Evaluatie AdES Baseline Profiles
Content
Vergadering: Forum Standaardisatie 13 december 2023
Agendapunt: 3B1
Documentnummer: FS-20231213.3B1
Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.
Rechten: CC0 publieke domein verklaring
Domein ‘Openbaar en toegankelijk’ Evaluatie standaard
AdES Baseline Profiles
InnoValor Advies
Colofon
Projectnaam Evaluatie standaarden 2023
Auteurs J. Janssen (InnoValor Advies)
Opdrachtgever Forum Standaardisatie
Postbus 96810 2509 JE Den Haag
Creative commons Dit document verschijnt onder de Creative Commons licentie: CC0 1.0 Universeel (CC0 1.0)
Publiek Domein Verklaring
Inhoudsopgave
Managementsamenvatting
- Inleiding
- Achtergrond
- Vraagstelling en doel
- Aanpak
- Evaluatie AdES Baseline profiles
- Inleiding
- Evaluatie
- Conclusies en aanbevelingen
Managementsamenvatting
De standaard ‘AdES Baseline Profiles’ staat sinds 2017 op de Nederlandse ‘pas toe of leg uit’-lijst van het Forum Standaardisatie. Deze set standaarden draagt bij aan een betrouwbare overheid door een eenduidige manier te bieden om digitale documenten elektronisch te ondertekenen. Elektronische ondertekening komt vaker voor en heeft een impuls gekregen door de COVID-19 pandemie, omdat veel processen op die manier doorgang konden vinden. Door elektronische ondertekeningen met toepassing van de AdES Baseline Profiles weet een verzender zeker dat de ontvanger de elektronische handtekening kan valideren. Een valideerbare handtekening is voor de ontvanger het bewijs dat een elektronisch document inderdaad afkomstig is van de ondertekenaar (authenticiteit), dat de ondertekenaar de inhoud van het document onderschrijft (onweerlegbaarheid) en dat er niet met de ondertekening gerommeld is (integriteit).
Dit onderzoek evalueert de AdES Baseline Profiles op de ´pas toe of leg uit’-lijst van Forum Standaardisatie. Bijzonder aandachtspunt in de evaluatie is de vraag of en zo ja hoe de Nederlandse overheid een sturende rol (regierol) wil hebben op de standaard AdES Baseline Profiles voor het stimuleren van het gebruik van de standaard. Uit het onderzoek komen de volgende bevindingen naar voren:
- Het functioneel toepassingsgebied is op de 'pas toe of leg uit' lijst correct geformuleerd maar loopt achter op de actuele ontwikkelingen omdat het een aantal bestandstypen niet benoemt waar AdES inmiddels ook op van toepassing is, zoals JSON.
- De toegevoegde waarde voor de digitale overheid van de AdES Baseline Profiles staat niet ter discussie.
- Bij de experts is veel draagvlak voor de standaard op de ‘pas toe of leg uit’-lijst. De adoptie van de standaard is hoog voor gekwalificeerde handtekeningen en vrij hoog voor geavanceerde handtekeningen.
- De standaard wordt internationaal beheerd door de ESI werkgroep van de Europese standaardisatieorganisatie ETSI. In Nederland is er bij de overheid geen organisatie die regie voert op het gebruik van AdES Baseline Profiles door kennis en ervaring te bundelen, de adoptie te monitoren en gebruikerseisen naar ETSI terug te koppelen. Het invullen van die rol is van belang omdat de standaard relevant is in, en zich verder ontwikkelt in samenhang met, lopende ontwikkelingen (de Europese Digitale Identiteit (EUDI) op Europees vlak, de Wet modernisering elektronisch bestuurlijk verkeer (Wmbev) in Nederland). Er is behoefte aan een kennishouder binnen de overheid, specifieke kennis in de markt is schaars.
- Alle bevraagde experts beamen dat opname van de standaard op de ‘pas toe of leg uit’-lijst meerwaarde heeft. Stimulering van adoptie blijft van belang om interoperabiliteit in het zich snel ontwikkelende toepassingsgebied te borgen.
- Toen AdES Baseline Profiles in 2017 op de 'pas toe of leg uit' lijst kwam, gaven de experts een aantal adviezen mee om de adoptie te stimuleren. Aan deze adviezen is maar beperkt gehoor gegeven; wel zijn de meeste nog relevant.
- Er zijn verschillende ontwikkelingen van invloed op (adoptie van) de Alle ontwikkelingen, zowel Europees (EUDI) als Nederlandse, leiden tot een verwachtte toename van het gebruik van elektronische ondertekening. Standaardisatie daarin blijft relevant.
De onderzoekers van InnoValor Advies die deze evaluatie uitvoerden, komen op basis van het uitgevoerde onderzoek tot de volgende adviezen aan het Forum Standaardisatie:
- Om een procedure te starten om het toepassingsgebied te herzien met aandacht voor het toevoegen van relevante bestandsextensies.
- In gesprek gaan met Ministerie van Binnenlandse Zaken en Koninkrijksrelaties over de regierol op AdES Baseline Profiles gezien Ministerie van Binnenlandse Zaken en Koninkrijksrelaties de indiener van AdES Baseline Profiles op de ‘pas toe of leg uit’- lijst is geweest.
- In samenwerking met het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Ministerie van Economische Zaken en Kamer van Koophandel (als belangrijke kennishouder) en wellicht ECP onderzoeken waar de regierol voor AdES Baseline Profiles binnen de Nederlandse overheid het beste is belegd en hierover adviseren. Betrek in het gesprek over de regierol de kans om een ‘community’ vorm te geven van partijen die kennis hebben over dit onderwerp.
- Er is met name op Europees vlak volop ontwikkeling op het vlak van elektronisch ondertekenen. Het advies is om tussen de twee en vier jaar de standaard opnieuw te
- Alsnog het adoptie-advies ten uitvoer brengen om op de 'pas toe of leg uit'-lijst een duidelijkere uitleg te geven over het verschil en de overeenkomst tussen een gewone (ook wel natte) handtekening, een elektronische handtekening, een geavanceerde en een gekwalificeerde elektronische handtekening.
Zodra de regierol van de AdES Baseline Profiles belegd is binnen de Nederlandse overheid, zijn de volgende aanbevelingen gericht aan de partij die de regierol op zich neemt:
- Onderzoek de suggestie van een (overheids-)expert om te overwegen meer standaarden uit het ETSI-framework voor elektronische ondertekening aan te melden voor de lijst open standaarden.
- Alsnog het adoptie-advies ten uitvoer brengen om te starten met het verzamelen en publiceren van best practices.
