03 juni 2021
De eIDAS-verordening werd in september 2014 in de hele EU van kracht. Alle EU-lidstaten moeten vanaf 1 juli 2016 aan deze richtlijn voldoen. De verordening maakt deel uit van de digitale agenda van de EU. Het doel daarvan is “te zorgen voor een eerlijke, open en veilige digitale omgeving” voor bedrijven in de hele EU.
Dit artikel legt uit wat de eIDAS-verordening inhoudt. En hoe ze bijdraagt aan een soepele en veilige afwikkeling van digitale transacties in alle lidstaten.
eIDAS staat voor elektronische identificatie, authenticatie en vertrouwensdiensten. De verordening is onderdeel van een groter geheel aan maatregelen. Die zijn erop gericht om de regels voor elektronische transacties, zoals elektronische handtekeningen, in de hele EU te standaardiseren. Het idee is dat elke persoon, elk bedrijf en elke overheidsinstantie in iedere lidstaat op een eenvoudige en veilige manier elektronische transacties kan afwikkelen met elke persoon, elk bedrijf en elke overheidsinstantie binnen de EU.
De eIDAS-verordening heet officieel Verordening 910/2014. Ze werd op 23 juli 2014 gepubliceerd. Het doel was om juridische duidelijkheid te scheppen over digitale identificatie binnen de EU. De verordening bevat regels voor de vertrouwensdiensten die nodig zijn bij elektronische transacties. Ze geeft daarnaast een juridisch kader voor:
eIDAS streeft naar interoperabiliteit van de verschillende systemen. Dat betekent dat EU-landen elkaars elektronische identificatiesystemen nu als rechtsgeldig kunnen erkennen. Dat opent de markt voor bedrijven. Het opstellen van een lijst met leveranciers van vertrouwendiensten stimuleert gesprekken en innovaties op het gebied van elektronische veiligheidsmaatregelen.
Elk bedrijf dat elektronische transacties uitvoert in de EU moet aan de eIDAS-verordening voldoen.
Om aan eIDAS te voldoen, moet je een groot aantal termen begrijpen. Hieronder vindt u de belangrijkste definities uit de verordening
Worden ook wel Trust Service Providers (TSP’s) of verleners van vertrouwensdiensten genoemd. Deze instellingen creëren, verifiëren en valideren certificaten voor elektronische transacties, zoals elektronische handtekeningen. Gekwalificeerde vertrouwensdiensten (QTS) voldoen aan de veiligheidseisen voor het leveren van certificaten voor gekwalificeerde elektronische handtekeningen. De toezichthouder van elke lidstaat bepaalt welke verleners van vertrouwensdiensten worden gekwalificeerd. Alleen vertrouwensdiensten die op de EU-vertrouwenslijst staan mogen certificaten verstrekken voor het authentiseren van transacties uit de hoogste zekerheidsklasse.
Een QTS is een certificaatautoriteit. Dat betekent dat men gemachtigd is om certificaten af te geven waarmee elektronische transacties gevalideerd kunnen worden. Zo’n instantie wordt ook wel een certificeringsautoriteit of kortweg CA genoemd.
De eenvoudigste elektronische handtekening bestaat uit wat digitale data. Die worden gebruikt om aan te geven dat men de inhoud van een document accepteert. eIDAS stelt dat een elektronische handtekening geen rechtsgeldigheid kan worden ontzegd, louter omdat die elektronisch is. Lidstaten mogen echter binnen hun eigen landsgrenzen zelf het juridische gewicht van een elektronische handtekening bepalen. Dat geldt echter niet voor een gekwalificeerde elektronische handtekening (QES). Die wordt in de hele EU gelijkgesteld aan een traditionele handgeschreven handtekening. Verderop leest u meer over de verschillende soorten elektronische handtekeningen.
Elektronische zegels, of eZegels, zijn elektronische data die de herkomst en integriteit van andere data waarborgen. Ze zijn te vergelijken met een digitale vingerafdruk voor bedrijven of organisaties. Het zegel bewijst dat de ontvangen informatie van dat bedrijf afkomstig is. Elektronische zegels kunnen bijvoorbeeld worden gebruikt om automatisch aangemaakte facturen te valideren. Of overeenkomsten die tussen bedrijven in verschillende lidstaten heen en weer worden gestuurd. Het is dan niet meer nodig om fysieke documenten te versturen. Een gekwalificeerd elektronisch zegel heeft in de hele EU dezelfde waarde.
