Zijn elektronische handtekeningen veilig?

Zijn elektronische handtekeningen wel veilig? Die vraag kunnen we met een stellig 'ja' beantwoorden. In deze blogpost lichten we toe waarom een e-handtekening zelfs veiliger is dan een met pen gezette handtekening, hoe e-handtekeningen nou eigenlijk werken en hoe de veiligheid wordt gegarandeerd.

Waarom een e-handtekening veiliger is dan een met pen gezette handtekening

Veel mensen vragen zich af of een digitale handtekening kan worden vervalst, misbruikt of gekopieerd. Feit is dat een met pen gezette handtekening eenvoudig kan worden vervalst of misbruikt. Voor elektronische handtekeningen daarentegen worden verschillende beveiligings- en verificatielagen toegepast. Elektronische handtekeningen vormen bovendien een rechtsgeldig bewijs van transacties.

Elektronische gegevensrecord

In tegenstelling tot met pen gezette handtekeningen zijn e-handtekeningen gekoppeld aan een elektronische gegevensrecord. Deze dient als audittrail en bewijs van de transactie. De audittrail maakt de historie van de documentacties inzichtelijk, bijvoorbeeld wanneer het document werd geopend, bekeken of ondertekend. Afhankelijk van de aanbieder toont de record – als de ondertekenaar daar toestemming toe geeft – ook de locatie waar het document werd ondertekend. Als een van de ondertekenaars zijn handtekening betwist, of als er onduidelijkheid is over de transactie, kan deze audittrail door alle partijen bij de transactie worden geraadpleegd om eventuele vraagtekens weg te nemen.

Certificaten van voltooiing

Meer gedetailleerde certificaten van voltooiing kunnen specifieke informatie bevatten over de ondertekenaars van het document, waaronder de toestemming van de ondertekenaar om de e-handtekening te gebruiken, de afbeelding van de handtekening, tijdstempels voor belangrijke gebeurtenissen, het IP-adres en andere informatie over de identiteit van de ondertekenaar.

Verzegeling

Zodra het ondertekenproces is voltooid, worden alle documenten digitaal verzegeld met behulp van Public Key Infrastructure (PKI), een technologie die als industriestandaard geldt. Deze verzegeling geeft aan dat de elektronische handtekening geldig is en dat het document na ondertekeningsdatum niet meer is bewerkt of anderszins aangepast.

Zo werkt een elektronische handtekening

Hoewel het precieze ondertekenproces per aanbieder van de gebruikte e-handtekeningsoftware verschilt, wijken de onderliggende workflows van de meer robuuste oplossingen nauwelijks van elkaar af.

Verzenden:

• Upload het document dat je wilt laten ondertekenen, bijvoorbeeld als Word- of pdf-bestand.
• Tag de onderdelen waar initialen, handtekeningen, telefoonnummers enzovoort moeten worden ingevoegd.
• Selecteer welke verificatiemethode voor ondertekenaars je wilt gebruiken.
• Verzend het bestand via de dienst naar het e-mailadres van de ontvanger.

Ondertekenen:

• Ontvang een e-mail wanneer een document klaarstaat om te bekijken en te ondertekenen.
• Verifieer je identiteit voordat je ondertekent (als de afzender deze optie heeft geselecteerd).
• Lees de bijgevoegde informatie en stem in met de elektronische procedure.
• Neem het document door, vul alle verplichte velden in en voeg eventueel gevraagde documenten bij.
• Kies de gewenste ondertekenstijl (alleen de eerste keer dat je de dienst gebruikt).
• Onderteken het document.

Zodra alle ontvangers het document hebben ondertekend, krijgen ze daarvan een melding en wordt het document elektronisch opgeslagen, waarna het kan worden bekeken en gedownload. Dit alles gebeurt veilig dankzij de ingebouwde beveiliging en de processen die de aanbieders van oplossingen voor e-handtekeningen volgen.

Methoden om de identiteit van ondertekenaars te verifiëren

Technologie voor e-handtekeningen biedt meerdere opties om de identiteit van ondertekenaars te verifiëren voordat deze het document kunnen bekijken en ondertekenen, bijvoorbeeld:

• E-mailadres: De ondertekenaars voeren hun eigen e-mailadres in, dat vervolgens wordt vergeleken met het e-mailadres dat in de uitnodiging wordt gebruikt.
• Toegangscode: De afzender verschaft een eenmalig wachtwoord dat de ondertekenaars moeten invoeren.
• Telefonisch: De ondertekenaars moeten een telefoonnummer bellen en hun naam en toegangscode invoeren.
• Sms: De ondertekenaars moeten een eenmalig wachtwoord invoeren dat ze via sms ontvangen.
• Op basis van kennis: De ondertekenaars moeten enkele vragen beantwoorden, bijvoorbeeld in welke straat ze zijn opgegroeid of wat hun eerste auto was.
• Verificatie van identiteitsbewijs: De ondertekenaars worden geverifieerd aan de hand van hun identiteitsbewijs met foto of hun Europese eID.

