Beste IT-auditor, kies voor gemak en onderteken met QES bij versturen van audits over DigiD-assessments

DigiD-assessmentrapportage-tpm-elektronische-handtekeningen

De termen AES en QES hebben te maken met het niveau van rechtszekerheid. Denk bijvoorbeeld aan een situatie waarin je samen iets overeenkomt, de een de ander vervolgens een mail stuurt ter bevestiging en er een akkoord volgt. Hierbij is het niveau van rechtszekerheid laag, je weet immers niet zeker wie op dat akkoord via e-mail reageert. Dat kan iedereen wel zijn. 

Hoger niveau van rechtszekerheid

Een hoger niveau van rechtszekerheid ontstaat bij het tekenen van een papieren contract dat je vervolgens met elkaar deelt. Wanneer je dit document door een ambtenaar, zoals bijvoorbeeld een notaris of een gerechtsdeurwaarder, laat bekrachtigen dan bereik je het allerhoogste niveau van rechtszekerheid. 

In de digitale wereld werkt het precies zo, ook daarin heb je verschillende niveaus van rechtszekerheid die gaan over digitaal vertrouwen. Het hoogste niveau is QES, dat staat voor Qualified Electronic Signature, het niveau daaronder is AES dat staat voor Advanced Electronic Signature, en het derde niveau is SES, voluit Simple Electronic Signature (de gebruikelijke term; Electronic Signature).

Tekst gaat verder onder video

Alle DigiD-koppelingen geaudit

Nu is het zo dat alle DigiD-koppelingen geaudit gaan worden door register IT-auditors die zijn verbonden aan NOREA: de beroepsorganisatie van IT-auditors. De overheid heeft via Logius richting deze auditors gecommuniceerd dat vanaf januari 2023 de rapporten die uit deze audits volgen digitaal ondertekend moeten worden. En dat mag op twee manieren gebeuren, via QES of AES. 

En die keuze geeft onduidelijkheid onder ruim 1600 IT-auditors die ons land rijk is. Want wanneer doe je het nu goed? Als je ondertekent via een Qualified Electronic Signature of is een lager niveau, de Advanced Electronic Signature ook voldoende? 

Verouderde visie

‘De keuze die de overheid hierin geeft maakt het verwarrend en komt voort uit een verouderde visie die gaat over het idee dat elektronische handtekeningen duur en onhandig zijn. Dat was ook zo: tot een jaar of 10 geleden, maar dit speelt al lang niet meer’, aldus Ton Oosterwijk, eigenaar van PKIpartners. ‘Ik heb jarenlang deelgenomen aan de klankbordgroep authenticatie rijksoverheid en er is, onder meer, een duidelijke handreiking geschreven over onder meer dit onderwerp.’ 

‘Je zou denken dat het lagere niveau, de AES, het eenvoudigst en het goedkoopst is. Maar dat is niet zo, want hierbij onderteken je een document met een verificatie die je via e-mail of sms ontvangt. Daar moet dan weer een rapport aan ten grondslag liggen en daarvoor kan je een abonnement met een bundel afsluiten bij onze partner Evidos. Dus kiezen voor AES is niet per definitie eenvoudig, goedkoop of handiger.’ 

Onze boodschap

Kies, vanwege meerdere redenen, voor QES!  

Dan weet je per definitie zeker dat de manier waarop je als IT-auditor ondertekent toereikend is. Verder betaal je één bedrag wat je voor een QES dat bovendien drie jaar geldig is zónder dat er een prijs per tik wordt berekend. Daarnaast is ook de gratis Acrobat Reader geschikt voor QES ondertekenen, zonder dat je aanvullende handelingen moet verrichten door naar online aanbieders te moeten gaan. 

Mocht je er nog vragen over hebben, neem dan gerust contact met ons op

Bron: ec.europa.eu 

Raad voor de rechtspraak (KEI): digitaliseer maximaal én heb je certificaten tijdig op orde

Eline Boelé bewindvoerder over PKIpartners

‘Je kunt tegenwoordig rechtstreeks met de rechtbank communiceren via Aansluitpunt Toezicht. Handig, maar je hebt er wel een certificaat voor nodig dat je ook nog eens moet installeren in je software. In ons geval is dat OnView. En met het aanvragen daarvan heeft PKIpartners ons perfect geholpen.’ Dat zegt Eline Boelé, bewindvoerder bij Bewind met Elan, een kantoor dat in 2018 is opgericht om mensen die bewind nodig hebben goed en persoonlijk te helpen. Eline: ‘Zelf heb ik een achtergrond in het notariaat en mijn collega komt vanuit de advocatuur. Via het prachtige vak van bewindvoering kunnen we onze kennis, ervaring én voorliefde om mensen te helpen goed toepassen. Wij zijn van mening dat kwetsbare groepen in onze samenleving, zoals ouderen, dementerenden, mensen met psychosociale en/of psychiatrische problemen, mensen met een schuldenproblematiek en jongeren (met financiële problemen) het recht hebben op een leven met een stabiele financiële huishouding en dus verbeterde levenskwaliteit. Wij zetten ons in om de financiële huishouding stabiel te krijgen en te houden.’

