De handtekening van de toekomst: de implementatie van de Gekwalificeerde Digitale Handtekening voor veilige en betrouwbare transacties bij ING REF 

Waar moet je aan denken bij het implementeren van Gekwalificeerde Digitale handtekeningen in de zakelijke omgeving? Tips vanuit een best practice van ING Real Estate Finance.

Auteur: Paul Staal

Dit artikel is bedoeld om de inzichten die ING REF NL bij de implementatie van de gekwalificeerde elektronische handtekening (conform eIDAS regulering)  heeft verkregen te delen. Uiteindelijk draait het bij een handtekening om de relatie. Wie heeft er getekend? Mocht deze persoon in deze situatie wel tekenen? Met hoeveel zekerheid moet dit kunnen worden vastgesteld? Deze vragen worden in een digitale wereld steeds belangrijker. Ook omdat er voor afname van producten en diensten steeds minder fysiek contact is. Fraude en diefstal kunnen zo met een paar muisklikken worden gerealiseerd.

Digitale handtekeningen zijn er in vele soorten en maten. Allemaal hebben ze tot doel om op een digitale, snelle en veilige manier digitale documenten rechtsgeldig te kunnen ondertekenen. Partijen hoeven niet meer fysiek bij elkaar te komen en dit zorgt ervoor dat  processen snel en efficiënt kunnen verlopen en worden vervolgd. Maar eerst iets over REF en achtergrond:

 

ING Real Estate Finance

ING Real Estate Finance (ING REF) is een onderdeel van de wereldwijd opererende ING Groep. Deze best practice komt vanuit de Nederlandse tak van ING REF. ING REF richt zich op vastgoedfinanciering voor de zakelijke markt met financieringen in commercieel vastgoed. ING REF heeft een eigen change organisatie die zich richt op verbetering van producten, processen en systemen. Zij realiseerde als eerste partij in de wereld dat zakelijke vastgoed taxateurs een taxatierapport in het zogenaamde XBRL format met een Gekwalificeerde Handtekening konden aanleveren. Hierna werd ook aan haar klanten de mogelijkheid geboden om informatie voorzien van een Gekwalificeerde Handtekening aan te leveren.

Linda Kuipers
Head of customer loyalty ING REF NL

Bij implementaties van nieuwe producten en processen zijn binnen ING veel afdelingen betrokken: Information Risk Management, Operational Risk Management, Legal, Compliance en soms ook Procurement.

 

“Het makkelijker maken van digitaal ondernemen en tegelijk de betrouwbaarheid op het allerhoogste veiligheidsniveau garanderen. Dat is waarom ik de implementatie van de gekwalificeerde digitale handtekening in onze REF processen zo belangrijk vindt.”

 

 

Achtergrond bij eIDAS

Voor veel bedrijven, overheidsdiensten en particulieren is niet duidelijk wat de verschillen zijn tussen de manieren van digitaal tekenen. Er zijn veel verschillende methodes met verschillende niveaus van zekerheid dat de handtekening rechtsgeldig is verbonden. Dit is anders dan in de fysieke wereld, waar met een natte handtekening altijd duidelijk is wie heeft getekend. In 2014 werd daarom op initiatief van de Europese Commissie de eIDAS (Electronic Identities And Trust Services) richtlijn gepubliceerd.

Deze richtlijn beschrijft de verschillende betrouwbaarheidsniveaus in het digitale zaken doen. Alle lidstaten van de Europese Unie hebben afgesproken om deze zelfde betrouwbaarheidsniveaus te hanteren en eenzelfde onderlinge digitale infrastructuur te bieden.

De eIDAS standaarden bieden meer dan alleen de optie om digitaal te tekenen, maar in dit artikel wordt alleen op de gekwalificeerde timestamp, op welk moment werd de handtekening gezet, ingegaan. De andere opties worden hier niet uitvoerig behandeld.