- Bepaal of nut en noodzaak van het adoptie-advies met betrekking tot tijdstempelautoriteiten nog actueel is.
- Zet actualiseren van de versie van de standaard op de lijst open standaarden in gang via het aanmelden van de nieuwe versie bij het Forum Standaardisatie. De huidige versie van AdES Baseline Profiles loopt niet synchroon met de versie op de lijst open
1. Inleiding
1.1. Achtergrond
Forum Standaardisatie is een onafhankelijke overheidsorganisatie die de overheid adviseert over het gebruik van open ICT standaarden in de digitale overheid. Open standaarden zorgen voor een betere uitwisselbaarheid en toegankelijkheid van gegevens. Forum Standaardisatie zorgt ervoor dat digitale gegevens veiliger en gemakkelijker met elkaar uitgewisseld kunnen worden. Zo helpen zij de samenwerking binnen de publieke sector te verbeteren. In opdracht van het Forum Standaardisatie voert Bureau Forum Standaardisatie (BFS) initiatieven uit om het gebruik van open standaarden bij de overheid te bevorderen.
Een van de manieren van Forum Standaardisatie om de onderlinge samenwerking van overheden te bevorderen is door open standaarden te toetsen en voor te schrijven aan publieke organisaties. Op de ‘pas toe of leg uit’-lijst (verplichte standaarden) van het Forum Standaardisatie staan standaarden die overheden verplicht moeten toepassen volgens ‘pas toe of leg uit’-verplichting op het moment dat ze een ICT-dienst of -product aanschaffen dat binnen het desbetreffende toepassingsgebied valt van de standaard.
De ‘pas toe of leg uit’-lijst wordt onderhouden op basis van een open procedure. De toetsing bij aanmelding is een momentopname. Als een standaard een aantal jaar op de ‘pas toe of leg uit’-lijst staat, kan het zijn dat de relevantie, het draagvlak, het toepassingsgebied of de marktpartijen veranderd zijn. Er kunnen dan vragen ontstaan als: Heeft de standaard nog toegevoegde waarde? Wordt de standaard nog door voldoende marktpartijen ondersteund?
In zulke gevallen kan het Forum Standaardisatie besluiten om standaarden te evalueren. Bij een evaluatie gaat het om standaarden die vier jaar of langer op de lijst ‘pas toe of leg uit’-lijst staan. In 2023 laat het Forum Standaardisatie onder andere de standaard AdesBaseline Profiles uit het domein ‘Openbaar en toegankelijk’ evalueren. Deze set standaarden draagt bij aan een betrouwbare overheid door een eenduidige manier te bieden om digitale documenten elektronisch te ondertekenen. Een valideerbare elektronische handtekening is voor de ontvanger het bewijs dat een elektronisch document inderdaad afkomstig is van de ondertekenaar (authenticiteit), dat de ondertekenaar de inhoud van het document onderschrijft (onweerlegbaarheid) en dat er niet met de ondertekening gerommeld is (integriteit).
1.2. Aanleiding
Het Bureau Forum Standaardisatie heeft de opdracht gegeven om de Ades Baseline Profiles standaard vanuit het domein ‘Openbaar en toegankelijk´ te evalueren. De standaard staat sinds 2017 op de ‘Pas toe of leg uit’-lijst van Forum Standaardisatie. Een elektronische handtekening is voor de ontvanger het bewijs dat een elektronisch document inderdaad afkomstig is van de ondertekenaar (authenticiteit), dat de ondertekenaar de inhoud van het document onderschrijft (onweerlegbaarheid) en dat er niet met de ondertekening gerommeld is (integriteit). Ades Baseline Profiles dragen daaraan bij door via een voorgeschreven profiel te zorgen dat de ontvanger de handtekening ook daadwerkelijk kan valideren door voor te schrijven hoe de technische implementatie voor ontvanger en verzender er uit moet zien. Acceptatie van de AdES Baseline Profiles is wettelijk verplicht (Besluit 2011/130/EU,Verordening 910/2014 van het Europees Parlement en de Raad, en het Uitvoeringsbesluit 2015/1506 van de Europese Commissie).
AdES staat voor ‘Advanced Electronic Signature’. De Baseline Profiles worden gebruikt voor het ondertekenen van XML-documenten (XAdES), PDF-documenten (PAdES), CMS-documenten (CAdES) en documentcontainers/ZIP (ASiC). Europese regelgeving verplicht een ontvanger al om documenten digitaal getekend volgens de AdES Baseline Profiles te accepteren. Opname van AdES Baseline Profiles op de ‘Pas toe of leg uit’ lijst verplicht verzenders om AdES Baseline Profiles te gebruiken als zij documenten voorzien van een geavanceerde of gekwalificeerde digitale handtekening. Als beheerorganisatie is
de European Telecommunication Standardisation Institute (ETSI) opgenomen. Zij hebben inmiddels een aantal actuelere Ades profielen en protocollen op de site staan. De huidige versie is ook online te vinden, en een nieuwe versie is in de maak.
In het Forumadvies van 10 maart 2017 is geconcludeerd dat er geen beperkende factoren zijn om de standaard op te nemen op de lijst met open standaarden, met ‘pas toe of leg uit’-verplichting. Het aantal implementaties van de standaard is nog wel beperkt en er ontbreekt een (Nederlandse) community. Daarom is in het advies in 2017 aan het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties als indiener meegegeven om een actievere rol aan te nemen met betrekking tot het delen van kennis en ervaring. In lijn daarmee is geadviseerd om na twee jaar de stand van zaken en adoptiestatus van de standaard opnieuw te beoordelen.
Bijzonder aandachtspunt in de evaluatie is de regierol van een Nederlandse partij die zich over de adoptie van de AdES Baseline Profiles bij de Nederlandse publieke sector ontfermt. De standaard vraagt om een regierol, die de volgende aspecten omvat:
- Een stimulerende rol met betrekking tot adoptie;
- Betrokkenheid bij de internationale beheerorganisatie vanuit Nederlandse belangen;
- Inzet op kennisverspreiding en kennisuitwisseling rond de
Voor meer informatie over de regierol wordt verwezen naar paragraaf 3.3 uit het Beheeren Ontwikkelmodel Open Standaarden (BOMOS) deel 2.
1.3. Aanpak
1.3.1. Proces
Bij de uitvoering van de evaluatie is de volgende aanpak gehanteerd:
- Kick-off bijeenkomst: vaststelling van de scope en aanpak van het onderzoek, en de te interviewen experts (Bureau Forum Standaardisatie en InnoValor Advies);
- Bureau-onderzoek: verkenning naar beschikbaar materiaal over gebruik, beheer en toepassing van de standaard. Gericht op zowel een eerste inhoudelijke indicatie, als op verkenning van relevante partijen;
- Interviews: met vertegenwoordigers van beheerder, gebruikers, en leveranciers (samen: experts) die in hun werk met de standaard te maken hebben. De evaluatiecriteria zijn hierbij als leidraad gebruikt.