Paniek in de tent

‘Wat ik heel fijn vond aan de samenwerking met PKI is dat ze ons van A tot Z door het hele aanvraagproces van het PKIoverheidcertificaat geloodst hebben. Stap voor stap, heel laagdrempelig. Nu ben ik zelf wel technisch onderlegd, maar ik weet dat veel bewindvoerders dat niet zijn. Ook in het notariaat, mijn vorige werkveld, was dat een ding. Een voorbeeld: veel notarissen dienen hun aktes richting het kadaster in via Web-Elan. Wanneer het bijbehorende overheidscertificaat verlengd moest worden dan was er zo’n keer of drie per jaar paniek in de tent omdat er niemand was die precies wist hoe het werkte. Bovendien is de werkdruk in het notariaat enorm hoog, dus dat zijn niet de dingen die je erbij wil hebben. PKIpartners is dan geweldig om als partij aan je zijde te hebben: zij nemen de hele aanvraag uit handen en zorgen er tot in detail voor dat alles goed op je computer komt’, aldus Eline.

Voor bewindvoerders, accountants en belastingadviseurs

‘Vanaf 1 oktober kun je als bewindvoerder en gemachtigde voor ál je klanten die in het centraal curatele- en bewindregister staan, tegelijkertijd inloggen via eHerkenning. Ik vermoed dat dit een hogere veiligheid moet gaan worden. En daar wil je als beroepsbeoefenaar op voorbereid zijn. Het is ook de bedoeling dat er meerdere instanties aan gaan sluiten heb ik begrepen. Aan mijn collega’s zou ik willen vragen: Heb je dat in beeld? Weet je dat dat bestaat? Het is allemaal erg in ontwikkeling, ook vanuit de overheid. En dat wordt hoog tijd, want wij als bewindvoerders lopen er nog altijd tegenaan dat we op papier moeten communiceren, bijvoorbeeld richting het UWV en de SVB. Maar ook zorgverzekeraars blijven zich verschuilen achter de AVG wat de samenwerking bemoeilijkt. En als ik niet over een DigiD-machtiging van mijn cliënt beschik, dan moet ik de aangifte zelfs nog op papier doen. Dat is natuurlijk niet meer van deze tijd, dus het is heel fijn dat dat nu ontwikkeld wordt. Er wordt door veel bewindvoerders veel rechtstreeks met de DigiD van cliënten zelf gewerkt, terwijl dat officieel niet mag. De sms-controle die sinds een tijdje als extra verificatie gebruikt wordt, is daarom een prima plan wat mij betreft.’

Digitaliseer maximaal  

‘Binnen ons kantoor digitaliseren we zoveel mogelijk. Wij scannen alle papieren die we ontvangen direct in. De papieren post gaat vervolgens in de versnipperaar. Ik weet dat er kantoren zijn waar nog kasten vol met papieren dossiers staan. Dat moet je niet meer willen. Ik merk gelukkig wel dat we in de markt steeds meer digitaal gaan werken’, vervolgt Eline. ‘En dat is wel zo transparant. Precies zoals ze bij PKIpartners te werk gaan: persoonlijk en duidelijk. Want ze zeggen het ook als iets niet kan en daar houd ik wel van. Liever dat, dan een halve belofte die uiteindelijk misschien of helemaal niet nagekomen kan worden. Die betrokkenheid waardeer ik. Het is precies zoals ik er ook voor mijn eigen cliënten wil zijn.’

‘Van postzegel naar digitale handtekening’, Casper Moerbeek, directeur van Mighty Resourcing Services

Casper Moerbeek PKIpartners-Office-PKIpartners
Casper Moerbeek en Heleen Moorman (Mighty Resourcing Services) over de samenwerking met PKIpartners.

‘In Nederland is een digitaal ondertekend pdf nog wel gangbaar, maar in België is dat wel anders.’ Aan het woord is Casper Moerbeek, directeur van Mighty Resourcing Services, een bedrijf dat andere organisaties ondersteunt door consultancy.  Het bedrijf staat bekend als een professionele dienstverlener die gespecialiseerd is in detachering en deta/vast constructies. Men zorgt voor de juiste professional op de juiste plek. ‘Sinds 4 jaar mogen we de Vlaamse overheid tot één van onze klanten rekenen. En daar is het begrip digitale documentverwerking een stuk verder dan in ons land: elke Vlaming kan zelf digitaal tekenen. Men beschikt over een identiteitspas met een tokenhouder. De eisen van het ondertekenen van documenten door onze nieuwe opdrachtgever betekende dat we een certificaatwaardige oplossing moesten bedenken. En die hebben we gevonden in de samenwerking met PKIpartners.’