De basis van de meeste digitale tekenmiddelen zijn certificaten. Het soort certificaat en de veiligheid die er aan toe wordt gekend zit in de controle die wordt uitgevoerd door de certificaat uitgevende instantie en de manier waarop het certificaat wordt gebruikt. Onder de eIDAS standaard zijn er drie niveaus van digitaal tekenen:

  1. Simpele elektronische handtekening. Denk aan een visuele krabbel onderaan een PDF-document of een naam onderaan een e-mail. Hierbij is de identiteit van de ondertekenaar niet gecheckt en is niet na te gaan of de ondertekenaar daadwekelijk ook de gebruiker van de handtekening is. Na ondertekening kan het document nog worden gewijzigd. Als er discussie ontstaat over of de handtekening wel valide is, ligt de juridische bewijslast bij de afzender (gebruiker).
  2. Geavanceerde elektronische handtekening (AdES). Hierbij is er een controleerbare koppeling met de identiteit van de ondertekenaar, met enige mate van zekerheid. Technisch moet zijn gecontroleerd dat de ondertekenaar ook daadwerkelijk de gebruiker is van het systeem waarmee is ondertekend. De gebruiker moet een middel hebben waarop het certificaat dat gebruikt wordt is gepubliceerd. Na ondertekening kan de inhoud van het bericht niet meer worden gewijzigd. Als er discussie ontstaat over of de handtekening wel valide is, ligt ook hier de juridische bewijslast bij de afzender (gebruiker).
  3. Gekwalificeerde elektronische handtekening (QES). Dit is een uitbreiding op AdES. De zekerheid over de identiteit van wie het ondertekeningsmiddel is, is tegen de hoogste normen vastgesteld op basis van en paspoort of identiteitskaart in combinatie met een live interview. Het biedt een grote mate van zekerheid dat de ondertekenaar ook daadwerkelijk de gebruiker van de handtekening is. De gebruiker moet een middel hebben waaraan het gebruikte certificaat is gekoppeld. Als er discussie ontstaat over of de handtekening valide is, ligt de juridische bewijslast bij de ontvanger en niet bij de gebruiker.

 

In Nederland houdt de Rijksinspectie Digitale Infrastructuur toezicht op de partijen die Gekwalificeerde eIDAS producten mogen uitgeven.

 

ING REF en de Gekwalificeerde Handtekening voor de klant

Waarom eIDAS implementeren?

ING is al langere tijd betrokken bij publiek/private initiatieven die standaardisatie mogelijkheden bevorderen zoals het Standard Business Reporting Programma. Daarnaast is het samenwerkingsverband Trusted Information Partners (TIP) in het leven geroepen. Dit is een initiatief dat zich in eerste instantie richt op het breed beschikbaar maken van de Gekwalificeerde Handtekeningen voor de Nederlandse markt. ING REF heeft gekozen om in TIP te participeren om dat er een duidelijke businesscase is. Deze businesscase is voor alle partijen in min- of meerdere mate van toepassing. REF start de businesscase bij de digitale handtekening voor de klant.

Klantvoordelen zijn:

  • De standaard is Europees en wordt in de EU door alle overheden geaccepteerd. Het is dus geen ING oplossing die alleen te gebruiken is bij (een deel van de) ING processen.
  • Verwerkingsprocessen kunnen Straight Through worden gemaakt, met geautomatiseerde handtekening validatie waardoor het proces sneller verloopt.
  • Er hoeft door een klant niet geparafeerd te worden op alle pagina’s van een document.
  • Partijen hoeven niet meer te printen, te ondertekenen en dan te scannen en op te sturen.
  • De gekwalificeerde elektronische handtekening is het hoogste niveau van digitaal tekenen. Klanten hoeven niet na te denken over de complexe risico-inschattingen en configuraties die horen bij simpele of geavanceerde elektronische handtekeningen
  • Meerdere partijen kunnen tegelijkertijd ondertekenen onafhankelijk van waar de partij zich fysiek bevindt.


Compliance voordelen:

  • De handtekening is op voorhand valide en er hoeft in geval van dispuut niet achteraf gecheckt te worden.
  • De combinatie met een gekwalificeerde time stamp voorkomt dat er geantidateerd kan worden.
  • Fraude risico’s nemen af.


