DigiD-assessmentrapportage-tpm-elektronische-handtekeningen

De termen AES en QES hebben te maken met het niveau van rechtszekerheid. Denk bijvoorbeeld aan een situatie waarin je samen iets overeenkomt, de een de ander vervolgens een mail stuurt ter bevestiging en er een akkoord volgt. Hierbij is het niveau van rechtszekerheid laag, je weet immers niet zeker wie op dat akkoord via e-mail reageert. Dat kan iedereen wel zijn. 

Hoger niveau van rechtszekerheid

Een hoger niveau van rechtszekerheid ontstaat bij het tekenen van een papieren contract dat je vervolgens met elkaar deelt. Wanneer je dit document door een ambtenaar, zoals bijvoorbeeld een notaris of een gerechtsdeurwaarder, laat bekrachtigen dan bereik je het allerhoogste niveau van rechtszekerheid. 

In de digitale wereld werkt het precies zo, ook daarin heb je verschillende niveaus van rechtszekerheid die gaan over digitaal vertrouwen. Het hoogste niveau is QES, dat staat voor Qualified Electronic Signature, het niveau daaronder is AES dat staat voor Advanced Electronic Signature, en het derde niveau is SES, voluit Simple Electronic Signature (de gebruikelijke term; Electronic Signature) 

Alle DigiD-koppelingen geaudit

Nu is het zo dat alle DigiD-koppelingen geaudit gaan worden door register IT-auditors die zijn verbonden aan NOREA: de beroepsorganisatie van IT-auditors. De overheid heeft via Logius richting deze auditors gecommuniceerd dat vanaf januari 2023 de rapporten die uit deze audits volgen digitaal ondertekend moeten worden. En dat mag op twee manieren gebeuren, via QES of AES. 

En die keuze geeft onduidelijkheid onder ruim 1600 IT-auditors die ons land rijk is. Want wanneer doe je het nu goed? Als je ondertekent via een Qualified Electronic Signature of is een lager niveau, de Advanced Electronic Signature ook voldoende?  

Verouderde visie

‘De keuze die de overheid hierin geeft maakt het verwarrend en komt voort uit een verouderde visie die gaat over het idee dat elektronische handtekeningen duur en onhandig zijn. Dat was ook zo: tot een jaar of 10 geleden, maar dit speelt al lang niet meer’, aldus Ton Oosterwijk, eigenaar van PKIpartners. ‘Ik heb jarenlang deelgenomen aan de klankbordgroep authenticatie rijksoverheid en er is, onder meer, een duidelijke handreiking geschreven over onder meer dit onderwerp.’ 

‘Je zou denken dat het lagere niveau, de AES, het eenvoudigst en het goedkoopst is. Maar dat is niet zo, want hierbij onderteken je een document met een verificatie die je via e-mail of sms ontvangt. Daar moet dan weer een rapport aan ten grondslag liggen en daarvoor kan je een abonnement met een bundel afsluiten bij onze partner Evidos. Dus kiezen voor AES is niet per definitie eenvoudig, goedkoop of handiger.’ 

Onze boodschap

Kies, vanwege meerdere redenen, voor QES!  

Dan weet je per definitie zeker dat de manier waarop je als IT-auditor ondertekent toereikend is. Verder betaal je één bedrag wat je voor een QES dat bovendien drie jaar geldig is zónder dat er een prijs per tik wordt berekend. Daarnaast is ook de gratis Acrobat Reader geschikt voor QES ondertekenen, zonder dat je aanvullende handelingen moet verrichten door naar online aanbieders te moeten gaan. 

Mocht je er nog vragen over hebben, neem dan gerust contact met ons op

Bron: ec.europa.eu