Besluit elektronische handtekeningen

Geraadpleegd op 22-11-2024. Gebruikte datum 'geldig op' 24-11-2006 en zichtdatum 21-11-2024.
Geldend van 21-05-2003 t/m 12-12-2006

Besluit van 8 mei 2003, houdende de vaststelling van eisen voor het verlenen van diensten voor elektronische handtekeningen (Besluit elektronische handtekeningen)

Wij Beatrix, bij de gratie Gods, Koningin der Nederlanden, Prinses van Oranje-Nassau, enz. enz. enz.

Op de voordracht van de Staatssecretaris van Economische Zaken van 13 november 2002, nr. DGTP/02/03931, Directie Wetgeving en Juridische Zaken;

Gelet op richtlijn nr. 1999/93/EG van het Europees Parlement en de Raad van de Europese Unie van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (PbEG 2000, L 13), alsmede op de artikelen 16.1, 18.15, eerste en tweede lid, en 18.17, eerste en vijfde lid, van de Telecommunicatiewet;

De Raad van State gehoord (advies van 12 december 2002, nr. W 10.02.0509/II);

Gezien het nader rapport van de Staatssecretaris van Economische Zaken van 7 mei 2003, nr. WJZ/03/00755;

Hebben goedgevonden en verstaan:

Artikel 1

In dit besluit en de daarop berustende bepalingen wordt verstaan onder:

a. wet:

Telecommunicatiewet;

b. certificatiediensten:

het afgeven, beheren en intrekken van gekwalificeerde certificaten door certificatiedienstverleners, alsmede andere diensten die samenhangen met het gebruik van elektronische handtekeningen;

c. sleutelbeheerdiensten:

het genereren, opslaan, verstrekken of vernietigen van cryptografisch sleutelmateriaal dat gebruikt wordt voor het aanmaken of het verifiëren van elektronische handtekeningen.

Artikel 2

  • 1 Een certificatiedienstverlener als bedoeld in artikel 18.15, eerste lid, van de wet voldoet aan de volgende eisen:

    • a. hij beschikt over betrouwbare middelen en hanteert betrouwbare procedures voor het aanbieden van certificatiediensten aan het publiek;

    • b. hij past procedures en processen op het gebied van administratie en beheer toe overeenkomstig een beschreven kwaliteitssysteem dat in overeenstemming is met de laatste ontwikkelingen op het gebied van kwaliteitssystemen;

    • c. hij maakt uitsluitend gebruik van betrouwbare systemen en producten die procedureel of overeenkomstig de stand der techniek beveiligd zijn en die de technische en cryptografische veiligheid van de processen die zij ondersteunen garanderen;

    • d. hij neemt adequate maatregelen tegen het vervalsen van de gekwalificeerde certificaten die hij heeft uitgegeven en tegen het uitgeven van illegale gekwalificeerde certificaten en, indien hij gegevens voor het aanmaken van handtekeningen genereert, garandeert hij de vertrouwelijkheid van het proces waarmee dit gebeurt;

    • e. hij houdt voldoende financiële middelen ter beschikking om in overeenstemming met de eisen van de wet te kunnen functioneren;

    • f. hij heeft personeel in dienst dat deskundig is op het gebied van de aangeboden diensten, met name op het gebied van beheer, van de technologie voor elektronische handtekeningen, en van de beveiligingsprocedures die worden toegepast;

    • g. hij verifieert, alvorens een gekwalificeerd certificaat af te geven, de identiteit en eventuele specifieke attributen van de persoon die als ondertekenaar in dat certificaat wordt aangeduid door de geldigheid van de aangeboden documenten te controleren alsmede door de overeenstemming tussen de documenten en de kenmerken van de persoon te controleren door middel van visuele controle en zonodig met behulp van andere daartoe geschikte middelen;

    • h. hij stelt de datum en het tijdstip van afgifte en van intrekking van een gekwalificeerd certificaat vast met een nauwkeurigheid van één minuut of korter;

    • i. hij slaat tijdens de geldigheidsduur van het gekwalificeerde certificaat en gedurende een periode van ten minste zeven jaar na de datum waarop de geldigheid van het gekwalificeerde certificaat is verlopen alle relevante gegevens met betrekking tot dat gekwalificeerde certificaat op, met name de gegevens die benodigd zijn om in gerechtelijke procedures de certificatie te kunnen bewijzen, waaronder ten minste:

      • 1°. het gekwalificeerde certificaat;

      • 2°. alle gegevens waarmee de verificatie van de identiteit en van de attributen van de aanvrager bewezen kan worden, en

      • 3°. alle historische gegevens over de afgifte en intrekking van het gekwalificeerde certificaat;

    • j. hij slaat ten behoeve van eigen gebruik en beheer certificaten zodanig op, in verifieerbare vorm en met gebruikmaking van betrouwbare systemen, dat:

      • 1°. alleen bevoegde personen gegevens kunnen invoeren en wijzigen;

      • 2°. de authenticiteit van de informatie kan worden gecontroleerd;

      • 3°. de certificaten uitsluitend publiekelijk beschikbaar zijn in de gevallen waarvoor de ondertekenaar toestemming heeft gegeven, en

      • 4°. elke technische wijziging die de genoemde beveiligingsvoorschriften in gevaar kan brengen, voor de gebruiker duidelijk is;

    • k. hij zorgt, met inachtneming van de door hem bekendgemaakte tijdsduur tussen verzoek tot intrekking en publicatie van die intrekking, voor een veilige en prompte intrekking van de door hem beheerde gekwalificeerde certificaten na ontvangst van een daartoe strekkend verzoek van de ondertekenaar of van een door hem aangewezen persoon of instantie, welk verzoek voldoet aan de door de certificatiedienstverlener bekendgemaakte procedure voor de intrekking van een gekwalificeerd certificaat;

    • l. hij publiceert, gedurende de geldigheid van het afgegeven gekwalificeerde certificaat, en tot ten minste zes maanden na het tijdstip waarop de geldigheid van het gekwalificeerde certificaat is verlopen of, indien dat tijdstip eerder valt, na het tijdstip waarop de geldigheid is beëindigd door intrekking, langs elektronische weg en zodanig dat die publicatie door alle gebruikers van de desbetreffende certificatiedienst alsmede door alle partijen die vertrouwen op de uitgegeven gekwalificeerde certificaten geraadpleegd kan worden:

      • 1°. actuele en betrouwbare informatie over de status van de afgegeven gekwalificeerde certificaten, en

      • 2°. afgegeven gekwalificeerde certificaten voor zover de ondertekenaar daarvoor toestemming heeft gegeven;

    • m. hij slaat de gegevens voor het aanmaken van elektronische handtekeningen van de personen aan wie hij sleutelbeheerdiensten heeft verleend niet op, en hij kopieert deze gegevens evenmin;

    • n. hij beschikt over beschreven klachtenafhandeling- en geschillenbeslechtingprocedures, en hanteert deze;

    • o. hij treft maatregelen om bij beëindiging van de dienstverlening de gegevens voor het aanmaken van de elektronische handtekening, waarmee de desbetreffende certificatiedienstverlener de uitgegeven gekwalificeerde certificaten tekent, te vernietigen op het vroegst mogelijke moment dat de publicatieverplichting, bedoeld in onderdeel l, dit mogelijk maakt;

    • p. hij treft zodanige voorzieningen dat bij beëindiging van de dienstverlening:

      • 1°. de door hem afgegeven gekwalificeerde certificaten door een andere geregistreerde certificatiedienstverlener worden overgenomen en dat te dien aanzien voldaan wordt aan dit artikel, tenzij dit redelijkerwijze niet mogelijk is, alsmede de ondertekenaars daarvan in kennis worden gesteld;

      • 2°. indien overneming als bedoeld in onderdeel 1° redelijkerwijze niet mogelijk is, de gekwalificeerde certificaten uiterlijk op het tijdstip waarop de dienstverlening wordt beëindigd worden ingetrokken, de ondertekenaars daarvan in kennis worden gesteld en voor het overige ten aanzien van de ingetrokken gekwalificeerde certificaten door een geregistreerde certificatiedienstverlener voldaan wordt aan de onderdelen i, j en q;

    • q. hij treft, ongeacht de reden en omstandigheden van beëindiging van de dienstverlening en voor zover de gekwalificeerde certificaten niet worden overgenomen door een andere certificatiedienstverlener, in ieder geval voorzieningen voor de voortzetting van de publicatie overeenkomstig onderdeel l, zulks op de tot dan gebruikelijke wijze en tot ten minste zes maanden na het tijdstip waarop de dienstverlening is beëindigd;