Procesvoordelen:

In het proces kan mogelijk een besparing in FTE’s worden gerealiseerd. Andere processen kunnen op termijn veranderen (‘klant worden’ proces, niet meer legitimeren op kantoor, mandaatmanagement, KYC processen etc.)

De businesscase kan ook worden gemaakt voor het zetten van een Gekwalificeerde Handtekening door medewerkers van de bank. Eventueel kan dit gecombineerd worden met voorwaarden en disclaimers in de vorm van een Signature Policy. Hierin kan worden uitgelegd waarvoor een medewerker mag tekenen, waar verantwoordelijkheden liggen en hoe  het proces van tekenen verloopt.

Overwogen kan worden om naast de handtekening van de medewerker ook een gekwalificeerde elektronische zegel te plaatsen. Zo’n zegel kan niet gebruikt worden als plaatsvervanger van een handtekening op een contract, maar wel voor algemene communicatie (bijvoorbeeld generieke tariefswijzigingen). Een gekwalificeerde elektronische zegel geeft zekerheid over de afzendende organisatie. Zegels zijn een onderdeel van het eIDAS stelsel. In dit artikel zal niet verder op deze elementen worden ingegaan.

De businesscase voor het gebruik van eIDAS standaarden in de zakelijke omgeving geldt in meer of mindere mate voor alle partijen die starten met de implementatie hiervan. Belangrijk is welke partij binnen de organisatie verantwoordelijkheid neemt voor de businesscase. Meestal is dat de partij die het meeste last heeft van een probleem dat moet worden opgelost.

 

Plan van aanpak

Veel initiatieven binnen bedrijven starten met een businessprobleem, een te implementeren eis van een toezichthouder of een strategische kans. Kosten kunnen worden bespaard en/of risico’s verminderd. Kortom: er wordt een doel geformuleerd. Het te definiëren business probleem inclusief de scope en de business case (zowel kwantitatief als kwalitatief) bepalen of het project wordt geïnitieerd.

Discussiepunten voorafgaand aan de start van het project bij ING REF waren:

  • Welk organisatie onderdeel en welke manager wil dit project van de grond tillen?
  • Past het project bij de strategie ( “ja”, want digitaliseren en het bedrijf safer en compliant maken zijn belangrijke doelen)?
  • Over welke documenten waar op getekend moet worden gaat het?
  • Welke klant- en medewerkersprocessen zijn in scope?
  • Welke elementen van de eIDAS standaard willen we implementeren (focus bij ING REF lag in eerste instantie of de handtekening van de klant)?
  • Gaat de eIDAS technologie zelf ontwikkeld worden of kopen we het in (QTSP selectie)?
  • Wat mag de doorlooptijd van het project zijn?
  • Hoeveel gaat het kosten­?

Een deel van deze vragen komt altijd naar voren als een project wordt gestart. Bij ING REF is er voor gekozen om niet de eIDAS standaarden zelf te ontwikkelen maar gebruik te maken van de diensten van een Qualified Trusted Service Provider. Dit zijn de leveranciers van vertrouwensdiensten. De lijst van beschikbare QTSP’s is te vinden op https://eidas.ec.europa.eu/efda/tl-browser/#/screen/home.

 

Tender

ING REF koos ervoor om met behulp van de inzet van ING Procurement Nederland een tender uit te schrijven. De kosten en doorlooptijd om zelf eIDAS kennis op het niveau van een QTSP te verwerven werd als te duur en te omslachtig beschouwd. Belangrijke elementen waarop geselecteerd werd:

  • Ervaring met banken
  • Solvabiliteitspositie van de QTSP
  • Kosten per certificaat
  • Kosten per handtekening
  • Beschikbare projectondersteuning
  • Aantal soorten paspoorten/identiteitsbewijzen dat de QTSP aan kan om certificaten te kunnen verstekken (ca. 10 verschillende landen aankunnen is wel een must)
  • Openingstijden waarop een klant zich kan aanmelden (voor ondernemers belangrijk)
  • Het gemak waarmee klanten een certificaat kunnen krijgen (Customer Journey)

 