Op basis van de tweede stap is er contact gezocht met de experts voor semi- gestructureerde interviews omtrent het datamodel. De resultaten zijn verwerkt in dit rapport. De uitwerking van de evaluatie is in twee rondes gedeeld met dossierhouders en opdrachtgever ter review.
1.3.2. Betrokken experts
Bij het onderzoek zijn leveranciers en (indirecte) gebruikers van de standaard betrokken. De AdES Baseline Profiles worden ingebouwd in software en worden daarom ook wel gezien als een ‘industriestandaard’. Softwareleveranciers zijn dichter bij het beheer
betrokken dan (Nederlandse) overheden. Ook SURF is voor deze evaluatie benaderd, maar was door omstandigheden niet in staat een bijdrage te leveren. Tabel 1 toont de experts die betrokken zijn geweest bij het onderzoek.
Voornaam | Achternaam | Organisatie |
---|---|---|
Rob | Brand | Ministerie van Economische Zaken |
Gerard | Feitsma | RDI |
Ramfis | Adrichem | KvK |
Patrick | Reijnen | KvK |
Rob | Haans | Gemeente Nijmegen |
Frans | Hietbrink | Belastingdienst |
Paul | Van Brouwershaven | Entrust |
Remco | Van Wijk | Cleverbase / Vidua |
Patrick | Beckman Lapré | Quovadis / Digicert |
Tabel 1 - Betrokken experts evaluatie Ades Baseline profiles
1.3.3. Evaluatiecriteria
De evaluatie van de standaarden heeft plaatsgevonden op basis van de volgende criteria:
- Is het functioneel toepassingsgebied nog juist? Is dit duidelijk en concreet geformuleerd? Weet een potentiële gebruiker wanneer de standaard van toepassing is?
- De toegevoegde waarde van de Heeft de standaard nog toegevoegde waarde? Welk reëel en als zodanig ervaren probleem heeft de standaard opgelost?
- Is er nog voldoende draagvlak voor de standaard? Hoe staat het met gebruik van de standaard, waar wordt deze toegepast binnen de overheid en wat zijn de toekomstige ontwikkelingen? Zijn er voldoende marktpartijen die de standaard ondersteunen?
- Voldoet het beheer en doorontwikkeling aan de vereiste criteria? Zijn er zaken veranderd in het beheer van de standaard sinds de plaatsing op de ‘Pas toe of leg uit’-lijst? Voldoet het beheer van de standaard nog aan de criteria voor openheid en is het besluitvormingsproces nog goed en actueel gedocumenteerd? Is de beheerder van de standaard nog actief?
- Heeft opname op de lijst de adoptie bevorderd? Ondersteunen de experts de opname van de standaard op de ‘Pas toe of leg uit’-lijst? Wat zijn eventuele redenen om dit niet te ondersteunen? Wat zijn redenen om de standaard wel op de lijst te houden?
- Zijn de adoptie adviezen opgevolgd? Bij verschillende standaarden zijn opname- adviezen meegegeven door het Forum om de adoptie te bevorderen. Zijn deze adviezen opgevolgd en/of zijn er nieuwe adoptie adviezen mee te geven?
- Zijn er relevante lopende ontwikkelingen? Wat zijn de toekomstige ontwikkelingen met betrekking tot de standaard (of gerelateerde standaarden) en het interoperabiliteitsprobleem dat de standard oplost? Heeft dit impact voor de positie van de standaard op de lijst? Zijn er nieuwe versies nieuwe standaarden op komst, is er een noodzaak tot verplicht gebruik hiervan, en is deze mogelijk geschikt voor opname op de lijst?
2. Evaluatie AdES Baseline profiles
In dit hoofdstuk wordt inhoudelijk ingegaan op de evaluatie. Na een inhoudelijke inleiding, volgen de bevindingen ten aanzien van de evaluatiecriteria. In de laatste paragraaf volgen de conclusies en aanbevelingen.
2.1. Toelichting AdES Baseline Profiles standaard
Elektronische handtekeningen worden gebruikt voor het ondertekenen van digitale documenten. Een elektronische handtekening is voor de ontvanger het bewijs dat een elektronisch document inderdaad afkomstig is van de ondertekenaar (authenticiteit), dat de ondertekenaar de inhoud van het document onderschrijft (onweerlegbaarheid) en dat er niet met de ondertekening gerommeld is (integriteit). Ondertekening kan plaatsvinden met een elektronische basis-handtekening, een geavanceerde, of gekwalificeerde elektronische handtekening. Het type handtekening hangt af van het vereiste betrouwbaarheidsniveau; AdES Baseline profiles kunnen toegepast worden op geavanceerde en gekwalificeerde elektronische handtekening.
Voorafgaand aan de vraag of de AdES Baseline Profiles worden toegepast, moet de vraag gesteld worden of een elektronische handtekening nodig is – en zo ja, welk type. Dit is een juridische vraag die – in principe – aan de ontvangende kant beantwoord dient te worden. Het gaat er daarom in deze evaluatie in feite om, te achterhalen voor de subset van gevallen waarin geavanceerd of gekwalificeerd ondertekenen nodig is hoe het staat met toegevoegde waarde, draagvlak en adoptie voor en van de AdES Baseline Profiles en de onderliggende AdES standaarden.
Er zijn drie vormen van digitale handtekeningen: de simpele (‘afbeelding van een handtekening’), de geavanceerde waarbij de betrouwbaarheid geborgd is middels een audit-trail, en de gekwalificeerde handtekening. In het geval van een gekwalificeerde handtekening geldt een omgekeerde bewijslast; in geval van dispuut zal de wederpartij moeten bewijzen dat de handtekening niet echt is.
Een geavanceerde (en daarmee ook de gekwalificeerde) handtekening voldoet aan vier eisen:
- De handtekening is op unieke wijze aan de ondertekenaar verbonden;
- De handtekening maakt het mogelijk de ondertekenaar te identificeren;
- De handtekening komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden;
- De handtekening is op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging van de gegevens, na ondertekening, kan worden opgespoord.
Een gekwalificeerde handtekening heeft een zodanig hoog niveau van betrouwbaarheid dat de bewijslast omgekeerd is. Een geavanceerde of gekwalificeerde handtekening wordt gemaakt met behulp van een veilig middel gebaseerd op een gekwalificeerd certificaat (zie ook Digital Signature Service (europa.eu), 12.3.1).
