Transcript eHerkenning: inloggen bij de overheid

Het stelsel van eHerkenning
Inloggen bij de overheid
NVvIR
23 juni 2011
Marten Voulon
[email protected]
Agenda
•
•
•
•
Wat is eHerkenning?
Juridisch kader elektronische handtekening
Betrouwbaarheidsniveaus
Toepassingen voor eJustice
– Elektronisch procederen
– Elektronisch proces-verbaal
– Elektronische dagvaarding
– ‘één-loket’ Dienstenrichtlijn
Een generieke authenticatievoorziening
Gebruiker
Dienstverlener
Authenticatie-service
Authenticatiemiddelen
• Iets wat je weet
• Iets wat je hebt
• Iets wat je bent
•
•
•
Single-factor authentication
Two-factor authentication
Multi-factor authentication
eHerkenning
• Initiatief van ministerie van EL&I
• Netwerk
– Geen digitale sleutelbos
– Niet nog een authenticatiemiddel (!)
– Bedrijfseigen authenticatiemiddelen
• Extra functionaliteit: machtigingenregister
• Marktbenadering
– Geen centrale IT-voorziening maar afsprakenstelsel
– Marktpartijen bieden op commerciële basis herkenningsdiensten aan
– Competitief/coöperatief
eHerkenning
Dienstverlener
Gebruiker
Middelenuitgever
Authenticatiedienst
Machtigingenregister
Makelaar
(broker)
Authenticatie
Intermediair
Bestuurder
eHerkenning
• Contractuele relaties
Beheerorganisatie
Deelnemersovereenkomst
O.a. overeenkomst inz. authenticatie +
gebruiksvoorwaarden
Gebruiker
Deelnemer
Overeenkomst inz. broker +
gebruiksvoorwaarden
Dienstverlener
Juridisch kader e-handtekening
• Elektronische handtekening?
Art. 1 lid 2 sub a Handelsregisterbesluit
Geachte heer Van der
Velde, besteis Gerard,
• Handtekening
mede elektronische handtekening
•
Elektronische handtekening in handelsregister
Graag maak ik gebruik
van je aanbod. De werkzaamheden
(Van Esch, Computerrecht 2009/1: ondoordachte koppeling)
kunnen wat mij betreft meteen beginnen.
“Kardinale
zwaktes”? groet,
Vriendelijke
Niels
• Gebrek
aan persoonsgebondenheid
-----Start signature block----• Nabootsbaarheid
(Wiersma, 3081
JBPr 2006/4)
8902
8181 00C2 6868 0EFF 1B1E 6C2F 377 2BB0 4689
-----End signature block-----
Juridisch kader e-handtekening
• Hoofdregel
– Elektronische handtekening heeft dezelfde rechtsgevolgen als de
handgeschreven handtekening
– Indien de gebruikte methode voor authentificatie voldoende
betrouwbaar is
• Wettelijk vermoeden van voldoende betrouwbaarheid
– Indien:
• Geavanceerde handtekening
• Gekwalificeerd certificaat
• Veilig middel
(art. 3:15a BW)
(AES)
(QC)
(SSCD)
Juridisch kader e-handtekening
• Welke rechtsgevolgen?
– Minister:
• Sluiten van
– Huurovereenkomst
– Koopovereenkomst
• Tekenen van wilsverklaring
(Kamerstukken I, 2002/03, 27 743, nr. 35, p. 10)
• Hoofdregel: vormvrij!
– Uitzonderingen:
•
•
•
•
Koop van woning door consument
Koop op afstand
Akte
...
Juridisch kader e-handtekening
• Wanneer ‘voldoende betrouwbaar’?
– Minister:
• Let op economische waarde van de rechtshandeling
• Bij kopen boek of CD: gewone elektronische
handtekening volstaat
• Bij kopen huis of auto is een handtekening met een
hoog niveau vereist
(Kamerstukken II 2001/02, 27 743, nr. 6, p. 2)
Juridisch kader e-handtekening
• Elektronisch verkeer
– ‘voldoende betrouwbaar en vertrouwelijk’
• Gelet op aard, inhoud + doel elektronisch bericht
(art. 2:14, 2:15 Awb)
– Elektronische handtekening voldoet aan het
vereiste van ondertekening indien voldoende
betrouwbaar
• Art. 3:15a BW deels overeenkomstig van toepassing
(art. 2:16 Awb)
Juridisch kader e-handtekening
• ‘Voldoende betrouwbaar en vertrouwelijk’
– Vergelijkbare waarborgen als het papieren verkeer
– Beginselen van behoorlijk IT-gebruik
Wat is de verhouding tussen de open norm van
• Authenticiteit
betrouwbaarheid en vertrouwelijkheid en 2:16
• Integriteit
• Onweerlegbaarheid Awb?
