Onze eIDAS-specialist, Wouter van den Brink, aan het woord over de gevolgen van de eIDAS-verordening voor Aangetekend Mailen/ Registered Email.
Het opbouwen van vertrouwen in de online-omgeving is essentieel voor economische en sociale ontwikkeling. Een gebrek aan vertrouwen, met name ten gevolge van een ogenschijnlijk gebrek aan rechtszekerheid, leidt ertoe dat consumenten, bedrijven en overheden aarzelen om transacties elektronisch uit te voeren en van nieuwe diensten gebruik te maken.
Deze verordening (VERORDENING (EU) Nr. 910/2014 VAN HET EUROPEES PARLEMENT EN DE RAAD van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG) heeft tot doel het vertrouwen in elektronische transacties in de interne markt te vergroten door te voorzien in een gemeenschappelijke grondslag voor veilige elektronische interactie tussen burgers, bedrijven en overheden, en bijgevolg ook de doeltreffendheid van publieke en private onlinediensten, e-business en elektronische handel in de Unie te verhogen.
Alle verleners van vertrouwensdiensten moeten zich houden aan de vereisten van deze verordening, in het bijzonder wat betreft veiligheid en betrouwbaarheid, zodat de zorgvuldigheid, transparantie en verantwoording van hun activiteiten worden gewaarborgd. Gelet op de soort diensten die verleners van vertrouwensdiensten verlenen, dient echter met betrekking tot deze vereisten onderscheid te worden gemaakt tussen gekwalificeerde en niet- gekwalificeerde verleners van vertrouwensdiensten.
De verordening maakt onderscheid in een:
- „dienst voor elektronisch aangetekende bezorging”: een dienst die het mogelijk maakt gegevens via elektronische middelen tussen derden te verzenden en die bewijs verschaft ten aanzien van het hanteren van de verzonden gegevens, met inbegrip van bewijs van het verzenden en ontvangen van de gegevens, en die de verzonden gegevens beschermt tegen het risico van verlies, diefstal, beschadiging of onbevoegde wijzigingen;
- En een „gekwalificeerde dienst voor elektronisch aangetekende bezorging”: een dienst voor elektronisch aangetekende bezorging die voldoet aan de in artikel 44 vastgestelde eisen.
Aangetekend Mailen/ Registered Email is een dienst voor elektronisch aangetekende bezorging. Wat is dan het onderscheid? Deze vraag kan worden beantwoord door het verschil in artikel 43.1 enerzijds 43.2 en 44 anderzijds van de verordening te begrijpen.
De verordening spreekt over diensten voor elektronisch aangetekende bezorging
Artikel 43
Rechtsgevolg van een dienst voor elektronisch aangetekende bezorging
- Het rechtsgevolg en toelaatbaarheid als bewijsmiddel in gerechtelijke procedures van gegevens die via een dienst voor elektronisch aangetekende bezorging verstuurd en ontvangen worden, mogen niet worden ontkend louter op grond van het feit dat de dienst elektronisch is of niet aan de eisen voor de gekwalificeerde dienst voor elektronisch aangetekende bezorging voldoet.
- Voor gegevens die via een gekwalificeerde dienst voor elektronisch aangetekende bezorging worden verstuurd en ontvangen, geldt het vermoeden van integriteit van de gegevens, van de verzending van die gegevens door de geïdentificeerde afzender, van de ontvangst daarvan door de geïdentificeerde geadresseerde, en van de nauwkeurigheid van de datum en het tijdstip van verzending en van ontvangst, zoals aangegeven door de gekwalificeerde dienst voor elektronisch aangetekende bezorging.NL L 257/106 Publicatieblad van de Europese Unie 28.8.2014
Artikel 44
Eisen voor gekwalificeerde diensten voor elektronisch aangetekende bezorging
Gekwalificeerde diensten voor elektronisch aangetekende bezorging voldoen aan de volgende eisen:
- a) zij worden verleend door een of meer gekwalificeerde verleners van vertrouwensdiensten;
- b) zij bevestigen op een hoog vertrouwensniveau de identiteit van de zender;
- c) zij bevestigen de identiteit van de geadresseerde, alvorens de gegevens te bezorgen;
- d) het verzenden en ontvangen van gegevens wordt beveiligd door een geavanceerde elektronische handtekening of een geavanceerd elektronisch zegel van een gekwalificeerde verlener van vertrouwensdiensten, en wel op zodanige wijze dat onmerkbare wijziging van gegevens kan worden uitgesloten;
- e) de verzender en de geadresseerde van de gegevens worden op duidelijke wijze in kennis gesteld van eventuele wijzigingen van de gegevens die nodig zijn voor het verzenden of ontvangen van de gegevens;
- f) de datum en het tijdstip van verzenden, ontvangen en wijzigen van gegevens worden aangegeven met een gekwalificeerd elektronisch tijdstempel.
