Wet van 9 juli 2001 houdende vaststelling van bepaalde regels in verband met het juridisch kader voor elektronische handtekeningen en certificatiediensten
HOOFDSTUK I. ALGEMENE BEPALING
Artikel 1.
Deze wet regelt een aangelegenheid als bedoeld in artikel 78 van de Grondwet.
HOOFDSTUK II. DEFINITIES EN TOEPASSINGSGEBIED VAN DE WET
AFDELING 1. DEFINITIES
Art. 2.
Deze wet zet de bepalingen om van de Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen.
Voor de toepassing van deze wet en de uitvoeringsbesluiten ervan wordt verstaan onder:
1° « elektronische handtekening » : gegevens in elektronische vorm, vastgehecht aan of logisch geassocieerd met andere elektronische gegevens, die worden gebruikt als middel voor authentificatie;
2° « geavanceerde elektronische handtekening » : elektronische gegevens vastgehecht aan of logisch geassocieerd met andere elektronische gegevens, die worden gebruikt als middel voor authentificatie en aan de volgende eisen voldoet :
a) zij is op unieke wijze aan de ondertekenaar verbonden :
b) zij maakt het mogelijk de ondertekenaar te identificeren;
c) zij wordt aangemaakt met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden;
d) zij is op zodanige wijze aan de gegevens waarop zij betrekking heeft verbonden, dat elke latere wijziging van de gegevens kan worden opgespoord;
3° « certificaat » : een elektronische bevestiging die de gegevens voor het verifiëren van de handtekening koppelt aan een natuurlijke persoon of een rechtspersoon en de identiteit van die persoon bevestigt;
4° « gekwalificeerd certificaat » : een certificaat dat voldoet aan de eisen van bijlage I van deze wet en dat wordt afgegeven door een certificatiedienstverlener die voldoet aan de eisen van bijlage II van deze wet;
5° « certificaathouder » : een natuurlijke persoon of rechtspersoon aan wie een certificatiedienstverlener een certificaat heeft afgegeven;
6° « gegevens voor het aanmaken van een handtekening » : unieke gegevens, zoals codes of cryptografische privé-sleutels, die door de ondertekenaar worden gebruikt om een geavanceerde elektronische handtekening aan te maken;
7° « veilig middel voor het aanmaken van een handtekening » : geconfigureerde software of hardware die wordt gebruikt om de gegevens voor het aanmaken van een handtekening te implementeren en die voldoet aan de eisen van bijlage III van deze wet;
8° « gegevens voor het verifiëren van een handtekening » : gegevens, zoals codes of cryptografische openbare sleutels, die worden gebruikt voor het verifi ëren van een geavanceerde elektronische handtekening;
9° « middel voor het verifiëren van een handtekening » : geconfigureerde software of hardware die wordt gebruikt om de gegevens voor het verifiëren van een handtekening te implementeren;
10° « certificatiedienstverlener » : elke natuurlijke persoon of rechtspersoon die certificaten afgeeft en beheert of andere diensten in verband met elektronische handtekeningen verleent;
11° « product voor elektronische handtekeningen » : software of hardware, of relevante componenten daarvan, die door certificatiedienstverleners kunnen worden gebruikt om diensten op het gebied van elektronische handtekeningen te verlenen of die voor het aanmaken of verifiëren van elektronische handtekeningen kunnen worden gebruikt;
12° « Bestuur » : het bestuur van het ministerie van Economische Zaken dat belast is met de taken betreffende de accreditatie en de controle van de certificatiedienstverleners die gekwalificeerde certificaten afgeven en in Belgi ë gevestigd zijn;
13° « entiteit » : instelling die haar bevoegdheid aantoont op grond van een certificaat afgegeven door het Belgisch accreditatiessysteem conform de wet van 20 juli 1990 betreffende de accreditatie van certificatie- en keuringsinstellingen alsmede van beproevingslaboratoria of door een gelijkwaardige instelling opgericht binnen de Europese Economsiche Ruimte.
AFDELING 2. TOEPASSINGSGEBIED
Art. 3.
