image

Digitale handtekening rechters voldoet niet altijd aan wet

dinsdag 30 april 2019, 16:30 door Redactie, 5 reacties

Sinds maart vorig jaar worden uitspraken in asiel- en bewaringszaken digitaal door rechters en griffiers ondertekend, maar dit gebeurt in sommige gevallen niet volgens de wet. Er wordt namelijk niet altijd voldaan aan de vereiste van de tweefactorauthenticatie, zo oordeelde de Raad van State vandaag.

De identiteit van een ondertekenaar kan alleen aan een uitspraak worden verbonden als deze zich via tweefactorauthenticatie heeft geauthenticeerd. De Raad van State stelt nu dat als de ondertekenaars van de uitspraak gebruikmaken van een mobiele of vaste werkplek van de Rechtspraak niet wordt voldaan aan het vereiste van de tweefactorauthenticatie.

In de eerste situatie bij een mobiele werkplek wordt bijvoorbeeld twee keer dezelfde authenticatiemethode gebruikt. Bij het gebruik van een vaste werkplek is het gebruik van de Rijkspas om toegang te krijgen geen authenticatiemethode, aldus de Raad van State. Wanneer rechters en griffiers gebruikmaken van de eigen mobiele werkplek wordt wel aan de wettelijke eisen voldaan.

Aan de uitspraken van de rechtbank is niet te zien van welke werkplek de rechter en de griffier bij de ondertekening gebruik hebben gemaakt. Daardoor is het onduidelijk of ze zich hebben geauthenticeerd via een middel dat uitgaat van tweefactorauthenticatie. De Rechtspraak gaat nu de werkwijze aanpassen.

Tot de benodigde aanpassingen zijn doorgevoerd worden rechters en griffiers in het geval er een bezwaar is gemaakt over de digitale ondertekening van de uitspraak gevraagd om te verifiëren dat zij de ondertekenaars zijn. Tevens hebben de rechtbanken besloten om uitspraken voor de zekerheid ook weer met een 'natte handtekening' te ondertekenen. De uitspraak van de Raad van State heeft geen rechtsgevolgen voor al gedane uitspraken.

Reacties (5)
30-04-2019, 19:16 door Anoniem
Dit klinkt als ontzettend geknutsel door een bende gebruikers die niet weten waar de klepel hangt. Het mannetje dat de rechtspraak een paar jaar terug heeft ingehuurd om dit allemaal te regelen snapte het kennelijk toch niet zo, hm? Mischien de wetgever zelf ook niet echt, want "tweefactor" is dan wel een courant buzzword, het betekent op zich maar weinig.
30-04-2019, 20:37 door Anoniem
Afz FB
Bijzonder. Het is allemaal niet zo moeilijk.
Gewoon een gekwalificeerde handtekening gebruiken. Volgens eIDAS. dan is er geen enkele twijfel meer. Dan is de geldigheid van de digitale handtekening bij wet geregeld. dan hoef je dus ook niet bij te houden vanaf welke werkplek een digitale wilsuiting wordt gegeven. Is gelijk heel de discussie platgeslagen.
01-05-2019, 08:35 door karma4
Door Anoniem: Dit klinkt als ontzettend geknutsel door een bende gebruikers die niet weten waar de klepel hangt. Het mannetje dat de rechtspraak een paar jaar terug heeft ingehuurd om dit allemaal te regelen snapte het kennelijk toch niet zo, hm? Mischien de wetgever zelf ook niet echt, want "tweefactor" is dan wel een courant buzzword, het betekent op zich maar weinig.
Eerder gepruts door ICT nerds. Er is een bekende deskundige bij gehaald. B.de Winter. er zijn drie gevallen met een werkplek voor de handtekening uitgewerkt. Onbekend was welke werkplek gebruikt was. Lees het rechterlijk document..

Als je niet weet vanaf welke werkplek / machine iets heeft plaatsgevonden lijkt me dat een bevinding op zich. De verplichte logging / telemetry is dat punt niet op orde. De drie wijzen met werkplekken:
- Thuiswerkplek user/password met SMS bevestiging, Deze voldoet aan een basis 2fa eis.
- Vaste werkplek in een afgesloten ruimte (toegang gebouw). Alleen een userid-password.
De toegang tot het gebouw geld niet als een extra factor bij het aanmelden en werken.
Dat voldoet niet aan een 2fa eis, dat is volgens mij zeer terecht.
- Een tijdelijke flexplek een apparaat wat meegegeven wordt waar de gebruiker zelf een wachtwoord voor kiest.
Het wachtwoord voor het apparaat geldt niet als een extra factor naast het user-id wachtwoord. Dat is volgens mij terecht.
Was het apparaat zelf een factor geworden (tracking gebruik) dan ligt dat denk ik anders.

