Beroepscertificaat
Een elektronische handtekening komt tot stand met een digitaal certificaat dat daartoe specifiek gekwalificeerd is. In Nederland is dat het PKIoverheid (persoonsgebonden) beroepscertificaat. Met het beroepscertificaat kan de ontvanger van het elektronisch bericht onomstotelijk vaststellen welke persoon dit bericht ondertekend heeft en dat deze persoon bevoegd is om zijn werkzaamheden uit te voeren.
In de elektronische communicatie is het niet mogelijk om een ‘natte’ handtekening te gebruiken. De wet (Burgerlijk Wetboek Boek 3, artikel 15a) biedt in deze de mogelijkheid om een elektronische handtekening te gebruiken die dezelfde rechtsgevolgen heeft als een handgeschreven handtekening. Een elektronische handtekening komt tot stand met een digitaal certificaat dat daartoe specifiek gekwalificeerd is. In Nederland is dat het PKIoverheid (persoonsgebonden) beroepscertificaat.
Beroepscertificaten zijn alleen voorbehouden aan beoefenaars van een erkend beroep, zoals Accountant-Administratieconsulent en registeraccountant. In tegenstelling tot de PKIoverheid server services-certificaten die jouw organisatie gebruikt voor het versturen van SBR-berichten (zoals jaarrekeningen en fiscale aangiften) ben je als individu zowel abonnee- als certificaathouder. Dit betekent dat alleen jijzelf het certificaat kunt aanvragen en dat je zelf verantwoordelijk bent voor het beheer ervan.
Met het beroepscertificaat kan de ontvanger van het elektronisch bericht onomstotelijk vaststellen welke persoon dit bericht ondertekend heeft en dat deze persoon bevoegd is om zijn werkzaamheden uit te voeren. In het geval van een AA of RA betekent dat dat hij ingeschreven staat in het accountantsregister.
Toepassingsgebieden
Wanneer je een op SBR gebaseerde elektronische accountantsverklaring afgeeft bij een jaarrekening, dan dien je de verklaring elektronisch te ondertekenen. Dit doe je met het PKIoverheid-beroepscertificaat. Naast het ondertekenen is het ook nodig om met hetzelfde beroepscertificaat de SBR-jaarrekening te waarmerken.
De banken, verenigt in het Financiële Rapportages Coöperatief (FRC), hebben aangegeven dat de SBR-kredietrapportages in de toekomst voorzien moeten worden van een begeleidende samenstelverklaring. Deze samenstelverklaring moet dan, gelijk aan de elektronische jaarrekening met controleverklaring, ook getekend worden met het PKIoverheid-beroepscertificaat. Op dit moment is er nog sprake van een overgangsregeling, waardoor je bij het aanleveren van kredietrapportages geen verklaring afzonderlijke aanlevert. Je hebt dus nog geen beroepscertificaat nodig.
Aanschaf PKIoverheid-beroepscertificaat
Door de NBA zijn de volgende partijen (Trusted Service Providers) gemachtigd voor het leveren van beroepscertificaten:
- Digidentity B.V.
- KPN Corporate Market BV
- QuoVadis Trustlink BV
- Reconi
- PKIpartners B.V. (dealer van KPN en QuoVadis certificaten)
wil je een beroepscertificaat aanschaffen? Neem dan contact op met één van de bovenstaande TSP’s. Zij zullen je informeren over het proces van het aanschaffen en het in gebruik nemen van een beroepscertificaat.
Hou er rekening mee dat een PKIoverheid-beroepscertificaat uit drie delen kan bestaan. Elk deel van het beroepscertificaat heeft zijn eigen toepassingsgebied:
- Onweerlegbaarheid
- Authenticiteit
- Vertrouwelijkheid
Voor het digitaal aanleveren van een jaarrekening en de toekomstige kredietrapportage heb je alleen het eerste deel nodig. Dit betreft het deel ‘onweerlegbaarheid’ waarmee je in staat bent om een elektronische gekwalificeerde handtekening te zetten.
Voordat tot uitgave van een certificaat wordt overgegaan zal de TSP eerst bij de NBA controleren of je als AA of RA ingeschreven staat in het accountantsregister en eventueel certificeringsbevoegd bent.
Indien er na uitgifte van een certificaat sprake is van een (tijdelijke) doorhaling of uitschrijving dan zal de NBA dit melden aan de desbetreffende TSP, die op haar beurt het beroepscertificaat intrekt.
Extern beheer
De meest voorkomende variant voor de uitgifte van een persoonsgebonden beroepscertificaat is de uitgifte op een hardware token (bijvoorbeeld een USB dongel). Over de deze hardware token heb je als verkrijger de volledige beschikking. Bij wijze van spreken kan een hardware token altijd in de binnenzak worden meegenomen en indien gewenst worden vernietigd.
Met de nieuwe Europese eIDAS verordening zijn de eisen veranderd. De eIDAS verordening maakt het ook mogelijk dat gekwalificeerde certificaten extern mogen worden opgeslagen. Het voordeel van een externe opslag is dat de gebruiker van het certificaat niet continu fysiek over een token hoeft te beschikken om zijn elektronische handtekening te zetten. Het certificaat is in dit geval opgeslagen op daarvoor speciale bestemde hardware dat via een externe connectie bereikbaar is.
Aan het opslaan van gekwalificeerde certificaten in een Cloud omgeving zijn overigens strikte voorwaarden verbonden. De externe omgeving moet volledig worden beheerd door een gekwalificeerde dienstverlener. Wie gekwalificeerde dienstverleners mogen zijn, wordt bepaald door het Agentschap Telecom. De gekwalificeerde dienstverleners moeten geaccrediteerd zijn en staan onder continue toezicht van het Agentschap Telecom. Dienstverleners die hiervoor in aanmerking komen zijn de huidige certificaatleveranciers (Digidentity, KPN Corporate Market BV en Quo Vadis Trustlink BV). Het is bij de NBA nog niet bekend welke van deze leveranciers geaccrediteerd zijn voor het externe beheer en of zij externe beheer oplossingen gaan aanbieden.