Deze wet legt bepaalde regels vast in verband met het juridisch kader voor elektronische handtekeningen en bepaalt het juridisch stelsel van toepassing op de activiteiten van de certificatiedienstverleners evenals de door deze laatste en de certificaathouders na te leven regels, zonder afbreuk te doen aan de wettelijke bepalingen met betrekking tot de bevoegdheid tot het stellen van rechtshandelingen voor rekening van rechtspersonen.
Deze wet voert eveneens een vrijwillig accreditatiestelsel in.
HOOFDSTUK III. ALGEMENE PRINCIPES
Art. 4.
§ 1. Behoudens andersluidende wettelijke bepalingen kan niemand verplicht worden rechtshandelingen te stellen via elektronische weg.
§ 2. Een certificatiedienstverlener kan niet verplicht worden een voorafgaande machtiging aan te vragen voor de uitoefening van zijn activiteiten.
De in belgië gevestigde certificatiedienstverleners die gekwalificieerde certificaten afgeven dienen niettemin, ofwel in de loop van de maand die volgt op de bekendmaking van deze wet, ofwel voor de aanvang van hun activiteiten, de volgende inlichtingen mee te delen aan het Bestuur :
- hun naam;
- het geografisch adres waar ze gevestigd zijn;
- hun coördinaten, waardoor ze gemakkelijk te bereiken zijn, met inbegrip van hun adres voor elektronische post;
- in voorkomend geval, hun beroep, referenties en identificatienummers (handelsregister, BTW);
- het bewijs dat er een verzekering onderschreven werd ter dekking van hun verplichtingen bedoeld in artikel 14.
Het Bestuur overhandigt hen een ontvangstbewijs binnen vijf werkdagen volgend op de ontvangst van hun mededeling.
§ 3. De Koning kan, bij een besluit vastgesteld na overleg in Ministerraad, voor het gebruik van elektronische handtekeningen in de openbare sector eventuele aanvullende eisen stellen. Deze eisen moeten objectief, transparant, evenredig en niet discriminerend zijn en mogen slechts op de specifieke kenmerken van de betrokken toepassing betrekking hebben. Zij mogen geen belemmering vormen voor grensoverschrijdende diensten voor de burgers.
§ 4. Onverminderd de artikelen 1323 en volgende van het Burgerlijk Wetboek wordt een geavanceerde elektronische handtekening, gerealiseerd op basis van een gekwalificieerd certificaat en aangemaakt door een veilig middel voor het aanmaken van een handtekening, geassimileerd met een handgeschreven handtekening ongeacht of deze handtekening gerealiseerd wordt door een natuurlijke dan wel door een rechtspersoon.
§ 5. Een elektronische handtekening kan geen rechtsgeldigheid worden ontzegd en niet als bewijsmiddel in gerechtelijke procedures worden geweigerd louter op grond van het feit dat :
- de handtekening in elektronische vorm is gesteld, of
- niet is gebaseerd op een gekwalificeerd certificaat, of
- niet is gebaseerd op een door een geaccrediteerd certificatiedienstverlener afgegeven certificaat, of
- zij niet met een veilig middel is aangemaakt.
Art. 5. § 1. Onverminderd de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten aanzien van de verwerking van persoonsgegevens, mag een certificatiedienstverlener die voor het publiek bestemde certificaten afgeeft enkel rechtstreeks bij de betrokken persoon of met diens uitdrukkelijke toestemming persoonlijke gegevens inwinnen en enkel indien dit noodzakelijk is voor de afgifte en de bewaring van het certificaat. De gegevens mogen niet voor andere doeleinden worden verzameld of verwerkt zonder de uitdrukkelijke toestemming van de betrokken persoon.
§ 2. Wanneer de houder van het certificaat een pseudoniem gebruikt en wanneer het onderzoek dit vereist, is de certificatiedienstverlener die het certificaat heeft afgegeven ertoe gehouden alle gegevens betreffende de identiteit van de titularis mee te delen in de omstandigheden en volgens de voorwaarden waarin de artikelen 90ter tot 90decies van het Wetboek van Strafvordering voorzien.
HOOFDSTUK IV. PRODUCTEN VOOR ELEKTRONISCHE HANDTEKENINGEN
Art. 6.