Kleine maar essentiële investering

‘Via het internet kwam ik vrij eenvoudig bij ze terecht’, vervolgt Casper. ‘Het eerste contact was uitermate prettig. Het kennisniveau binnen de organisatie ligt enorm hoog, ze weten precies waar ze het over hebben. Voor ons als bedrijf was het een kleine investering, maar wél een essentiële. Daarnaast hadden we haast, want we konden niet voor de overheid aan de slag als we het betreffende certificaat niet op orde hadden. PKIpartners heeft ons snel en goed geholpen, zowel praktisch als procesmatig.’

Fysieke identiteitscontrole

‘Zoals gezegd was de aankoop van ons product, de digitale sleutel, relatief klein, dus we hebben geen dagen onderzoek gedaan voor we met deze samenwerking startte’, lacht Casper. ‘Wel zijn we bij KPN op bezoek geweest, PKI heeft zelfs de afspraak voor ons geregeld. Het idee van een dergelijk bezoek is dat men een identiteitscontrole kan doen door een fysieke afspraak te combineren waarbij we onder meer ons paspoort moesten laten zien.’

‘Op gegeven moment krijg je de digitale sleutel in handen, maar die moet je dan ook nog ‘even’ werkend krijgen. En ook daar heeft PKIpartners ons met een bijzondere service geholpen: door in te loggen en met ons mee te kijken. Nét zolang tot het werkte.’

Casper Moerbeek, directeur van Mighty Resourcing Services

Goede service, geen factuur

‘Dat is alweer een aantal jaren geleden. En zo’n maand of zes terug had ik weer wat hulp nodig in verband met een grote aanbesteding waar we op in wilden schrijven. Ik stuurde een mailtje naar PKIpartners en een uur later had ik een afspraak via Teams en werd ik weer top geholpen. En de factuur? Die was niet nodig, zo zei men, want dit behoorde tot de standaard service die ze aan hun klanten geven. Als ik de dienstverlening van PKIpartners samen zou moeten vatten dan komen als vanzelf de woorden kennis, servicegerichtheid, kwaliteit én een goede prijs- en prestatieverhouding in me op.’

Tips voor anderen  

‘Aan anderen wil ik als tip meegeven dat ze niet moeten wachten tot ze het certificaat écht nodig hebben. Wij werken veel met Nederlandse leveranciers samen en die zijn stuk voor stuk te laat met aanvragen waardoor er onrust ontstaat. Mijn tip? Regel het vandaag nog, want voor je het weet heb je het morgen nodig en dan zit je ineens met een logistiek probleem. Als je in het buitenland zaken doet heb je deze digitale versleuteling sowieso nodig, maar je kunt er ook volledig op overgaan. Wij hebben dat gedaan. Waar we eerst nog een pdf-document digitaal ondertekenden, kiezen we nu altijd voor werken met een digitaal certificaat. Dat draagt bij aan de professionele uitstraling die wij belangrijk vinden.’

Verlenging en uitbreiding

‘Als ons contract in november afloopt, dan gaan we niet alleen verlengen, maar ook, uiteraard via PKIpartners, uitbreiden met aanvullende diensten. Nu kunnen we alleen nog digitaal ondertekenen, maar ik wil me ook op andere plekken kunnen identificeren, zodat voor iedereen duidelijk is dat ik tekeningsbevoegd ben voor de organisatie’, besluit Casper.  

Wat betekent het dat Logius gaat stoppen met publieke certificaten?

Logius

Attentie: dit bericht heeft geen effect op de gebruikers van PKIoverheid Private certificaten voor SBR/Digipoort en dergelijke.

Dit is een onderwerp dat eerst wat inleiding behoeft. En dan bij voorkeur in helder Nederlands: het internet bestaat uit drie delen: het publieke internet dat je aan kunt roepen vanuit je browser, zoals bijvoorbeeld Google, Safari, Brave of Chrome Edge dat zijn, of via een browser op je smartphone en dergelijke. Dit is het zichtbare internet. Dan is er het private internet, het onzichtbare internet, dat wordt bijvoorbeeld gebruikt voor Digipoort. In feite alleen voor berichtenuitwisseling van machine tot machine (M2M). Tot slot heb je het darkweb, wat eigenlijk alleen in het nieuws komt met schimmige zaken als wapen- en drugshandel en meer. 

