Elektronische handtekening

Misschien hoeft de werkloze burger over pakweg vijf jaar niet meer de deur uit als hij een uitkering wil aanvragen. Hij steekt dan een 'smartcard' in een speciaal kastje bij de computer. Door zijn vinger in een biometrisch apparaatje te leggen dat digitaal de vingerafdruk leest, kan hij zich identificeren. En indien nodig kan hij documenten ook nog digitaal ondertekenen.

Dit soort internettoepassingen zijn volgens het ministerie van Binnenlandse Zaken een stuk dichterbij gekomen. Op 17 december vond de officiële introductie van het zogeheten stamcertificaat plaats. Het stamcertificaat is het hart van de Public Key Infrastructure (PKI), de sleutel tot de centrale infrastructuur die veilige digitale communicatie tussen ambtenaren onderling en tussen de overheid met burger en bedrijfsleven mogelijk moet maken.

Met de PKI kunnen documenten op een betrouwbare manier digitaal worden ondertekend. Berichten kunnen worden gecodeerd zodat ze onleesbaar zijn voor derden. En de infrastructuur kent een identificatiefunctie, zodat de ontvanger zeker kan zijn van de identiteit van de afzender. Organisaties kunnen zich aansluiten bij het stamcertificaat, dat uniformiteit en gebruiksvriendelijkheid moet waarborgen. Zo wil het ministerie voorkomen dat burgers straks meerdere smartcards nodig hebben om te communiceren met de overheid.

Smartcard

Het zal echter nog wel even duren voordat de burger met zo'n smartcard bij de overheid kan shoppen. Minister Remkes schreef in oktober vorig jaar in een brief aan de Tweede Kamer dat een grootschalige invoering van de PKI en de elektronische identiteitskaart voorlopig nog te duur is. Als het aan de minister van Binnenlandse Zaken ligt, moet eind dit jaar wel vijf procent van de elektronische transacties binnen de overheid zijn voorzien van een door de PKI ondersteunde elektronische handtekening.

Jan Moelker van de directie Informatiebeleid: 'We hebben besloten om te beginnen met toepassingen bij communicatie tussen de overheid en het bedrijfsleven. Vervolgens moet het gebruik van de digitale handtekening zich als een olievlek verspreiden en ook voor burgers beschikbaar worden.' Wanneer dat laatste zover is, durft Moelker niet te voorspellen.

Bert-Jaap Koops, als wetenschapper verbonden aan de Universiteit van Tilburg, is niet zo optimistisch. 'Eigenlijk begint het nu pas. Organisaties moeten zelf certificaten aanmaken en de vereiste apparatuur en software aanschaffen. Daarnaast moeten mensen de elektronische handtekening vertrouwen en wennen aan het gebruik ervan. Waar kunnen ze het wel en niet voor gebruiken?'

Over de fraudebestendigheid van het systeem verschillend de specialisten van mening. 'De keuze voor een hiërarchisch ingerichte infrastructuur brengt risico's met zich mee. Als het stamcertificaat wordt gekraakt, loopt de rest van de infrastructuur ook gevaar. Dat maakt het voor hackers een interessant bolwerk om te kraken.' Moelker: 'Natuurlijk, geen systeem is honderd procent waterdicht. Maar vergeleken met andere middelen, zoals pinnen, is dit een stuk betrouwbaarder.'

Gebruikers zullen op een verstandige manier met hun wachtwoord moeten omgaan. Koops: 'Uit onderzoek blijkt dat zestig procent van de mensen vaak kiest voor een makkelijk wachtwoord, zoals de naam van hun echtgenoot of hun trouwdatum. Daarmee kan een onbevoegde de smartcard relatief eenvoudig kraken.'

Een ambtenaar heeft straks aan één smartcard niet genoeg. Als burger heeft hij tenminste één pas die fungeert als digitaal paspoort en als ambtenaar een andere card waarmee hij bevoegd is documenten digitaal te ondertekenen. Naast een pasje voor digitale communicatie met de overheid zal de burger waarschijnlijk ook verschillende smartcards in de portemonnee hebben voor digitale transacties met bedrijven. Dat is een goede zaak, vindt Koops. 'Op die manier spreid je het risico. En het is lastiger voor de overheid en het bedrijfsleven om persoonlijke gegevens van burgers aan elkaar te koppelen, wat misbruik van privacygevoelige gegevens moeilijker maakt.'

Kosten

De vraag is of gemeenten zich de komende jaren massaal zullen aansluiten bij de PKI. De kosten zijn aanzienlijk en veel gemeenteraden klagen nu al over het geld dat automatisering kost. Uit recent onderzoek van Deloitte & Touche blijkt dat voor minstens negentig procent van de gemeentelijke transacties waarbij de burger moet ondertekenen, een zwaarbeveiligde elektronische handtekening helemaal niet nodig is. 

Erik Hup, programmahoofd van Advies Overheid.nl, zei onlangs in NRC Handelsblad: 'De gemeente blijkt een echte handtekening ook niet te kunnen toetsen. Waar vergelijken ze hem mee? Ze hebben geen handtekeningendatabase. Op dat niveau zitten we, dus waarom zou het digitaal veiliger moeten?'