Wanneer een product voor elektronische handtekeningen overeenstemt met de normen waarvan de referentienummers worden gepubliceerd in het Publicatieblad van de Europese Gemeenschappen, overeenkomstig de procedure bedoeld in de richtlijn 99/93/EG van het Parlement en van de Raad van 13 december 1999 betreffende een communautair kader voor de elektronische handtekeningen, wordt dit product verondersteld te voldoen aan de eisen van bijlage II, punt f), en bijlage III van deze wet.
Art. 7.
§ 1. De eisen in verband met de veilige middelen voor het aanmaken van een elektronische handtekening zijn vermeld in bijlage III van deze wet.
§ 2. De overeenstemming van de veilige middelen voor het aanmaken van een elektronische handtekening met de eisen van bijlage III van deze wet, wordt bevestigd door de bevoegde instellingen, aangewezen door het Bestuur en waarvan de lijst wordt meegedeeld aan de Europese Commissie.
§ 3. De Koning bepaalt de voorwaarden waaraan de instellingen bedoeld in de vorige paragraaf moeten voldoen.
§ 4. De overeenstemming vastgesteld door een instelling aangewezen door een andere lidstaat van de Europese Economische Ruimte, wordt in België erkend.
HOOFDSTUK V. CERTIFICATIEDIENSTVERLENERS DIE GEKWALIFICEERDE CERTIFICATEN AFGEVEN
AFDELING 1. GEKWALIFICEERDE CERTIFICATEN
ONDERAFDELING 1. OPDRACHTEN
Art. 8.
§ 1. Vooraleer een certificaat af te geven, onderzoekt de certificatiedienst-verlener de complementariteit van de gegevens voor het aanmaken en het verifiëren van de handtekening.
§ 2. Na de identiteit en, in voorkomend geval, de specifieke hoedanigheden geverifieerd te hebben, geeft de certificatiedienstverlener één of meer certi ficaten af aan elke persoon die daarom verzoekt.
§ 3. Voor de rechtspersonen houdt de certificatiedienstverlener een register bij met de identiteit en de hoedanigheid van de natuurlijke persoon die de rechtspersoon vertegenwoordigt en die gebruik maakt van de handtekening verbonden aan het certificaat, op zo een wijze dat bij elk gebruik van deze handtekening de identiteit van de natuurlijke persoon kan achterhaald worden.
Art. 9.
De certificatiedienstverlener verschaft een exemplaar van het certificaat aan de kandidaat-houder.
Art. 10.
De certificatiedienstverlener houdt een elektronisch register bij met de certificaten die hij afgeeft en het tijdstip waarop ze vervallen.
ONDERAFDELING 2 - VEREISTEN BETREFFENDE DE GEKWALIFICEERDE CERTIFICATEN
Art. 11.
§ 1. De gekwalificeerde certificaten moeten voldoen aan de eisen van bijlage I van deze wet.
§ 2. De certificatiedienstverleners die gekwalificeerde certificaten afgeven, moeten voldoen aan de eisen van bijlage II van deze wet.
ONDERAFDELING 3 - HERROEPING VAN DE GEKWALIFICEERDE CERTIFICATEN
Art. 12.
§ 1. Op aanvraag van de vooraf geïdentificeerde certificaathouder herroept de certificatiedienstverlener onmiddellijk het certificaat.
§ 2. De certificatiedienstverlener herroept eveneens een certificaat indien :
1° er ernstige redenen bestaan om aan te nemen dat het certificaat werd afgegeven op basis van foutieve of vervalste gegevens, dat de in het certificaat opgenomen informatie niet meer met de werkelijkheid overeenstemt of dat de vertrouwelijkheid van de gegevens voor het aanmaken van een handtekening werd geschonden;
2° de rechtbanken de maatregelen hebben bevolen waarin artikel 20, § 4, b), voorziet;
3° de certificatiedienstverlener zijn activiteiten stopzet zonder dat deze worden overgenomen door een andere certificatiedienstverlener die een gelijkwaardig kwaliteits- en veiligheidsniveau waarborgt;
4° de certificatiedienstverlener op de hoogte gebracht wordt van het overlijden van de natuurlijke persoon of van de ontbinding van de rechtspersoon die certificaathouder is.
De certificatiedienstverlener brengt de certificaathouder, behalve in geval van overlijden, op de hoogte van de herroeping en motiveert zijn beslissing. Een maand voor het vervallen van een certificaat brengt de certificatiedienstverlener de certificaathouder hiervan op de hoogte.