Dit laatste punt mag niet onderschat worden. Bij veel banken is ‘klant worden’ (zich met een identiteitsbewijs melden bij een (al dan niet) lokaal loket van de bank en dan een rekening kunnen openen) gescheiden van de andere bankprocessen. Ook kan aan het niveau van de digitale ondertekening lagere eisen worden gesteld als de klant voor de afname van de dienst binnen de gesloten omgeving van de bank blijft. Die omgeving is beschikbaar gesteld op basis van identificatie van de klant met zijn of haar paspoort. Feitelijk valt de bank daar op terug en niet op -bijvoorbeeld- een ingeplakte foto van een handtekening. Een deel van de (terugkerende) interne discussie over de waarde van de Gekwalificeerde Handtekening heeft hier mee te maken.

Ten behoeve van de tender werd een team samengesteld om vragen over de tender van QTSP’s te kunnen beantwoorden en op basis van een eerste schriftelijke ronde twee partijen te selecteren en uit te nodigen voor gesprek. In de gespreksfase werd ook het senior management actief bij het project betrokken, om zo meer gevoel bij het onderwerp te krijgen en een besluit te kunnen maken op basis van inzichten bij de tenderpartijen.

Op basis van welke criteria zou je voor jouw organisatie een QTSP kiezen?

 

Scope en Value chain mapping

Uitgangspunt voor ING REF is dat alle klantdocumentatie uiteindelijk met een Gekwalificeerde Handtekening moet worden ondertekend. De keuze voor de informatiedrager viel op Adobe Sign (waarover later meer). Omdat er verschillende documenten en verschillende processen met hun systemen werden geraakt, werd gekozen om de scope te verkleinen tot alleen het aanvraag- en verlengingsproces. Bijkomend voordeel is dat klanten een hoge mate van betrokkenheid bij deze processen hebben en daardoor grotere bereidheid tonen om mee te gaan in het gebruik van nieuwe technologie.

Om goed inzicht te krijgen waar de hand-over points zitten van het eerste klant contact tot uiteindelijke verzending van de documentatie werd een stakeholder analyse gemaakt en de hele Valuestream van ‘Klantwens Voor Financiering’ tot aan de ‘Offerte Aanbieden’ tegen het licht gehouden. Uiteindelijk werd in een workshop waarbij alle vertegenwoordigers van de keten aan tafel kwamen (Relatiemanagers, Lending Specialisten, Customer Due Diligence specialisten, Back Office medewerkers, Change specialisten, systeem deskundigen en senior management) het proces en de impact van de Gekwalificeerde Handtekening besproken. Dit is belangrijk, bijvoorbeeld omdat verschillende partijen andere belangen hechten aan het tekenmoment en aan digitalisering.

 

De informatiedrager waarop wordt getekend

Een handtekening plaatsen op een informatiedrager was vroeger geen punt om over na te denken. Handtekeningen werden met inkt geplaatst op papier.

In de digitale wereld bestaan er meerdere informatiedragers (PDF, CSV, XML, JSON etc.) Digitale handtekeningen zijn afgestemd op de informatiedrager (bijvoorbeeld PADES voor PDF of XADES voor XML). Een goede QTSP regelt deze afstemming ‘onder de motorkap’ voor de klant.

Een van de belangrijkste informatiedragers die wordt gedeeld met klanten is de PDF. De klant kan dan niet makkelijk data wijzigen en de standaard is wereldwijd veel gebruikt. Om klanten makkelijk te kunnen laten tekenen werd vanuit ING Groep IT een oplossing aangereikt in de vorm van Adobe Sign. Klanten krijgen een e-mail met een link naar de beveiligde Adobe omgeving. In deze omgeving wordt door ING het Adobe document aangereikt. De plek waar getekend moet worden is vooraf gedefinieerd. Als de klant gekwalificeerd heeft getekend wordt het document getimestampt en gehasht met de encrypted Gekwalificeerde Handtekening. Zowel de klant als ING REF kan vervolgens het document downloaden. Belangrijk voor deze oplossing is dat vooraf bekend is welke partij of partijen gaan tekenen. Van hen moet een e-mail adres bekend zijn; ING data mag niet zomaar naar bijvoorbeeld een info@ adres worden verzonden.