Als er extra waarborgen nodig zijn ten aanzien van de geldigheid van handtekeningen, bieden sommige aanbieders twee extra e-handtekeningniveaus aan die voldoen aan de eIDAS-vereisten van de EU:

• Geavanceerd: Voor geavanceerde handtekeningen gelden strengere eisen op het gebied van beveiliging, identiteitsverificatie en authenticatie tussen de verzender en de ondertekenaar. Ook wordt gebruikgemaakt van een op certificaten gebaseerde digitale ID (X.509 PKI) die door een betrouwbare aanbieder wordt verstrekt.
• Gekwalificeerd: Een gekwalificeerde handtekening is een nog veiligere versie van een geavanceerde e-handtekening, waarbij gebruik wordt gemaakt van een 'veilig middel voor het aanmaken van handtekeningen'. Dit soort handtekening wordt in de EU gelijkgesteld aan een met pen gezette handtekening.

Waarom beveiliging zo belangrijk is bij e-handtekeningen

Niet alle aanbieders van oplossingen voor e-handtekeningen bieden hetzelfde beveiligingsniveau. Daarom is het van groot belang dat je een aanbieder kiest die robuuste beveiliging garandeert en bescherming centraal stelt bij al zijn processen. De genomen veiligheidsmaatregelen moeten onder meer betrekking hebben op:

• Fysieke beveiliging: Beschermt de systemen en de gebouwen waar de systemen zich bevinden.
• Platformbeveiliging: Beschermt de gegevens en processen in de betreffende systemen.
• Veiligheidscertificeringen/op veiligheid gerichte processen: Helpen waarborgen dat de medewerkers en partners van de aanbieder best practices op het gebied van veiligheid en privacy volgen.

Fysieke beveiliging

• Geografisch verspreide datacenters met actieve en redundante systemen en fysieke en logisch gescheiden netwerken
• Professionele firewalls en routers die IP-gebaseerde en denial-of-service-aanvallen detecteren en tegenhouden
• Bescherming tegen malware
• Veilige gegevensreplicatie die bijna in realtime plaatsvindt
• 24/7 beveiligingsdienst op locatie
• Strenge fysieke toegangscontrole met videobewaking

Platformbeveiliging

• AES 256-bits versleuteling van gegevensopslag en gegevensverkeer via TLS-verbindingen
• Gegevenstoegang en -overdracht via HTTPS
• Gebruik van Security Assertion Markup Language (SAML), waardoor gebruikers de nieuwste mogelijkheden krijgen voor webgebaseerde verificatie en autorisatie
• PKI-verzegeling
• Certificaat van voltooiing
• Verificatie van handtekeningen en sabotagebestendige registratie van de ondertekeningsacties en status van voltooiing
• Meerdere verificatieopties voor ondertekenaars

Veiligheidscertificeringen/op veiligheid gerichte processen

• Naleving van geldende wetten, regelgeving en industrienormen met betrekking tot digitale transacties en elektronische handtekeningen, waaronder:
  • ISO 27001:2013: Wereldwijd het hoogste niveau voor gegevensbeveiliging dat momenteel beschikbaar is.
  • SOC 1 Type 2 en SOC 2 Type 2: Beide rapporten evalueren de interne controles, het beleid en de procedures, waarbij het SOC 2-rapport vooral focust op de veiligheid, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy bij dienstverlenende organisaties.
  • Payment Card Industry Data Security Standard (PCI DSS): Garandeert een veilige verwerking van creditcardgegevens.
  • STAR-programma (Security Trust Assurance and Risk) van Cloud Security Alliance (CSA): Heeft transparantie, uitgebreide audits en de harmonisering van standaarden als belangrijkste uitgangspunten.
• Het vermogen om te voldoen aan specifieke branchevoorschriften, zoals HIPAA, 21 CFR Part 11 en de regels van FTC, FHA, IRS en FINRA.
• Beveiligingsbeheerprocessen en -ontwikkelingspraktijken, met inbegrip van planning met het oog op bedrijfscontinuïteit en noodherstel, opleiding van werknemers, veilige coderingspraktijken, formele codebeoordelingen en regelmatige veiligheidsaudits van de code.

Het antwoord op de vraag "Zijn elektronische handtekeningen wel veilig?" is dus luid en duidelijk: ja, absoluut! Bezoek het DocuSign Trust Center voor meer informatie over de veiligheid en beveiliging van DocuSign eSignature of neem contact met ons op.