§ 3. De herroeping van een certificaat is definitief.
Art. 13.
§ 1. De certificatiedienstverlener treft de nodige maatregelen om op elk ogenblik en onverwijld gevolg te kunnen geven aan een aanvraag tot herroeping.
§ 2. Onmiddellijk na de beslissing tot herroeping van een certificaat schrijft de certificatiedienstverlener de vermelding van de herroeping in in het elektronisch register zoals bedoeld in artikel 10.
Vanaf deze inschrijving is de herroeping tegenstelbaar ten aanzien van derden.
ONDERAFDELING 4. AANSPRAKELIJKHEID VAN DE CERTIFICATIEDIENSTVERLENERS DIE GEKWALIFICEERDE CERTIFICATEN AFGEVEN
Art. 14.
§ 1. Een certificatiedienstverlener die een gekwalificeerd certificaat aan het publiek afgeeft of een dergelijk certificaat publiekelijk waarborgt, is aansprakelijk voor de schade die hij toebrengt aan elke instelling of natuurlijke persoon of rechtspersoon die, als een goede huisvader, redelijkerwijze vertrouwen stelt in dit certificaat, voor wat betreft :
a) de juistheid van alle gegevens die in het gekwalificeerd certificaat opgenomen zijn op de datum dat het werd afgegeven en de vermelding, in dit certificaat, van alle voorgeschreven gegevens voor een gekwalificeerd certificaat;
b) de garantie dat de in het gekwalificeerde certificaat geï dentificeerde ondertekenaar, op het tijdstip van de afgifte van het certificaat, de gegevens bevat voor het aanmaken van de handtekening overeenstemmend met de in het certificaat vermelde of geïdentificeerde gegevens voor het verifiëren van de handtekening;
c) de garantie dat de gegevens voor het aanmaken en die voor het verifiëren van een handtekening complementair kunnen worden gebruikt, in geval de certificatiedienstverlener beide soorten gegevens genereert;
tenzij de certificatiedienstverlener bewijst dat er van geen enkele nalatigheid sprake is.
§ 2. Een certificatiedienstverlener die aan het publiek een certificaat heeft afgegeven dat als gekwalificeerd bestempeld wordt, is aansprakelijk voor de schade die hij toebrengt aan een instelling of natuurlijke persoon of rechtspersoon die zich op redelijke wijze beroept op het certificaat, wanneer werd nagelaten de herroeping van het certificaat te laten registreren, tenzij de certificatiedienstverlener bewijst dat er van geen enkele nalatigheid sprake is.
§ 3. Een certificatiedienstverlener kan in een gekwalificeerd certificaat de beperkingen voor het gebruik ervan bepalen, op voorwaarde dat die beperkingen voor derden herkenbaar zijn. De certificatiedienstverlener is niet aansprakelijk voor de schade die voortvloeit uit het gebruik van een gekwalificeerd certificaat waarbij de aangegeven beperkingen voor het gebruik worden overschreden.
§ 4. Een certificatiedienstverlener kan in een gekwalificeerd certificaat de maximumwaarde bepalen van de transacties waarvoor het certificaat kan worden gebruikt, op voorwaarde dat die waarde voor derden herkenbaar is. De certificatiedienstverlener is niet aansprakelijk voor de schade die voortvloeit uit het overschrijden van die maximumwaarde.
ONDERAFDELING 5. STOPZETTING VAN DE ACTIVITEITEN VAN DE CERTIFICATIEDIENSTVERLENERS DIE GEKWALIFICEERDE CERTIFICATEN AFGEVEN
Art. 15.
§ 1. De certificatiedienstverlener die gekwalificeerde certificaten afgeeft, brengt binnen een redelijke termijn het Bestuur op de hoogte van zijn bedoeling om zijn activiteiten van gekwalificeerde certificatiedienstverlener stop te zetten alsook van elke maatregel die de stopzetting van zijn activiteiten tot gevolg kan hebben. In dit geval dient hij zich te vergewissen van de overname ervan door een andere certificatiedienstverlener die eenzelfde kwaliteits- en veiligheidsniveau waarborgt. Wanneer dit niet mogelijk is, herroept hij de certificaten twee maanden na de houders ervan te hebben ingelicht. In dit geval treft de certificatiedienstverlener de nodige maatregelen om te voldoen aan de verplichting waarin Bijlage II, i), voorziet.