Een elektronische tijdstempel, of eTijdstempel, kan worden toegevoegd aan een gekwalificeerde elektronische handtekening. Dit bewijst wanneer een document precies werd ondertekend. De verstrekker van het document is verplicht om de datum en tijd van de tijdstempel te accepteren wanneer die aan de QES is toegevoegd. Het vormt elektronisch bewijs dat bepaalde data op een bepaald tijdstip bestond. Hiermee kan de ontwikkeling van een document eenvoudiger worden gevolgd. Dat verbetert de reconstrueerbaarheid. Certify van Evidos genereert bijvoorbeeld zulke tijdstempels en elektronische certificaten.
Met een elektronische aangetekende bezorgdienst kunnen data worden verstuurd voorzien van een verzend- en ontvangstbewijs. Dit verbetert de reconstrueerbaarheid en verkleint de kans dat de data kwijt raken, gestolen worden of door een ongeautoriseerde partij worden gewijzigd . Elektronische aangetekende bezorgdiensten kunnen bijvoorbeeld worden gebruikt voor documenten als inkooporders en contracten.
Deze certificaten bewijzen wie de eigenaar van een website is. Hierdoor weten bezoekers dat een website betrouwbaar en vertrouwd is. Deze certificering helpt phishingsites en andere online zwendelpraktijken voorkomen.
eIDAS noemt drie verschillende soorten elektronische handtekeningen. Elke volgende vorm biedt meer zekerheid. Dit zijn de drie verschillende handtekeningen en een aantal kenmerken daarvan:
| Type handtekening | Kenmerken |
| Gewone elektronische handtekening (SES) | Ook wel Basic Electronic Signature genoemd. Dit kan elk digitaal teken zijn waarmee wordt aangegeven dat een document wordt geaccepteerd. Denk bijvoorbeeld aan het inscannen van een handgeschreven handtekening, die vervolgens op een pagina wordt geplakt. Of aan het klikken op een ‘Akkoord’-knop. Als u de digitale identiteit van de ondertekenaar niet hoeft te verifiëren is dit een acceptabele elektronische handtekening. |
| Geavanceerde elektronische handtekening (AES) | Om een AES te ontvangen, moet u de identiteit van de ondertekenaar kunnen controleren. U hoeft die echter niet te kunnen garanderen. U moet ook kunnen controleren of er na ondertekening geen wijzigingen meer in het document zijn aangebracht. Om een AES te creëren, heeft u een veilig middel voor het aanmaken van handtekeningen (SSCD )nodig . |
| Gekwalificeerde elektronische handtekeningen (QES) | De eIDAS-verordening kent de QES een bijzondere status toe. De QES heeft in heel de EU namelijk dezelfde rechtsgeldigheid als een handgeschreven handtekening. Dat komt door de veilige manier waarop een QES wordt aangemaakt. Om een QES te verkrijgen, moet u uw identiteit eerst door een QTP laten bevestigen. Hetzij persoonlijk, hetzij via een video call. Voor een QES is ook meervoudige authenticatie vereist. Denk bijvoorbeeld aan het invoeren van een pincode.
Voor het aanmaken van een QES is een gekwalificeerd middel voor het aanmaken van handtekeningen (QSCD) nodig. |
Is er een geschil? Dan moet bij een SES of AES de verstrekker aantonen dat de ondertekenaar degene was die hij beweerde te zijn. Een QES is zo veilig dat bij een gerechtelijke procedure de bewijslast bij de ondertekenaar ligt, wanneer die beweert dat hij het document niet heeft ondertekend.
In artikel 8 van de verordening worden drie verschillende betrouwbaarheidsniveaus genoemd voor de verschillende vormen van elektronische identificatie. Die vormen de basis voor de drie soorten elektronische handtekeningen. EIDAS kent de volgende drie betrouwbaarheidsniveaus:
| Betrouwbaarheidsniveau | Belangrijkste kenmerken |
| Laag | Bij elektronische identificatiemethoden met een laag betrouwbaarheidsniveau heeft u slechts “een beperkte mate van zekerheid” wanneer u de identiteit van de ontvanger controleert en verifieert. |
| Substantieel | Een substantieel betrouwbaarheidsniveau betekent dat de eID-methode meer zekerheid biedt dat de identiteit correct wordt vastgesteld. |
| Hoog | Bij eID’s met een hoog betrouwbaarheidsniveau bent u “vrij zeker” van de identiteit van de ondertekenaar |
Deze betrouwbaarheidsniveaus zijn gebaseerd op de ISO/IEC 2915-norm. Daarin worden twee soorten zekerheden genoemd, op basis waarvan het betrouwbaarheidsniveau wordt bepaald.
