ZOEKEN

VERDIEPING: WAAR MOET IK VERDER NOG OP LETTEN?

In het kort

In dit artikel kom informatie aan de orde die alleen van belang is wanneer u zich wilt verdiepen in allerlei meer technische details.

1. Beveiliging: technische waarborgen van authenticiteit (komt de factuur werkelijk van de afzender) en integriteit (is de factuur onveranderd). Daarbij komt de geavanceerde elektronische handtekening aan de orde en de spraakverwarring rond de geavanceerde elektronische handtekening.
2. Internationaal factureren.
3. Standaarden: er is veel spraakverwarring over standaarden: termen buitelen over elkaar heen. Dit hoofdstuk bespreekt een aantal belangrijke termen en gaat in op het belang van standaarden bij e-factureren.

Beveiliging van elektronische facturen: waarborgen van authenticiteit en integriteit.

Voor kleine organisaties is vergelijking met allerlei andere documenten en communicatie vaak voldoende om aannemelijk te maken dat een factuur echt bij de verzender vandaan komt en niet is veranderd. De ondernemer vergelijkt de factuur bijvoorbeeld met een offerte, opdrachtbevestiging, met de gegevens op een bankafschrift of pakbonnen.
Grotere organisaties kiezen vaak voor extra, technische middelen om authenticiteit en integriteit te borgen. Een drietal veel gebruikte manieren zijn: de (gekwalificeerde) geavanceerde elektronische handtekening, beveiligde verbindingen en een derde partij. Bedrijven kunnen onderling allerlei andere constructies bedenken om authenticiteit en integriteit te waarborgen.

Vormen van beveiliging	Manieren om authenticiteit en integriteit van elektronische facturen te waarborgen:
De geavanceerde elektronische handtekening	De factuur kan worden voorzien van een ‘Geavanceerde Elektronische handtekening’. Zo’n handtekening is behalve een bewijs dat de afzender is wie hij zegt dat hij is ook een bewijs dat de factuur onderweg niet is gewijzigd. Het is dus een handtekening én een ‘checksum’.
	- De afzender gebruikt een certificaat, dat hij in eigendom heeft, bij het plaatsen van de handtekening. De waarde van een elektronische handtekening staat of valt met de geloofwaardigheid van degene die de verzender het certificaat heeft gegeven:, de “Certificate Authority” of CA.
	Sommige CA’s zijn (in Nederland) erkend door de OPTA(zie: Register van certificaten op basis van TTP.NL), College van belanghebbenden TTP.NL. CA’s kunnen andere CA’s in het buitenland erkennen, maar lang niet alle internationaal opererende CA’s erkennen elkaar. Dat is een grote bron van verwarring bij elektronisch factureren in Europa en buiten Europa.
	Een belangrijke oorzaak van de verschillen tussen CA’s is dat CA’s meer of minder zorgvuldig zijn in het controleren van de identiteit van het bedrijf of de persoon aan wie ze het certificaat (en daarmee de handtekeningen) toekennen.
	CA’s hebben verschillende technische middelen voor het uitgeven van de certificaten en handtekeningen. Sommige CA’s mailen een bestand met die gegevens, andere geven ze alleen uit op een beschermde USB stick die in de computer moet worden gestoken op het moment dat de handtekening wordt gezet.
	Naast de “gewone” geavanceerde elektronische handtekening is er de “gekwalificeerde geavanceerde elektronische handtekening”. Gekwalificeerd betekent dat degene die de handtekening zet zich persoonlijk heeft gelegitimeerd bij de CA en dat hij de handtekening alleen kan zetten met behulp van een beschermde USB-stick of smartcard en een wachtwoord.
	Wanneer de ontvanger de factuur opent, wordt online, via internet, gecontroleerd of het certificaat geldig was op het moment dat de handtekening werd gezet en afkomstig van de verzender. De controles en de resultaten van deze controles worden opgeslagen bij de elektronische handtekening. Wanneer de factuur wordt gearchiveerd, worden deze gegevens ook mee gearchiveerd.
Beveiligde verbindingen	Behalve met een geavanceerde elektronische handtekening, kan de authenticiteit en integriteit ook worden bewaakt door de factuur te versturen via beveiligde verbindingen.
	De verbinding met een dienstverlener of met de handelspartner kan worden beschermd met een handtekening of wachtwoord. Er kan bijvoorbeeld een SSL verbinding worden opgezet. Hiermee wordt min of meer bewezen dat degene die contact zoekt degene is wie hij zegt die hij is, maar de integriteit van de gegevens wordt hierdoor niet gegarandeerd. Verder geldt ook hier dat de geloofwaardigheid van de bescherming staat of valt met de geloofwaardigheid van de uitgever van het certificaat: dat wil zeggen welke maatregelen de uitgever heeft genomen om er voor te zorgen dat de koper van het certificaat ook werkelijk is wie hij zegt te zijn.
Inschakelen derde partij	Bij Electronic Data Interchange wordt vaak gebruik gemaakt van een dienstverlener die garant staat voor bewaking van de integriteit. Dit is echter niet altijd het geval wanneer verzender en ontvanger van de factuur van verschillende dienstverleners gebruik maken.
	Tegenwoordig kan ook steeds gemakkelijker gebruik gemaakt worden van een derde partij, die voor de verzender en de ontvanger het origineel bewaart en integriteit en authenticiteit garandeert. Dit kan los staan van dienstverlening voor het overbrengen van de factuurinformatie.