Gekwalificeerde verlener van vertrouwensdiensten
Een gekwalificeerde verlener van vertrouwensdiensten is een verlener van vertrouwensdiensten die één of meerdere gekwalificeerde vertrouwensdiensten verleent en van het toezichthoudende orgaan, in Nederland Agentschap Telecom, de status van gekwalificeerde heeft gekregen.
Toezicht op gekwalificeerde verleners van vertrouwensdiensten
Gekwalificeerde verleners van vertrouwensdiensten worden minstens eens in de 24 maanden op hun kosten onderworpen aan een audit door een conformiteitsbeoordelingsorgaan. Het doel van deze audit is te bevestigen dat de gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die door hen worden verleend, voldoen aan de in deze verordening vastgestelde eisen. De gekwalificeerde verleners van vertrouwensdiensten dienen het conformiteitsbeoordelingsverslag binnen de termijn van drie werkdagen na ontvangst in bij het toezichthoudend orgaan.
Bevestigen identiteit van zender en geadresseerde
Om Aangetekend Mailen/ Registered Email geschikt te maken voor kwalificatie zal de dienst de indentiteit van de zender uitgebreider bevestigen (betrouwbaarheidsniveau ‘substantial’) middels een procedure en interface met een gekwalificeerde ‘identity provider’. De Aangetekende Mail zal pas worden bezorgd nadat ook de identiteit van de geadresseerde uitgebreider wordt bevestigd (betrouwbaarheidsniveau ‘laag’) middels een procedure en interface met een gekwalificeerde ‘identity provider’ of een 2FA middels SMS.
Betrouwbaarheidsniveaus van stelsels voor elektronische identificatie
Het betrouwbaarheidsniveau laag betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een beperkte mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen. Het betrouwbaarheidsniveau substantieel betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een substantiële mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen.
Het verzenden en ontvangen van gegevens beveiligen
Het verzenden en ontvangen van gegevens wordt beveiligd door een geavanceerd elektronisch zegel van een gekwalificeerde verlener van vertrouwensdiensten. Elektronische zegels moeten dienen als bewijs dat een elektronisch document door een rechtspersoon is afgegeven, door zekerheid omtrent de oorsprong en integriteit van het document te garanderen.
Eisen voor geavanceerde elektronische zegels
Een geavanceerd elektronisch zegel voldoet aan de volgende eisen:
- a) het is op unieke wijze aan de aanmaker van het zegel verbonden;
- b) het maakt het mogelijk de aanmaker van het zegel te identificeren;
- c) het komt tot stand met gebruikmaking van gegevens voor het aanmaken van elektronische zegels die de aanmaker van het zegel met een hoog vertrouwensniveau onder zijn controle kan gebruiken voor het aanmaken van elektronische zegels;
- d) het is op zodanige wijze aan de gegevens waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.
Rechtsgevolgen van elektronische zegels
Voor een gekwalificeerd elektronisch zegel geldt het vermoeden van integriteit van de gegevens en van juistheid van de oorsprong van de gegevens waaraan het gekwalificeerd elektronisch zegel is verbonden. Een gekwalificeerd elektronisch zegel dat op een in een lidstaat afgegeven gekwalificeerd certificaat is gebaseerd, wordt in alle andere lidstaten als een gekwalificeerd elektronisch zegel erkend.
Verzender en de geadresseerde van de gegevens worden op duidelijke wijze in kennis gesteld van eventuele wijzigingen
Mochten ‘onderweg’ gegevens wijzigen dan wordt zowel de verzender als de geadresseerde daarvan op de hoogte gebracht middels een duidelijke signalering.