De AdES Baseline Profiles leggen vast hoe de onderliggende AdES standaarden worden gebruikt. Ze worden toegepast bij het ondertekenen van XML-documenten (XAdES), PDF-documenten (PAdES), CMS-documenten (CAdES) en documentcontainers/ZIP (ASiC) en tegenwoordig ook voor het machine-leesbare JSON-formaat (JAdES). De AdES-standaarden bevatten meerdere opties die in een handtekening kunnen worden gebruikt. Hierdoor zijn binnen deze standaarden meerdere variaties in de opmaak van dergelijke geavanceerde/gekwalificeerde elektronische handtekeningen mogelijk. Als een ondertekenaar een variatie gebruikt die niet door de ontvanger wordt ondersteund, is de
handtekening niet zonder meer leesbaar voor de ontvanger. Om zeker te stellen dat de ontvanger de handtekening van de ondertekenaar kan valideren is het noodzakelijk om een gemeenschappelijke set opties (een profiel) te selecteren. De AdES Baseline Profiles beschrijven dergelijke profielen.
Door een AdES Baseline Profile te hanteren is het dus mogelijk om via een vastgesteld profiel een geavanceerde of gekwalificeerde elektronische handtekening uit te wisselen, waarvan vooraf zeker is dat de ontvanger de handtekening kan lezen.
Overigens zijn de versies van de standaarden op de site van het Bureau Forum Standaardisatie verouderd. De volgende versies waren actueel op het moment van schrijven van dit rapport:
- XAdES digital signatures - Part 1: Building blocks and XAdES baseline signatures
- PAdES digital signatures - Part 1: Building blocks and PAdES baseline signatures
- CAdES digital signatures - Part 1: Building blocks and CAdES baseline signatures
- Associated Signature Containers (ASiC) - Part 1: Building blocks and ASiC baselinecontainers
2.2. Evaluatie
De evaluatie laat zien dat de invulling van de regierol een belangrijk knelpunt is. Het hebben van een partij die de regierol kan invullen is van belang in verband met de lopende ontwikkelingen op het vlak van elektronisch ondertekenen, en in verband met het feit dat er onder overheden behoefte is aan een kennishouder. Voor de Nederlandse regierol is er vooral behoefte aan een partij die ook de rol van onafhankelijk kennishouder op zich kan en wil nemen. Het blijft nog steeds lastig een contactpunt te vinden binnen het Ministerie van BZK. Het Ministerie heeft ook geen inbreng geleverd in voorliggend onderzoek. Het Ministerie van EZ, dat nu al betrokken is bij het beheer door de TC ESI, geeft aan open te staan om te verkennen of en hoe zijn een rol zouden kunnen spelen in de regie. Daarnaast heeft de Kamer van Koophandel veel kennis in huis over implementatie en gebruik van de elektronische handtekening. Een expert noemt verder ECP genoemd als mogelijke geschikte kennishouder of beheerpartij. Uit het onderzoek komt de suggestie naar voren om een community op te zetten met een aantal betrokken partijen, van waaruit de kennis- en regierol verder vorm kan krijgen. Experts geven aan dat het belangrijk is dat in ieder geval een partij bij het beheer betrokken wordt die ‘met de voeten in de klei’ staat en zelf digitale ondertekening toepast.
2.2.1. Toepassingsgebied
Ades Baseline profiles kent onderstaand functioneel toepassingsgebied.
De AdES Baseline Profiles moeten worden toegepast op:
- de ondertekening van XML-, CMS-, PDF- en ZIP-bestanden met geavanceerde en/of gekwalificeerde elektronische handtekeningen, zegels of tijdstempels;
- de verificatie van deze handtekeningen, zegels en tijdstempels
En het volgende organisatorisch werkingsgebied:
Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector
De bevraagde experts geven aan dat het functioneel toepassingsgebied in de basis goed gedefinieerd is. Het organisatorisch werkingsgebied klopt (voor zover het de opname op
de ‘pas toe of leg uit’-lijst betreft). Er zijn wel aandachtspunten. Het eerste is dat de standaard inmiddels kan worden toegepast op meer typen bestanden; ook .doc, .txt en
.json. Eén expert stelt vast dat er voor dit functioneel toepassingsgebied meerdere ETSI standaarden uit het ETSI framework in samenhang relevant zijn, en dat AdES niet los van deze standaarden kan worden gezien. De expert adviseert Forum Standaardisatie om te overwegen om deze standaarden in samenhang met AdES op de 'pas toe of leg uit' lijst te plaatsen, zoals bijvoorbeeld ook voor de XBRL standaarden of Digikoppeling het geval is.
2.2.2. Toegevoegde waarde
De toegevoegde waarde van de AdES baseline profiles staat niet ter discussie.
De bevraagde experts zijn het er over eens dat de AdES Baseline profiles een duidelijke meerwaarde hebben. De AdES Baseline profiles zorgen er voor dat de verzender een digitaal document op een vastgelegde manier ondertekent zodat de ontvanger van het document weet hoe hij of zij de integriteit, de onweerlegbaarheid en de authenticiteit van dat document kan valideren. Het kunnen accepteren (ontvangen) van AdES is in de Europese Unie verplicht voor grensoverschrijdend verkeer, zodat een verzender de garantie heeft dat een ontvanger zijn of haar getekende document kan verifiëren. Deze Europese verplichting zorgt ervoor dat de ontvanger van een met AdES Baseline Profiles getekend document het als rechtsgeldig moet accepteren. Toepassing van eenduidige elektronische ondertekening wordt belangrijker naarmate de gevraagde of verwachtte betrouwbaarheidseisen (level of assurance) hoger worden; respondenten signaleren dat dit met name in de ‘system-to-system’ uitwisseling het geval is. Zo groeit bijvoorbeeld bij de Belastingdienst het aantal berichten dat op een hoger betrouwbaarheidsniveau wordt uitgewisseld omdat er hogere eisen aan betrouwbaarheid gesteld worden. De system-to- system uitwisseling vindt vaak plaats tussen private partijen onderling of tussen private partijen en overheden.
Een korte toelichting op de toegevoegde waarde: Vroeger werden er aan de zijde van verzenders verschillende implementaties van digitale handtekeningen gebruikt, wat het voor de ontvanger lastig maakte om te herleiden hoe betrouwbaar een handtekening is. De standaard voorkomt maatwerkoplossingen, en dit is nog steeds nodig. Daarnaast betekent opname op de ‘pas toe of leg uit’-lijst een richtinggevende werking voor ontwikkelingen. Eén van de dingen waar de markt aan werkt, is het verbeteren van de zichtbaarheid van elektronische ondertekening in online documenten (validatie in browsers). Een andere ontwikkeling die veel aandacht krijgt is het verder ontwikkelen en implementeren van duurzaam houdbare ondertekening (zogenaamd preserveren van de handtekening).