Internationaal e-factureren

Voor factureren met sommige Europese landen zoals Duitsland geldt een aantal zware eisen aan elektronische facturen. De Duitse belastingdienst vraagt op dit moment een hele zware vorm van geavanceerde elektronische handtekening, waarbij de verzender van de factuur, voordat hij de geavanceerde elektronische handtekening kan plaatsen, zich op een wijze zoals voorgeschreven door de geautoriseerde uitgever van het handtekening-certificaat moet legitimeren met behulp van een pas met een speciale chip, een USB-stick of een ander middel. Dit heet een “gekwalificeerde geavanceerde elektronische handtekening”.
De Duitse wet eist dat een certificaat dat is uitgegeven door een CA die wordt erkend door de OPTA ook door de Duitse belastingdienst en de Duitse ontvanger wordt erkend.

Elektronische handtekeningen en spraakverwarring

Er zijn drie soorten elektronische handtekeningen (zie voor meer informatie de e-Authenticatie van Manager van ECP-EPN ). Er is veel spraakverwarring over het verschil tussen een geavanceerde elektronische handtekening en een gekwalificeerde geavanceerde elektronische handtekening: oorzaak van deze verwarring is mogelijk dat alleen de gekwalificeerde geavanceerde elektronische handtekening wordt met zoveel woorden in de wet genoemd en de “gewone” geavanceerde elektronische handtekening geen benaming heeft in de wet.

1. De elektronische handtekening: dat kan iedere vorm van ondertekening zijn, bijvoorbeeld een gescande handtekening en opgeslagen als een afbeelding. Deze handtekening biedt geen enkele zekerheid over authenticiteit en integriteit.
2. De geavanceerde elektronische handtekening wordt in Nederland door veel ondernemers, de rechter en de belastingdienst geaccepteerd om integriteit en authenticiteit aan te tonen. Deze handtekening is gemakkelijk aan te schaffen en zonder hoge kosten te gebruiken (zie volgende paragraaf). Er zijn daarbij grote verschillen tussen de manier waarop CA’s werken. Wanneer u bijvoorbeeld via Verisign een geavanceerde elektronische handtekening aanschaft, volstaat het aanmaken van een account en de verificatie van het e-mail adres.
3. De gekwalificeerde geavanceerde elektronische handtekening: waarborgt de integriteit van het document. Er is bij de uitgifte van het certificaat een extra inspanning gedaan om de ondertekenaar te identificeren. Hij moet zich legitimeren bij degene die het certificaat uitgeeft: de CA. Voordat hij de gekwalificeerde geavanceerde handtekening kan zetten moet hij zichzelf identificeren met een pas, USB-stick en/of wachtwoord. Het document kan daardoor alleen maar van een specifieke persoon afkomstig zijn. Sommige EU-landen, zoals Duitsland, eisen deze zwaardere vorm van beveiliging.

Er is echter ook ruimte voor andere methoden om authenticiteit en integriteit te garanderen. Zo mogen bedrijven onderling afspraken maken over hoe ze elkaar elektronisch kunnen factureren. Deze bedrijven moeten dan zelf de authenticiteit en de integriteit van hun systemen en procedures waarborgen.

Wat moet u weten over standaarden?

In de discussies over e-factureren spelen standaarden een belangrijke, maar ook vaak een verwarrende rol. Termen buitelen over elkaar heen en een buitenstaander ziet door de bomen al snel het bos niet meer.

Het is belangrijk te bedenken dat de keuze van standaarden een uitvloeisel is van wat u wilt met e-factureren en met welke partijen u samenwerkt. Er is geen absolute objectieve maatstaf om te zeggen dat een bepaalde standaard voor gegevensuitwisseling beter is. Begrippen die u vaak tegenkomt zijn XML, UBL, UN/CEFACT, XBRL en EDI. Deze paragraaf biedt wat achtergrondinformatie bij deze begrippen.