• Nadere uitwerking van authenticiteit
• Transparantie
• Invulling van de open norm
• Beschikbaarheid
• Flexibiliteit
• Vertrouwelijkheid
(Kamerstukken II, 2001/02, 28 483, nr. 3, p. 1416, 20-22)
Betrouwbaarheidsniveaus
Gebruiker
Dienstverlener 1.
Registratiefase
–
–
2.
Identificatieprocedure (fysieke
verschijning?)
Proces van uitgifte
Authenticatiefase
–
–
Type en robuustheid middel
Security van
authenticatiemechanisme
Relevant voor:
• EU-richtlijn 1999/93
• ETSI TS 101 456
• ETSI TS 102 042
• STORK
• 2:15, 2:16 AWB
• Besluit elektronisch verkeer met de
bestuursrechter
Authenticatie-service
• Regeling aanwijzing
betrouwbaarheidsniveau
• Beleidsregel DigiD & inzage in GBA
Betrouwbaarheidsniveaus
Wet
–
–
–
–
AES + QC + SSCD
AES + QC
ETSI TS 101 456
AES
– QCP public + SSCD
‘normale’ ES
STORK Quality of Authentication
– QCP public
Assurance model (STORK QAA
ETSI levels)
TS 102 042
– Gericht op elektronische
Nohandtekening
or minimal assurance
1.
2. Low assurance
3. Substantial assurance
4. High assurance
–
–
–
–
–
NCP+
NCP
LCP
EVCP+
EVCP
– Niet alleen gericht op
elektronische handtekening
– Ook authenticatie en
encryptie
STORK
• Secure identity across borders linked
– EU programma
– Doelstelling: implementatie EU-brede interoperabele
authenticatie
• 4 niveaus
• Afhankelijk van:
– Registration phase
» Identification procedure
» Identity issuing process
» Quality of the issuing entity
– Electronic authentication phase
» Type and robustness of the identity credential
» Security of authentication mechanism
(Deliverable D2.3 - Quality authenticator scheme)
Elektronisch procederen
• Elektronisch verkeer met bestuursrechter
– Art. 8:40a Awb:
• Afd. 2.3 Awb overeenkomstig van toepassing
• Bij of krachtens AMvB:
– Nadere regels elektronisch verkeer
– Nadere regels videoconferentie
– Besluit elektronisch verkeer:
• Art. 1: “een vanwege de gerechten aangegeven wijze”
– Webformulier
– Integratie met kantoorsoftware?
• Art. 2: t.a.v. 2:16 en 6:5 Awb: door de minister aangewezen
betrouwbaarheidsniveau
– Regeling aanwijzing betrouwbaarheidsniveau authentificatie
» STORK 2: DigiD & eHerkenning
Elektronisch procederen
• Burgerlijke rechtsvordering
– Art. 33 Rv
• Ingevoerd met Wapieb
• Verzoeken, mededelingen & processtukken kunnen
elektronisch
– als procesreglement dat toestaat
• Gerecht kan verzoek of mededeling elektronisch
verzenden indien geadresseerde aangeeft langs deze weg
bereikbaar te zijn
• Besluit elektronisch rolberichten verkeer (Stb. 2008, 275)
– Regels betrouwbaarheid en vertrouwelijkheid
» Gerecht: identificatie, authenticiteit, integriteit
» DigiD in beroepsmatige hoedanigheid?
Elektronisch proces-verbaal
• Art. 153 lid 2 Sv
– Persoonlijk, gedagtekend, ondertekend
– Mag ook elektronisch
• Besluit elektronisch proces-verbaal
– e-pv =
» langs elektronische weg opgemaakt;
» of omgezet in digitaal afschrift
» voorzien van elektronische dagtekening
» QC & SSCD
Elektronische indiening dagvaarding
• Indiening van (afschrift van exploot van)
civiele dagvaarding
– Wetsvoorstel (Kamerstukken II, 2010/11, 32 695)
• Bij of krachtens AMvB:
– regels inz. betrouwbaarheid en vertrouwelijkheid
Elektronisch strafrechtelijk dagvaarden
• Hof ‘s-Hertogenbosch, 20 juni 2011, BQ8567
– ‘Wetgever heeft niet voorzien in e-dagvaarding’
‘één-loket’
• Dienstenrichtlijn
– Verplichting tot instellen ‘één-loket’
– NL: antwoord voor bedrijven + berichtenbox
• Dienstenregeling centraal loket en interne markt
informatiesysteem
– Cross-border herkenning
• EU beschikking 2009/767/EG
– Verplichting tot gebruik en aanvaarding:
» AES, QC, al dan niet SSCD
– Trusted list (vertrouwenslijst)
» Regeling vertrouwenslijst
Conclusies
• Wetgeving sluit aan bij handgeschreven
handtekening
– Aansluiten bij beveiligingsverplichtingen?
• Eeuwige zoektocht naar het juiste
betrouwbaarheidsniveau
• Behoefte aan interoperabiliteit
Vragen?
? ? ?