Onlangs keurde de hoogste bestuursrechter de manier van inloggen voor het ondertekenen van uitspraken bij de Rechtspraak grotendeels af. De digitale handtekening van de rechter is daarmee in het geding gekomen, met verstrekkende gevolgen.
De echte pijn zit niet in de uitspraak van de Raad van State op zich. Het zit vooral in de plots zichtbare nieuwe pijnpunten van het KEI-project dat al 200 miljoen euro verslond. De inzet is fors: de betrouwbaarheid onze nationale jurisprudentie.
Rechtsgeldig
Het gebeurt zelden dat het administratief functioneren van rechtbanken inzet is van een hoger beroep. De Afdeling Bestuursrechtspraak van de Raad van State is gevraagd te beslissen of de digitale handtekening op rechtbankuitspraken rechtsgeldig zijn.
De kwestie speelt in een zaak tussen een asielzoeker en de Immigratie en Naturalisatiedienst (IND). Maar het is de Rechtspraak die zich verdedigt tegen de aantijging dat de digitale handtekening niet voldoet aan de norm voor het digitaal ondertekenen van uitspraken: de meerfactor-authenticatie.
Eigen realiteit
Volgens de Rechtspraak voldoet de norm wel. De eerste factor wordt geboden met de Rijkspas, die bij toegangspoortjes wordt ingezet om de rechtbank binnen te komen. Als tweede factor voert de Rechtspraak aan het inloggen op het systeem met gebruikersnaam en het wachtwoord. Het toegangssysteem heeft geen enkele verbinding met het zaaksysteem, waardoor een identiteitsclaim voor dat laatste systeem niet met twee factoren wordt geverifieerd.
Volgens de Rechtspraak hoeft het verifiëren van zo’n claim niet in hetzelfde systeem te gebeuren. Verder mag er tijd zitten tussen de beide authenticatiemethodieken. Dat laatste onderbouwt ze met een trainingshandboek de CISSP (Certified Information Systems Security Professional). Dat een cursushandboek van een Amerikaanse non-profit organisatie de basis van het betoog van de Rechtspraak vormt en niet een daadwerkelijke Europese beveiligingsnorm, zoals het door ENISA en het Nederlandse Forum Standaardisatie uitgedragen STORK-raamwerk is het eigenlijke ict-probleem hier: een eigen invulling van de digitale handtekeningen. Daarbij is bewust gekozen om rechtbanken vrij te stellen van de eIDAS-verordening op dit gebied.
De Rechtspraak creëert een eigen ict-realiteit. In plaats van de digitale handtekening cryptografisch te borgen – zoals gebruikelijk – is een ondertekende uitspraak een PDF-bestand. Op de plek van de ondertekening staat de naam van de ondertekenaars.
Als iedereen heeft getekend, maakt het zaaksysteem een controlegetal aan in een database. Het blijft onduidelijk hoe is geborgd wanneer op een later moment in de database wijzigingen worden gemaakt of hoe een audittrail werkt. Uit de beschikbare documentatie blijkt niet dat hiervoor maatregelen zijn genomen.
Door het ontbreken van een cryptografische borging kunnen externe partijen geen digitale verificatie uitvoeren. Hoe problematisch dat in de praktijk is, ontdekte advocaat Gonny Meijering, die deze zaak aanbracht.