XML (eXtensible Markup Language)

Eigenlijk alle moderne formaten voor elektronische documenten gebruiken XML. XML is een stelsel afspraken hoe in een elektronische tekst de functie van een stukje tekst (zoals bijvoorbeeld adres, postcode, voornaam) wordt aangegeven. De tekst “ Lindelaan “betekent volgens de XML afspraken dat Lindelaan in dit document de straatnaam aangeeft.

XML kan worden beschouwd als de opvolger van EDIFACT. EDIFACT wordt in een aantal branches op grote schaal en met veel succes nog steeds gebruikt om handelsdocumenten, zoals orders, pakbonnen én facturen elektronisch uit te wisselen.

XML en EDIFACT zeggen nog niets over welke informatie in een document moet staan om het elektronisch te kunnen verwerken: welke elementen er in moeten voorkomen om bijvoorbeeld te voldoen aan internationale handelsafspraken en hoe die elementen worden benoemd (noemen we “ Lindelaan” de “straatnaam”, de “straat”, of het “adres”). Daarvoor moeten tal van aanvullende afspraken worden gemaakt. Dergelijke aanvullende afspraken over XML zijn bijvoorbeeld UBL, UN/CEFACT, EANCOM en XBRL.

UBL (Universal Business Language) en UN/CEFACT

UBL is zo’n nadere invulling van XML. Het is een bibliotheek van documenten voor zakelijk gebruik zoals rekeningen, orders, orderbevestigingen enz., UBL 2.0 zal opgaan in UN/CEFACT (United Nations Centre for Trade Facilitation and Electronic Business). Inmiddels is de Cross Industry Invoice gerealiseerd: http://www.uncefactforum.org/TBG/TBG1/TBG1%20Documents/BRS%20Cross%20Industry%20Invoicing%20Process%202_00_04.pdf.

XBRL

XBRL is een XML-formaat voor rapportage van financiële gegevens. Het kan worden gebruikt om gegevens aan te leveren bij de belastingdienst, het CBS en de Kamer van Koophandel. XBRL is niet bedoeld voor het uitwisselen van handelsdocumenten zoals facturen.

EDIFACT (Electronic Data Interchange for Administration, Commerce and Transport)

EDIFACT is een oude maar nog steeds veel gebruikte standaard voor gegevensuitwisseling tussen computers. Traditioneel worden EDIFACT berichten uitgewisseld via zogenaamde Value Added Netwerken (specifieke dienstverleners). Tegenwoordig kan ook Internet worden gebruikt. Om EDIFACT berichten aan te maken of te lezen is specifieke software nodig..

Ontwikkelingen in nationale en internationale standaarden

Een goed uitgangspunt bij uw keuzes is dat u zoveel mogelijk moet aansluiten op datgene wat al aanwezig is in uw branche of wat uw klanten en leveranciers al kennen. Advies daarover kunt u inwinnen bij uw brancheorganisaties of partijen als Syntens en bij ECP-EPN.

Het is nog niet zo dat iedereen zomaar naar ieder ander bedrijf elektronische facturen kan sturen: er is begin 2009 nog geen nationale, Europese of wereldwijde afspraak over e-factureren. Binnen branches zijn vaak al wel afspraken zoals in de agrarische sector, de bouw (Syntens), de retail (GS 1), uitzendbranche (SETU) of meubelbranche (logifurn.nl)

Nationale afspraken staan op het punt gemaakt te worden en deze zullen sterk aansluiten op de ontwikkelingen in Europa en wereldwijd (UN/CEFACT). De EC maakt zich sterk voor harmonisatie van de regels voor e-factureren (zie ec.europa.eu/internal_market/paiments/einvoicing, met o.a. rapportages van de Europese ‘Expert Group on e-invoicing’), het vereenvoudigen en harmoniseren van regelgeving.

HANDIGE HYPERLINKS

• Onderzoeksrapport Interne Markt
• Cross Industry Invoice.
• Brochure Elektronische Handtekening

STAPPENPLAN

Samenvatting

In dit hoofdstuk treft u achtergrond informatie aan over de geavanceerde elektronische handtekening, internationaal factureren en standaarden. Deze informatie is bedoeld ter verdieping.

© Informatie over Elektronisch Factureren van het Nationaal Multibelanghebbenden Forum e-Factureren | Alle informatie op deze site is public domain: mits met bronvermelding, mag u deze informatie citeren| Disclaimer

• Home
• Downloads
• Achtergronden
• Ondersteuning
• Begrippen
• Over