Wat is een QES en waarom heb ik het nodig?

Elektronische handtekeningen worden vandaag de dag algemeen geaccepteerd als een gelijkwaardig alternatief voor een met-de-hand-gezette “natte” handtekening. In de meeste gevallen is een standaard elektronische handtekening voldoende om een overeenkomst te ondertekenen. Maar bij transacties in sterk gereglementeerde sectoren, in het buitenland of bij overheidsinstanties kan de voorkeur worden gegeven aan een digitale handtekening (of zelfs een vereiste zijn). Dit type handtekening biedt in vergelijking met een elektronische handtekening namelijk een hoger niveau van identiteitszekerheid. 

Digitale handtekeningen zijn gebaseerd op een technologische standaard die Public Key Infrastructure (PKI) wordt genoemd. PKI genereert een uniek, fraudebestendig “digitaal certificaat” dat een ondertekenaar aan een document koppelt en garandeert dat het elektronische document authentiek is. 

Een digitaal certificaat geeft aan dat ondertekenaars extra stappen hebben ondernomen om hun identiteit vóór ondertekening te bevestigen. Het digitale certificaat van een ondertekenaar wordt vervolgens gebruikt om de handtekening te maken en aan het ondertekende document toe te voegen.

Wereldwijd zijn er internationale normen opgesteld die betrekking hebben op digitale handtekeningen en de methoden die worden gebruikt om de identiteit van ondertekenaars te verifiëren. In Europa zijn deze normen vastgelegd in de eIDAS verordening- de European Union’s Electronic Identification, Authentication and Trust Services regulation.

Meer informatie over de huidige e-signature wetgeving, lokale wet- en regelgeving en de voorkeuren voor typen elektronische handtekening in verschillende landen, vind je in onze DocuSign eSignature Legality Gids.

Waarom heb ik een QES nodig?

Zoals we in een eerdere blog besproken hebben, helpen digitale handtekeningen je aan de bovenstaande wet- en regelgeving en voorschriften te voldoen. Er bestaan echter verschillende soorten digitale handtekening en de verschillen tussen standaard eSignatures (SES), geavanceerde eSignatures (AES) en gekwalificeerde eSignatures (QES) worden door verschillende factoren bepaald.

Wat maakt een QES zo anders dan andere digitale handtekeningen?

Een gekwalificeerde elektronische handtekening, ook wel bekend als een QES, is de meest uitgebreide digitale handtekening die er is. Deze handtekening staat gelijk aan, wat wij noemen, een “natte” handtekening. Het omvat een gekwalificeerd digitaal certificaat dat aangeeft dat de verificatie van de identiteit van de ondertekenaar face-to-face is voltooid. Dit in tegenstelling tot een AES, waarbij met een digitaal certificaat óók de handtekening aan een geverifieerd ID-bewijs wordt gekoppeld, maar waarbij dit identificatieproces slechts dat met een basismethode is voltooid. Kortom, de identiteitsverificatie is bij een AES dus niet zo grondig als bij een QES. De SES is het soort handtekening dat je met de DocuSign Trail kunt gebruiken en is een standaard eSignature zonder ID-verificatie.

DocuSign is in Europa een Qualified Trust Service Provider, wat betekent dat DocuSign gemachtigd is om geavanceerde en gekwalificeerde handtekeningen uit te geven in de Europese Unie. Buiten Europa accepteert het DocuSign-platform certificaten van TSP’s en CA’s van over de hele wereld door API-integraties met onze Trust Service Provider-partners, andere integraties van derden en rechtstreeks van ondertekenaars. 

Bepaalde landen en bepaalde sectoren vereisen echter ook een extra certificaat-niveau. Zo vraagt bijvoorbeeld de publieke sector in Nederland om een G3-certificaat wanneer het gaat om de ondertekening van een document. Dankzij Quovadis kan dit certificaat nu ook met een integratie binnen het DocuSign-platform worden verstrekt.

Wat voor certificaten zijn er?

In Nederland en België bestaan er verschillende certificaten die nodig zijn om een digitaal document juridisch bindend te maken. Dit geldt voor specifieke organen, organisaties, of zelfs afdelingen. Als je niet zeker weet welk certificaat jouw organisatie nodig heeft, neem dan contact op met je IT- of juridische afdeling.

Dit geldt voor specifieke organen en organisaties of zelfs afdelingen. Meer informatie over de verschillende soorten elektronische certificaten en handtekeningen vindt je in dit blogartikel van Digicert Quovadis.

Een paar certificaten die relevant zijn in België en Nederland:

Typen certificaten

Certificaten afgegeven door QuoVadis Trustlink B.V.B.A. (België) Certificaatautoriteit geaccrediteerd door eIDAS (gebruikt in de hele EU)

• Advanced+ (AATL) Personal Certificates voor een individu
• Advanced+ (AATL) Personal Certificates voor een individu met bijbehorende bedrijfs/organisatie-informatie
• Qualified Personal Certificates voor een individu
• Qualified Personal Certificates voor een individu met informatie over een verwant bedrijf/organisatie

Certificaten uitgegeven door QuoVadis Trustlink, B.V. (Nederland) Certificaatautoriteit geaccrediteerd door eIDAS (gebruikt in de hele EU)

• Advanced+ (AATL) Personal Certificates voor een individu
• Advanced+ (AATL) Personal Certificates voor een individu met bijbehorende bedrijfs/organisatie-informatie
• Qualified Personal Certificates voor een individu
• Qualified Personal Certificates voor een individu met informatie over een verwant bedrijf/organisatie

Certificaten afgegeven door de Nederlandse overheid PKIoverheid (alleen in Nederland gebruikt)

• Citizen Certificates voor een individu
• Qualified Personal Organization Certificates voor een individu met een verbonden bedrijf/organisatie
• Professional Certificates voor door de overheid erkende beroepen zoals accountants, advocaten, deurwaarders, enz.

Kies ik voor een QES, AES of standaard elektronische handtekening?

De keuze is aan de organisatie. Wij hebben klanten die hebben gekozen voor een standaard elektronische handtekening, omdat daarmee ondertekenen gemakkelijk is en geen ID-verificatie nodig is. Anderen vinden het essentieel om op zijn minst een ID te zien en te verifiëren. Organisaties in de publieke sector kunnen om juridische redenen of vanwege overheidswetgeving een QES nodig hebben.

Informeer bij je IT-afdeling welke certificaten voor jouw organisatie vereist zijn bij de keuze van een softwareleverancier en het opstellen van een offerte.

Voor meer informatie en een vergelijking tussen de verschillende aanbiedingen van eSignatures, lees de blog 'Soorten Digitale Handtekeningen: het verschil tussen AES, QES, SES' of neem contact met ons op om de wensen van jouw organisatie te bespreken.