Een eerste kanttekening bij de toegevoegde waarde is dat, doordat de standaarden betrekking hebben op een fundamentele technologie die wordt ingebouwd in software, het voor gebruikers lastig te beoordelen is wat de toegevoegde waarde van de standaard is – en om mensen binnen overheden te vinden die hier iets over kunnen zeggen.
Tegelijkertijd constateren experts dat juist doordát de adoptie (van met name PAdES) inmiddels zo hoog is, interoperabiliteitsproblemen voorkomen worden.
Een tweede kanttekening is dat hoewel de toegevoegde waarde van de AdES Baseline profiles niet ter discussie wordt gesteld, er wel discussie is over de vraag of en wanneer elektronisch ondertekenen an sich toegevoegde waarde heeft. Elektronische ondertekening is alleen zinvol in gevallen waar ook de communicatie elektronisch verloopt. In de communicatie richting burgers, die niet eenvoudig in staat zijn om een geavanceerde of gekwalificeerde handtekening te valideren, is elektronisch ondertekenen minder voor de hand liggend en kan het in de ogen van sommige experts zelfs een obstakel voor goede dienstverlening zijn. Daarnaast is het voor juridische houdbaarheid niet altijd nodig elektronisch te ondertekenen, maar kan ook bijvoorbeeld een gelogde
workflow de noodzakelijke juridische onderbouwing van een besluit leveren. Zie verder ook paragraaf 2.2.3; Draagvlak.
Een derde kanttekening is dat er in het verkeer van burger naar overheid of tussen burgers en bedrijven (ook) veel gebruik gemaakt wordt van goedkopere, geavanceerde ondertekendiensten die niet voldoen aan de standaard. Doordat ze geen gebruik maken van certificaten zijn de kosten van deze diensten veel lager.
2.2.3. Draagvlak
Draagvlak voor Ades Baseline profiles staat niet ter discussie.
Experts geven aan dat er zeker draagvlak is voor het standaardiseren van digitale ondertekening conform AdES Baseline Profiles. Het betreft een volwassen standaard, die veel wordt toegepast.
Het draagvlak voor de standaard staat los van het draagvlak (van een verzender) voor elektronische (geavanceerde of gekwalificeerde) ondertekening op zich. In Nederland is het, in tegenstelling tot in een aantal andere Europese landen, geen algemeen gebruik om een bepaald niveau van betrouwbaarheid van handtekeningen te verplichten. Wel zien leveranciers het gebruik van elektronische ondertekening sterk groeien. Ten tijde van de COVID-19 pandemie is het gebruik van elektronische ondertekening toegenomen, omdat er meer op afstand ondertekend moest worden. Daarnaast groeit het gebruik in de private sector: met name in de financiële dienstverlening maken private partijen onderling en, in mindere mate, burgers steeds meer gebruik van elektronische ondertekening. De standaard wordt veel toegepast: met name de PAdES kent een hoog niveau van adoptie. Voor gekwalificeerde handtekeningen worden de profielen nagenoeg altijd toegepast.
In de Monitor Open Standaarden is een positieve trend met betrekking tot de adoptie te zien, maar is tegelijkertijd geconstateerd dat de AdES Baseline Profiles slechts incidenteel worden uitgevraagd in aanbestedingen. Uit ons expertonderzoek blijkt een relatief lage naamsbekendheid bij overheden; dit heeft ook te maken met het feit dat de Nederlandse regierol (zie ook paragraaf 1.2) niet actief ingevuld is.
Adoptie op rijksniveau
Een aantal rijksoverheden en uitvoeringsorganisaties heeft de standaard geadopteerd in zijn processen. Zo heeft Rijkswaterstaat een door DICTU aangeboden signing service in bedrijf voor alle medewerkers. Binnen de justitiële keten wordt er volop gebruik gemaakt van elektronische handtekeningen. De Belastingdienst maakt in enkele processen gebruik van de standaarden, en is voornemens de komende jaren het berichtenverkeer te gaan ondersteunen met elektronische handtekeningen. De Kamer van Koophandel maakt eveneens veel gebruik van elektronische handtekeningen conform AdES Baseline Profiles en is één van de eerste Rijskoverheidspartijen die de elektronische handtekening heeft ingevoerd.
Het feit dat er steeds hogere eisen worden gesteld aan de betrouwbaarheid in de system- to-system wereld, speelt een belangrijke rol in de steeds grotere adoptie van de elektronische handtekening, zo schetsen verschillende respondenten.
De Kamer van Koophandel, een zelfstandig bestuursorgaan, werkt al sinds 2013 conform de AdES-standaard met elektronische ondertekening. In hun processen is het nodig omdat een aantal producten (bijvoorbeeld een uittreksel KvK) als bewijsstuk kunnen dienen. Door de lange ervaring is de Kamer van Koophandel een grote kennishouder op het vlak van elektronische ondertekening.
Adoptie binnen de gemeenten
De VNG constateert dat de elektronische handtekening nog geen hoge vlucht genomen heeft binnen gemeenten – en daarmee ook de toepassing van de AdES Baseline profiles niet. Zij voorziet wel dat het digitale verkeer tussen burgers en bedrijven na de invoering van de Wet modernisering elektronisch bestuurlijk verkeer, waarin de burger het recht op digitaal zaken doen met de overheid krijgt, verder toe zal nemen, en daarmee ook het gebruik van digitale ondertekening. Deze wet geldt overigens voor alle overheden en treedt naar verwachting op 1 juli 2024 in werking. De Handreiking ElektronischeHandtekening van de VNG uit 2021 geeft uitgebreide informatie over de overwegingen en aandachtspunten rond de implementatie van de digitale handtekening.
Om een geavanceerde en/of gekwalificeerde handtekening te kunnen gebruiken, dient er een certificaat beschikbaar te zijn voor ondertekening. Dit kan lokaal via een token, je software of een secure element, of centraal via een signing portal of gateway. Voor gevallen waarin het niet per se noodzakelijk is om geavanceerd of gekwalificeerd te ondertekenen, kan het een relatief zware methode zijn om de (in de praktijk vaak zeer beperkte) risico’s ‘ex ante’ te managen. Overigens is in de Gemeentelijke Inkoop voor IT-toolbox de verwijzing naar deze standaard niet opgenomen; we hebben in dit evaluatieonderzoek niet kunnen achterhalen wat de reden hiervoor is.
