp nodig 

‘En organisaties hebben onze gezamenlijke ondersteuning ook écht nodig. Want alles wat met certificaten te maken heeft behoort niet tot hun core business. Bovendien is de materie complex en is het aanvraagproces van een certificaat geen sinecure. Wanneer een certificaat te laat wordt aangevraagd, dan ontstaat er direct een probleem. Dan kan een gemeente bijvoorbeeld vanaf een bepaald moment geen legitimatiebewijzen meer uitgeven. In de praktijk zien we overigens ook nog dat het aanvragen van te verlengen certificaten bijna altijd te laat gebeurt. Dat komt bijvoorbeeld omdat degene die de certificaten aanvraagt met vakantie is. Of niet meer in dienst. En de herinneringsberichten die verstuurd worden zijn geautomatiseerd, dus dan valt een e-mail al snel tussen wal en schip. Ook als er een reminder wordt verzonden. Daarom raden we partijen bijvoorbeeld aan om áltijd met een functionele mailbox te werken zodat er minder kwetsbaarheid ontstaat in de afhankelijkheid van een persoon. En ik weet dat ook PKIpartners hier erg actief in is.’ 

‘Bovenstaand beschrijf ik overigens een eenvoudig voorbeeld, maar het werkveld beslaat meer. Denk aan zaken als security, identity, e-sealing, e-signing en etc. De ontwikkelingen gaan snel. Rázendsnel. Daar zou je je als bedrijf zorgen over moeten maken, als je dat nog niet geregeld hebt’, vervolgt Gert.  

PKIpartners? Vol accuraat, betrouwbaar en betrokken 

‘Over de samenwerking met  PKIpartners, tot slot, kan ik zeggen dat ik de mensen daar als accuraat, betrouwbaar en betrokken ervaar. Er is veel openheid over en weer en ik hoop dat we nog intenser gaan samenwerken. Voor mij is PKIpartners dé partij die kan helpen om snel, goed en gemakkelijk certificaten aan te vragen. En dat zijn precies de eigenschappen die ingewikkelde wereld van certificaatbeheer nodig heeft’, besluit Gert.