 

 Meetplan

Ten behoeve van het kunnen bepalen van de voortgang van het digitaal tekenen van klanten werd in de workflow tooling een verplicht veld aangemaakt waarbij door medewerkers van REF moet worden aangegeven of een klant digitaal (gekwalificeerd) of fysiek (met de natte handtekening) tekent. De voortgang werd eerst in een pilot traject enige maanden gemonitord.

Uiteraard had ook de vraag kunnen worden gesteld om bijvoorbeeld een lijstje in Excel bij te houden. Om te voorkomen dat dan door eventuele fouten niet het daadwerkelijke aantal gezette Gekwalificeerde Handtekeningen wordt vastgelegd is besloten dit in de operationele workflow processen in te bouwen.

Op basis van de informatie kan door het project team worden bijgestuurd.

Hoe zou je de meting in jou organisatie willen vorm geven?

 

Communicatie

Het is een open deur, maar communicatie is wellicht het belangrijkste onderdeel van het hele project. Communicatie doe je nooit genoeg en vrijwel altijd valt er wel iets te verbeteren. Communicatie begint bij een positieve en enthousiaste houding van het projectmanagement. Als deze niet uitstraalt de oplossing te dragen, wordt het heel moeilijk. Het is aan het Senior management om een goed en enthousiast projectmanagement aan te stellen. Het voert hier te ver om het complete communicatieplan te beschrijven.  Voor hier is generiek beschreven dat het communicatieplan is afgestemd op de afnemers, de productkenmerken en voordelen en de fase waar het project zich in bevindt:

Binnen ING REF:

  • Project omgeving:
    • Opdrachtgever, projectdocumenten Visual management
    • Change organisatie/Project team/ IT/
    • Afdeling Risk en legal partijen
    • Leveranciers
    • Klanten
  • Overige REF stakeholders
    • Directie leden
    • Afdeling Communicatie
    • Afdeling Sales
    • Taxateurs
    • Leveranciers
    • Overige Klanten

Buiten REF:

  • ING Business Banking (Zakelijke bank)
  • Directie ING Nederland
  • Afdeling Communicatie
  • Afdeling Legal
  • ING Groep
  • ING Wholesale Banking

Buiten ING:

  • Nederlandse Vereniging van Banken
  • SBR Nexus (dochter onderneming van ABN AMRO, Rabobank en ING)
  • Trusted Information Partners

Voor deze verschillende partijen is een verschillende informatie- en communicatiemix afgestemd; Informatie op portalen, live demo’s, een infographic, instructie video’s voor medewerkers etc.

 

Trusted Information Partners

ING REF vindt het belangrijk om samen met andere partijen aan de verdere implementatie van eIDAS standaarden in Nederland te werken. Trusted Information Partners (TIP) is een initiatief van verschillende markt- en publieke partijen om zo burgers, ondernemers en overheden op eenvoudige en betrouwbare wijze digitaal zaken te kunnen laten doen.

https://www.trustedinformationpartners.nl/

Vorming van een dergelijk ecosysteem is belangrijk voor ING REF; hoe meer partijen meedoen hoe veiliger en betrouwbaarder informatie tussen verschillende partijen gedeeld kan worden. De kosten van checks op witwassen en de kans op phishing wordt verlaagd.  Bovendien heeft ING REF bij TIP toegang tot business en technische kennis en bouwt het een netwerk op met gelijkgestemden om de verdere implementatie van eIDAS standaarden uit te bouwen en te verbeteren. Innovatie, klant gemak en transparantie zijn voor ING REF belangrijke waarden. Digitale handtekeningen en andere implementaties conform eIDAS standaarden passen hier goed bij en ongetwijfeld ook bij nadere organisaties. Participatie bij TIP kan in principe vanuit iedere organisatie of marktpartij.

Je bent van harte uitgenodigd!

Deel dit bericht

Share on facebook
Share on linkedin
Share on twitter
Share on email
Naar overzichtspagina

GA NAAR

VOLG ONS

DOWNLOADS