    • r. hij stelt schriftelijk, met behulp van een duurzaam communicatiemiddel en uit eigen beweging de persoon die een gekwalificeerd certificaat ter ondersteuning van zijn elektronische handtekening wenst en met wie hij een overeenkomst wil aangaan, en desgevraagd de derden, die op het gekwalificeerde certificaat vertrouwen, ten minste op de hoogte van:

      • 1°. de exacte voorwaarden voor het gebruik van het gekwalificeerde certificaat met inbegrip van eventuele beperkingen inzake dit gebruik, alsmede van de wijzigingen van de voorwaarden;

      • 2°. het bestaan van een vrijwillige accreditatie;

      • 3°. de procedure voor intrekking van het gekwalificeerde certificaat zowel op verzoek van de gebruiker als door hem zelf, en

      • 4°. de procedures voor klachtenbehandeling en geschillenbeslechting, en

    • s. hij toont door middel van een verklaring van een daartoe bevoegde instantie aan dat hij, ieder van de bestuurders van de onderneming, en de medewerkers die binnen zijn onderneming in het kader van het verlenen van certificatiediensten verantwoordelijk zijn voor de verwerking van vertrouwelijke of gevoelige gegevens, niet binnen de laatste vier jaar wegens een misdrijf onherroepelijk zijn veroordeeld tot een onvoorwaardelijke vrijheidsstraf van meer dan zes maanden door een rechter in Nederland, de Nederlandse Antillen of Aruba.

  • 2 Met een veroordeling als bedoeld in het eerste lid, onderdeel s, wordt gelijkgesteld een onherroepelijke veroordeling tot een onvoorwaardelijke vrijheidsstraf van meer dan zes maanden door een andere rechter wegens een misdrijf waarvoor naar Nederlands recht een bevel tot voorlopige hechtenis ingevolge artikel 67, eerste lid, van het Wetboek van Strafvordering is toegelaten;

  • 3 Met een veroordeling tot een onvoorwaardelijke vrijheidsstraf als bedoeld in het tweede lid wordt gelijkgesteld een bevel tot tenuitvoerlegging van een zodanige onvoorwaardelijke vrijheidsstraf.

Artikel 3

Certificaten als bedoeld in artikel 18.15, tweede lid, van de wet bevatten ten minste:

  • a. de vermelding dat het certificaat als gekwalificeerd certificaat wordt afgegeven;

  • b. de identificatie en het land van vestiging van de afgevende certificatiedienstverlener;

  • c. de naam van de ondertekenaar of een als zodanig geïdentificeerd pseudoniem;

  • d. ruimte voor een specifiek attribuut van de ondertekenaar, dat indien nodig, afhankelijk van het doel van het gekwalificeerde certificaat, wordt vermeld;

  • e. gegevens voor het verifiëren van de handtekening die overeenstemmen met de gegevens voor het aanmaken van de handtekening die onder controle van de ondertekenaar staan;

  • f. vermelding van het tijdstippen van het begin en van het einde van de geldigheidsduur van het gekwalificeerde certificaat;

  • g. de identiteitscode van het gekwalificeerde certificaat;

  • h. de elektronische handtekening van de afgevende certificatiedienstverlener die voldoet aan de criteria van artikel 15a, tweede lid, onderdeel a tot en met d, van Boek 3 van het Burgerlijk Wetboek;

  • i. eventuele beperkingen betreffende het gebruik van het gekwalificeerde certificaat, en

  • j. eventuele grenzen met betrekking tot de waarde van de transacties waarvoor het gekwalificeerde certificaat kan worden gebruikt.

Artikel 4

  • 1 De instelling die in aanmerking wenst te komen voor een aanwijzing als bedoeld in artikel 18.17, tweede lid, van de wet, dient daartoe een aanvraag in en voldoet aan de volgende eisen:

    • a. zij houdt zich niet bezig met activiteiten die een bedreiging kunnen vormen voor de onafhankelijkheid van haar oordeel en de integriteit bij de uitoefening van haar taak;

    • b.

      • 1°. zij is onafhankelijk van organisaties die betrokken zijn bij het ontwerpen, de fabricage, de verkoop en de levering, de installatie, het onderhoud of het beheer van veilige middelen, alsmede van certificatiedienstverleners en de gebruikers voor zover zij zich bedienen van veilige middelen voor het aanmaken van elektronische handtekeningen;

      • 2°. zij is financieel onafhankelijk van de betrokken partijen;

      • 3°. de directeur en het personeel dat met de beoordeling van de overeenstemming is belast, zijn geen ontwerper, fabrikant, leverancier of installateur van veilige middelen, noch certificatiedienstverlener, noch gemachtigden van een van die partijen;

      • 4°. zij wordt niet rechtstreeks betrokken bij het ontwerp, de fabricage, de verkoop of het onderhoud van veilige middelen, noch treedt zij op als gemachtigde van de hierbij betrokken partijen.