Adoptie waterschappen en provincies
Volgens de Monitor Open Standaarden (2022) heeft de Provincie Flevoland de AdES Baseline Profiles als eis gesteld bij de aanschaf van een nieuw financieel systeem.
Hierover is geen gedetailleerde informatie beschikbaar. Voor overige provincies en waterschappen heeft voorliggend evaluatieonderzoek geen specifieke informatie opgeleverd.
Adoptie semioverheid
Dit onderzoek heeft geen inzichten over adoptie bij semioverheden opgeleverd.
Ades Baseline profiles heeft draagvlak in het buitenland
De AdES Baseline Profiles zijn een Europese standaard. Veel Qualified Trust Service Providers (QTSP’s) en softwareleveranciers zijn ook internationaal actief. De standaard wordt in Europa breed gedragen.
Marktondersteuning voor de standaard
Er zijn veel ondertekendiensten, waarvan de meeste niet gekwalificeerd. Geavanceerde ondertekendiensten conformeren zich niet altijd aan de standaard. Er is een beperkt aantal leveranciers dat kan ondersteunen bij de invoering van de elektronische gekwalificeerde handtekeningen conform AdES Baseline Profiles. De digitale ondertekening is veelal onderdeel van bestaande softwarepakketten, zoals Adobe Acrobat. Om te zorgen dat een handtekening gekwalificeerd is, is daarnaast een certificaat van een QTSP of overheid nodig. Op dit moment zijn er 4 QTSP’s, en een drietal overheidspartijen die certificaten uitgeven. De omvang van de markt is hiermee vrij beperkt, te meer omdat de kennis veelal bij kleinere partijen zit en niet zo zeer bij de grotere softwareleveranciers (van bijvoorbeeld financiële pakketten en Enterprise Resource Planning (ERP)-systemen). Deze kennis is nodig omdat leveranciers AdES Baseline Profiles soms op verschillende manieren implementeren die niet helemaal aan de ETSI specificatie voldoen, waardoor er ‘verschillende smaakjes’ ontstaan. Bij gekwalificeerde ondertekening komt dit overigens niet voor. Doordat in Nederland oplossingen decentraal zijn ontwikkeld, kan dit een rol spelen. De EU heeft een validatiealgoritme beschikbaar om te valideren of een elektronische handtekening voldoet aan de AdES Baseline Profiles.
2.2.4. Beheer
Het internationale beheer van AdES Baseline Profiles staat niet ter discussie.
Het belangrijkste knelpunt is dat er op dit moment geen Nederlandse regie-organisatie is. Dit met het oog op het actualiseren van de versie op de lijst, en met het oog op adoptie- ondersteuning en de rol van een kennishouder.
De AdES Baseline Profiles worden door respondenten beschouwd als een industriestandaard, die voornamelijk door bedrijven gehanteerd worden die de standaard in de software inbouwen. De standaard is zeker van belang voor de interoperabiliteit van de overheid, maar hoe de standaard bijdraagt aan de interoperabiliteit van de overheid is aan een niet-technisch publiek lastig te communiceren.
De standaard wordt door de Europese Technical Committee Electronic Signatures and Infrastructures (TC ESI) beheerd en het beheer is open; de ledenlijst van de werkgroep bestaat voor een groot deel uit marktpartijen. Er wordt vanuit diverse Nederlandse (markt-
)partijen op de ontwikkeling van de standaard aangehaakt. Er zijn kosten verbonden aan het lidmaatschap, die voor sommige partijen een belemmering zouden kunnen vormen zich actiever met deze standaard te bemoeien. De (Nederlandse) overheid is niet inhoudelijk actief betrokken, maar wel zijn het Ministerie van Economische Zaken en Logius lid van de ETSI. Dit vooral vanuit een beleidsmatige behoefte. De TC ESI denkt ook mee over de standaarden voor vertrouwensdienstverleners (Trust Service Providers of TSP’s), de certificaten en de common interfaces voor de (ondertekening als onderdeel van) elektronische wallets.
Het ETSI (daarbinnen TC ESI) standaardisatieproces is open, de producten zijn vrij van intellectueel eigendom beschikbaar, er zijn volgens de experts voldoende mogelijkheden voor inspraak tijdens het beheerproces en de onafhankelijkheid en duurzaamheid van de standaardisatieorganisatie zijn geborgd.
Op dit moment is er geen Nederlandse overheid in de ‘regierol’ voor het beheer van de standaard op de lijst. Voor de Nederlandse regierol is er vooral behoefte aan een partij die ook de rol van onafhankelijk kennishouder op zich kan en wil nemen. Het blijkt lastig een contactpunt te vinden binnen het Ministerie van BZK. Het Ministerie heeft ook geen inbreng geleverd in voorliggend onderzoek. Het Ministerie van EZ, dat nu al betrokken is bij het beheer door de TC ESI, zou rol in kunnen spelen als regiepartij. Daarnaast het de Kamer van Koophandel veel kennis in huis over implementatie en gebruik van de elektronische handtekening. Experts noemen verder ECP genoemd als mogelijke geschikte kennishouder of regiepartij. Uit het onderzoek komt de suggestie naar voren om een community op te zetten met een aantal betrokken partijen, van waaruit de kennis- en regierol verder vorm kan krijgen. Experts geven aan dat het belangrijk is dat in ieder geval een partij bij het beheer betrokken wordt die ‘met de voeten in de klei’ staat en zelf digitale ondertekening toepast. Doordat de regierol niet is ingevuld, verwijst de ‘pas toe of leg uit’-lijst naar een inmiddels verouderde versie van de standaard.
2.2.5. Opname op de lijst
Opname op de lijst van Ades Baseline profiles staat niet ter discussie.
De AdES Baseline Profiles worden breed gedragen door alle experts die we hebben gesproken. Ze zijn niet wettelijk verplicht (voor de verzender) in Nederland. Wel wordt door experts die betrokken zijn bij de TC ESI verwacht dat ze het European Digital Identity (EUDI) amendement op de eIDAS verordening een stevigere plek zullen krijgen in het landschap: het is de facto, niet per se de jure, de enige standaard. Zie voor meer informatie over deze ontwikkeling ook paragraaf 2.2.7. Omdat met name bij
geavanceerde ondertekening nog niet alle dienstenleveranciers zich conformeren aan de standaard, heeft opname op de lijst meerwaarde.
2.2.6. Status adoptie adviezen
Onderstaande tabel toont de adoptie-adviezen uit het Forumadvies van 10 maart 2017. Hieronder volgt er per adoptieadvies een statusupdate.