§ 2. De certificatiedienstverlener die zijn activiteiten stopzet om redenen buiten zijn wil of in geval van faillissement, brengt het Bestuur daarvan onmiddellijk op de hoogte. Hij zorgt in voorkomend geval voor de herroeping van de certificaten en treft de nodige maatregelen om te voldoen aan de in Bijlage II, i), bepaalde verplichting.
ONDERAFDELING 6. CERTIFICATEN AFGEGEVEN ALS GEKWALIFICEERDE CERTIFICATEN DOOR BUITENLANDSE CERTIFICATIEDIENSTVERLENERS
Art. 16.
§ 1. Een voor het publiek bestemd gekwalificeerd certificaat afgegeven door een certificatiedienstverlener gevestigd in een lidstaat van de Europese Economische Ruimte, wordt gelijkgesteld met de gekwalificeerde certificaten afgeven door een in België gevestigde certificatiedienstverlener.
§ 2. De voor het publiek bestemde certificaten, die als gekwalificeerde certificaten worden afgegeven door een certificatiedienstverlener gevestigd in een derde land, worden op juridisch vlak gelijkgesteld met de certificaten afgegeven door een certificatiedienstverlener die in België gevestigd is :
a) indien de certificatiedienstverlener voldoet aan de voorwaarden van de nationale reglementering waarin de richtlijn 99/93/EG van het Parlement en van de Raad van 13 december 1999 betreffende een communautair kader voor de elektronische handtekeningen werd omgezet en indien hij geaccrediteerd werd op basis van een vrijwillig accreditatiesysteem ingevoerd in een lidstaat van de Europese Economische Ruimte;
of
b) indien een in de Europese Gemeenschap gevestigde certificatiedienstverlener, die voldoet aan de eisen van de nationale reglementering waarin de richtlijn 99/93/EG van het Parlement en van de Raad van 13 december 1999 betreffende een communautair kader voor de elektronische handtekeningen werd omgezet, het certificaat waarborgt;
of
c) indien het certificaat of de certificatiedienstverlener erkend wordt in het kader van de toepassing van een bilaterale of multilaterale overeenkomst tussen de Europese Gemeenschap en derde landen of internationale organisaties.
AFDELING 2. GEACCREDITEERDE CERTIFICATIEDIENSTVERLENERS
Art. 17.
§ 1. Een certificatiedienstverlener die voldoet aan de eisen van bijlage II, gekwalificeerde certificaten afgeeft die overeenkomen met de eisen van bijlage I en aanmaakmiddelen gebruikt die overeenkomen met de eisen van bijlage III, kan het Bestuur om een accreditatie vragen.
De accreditatie waarin deze wet voorziet, steunt op het resultaat van een evaluatie, door een entiteit bedoeld in artikel 2, 13°, van de overeenstemming met de eisen van de bijlagen I, II en III en in voorkomend geval, met die verbonden aan andere diensten en producten afgegeven door de certificatiedienstverleners.
§ 2. De Koning preciseert de voorwaarden bedoeld in § 1 en bepaalt :
1° de procedure voor de toekenning, schorsing en intrekking van de accreditatie;
2° de aan het « Fonds voor accreditatie » verschuldigde bedragen voor het afleveren, beheren en controleren van de accreditatie;
3° de onderzoekstermijnen voor de aanvraag;
4° de regels voor de controle van de geaccrediteerde certificatiedienstverleners.
§ 3. De keuze om zich te wenden tot een geaccrediteerde certificatiedienstverlener is vrij.
Art. 18.
Het Bestuur :
1° kent accreditaties toe en trekt ze in. Deze opdracht is onderworpen aan procedures en wordt uitgevoegd door personen en diensten die verschillend zijn van deze bedoeld in artikel 20, § 2;
2° coördineert de coherente en transparante toepassing van de accreditatieprincipes en -procedures met toepassing van deze wet;
3° superviseert de auditprocedures van de entiteiten bedoeld in artikel 2, 13 °), evenals de activiteiten van deze entiteiten in het kader van de accreditatieprocedures;
4° deelt aan de Commissie en aan de landen van de Europese Economische Ruimte het volgende mee :
a) de informatie over het vrijwillig accreditatiestelsel ingevoerd met toepassing van deze wet;
b) de naam en het adres van alle in dit kader geaccrediteerde certificatiedienstverleners;
5° voert het geheel van notificaties uit bedoeld in artikel 11 van de richtlijn 1999/93/EG van het Europees Parlement en van de Raad van 13 december 1999 betreffende een communautair kader voor de elektronische handtekeningen.
