In de praktijk is er nog wel eens onduidelijkheid over de verschillende soorten handtekeningen, vooral welke wettelijke vereisten er zijn voor diverse doeleinden. Er wordt in de Europese wetgeving een duidelijk verschil gemaakt tussen een gewone elektronische handtekening, geavanceerde elektronische handtekening en een gekwalificeerde elektronische handtekening.
Gewone elektronische handtekening
De gewone elektronische handtekening is een handtekening die is gekoppeld aan elektronische gegevens, bijvoorbeeld een document of een e-mail. Denk aan een gescande gewone handtekening. De gewone elektronische handtekening voldoet meestal niet aan het vereiste ‘voldoende betrouwbaar’. Dit type handtekening is namelijk vrij makkelijk te vervalsen. Wel hangt ook dit af van de omstandigheden waarover in de wetgeving wordt gesproken.
Geavanceerde elektronische handtekening
De geavanceerde elektronische handtekening voldoet aan de vereisten zoals genoemd in artikel 26 van de eIDAS-verordening. Deze eisen zijn:
- Is op unieke wijze aan de ondertekenaar verbonden;
- Maakt het mogelijk de ondertekenaar te identificeren;
- Komt tot stand met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken en;
- Op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord. De geavanceerde elektronische handtekening kan op laagdrempelige manier worden toegepast op de meeste documenten. Zowel de verzender als de ontvanger kan elektronisch tekenen, zodat het hele ondertekenproces veilig digitaal wordt afgehandeld.
Geavanceerde elektronische handtekeningen, net zoals handgeschreven handtekeningen, zijn uniek voor elke ondertekenaar. ValidSign volgt een specifiek protocol, genaamd PKI. PKI vereist dat de provider een wiskundig algoritme gebruikt om twee te genereren lange nummers, genaamd sleutels. Eén sleutel is openbaar, en één sleutel is privé. Wanneer een ondertekenaar een digitale handtekening zet wordt deze gemaakt met behulp van de private sleutel van de ondertekenaar, die altijd veilig wordt bewaard door de ondertekenaar. Het wiskundige algoritme fungeert als een cryptograaf, waarbij gegevens worden gecreëerd die overeenkomen met de getekend document, een hash, en deze data encrypten. De resulterende gecodeerde gegevens vormen de digitale handtekening. De handtekening bevat ook het tijdstip waarop het document wordt ondertekend. Als het document wordt gewijzigd na het ondertekenen is de digitale handtekening ongeldig.
De gekwalificeerde handtekening
Een gekwalificeerde elektronische handtekening is een handtekening met een gekwalificeerd certificaat. Dit certificaat kan digitaal aan het document worden toegevoegd (met gebruikmaking van een ondertekendienst zoals ValidSign). Certificaten worden uitgegeven door zogenaamde certificaatdienstverleners. Het certificaat dat de meeste accountantskantoren wel kennen is het PKI overheid-certificaat (beroepscertificaat waaruit blijkt dat de AA/RA Accountant is ingeschreven bij de NBA). In enkele gevallen zoals bij het deponeren van jaarstukken (SBR Assurance) dient ondertekend te worden met een gekwalificeerd certificaat.