Datum en tijdstip
De datum en het tijdstip van verzenden, ontvangen en wijzigen van gegevens worden aangegeven met een gekwalificeerd elektronisch tijdstempel. Een elektronische tijdstempel zijn gegevens in elektronische vorm die andere gegevens in elektronische vorm verbinden aan een bepaald tijdstip en die bewijzen dat die laatstgenoemde gegevens op dat tijdstip bestonden. Een gekwalificeerde elektronische tijdstempel is een elektronische tijdstempel die voldoet aan vastgelegde eisen.
Eisen voor gekwalificeerde elektronische tijdstempels
Een gekwalificeerd elektronisch tijdstempel voldoet aan de volgende eisen:
- a) het tijdstempel koppelt de datum en het tijdstip op zodanige wijze aan gegevens dat onmerkbare wijziging van de gegevens redelijkerwijs kan worden uitgesloten;
- b) het stempel is gebaseerd op een nauwkeurige tijdsbron die aan de gecoördineerde universele tijd gekoppeld is; en
- c) het stempel wordt ondertekend met behulp van een geavanceerde elektronische handtekening of verzegeld met een geavanceerd elektronisch zegel van de gekwalificeerde verlener van vertrouwensdiensten, of met behulp van een andere gelijkwaardige methode.
Rechtsgevolg van elektronische tijdstempels
Voor een gekwalificeerd elektronisch tijdstempel geldt het vermoeden van de juistheid van de aangegeven datum en het aangegeven tijdstip, en van de integriteit van de gegevens waaraan de datum en het tijdstip zijn gekoppeld. Een gekwalificeerd elektronisch tijdstempel, afgegeven in een lidstaat, wordt in alle lidstaten als een gekwalificeerd elektronisch tijdstempel erkend.
Conclusie
Terug naar het onderscheid tussen „dienst voor elektronisch aangetekende bezorging” en „gekwalificeerde dienst voor elektronisch aangetekende bezorging” is de reguliere dienst Aangetekend Mailen/ Registered Email een dienst voor elektronische bezorging en voldoet aan de schriftelijkheidsvereiste. Deze vereiste staan omschreven in het Burgerlijk Wetboek Boek 6, art 227a en kan kort worden omschreven als:
- Inhoud raadpleegbaar door partijen
- Authenticiteit inhoud gewaarborgd
- Moment van totstandkoming vastgesteld
- Identiteit van partijen voldoende vastgesteld
Wanneer men naar de eIDAS verordening kijkt is het rechtsgevolg en toelaatbaarheid als bewijsmiddel in gerechtelijke procedures van gegevens die via een dienst voor elektronisch aangetekende bezorging verstuurd en ontvangen worden, mogen niet worden ontkend louter op grond van het feit dat de dienst elektronisch is of niet aan de eisen voor de gekwalificeerde dienst voor elektronisch aangetekende bezorging voldoet. “Met behulp van Aangetekend Mailen kan bewijs worden geleverd dat een e-mail met een vast te stellen inhoud op een door een onafhankelijke derde vastgesteld moment is verzonden door een geverifieerde verzender en vervolgens is opgehaald door de ontvanger. Aangetekend Mailen levert onder de besproken omstandigheden voldoende bewijs om te voldoen aan de bewijsopdracht die op een verzender van een e-mail zal rusten in geval van betwisting door een wederpartij” (ICTRecht).
Aangetekend Mailen Plus/ Registered Email Plus zal na positieve beoordeling middels een audit door een conformiteitsbeoordelingsorgaan door het toezichthoudende orgaan Agentschap Telecom, de status van gekwalificeerd verkrijgen waarna het een “gekwalificeerde dienst voor elektronische bezorging” is. Deze variant van de dienst Aangetekend Mailen/ Registered Email bevestigt de identiteit van zender en geadresseerde uitgebreider en de authenticiteit van het bericht wordt uitgebreider gewaarborgd middels het gebruik van gekwalificeerde zegels en elektronische tijdstempels, het een en ander zoals eerder beschreven.
Afhankelijk van de toepassing, de mate van zekerheid versus gebruiksvriendelijkheid kan de eindgebruiker van de dienst straks een keuze maken welke variant gewenst is, zowel voor de zender als de geadresseerde. De gekwalificeerde variant Aangetekend Mailen Plus/ Registered Email Plus is in 2020 op de markt gebracht.