Advies | Status | |
---|---|---|
1. | Aan de indiener om te vragen te starten met het verzamelen van best practices en hierbij betrokken partijen het verzoeken zich kenbaar te laten maken als kennisbron met betrekking tot de AdES standaarden. | Het Ministerie van BZK heeft aan dit advies geen opvolging gegeven. Er zijn overigens wel best practices beschikbaar, bijvoorbeeld zoals te vinden in de VNG handreikingelektronische handtekeningen. Gezien de behoefte aan een kennisrol is dit advies nog steeds relevant. |
2. | Aan de indiener om met de stakeholders bepalen of er behoefte is aan een onderzoek naar aanvullende standaarden voor het beschrijven van tijdstempelautoriteiten. |
Het Ministerie van BZK heeft aan dit advies geen opvolging gegeven, het is niet bekend waarom dit niet is gebeurd. Experts geven aan dat dit advies inmiddels niet meer relevant is. |
3. | Aan PKI Overheid om over te gaan op onderzoek naar mogelijkheden voor aanpassing van de middelen om tijdstempels te ondersteunen bij het gebruik van een PKI certificaat. | Logius schetst dat in 2018/2019 voorbereidingen getroffen zijn om uitgifte van tijdsstempels binnen PKIoverheid mogelijk te maken. (Trusted) timestamping is in scope voor de volgende generatie PKIoverheid certificaten (G4). Deze is momenteel voorzien voor medio 2024. |
4. | Aan het Forum Standaardisatie om te vragen om over twee jaar na opname van de standaard te beoordelen of de kwantitatieve behoefte aan de standaard voldoende aanwezig is en hoe de adoptie van de verloopt. | In de vorm van de huidige evaluatie, die overigens na zes jaar plaatsvindt. |
5. | Aan het Forum Standaardisatie om bij opnamen een toelichting op te nemen, waarbij het verschil en de overeenkomst tussen een gewone (ook wel natte) handtekening, een elektronische handtekening, een geavanceerde en een gekwalificeerde elektronische handtekening wordt uitgelegd met een verwijzing naar artikel 15a Boek 3 van het Burgerlijk wetboek en de Richtlijn 1999/93/EG van het Europees Parlement. | De toelichting is niet opgenomen. Het onderzoek heeft niet duidelijk gemaakt waarom dit niet gebeurd is. Het advies is nog steeds relevant. Ter inspiratie kan goed gebruik gemaakt worden van de handreiking van de VNG |
Tabel 2 - Status adoptieadviezen
2.2.7. Lopende ontwikkelingen
Uit het onderzoek komt het algemene beeld naar voren dat het gebruik van elektronische geavanceerde en gekwalificeerde handtekeningen toeneemt en verder zal toenemen. De AdES Baseline Profiles hebben daarbij als volwassen standaard een stevige plek ingenomen, maar aansturen op brede adoptie blijft nodig.
Drie ontwikkelingen springen in het oog. De eerste is dat ook in het system-to-system verkeer steeds hogere eisen aan betrouwbaarheid van gegevens worden gesteld, en dat dergelijk berichtenverkeer naa verwachting steeds meer de communicatie via documenten gaat vervangen. Binnen dit system-to-system verkeer is er behoefte om langjarig rechtsgeldigheid van overeenkomsten, machtigingen en afspraken te borgen. Het system-to-system verkeer richt zich ook op andere content stromen, zoals streaming data en rich content (afbeeldingen, video, audio). Eenduidige toepassing van de standaard is nodig om te borgen dat dit verkeer inderdaad met de gewenste interoperabiliteit kan plaatsvinden. De grote uitdaging in Nederland, is het system-to- system berichtenverkeer op een gestandaardiseerde manier in te richten. Daarbij zijn er volgens een expert twee belangrijke pijlers:
- Kennisplatform API’s
- het ETSI framework
Naast deze pijlers gericht op (ontwikkeling van) standaarden zien experts afsprakenstelsels ontstaan als Zorgeloos Vastgoed en Trusted Information Partners (TIP), waarin bijvoorbeeld signature policies worden vastgesteld met bijbehorende afspraken over processen, gegevens en de techniek binnen de ETSI-kaders.
Een tweede ontwikkeling speelt op Europees niveau. Het European Digital Identity (EUDI) amendement op de eIDAS verordening krijgt zeker gevolgen voor het gebruik van Advanced Electronic Signatures (AES) of Qualified Electronic Signature (QES). Als de QES onderdeel wordt van de Europese Digitale Identiteit (EDI) wallet zal het gebruik van elektronische handtekeningen naar verwachting snel toenemen. De vraag in hoeverre verplichtingen met betrekking tot de standaard worden gespecificeerd in de verordening kan van invloed zijn voor de plek van de standaard op de lijst.
De derde ontwikkeling is de Wet modernisering elektronisch bestuurlijk verkeer (Wmebv), die naar verwachting op 1 juli 2024 inwerking treedt. Deze wet schrijft voor dat burgers voor een aantal producten en diensten digitaal zaken moeten kunnen doen met de overheid. Voor een aantal diensten en producten geldt een eIDAS ‘substantieel’ of ‘hoog’ betrouwbaarheidsniveau – waarmee toepassing van de geavanceerde of gekwalificeerde ondertekening aan de orde is.
2.3. Conclusies en aanbevelingen
2.3.1. Conclusies
Er is voldoende aanleiding om de AdES Baseline Profiles op de ‘pas toe of leg uit’-lijst te handhaven. Omdat de toepassing van de handtekening zich zowel in aantal als inhoudelijk bereik uitbreidt, is het organiseren van een Nederlandse regierol een zeer wenselijke stap.
Toepassingsgebied
Het functioneel toepassingsgebied is in de basis correct geformuleerd maar er ontbreekt inmiddels een aantal bestandsformaten. Vanwege de lopende ontwikkelingen is het wenselijk het functioneel toepassingsgebied ter herzien met aandacht voor een duurzame oplossing voor het toevoegen van relevante bestandsextensies en een
formulering volgens ideaaltypische syntactische structuur (set regels over het formuleren van het functioneel toepassingsgebied bij een standaard op de lijst open standaarden).
Toegevoegde waarde
De toegevoegde waarde van de Ades Baseline profiles-standaard op de ‘pas toe of leg uit’-lijst voor de digitale overheid staat niet ter discussie. Het antwoord op de vraag die vooraf gaat aan de eventuele toepassing van AdES Baseline Profiles, namelijk welk niveau van betrouwbaarheid nodig is in welk proces (en tegen welke kosten), is nog niet altijd eenduidig.