Door Anoniem: Afz FB
Bijzonder. Het is allemaal niet zo moeilijk. gewoon een gekwalificeerde handtekening gebruiken. Volgens eIDAS.
Dan moet de ICT dat wel in de betreffende applicaties inbouwen.
eIDAS was toch voor burgers binnen de EU bedoeld om met overheden te werken? Afijn het verschil is niet wezenlijk.
01-05-2019, 09:28 door Anoniem
Door karma4:
Door Anoniem: Dit klinkt als ontzettend geknutsel door een bende gebruikers die niet weten waar de klepel hangt. Het mannetje dat de rechtspraak een paar jaar terug heeft ingehuurd om dit allemaal te regelen snapte het kennelijk toch niet zo, hm? Mischien de wetgever zelf ook niet echt, want "tweefactor" is dan wel een courant buzzword, het betekent op zich maar weinig.
Eerder gepruts door ICT nerds. Er is een bekende deskundige bij gehaald. B.de Winter.

B. is eerder bekend dan deskundig. Dat levert vaak tegenstrijdige of zelfs onmogelijke werkwijzen op.

er zijn drie gevallen met een werkplek voor de handtekening uitgewerkt. Onbekend was welke werkplek gebruikt was. Lees het rechterlijk document..

Als je niet weet vanaf welke werkplek / machine iets heeft plaatsgevonden lijkt me dat een bevinding op zich. De verplichte logging / telemetry is dat punt niet op orde. De drie wijzen met werkplekken:
- Thuiswerkplek user/password met SMS bevestiging, Deze voldoet aan een basis 2fa eis.

SMS voldoet tegenwoordig niet meer.

- Vaste werkplek in een afgesloten ruimte (toegang gebouw). Alleen een userid-password.
De toegang tot het gebouw geld niet als een extra factor bij het aanmelden en werken.
Dat voldoet niet aan een 2fa eis, dat is volgens mij zeer terecht.

Ja, maar dat is zeer lastig bij de mensen tussen de oren te krijgen. Ik zie dat bij ons ook. "Overal mag 2FA, maar niet op mijn werkplek op kantoor." Terwijl diezelfde mensen hun PC niet locken als ze even weglopen. Zelfs niet in de gebouwen waar derden vrij rondlopen.

Onze netwerkbeheerders zeggen zelfs "het IP-adres van mijn werkplek is de tweede factor." :(

- Een tijdelijke flexplek een apparaat wat meegegeven wordt waar de gebruiker zelf een wachtwoord voor kiest.
Het wachtwoord voor het apparaat geldt niet als een extra factor naast het user-id wachtwoord. Dat is volgens mij terecht.
Was het apparaat zelf een factor geworden (tracking gebruik) dan ligt dat denk ik anders.

Peter
01-05-2019, 09:36 door Tom van Bolhuis
Waarom wordt er in het artikel helemaal nergens gesproken over het niveau van de elektronische handtekening die gebruikt wordt? Dat er wel of geen twee-factor authenticatie wordt gebruikt op de systemen waar ook ondertekend wordt zegt op zich vrij weinig.

Aangezien de identiteit van de ondertekenaar geverifieerd moet worden aan de hand van externe gegevens betreft het hier blijkbaar de geavanceerde elektronische handtekening. Volgens het burgerlijk wetboek is dit niveau pas rechtsgeldig als de methode voor ondertekening die gebruikt is, voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische handtekening is gebruikt en op alle overige omstandigheden van het geval.

Aangezien het doel het ondertekenen van een gerechtelijke uitspraak betreft, lijkt mij de geavanceerde handtekening hier dus überhaupt niet op zijn plaats!

Er dient hier ondertekend te worden met een gekwalificeerd persoonlijk certificaat uitgegeven door een gekwalificeerde verlener van vertrouwensdiensten (QTSP), volgens eIDAS. Over de gekwalificeerde certificaten is het wetboek namelijk wel vrij duidelijk: deze heeft hetzelfde rechtsgevolg als de handgeschreven handtekening.

Er zijn inmiddels voldoende slimme en veilige innovaties beschikbaar om de gekwalificeerde handtekening op een makkelijke en snelle manier te kunnen gebruiken, zelfs in de Cloud. Kijk bijvoorbeeld maar eens naar PKIsigning en soortgelijke initiatieven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.