Verwarrende communicatie over PKIoverheid OV-2020 certificaat

Iris As, projectcoördinator bij PKIpartners licht toe: ‘Er wordt nogal verwarrend, onregelmatig en via allerlei kanalen gecommuniceerd over dat Logius met het PKIoverheid OV-2020 certificaat dat gaat stoppen eind 2022. Maar dat is nadrukkelijk niet aan de orde voor onze klanten die met financiële pakketten berichten versturen. Het is dus nergens voor nodig om hier ongerust over te zijn, want dit stoppen gaat niet over de Digipoort- communicatie.’ OV-2020 certificaten werden alleen gebruikt voor websites en voor apps. Onze relaties die wel gebruik maken van PKIoverheid OV-2020 worden door ons geattendeerd op de nieuwe certificaten die we leveren als alternatief. 

Twijfel of overleg?

Twijfel je? Of wil je even overleggen met iemand die in gewoon Nederlands uitlegt welke stappen je het beste kunt zetten? Neem dan contact op met onze supportdesk

Wij geloven in persoonlijke begeleiding rondom het aanvraagproces van: PKIoverheid certificaten, rechtsgeldige elektronische handtekeningen en beroepscertificaten en staan voor je klaar: van een enkel certificaat tot en met het beheren van je volledige certificaatportefeuille. Bel met 085 90 20 820. 

Beste IT-auditor, kies voor gemak en onderteken met QES bij versturen van audits over DigiD-assessments

De termen AES en QES hebben te maken met het niveau van rechtszekerheid. Denk bijvoorbeeld aan een situatie waarin je samen iets overeenkomt, de een de ander vervolgens een mail stuurt ter bevestiging en er een akkoord volgt. Hierbij is het niveau van rechtszekerheid laag, je weet immers niet zeker wie op dat akkoord via e-mail reageert. Dat kan iedereen wel zijn. 

Hoger niveau van rechtszekerheid

Een hoger niveau van rechtszekerheid ontstaat bij het tekenen van een papieren contract dat je vervolgens met elkaar deelt. Wanneer je dit document door een ambtenaar, zoals bijvoorbeeld een notaris of een gerechtsdeurwaarder, laat bekrachtigen dan bereik je het allerhoogste niveau van rechtszekerheid. 

In de digitale wereld werkt het precies zo, ook daarin heb je verschillende niveaus van rechtszekerheid die gaan over digitaal vertrouwen. Het hoogste niveau is QES, dat staat voor Qualified Electronic Signature, het niveau daaronder is AES dat staat voor Advanced Electronic Signature, en het derde niveau is SES, voluit Simple Electronic Signature (de gebruikelijke term; Electronic Signature) 

Alle DigiD-koppelingen geaudit

Nu is het zo dat alle DigiD-koppelingen geaudit gaan worden door register IT-auditors die zijn verbonden aan NOREA: de beroepsorganisatie van IT-auditors. De overheid heeft via Logius richting deze auditors gecommuniceerd dat vanaf januari 2023 de rapporten die uit deze audits volgen digitaal ondertekend moeten worden. En dat mag op twee manieren gebeuren, via QES of AES. 

En die keuze geeft onduidelijkheid onder ruim 1600 IT-auditors die ons land rijk is. Want wanneer doe je het nu goed? Als je ondertekent via een Qualified Electronic Signature of is een lager niveau, de Advanced Electronic Signature ook voldoende?  

Verouderde visie

‘De keuze die de overheid hierin geeft maakt het verwarrend en komt voort uit een verouderde visie die gaat over het idee dat elektronische handtekeningen duur en onhandig zijn. Dat was ook zo: tot een jaar of 10 geleden, maar dit speelt al lang niet meer’, aldus Ton Oosterwijk, eigenaar van PKIpartners. ‘Ik heb jarenlang deelgenomen aan de klankbordgroep authenticatie rijksoverheid en er is, onder meer, een duidelijke handreiking geschreven over onder meer dit onderwerp.’ 

‘Je zou denken dat het lagere niveau, de AES, het eenvoudigst en het goedkoopst is. Maar dat is niet zo, want hierbij onderteken je een document met een verificatie die je via e-mail of sms ontvangt. Daar moet dan weer een rapport aan ten grondslag liggen en daarvoor kan je een abonnement met een bundel afsluiten bij onze partner Evidos. Dus kiezen voor AES is niet per definitie eenvoudig, goedkoop of handiger.’ 

Onze boodschap

Kies, vanwege meerdere redenen, voor QES!  

Dan weet je per definitie zeker dat de manier waarop je als IT-auditor ondertekent toereikend is. Verder betaal je één bedrag wat je voor een QES dat bovendien drie jaar geldig is zónder dat er een prijs per tik wordt berekend. Daarnaast is ook de gratis Acrobat Reader geschikt voor QES ondertekenen, zonder dat je aanvullende handelingen moet verrichten door naar online aanbieders te moeten gaan. 

Mocht je er nog vragen over hebben, neem dan gerust contact met ons op

Bron: ec.europa.eu