Draagvlak
Het draagvlak voor de standaard op de ‘pas toe of leg uit’-lijst onder experts is hoog. De adoptie van elektronische handtekeningen is (in Nederland) nog vrij beperkt, maar waar ze worden toegepast is de adoptie van de standaard hoog voor gekwalificeerde handtekeningen en vrij hoog voor geavanceerde handtekeningen. De specifieke kennis voor het inrichten van het proces van elektronische ondertekening conform AdES Baseline Profiles is vrij schaars en zit veelal bij kleinere partijen.
Beheer
De standaard wordt actief beheerd door ETSI (specifiek: de TC ESI) en het beheerproces is open. In Nederland is er bij de overheid geen organisatie die regie voert op het gebruik van AdES Baseline Profiles door kennis en ervaring te bundelen, de adoptie te monitoren en gebruikerseisen naar ETSI terug te koppelen. Dit belemmert het stimuleren van adoptie en het verzamelen van gebruiksgegevens voor de Monitor Open Standaarden. Er is bij bijvoorbeeld de Belastingdienst behoefte aan een regierol, in het bijzonder het onderdeel van kennisverspreiding en kennisuitwisseling. Het Ministerie van BZK heeft geen invulling gegeven aan de regierol. Het Ministerie van EZ is beleidsmatig betrokken en zou wellicht een rol kunnen spelen, de Kamer van Koophandel is een belangrijke kennishouder. Het invullen van de rol is van belang omdat de standaard relevant is in, en zich verder ontwikkelt in samenhang met, lopende ontwikkelingen (de Europese Digitale Identiteit (EUDI) op Europees vlak, de Wet modernisering elektronisch bestuurlijk verkeer (Wmbev) in Nederland).
Opname op de ‘pas toe of leg uit’-lijst
Opname op de ‘pas toe of leg uit’-lijst blijft zinvol. Er is geen wettelijke verplichting voor de standaard, en stimulering van de adoptie blijft van belang om interoperabiliteit in het zich snel ontwikkelende toepassingsgebied (gezien de lopende ontwikkelingen) te borgen.
Status adoptieadviezen
Het gebrek aan de regierol heeft eraan bijgedragen dat aan de adoptieadviezen niet of nauwelijks gehoor is gegeven. De adviezen zijn nog relevant, met uitzondering van het advies over tijdstempelautoriteiten.
Lopende ontwikkelingen
De wereld van geavanceerde en gekwalificeerde elektronische ondertekening is volop in ontwikkeling. De belangrijkste ontwikkelingen zijn:
- De toename van het system-to-system (berichten-)verkeer met een steeds breder palet aan content (naast documenten, rapporten ook streaming en rich content) en de steeds hogere betrouwbaarheidseisen daaraan.
- Onder het EUDI amendement op de eIDAS verordening wordt de EDI-wallet ingevoerd. De gekwalificeerde elektronische handtekening heeft daar een plek in; dit zal de dynamiek rond elektronisch ondertekenen beïnvloeden en het
gebruik er van doen toenemen. De vraag in hoeverre verplichtingen met betrekking tot de standaard worden gespecificeerd in de verordening kan van invloed zijn voor de plek van de standaard op de lijst.
- De inwerkingtreding van de Wmebv in 2024 schrijft voor dat burgers voor een aantal producten en diensten digitaal zaken moeten kunnen doen met de overheid. Voor een aantal diensten en producten geldt een eIDAS ‘substantieel’ of ‘hoog’ betrouwbaarheidsniveau. Toepassing van AdES Baseline Profiles is daarbij relevant.
2.3.2. Aanbevelingen
De onderzoekers van InnoValor Advies die deze evaluatie uitvoerden, komen op basis van het uitgevoerde onderzoek tot de volgende adviezen aan het Forum Standaardisatie:
- Een procedure te starten om het functioneel toepassingsgebied te herzien met aandacht voor het toevoegen van relevante bestandsextensies.
- In gesprek gaan met Ministerie van Binnenlandse Zaken en Koninkrijksrelaties over de regierol op AdES Baseline Profiles gezien Ministerie van Binnenlandse Zaken en Koninkrijksrelaties de aanmelder van AdES Baseline Profiles op de ‘pas toe of leg uit’- lijst is geweest.
- In samenwerking met het Ministerie van BZK, Ministerie van EZ en Kamer van Koophandel (als belangrijke kennishouder) en wellicht ECP onderzoeken waar de regierol voor AdES Baseline Profiles binnen de Nederlandse overheid het beste is belegd en hierover adviseren. Betrek in het gesprek over de regierol de kans om een ‘community’ vorm te geven van partijen die kennis hebben over dit Experts geven aan dat het belangrijk is dat in ieder geval een partij bij het beheer betrokken wordt die ‘met de voeten in de klei’ staat en zelf digitale ondertekening toepast. Betrek in het gesprek over de regierol de kans om een ‘community’ vorm te geven van partijen die kennis hebben over dit onderwerp.
- Er is met name op Europees vlak volop ontwikkeling op het vlak van elektronisch ondertekenen. Het advies is om tussen de twee en vier jaar de standaard opnieuw te
- Alsnog het adoptie-advies ten uitvoer brengen om om op de 'pas toe of leg uit' lijst een duidelijker uitleg te geven over het verschil en de overeenkomst tussen een gewone (ook wel natte) handtekening, een elektronische handtekening, een geavanceerde en een gekwalificeerde elektronische handtekeningmet een verwijzing naar artikel 15a Boek 3 van het Burgerlijk wetboek en de Richtlijn 1999/93/EG van het Europees
Zodra de regierol van de AdES Baseline Profiles belegd is binnen de Nederlandse overheid, zijn de volgende aanbevelingen gericht aan de partij die de regierol op zich neemt:
- Onderzoek de suggestie van een (overheids-)expert om te overwegen meer standaarden uit het ETSI-framework voor elektronische ondertekening op de lijst open standaarden te zetten, omdat voor het inrichten van de keten rond gekwalificeerde handtekeningen en zegels meer nodig is dan alleen de AdES Baseline Profiles.
- Alsnog het adoptie-advies ten uitvoer brengen om te starten met het verzamelen en publiceren van best practices en hierbij betrokken partijen verzoeken zich kenbaar te laten maken als kennisbron met betrekking tot de AdES standaarden. Dit met name omdat de markt vrij beperkt is en kennis schaars.
- Bepaal of nut en noodzaak van het adoptie-advies met betrekking tot tijdstempelautoriteiten nog actueel is.
- Zet actualiseren van de versie van de standaard op de lijst open standaarden in gang via het aanmelden van de nieuwe versie bij het Forum Standaardisatie. De huidige versie van AdES Baseline Profiles loopt niet synchroon met de versie op de lijst open