    • c. zij heeft personeel in dienst dat:

      • 1°. voldoende bekwaamheid bezit om met een hoge mate van beroepsintegriteit de overeenstemming vast te stellen van de veilige middelen voor het aanmaken van elektronische handtekeningen met de eisen voor deze veilige middelen, bedoeld in artikel 5 van dit besluit, en

      • 2°. betrouwbare procedures hanteert;

    • d. zij beoordeelt de overeenstemming op transparante wijze, stelt alle relevante informatie op schrift, zorgt ervoor dat alle geïnteresseerde partijen gebruik kunnen maken van haar diensten en past haar procedures zonder enige vorm van discriminatie toe;

    • e. zij beschikt over voldoende personeel en de nodige voorzieningen om de technische en administratieve werkzaamheden die uit haar taken voortvloeien, naar behoren en snel te kunnen verrichten;

    • f. het personeel dat belast is met de beoordeling van de overeenstemming van de veilige middelen met de eisen,

      • 1°. heeft een adequate opleiding genoten, met name op het gebied van technologieën voor elektronische handtekeningen en de daaraan verbonden aspecten van de veiligheid van het gebruik van computers;

      • 2°. bezit een behoorlijke kennis van voorschriften inzake de te verrichten overeenstemmingsbeoordelingen en heeft voldoende ervaring met dergelijke beoordelingen;

    • g. zij waarborgt de onpartijdigheid van het personeel, onder meer door de bezoldiging niet afhankelijk te stellen van het aantal uitgevoerde overeenstemmingbeoordelingen of van de resultaten van deze beoordelingen;

    • h. zij houdt voldoende financiële middelen ter beschikking om in overeenstemming met de eisen van de wet te kunnen functioneren;

    • i. zij behandelt de gegevens die haar ter kennis komen vertrouwelijk, en

    • j. zij staat in voor de overeengekomen activiteiten van de instellingen door welke zij een deel van de overeenstemmingbeoordeling laat uitvoeren en kan aantonen dat deze instelling in staat is de betrokken dienst te verlenen.

  • 2 De instelling die deel uitmaakt van een organisatie die zich bezighoudt met andere activiteiten dan de beoordeling van de overeenstemming van veilige middelen voor het aanmaken van elektronische handtekeningen met de eisen van artikel 5, is binnen die organisatie herkenbaar als aangewezen instelling als bedoeld in artikel 18.17 van de wet, en scheidt haar werkzaamheden zodanig van de andere activiteiten, dat daardoor de correcte beoordeling van overeenstemming van veilige middelen is gewaarborgd.

Artikel 5

Een veilig middel voor het aanmaken van elektronische handtekeningen voldoet aan de volgende eisen:

  • a. het waarborgt dat de gegevens voor het aanmaken van elektronische handtekeningen in de praktijk slechts eenmaal kunnen voorkomen en de vertrouwelijkheid daarvan redelijkerwijs gegarandeerd is;

  • b. het waarborgt met redelijke zekerheid dat de gegevens voor het aanmaken van elektronische handtekeningen niet kunnen worden afgeleid en dat de elektronische handtekening beschermd is tegen vervalsing met de op het tijdstip van het afgeven van de verklaring beschikbare technieken;

  • c. het waarborgt dat de gegevens voor het aanmaken van elektronische handtekeningen door de legitieme ondertekenaar op betrouwbare wijze kunnen worden beschermd tegen gebruik door anderen;

  • d. het laat de te ondertekenen gegevens ongewijzigd en belet niet dat die gegevens vóór de ondertekening aan de ondertekenaar worden voorgelegd.

Artikel 6

Bij ministeriële regeling kunnen nadere regels worden gesteld met betrekking tot de eisen genoemd in dit besluit.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.

's-Gravenhage, 8 mei 2003

Beatrix

De Staatssecretaris van Economische Zaken,

J. G. Wijn

Uitgegeven de twintigste mei 2003

De Minister van Justitie,

J. P. H. Donner