HOOFDSTUK VI. CERTIFICAATHOUDERS
Art. 19.
§ 1. Zodra de gegevens voor het aanmaken van een handtekening samengesteld zijn, is de certificaathouder alleen verantwoordelijk voor de vertrouwelijkheid van deze gegevens.
§ 2. Wanneer er twijfel bestaat over het behoud van de vertrouwelijkheid van de gegevens voor het aanmaken van een handtekening of wanneer de in het certificaat opgenomen gegevens niet meer met de werkelijkheid overeenstemmen, dient de houder het certificaat te laten herroepen.
§ 3. Wanneer een certificaat vervalt of herroepen wordt, mag de houder na de vervaldatum van het certificaat of na herroeping geen gebruik meer maken van de overeenkomstige gegevens voor het aanmaken van een handtekening om deze gegevens te ondertekenen of te laten certificeren door een andere certificatiedienstverlener.
HOOFDSTUL VII. CONTROLE EN SANCTIES
Art. 20.
§ 1. De Koning bepaalt, bij een besluit vastgesteld na overleg in de Ministerraad, de regels betreffende de controle van de certificatiedienstve rleners evenals de rechtsmiddelen die het Bestuur kan aanwenden.
§ 2. Het Bestuur is belast met de controle van de certificatiedienstverleners die gekwalificeerde certificaten afgeven aan het publiek. Onder bepaalde voorwaarden, bepaald door de Koning, is het Bestuur bevoegd om de certificatiedienstverleners alle informatie te vragen die noodzakelijk is om te controleren of zij deze wet eerbiedigen.
§ 3. Wanneer het Bestuur vaststelt dat een in België gevestigd certificatiedienstverlener, die gekwalificeerde certificaten afgeeft, zich niet houdt aan de voorschriften van deze wet, wijst het hem op die tekortkoming en stelt het een redelijke termijn vast tijdens welke de certificatiedienstverlener alle nodige maatregelen dient te hebben getroffen om opnieuw te handelen in overeenstemming met de wet.
§ 4. Indien na afloop van die termijn de nodige maatregelen niet werden getroffen, maakt het Bestuur de zaak aanhangig bij de rechtbank teneinde :
a) de certificatiedienstverlener te verbieden verder gekwalificeerde certificaten af te geven
en
b) de certificatiedienstverlener te gelasten onmiddellijk de houders van gekwalificeerde certificaten, die door hem werden afgegeven, op de hoogte te brengen van het feit dat ze niet langer voldoen aan de voorschriften van deze wet.
§ 5. Wanneer, na afloop van de voormelde termijn, de certificatiedienstverlener geaccrediteerd krachtens artikel 17 de toestand niet heeft geregulariseerd, trekt het Bestuur ambtshalve zijn accreditatie in.
De certificatiedienstverlener is verplicht de intrekking van de accreditatie in zijn elektronisch register te vermelden en de certificaathouders daarvan onverwijld op de hoogte te brengen.
Art. 21.
§ 1. Wie zich de hoedanigheid aanmatigt van geaccrediteerd certificatiedienstverlener wordt gestraft met gevangenisstraf van acht dagen tot drie maanden en met een geldboete van duizend tot tienduizend frank, of met een van die straffen alleen.
§ 2. Bij veroordeling op grond van de in paragraaf 1 bedoelde overtreding kan de bevoegde rechtbank de volledige of gedeeltelijke opneming van het vonnis in een of meerdere dagbladen bevelen, onder de door haar bepaalde voorwaarden en op kosten van de veroordeelde.
Kondigen deze wet af, bevelen dat zij met 's Lands zegel zal worden bekleed en door het Belgisch Staatsblad zal worden bekendgemaakt.
Gegeven te Brussel