Voor een laag betrouwbaarheidsniveau is een basale vorm van identificatie op het moment van registratie en een eenvoudig wachtwoord bij aanmelding voldoende. Er worden wel maatregelen worden getroffen om ervoor te zorgen dat de juiste persoon het document ondertekent. Het is voor een derde partij echter niet al te ingewikkeld om die informatie te achterhalen en frauduleus te tekenen.
Voor een substantieel betrouwbaarheidsniveau zou u de identificatie bij een autoriteit kunnen verifiëren. Verder zou u naast een wachtwoord ook een per sms verstuurd eenmalig wachtwoord (OTP) kunnen vragen om de ondertekening af te ronden.
Voor een hoog veiligheidsniveau raadpleegt u de registratieautoriteit. Vervolgens verifieert u de identificatie met een officieel legitimatiebewijs. Dat kan in een persoonlijke ontmoeting of via een video call. Bij ondertekening heeft u meervoudige identificatie en een cryptografische beveiliging nodig. Hiervoor maakt u gebruik van een publieke sleutelinfrastructuur (PKI). Wilt u meer te weten komen over hoe een PKI werkt? Bekijk dan de onderstaande video.
https://www.youtube.com/watch?v=AQDCe585Lnc
De eIDAS-verordening geldt in de hele EU. Alle lidstaten mogen hun eigen eID-vertrouwensdiensten kwalificeren. De tekst van de regelgeving gaat dan ook vooral over het hanteren van dezelfde veiligheidsniveaus. Een van de doelen van eIDAS was om grensoverschrijdende transacties soepel te laten verlopen. Daarom is deze afstemming enorm belangrijk.
Paragraaf 34 stelt dat individuele regeringen aan “gemeenschappelijke essentiële toezichtvereisten” moeten voldoen. Dit is nodig om deze aansluiting te behouden. Ze worden ook aangemoedigd om hun best practices met de regeringen van andere EU-landen te delen. De lidstaten wordt bijvoorbeeld gevraagd om bij het aanmaken van een QES vergelijkbare IT-processen te gebruiken.
Uit de regelgeving blijkt dat een QES en een gekwalificeerd elektronisch zegel onder het hoogste veiligheidsniveau vallen. Daarom mogen lidstaten bij het verifiëren van een transactie met een andere lidstaat niet nog hogere veiligheidseisen stellen aan een eID.
EIDAS vermeldt geen specifieke technische eisen. Er zijn door de Europese Commissie echter wel normen opgesteld voor verleners van vertrouwensdiensten. De meeste lidstaten gebruiken die bij het opstellen van hun vertrouwenslijsten. Er gelden normen voor de certificering van de TSP’s zelf, voor de betrouwbaarheidsniveaus en voor de drie soorten handtekeningen.
In november 2017 heeft de Europese Commissie (EC) de Gedelegeerde verordening over technische reguleringsnormen voor sterke cliëntauthenticatie en gemeenschappelijke en veilige open communicatiestandaarden gepubliceerd.
Deze verordening is een aanvulling op eIDAS. Het doel is om klanten in de hele EU een zo veilig mogelijk ervaring te bieden op het gebied van de rechtsgeldigheid van online betalingen en andere elektronische overboekingen. Ze verplicht aanbieders van betaaldiensten om gekwalificeerde certificaten te gebruiken voor elektronische zegels en de authenticatie van websites.
Bedrijven hebben op allerlei manieren profijt van de eIDAS-verordening. In de eerste plaats zorgt die voor een gestroomlijndere workflow. Het is niet langer nodig om papieren documenten door de hele EU te sturen om die te laten tekenen. En vervolgens af te moeten wachten totdat ze weer teruggestuurd zijn. Met een ondertekendienst als Signhost van Evidos regelt u dat allemaal op uw computer, tablet of telefoon. Bovendien wordt er een handige transactiebon gegenereerd met het oog op de reconstrueerbaarheid.
Bedrijven werken steeds vaker samen met partners in andere lidstaten. Of ze hebben zelf vestigingen in meerdere lidstaten. De Europese afspraken over de juridische status van een QES maken zakelijke transacties veiliger. Er bestaat geen onzekerheid over de rechtsgeldigheid van de overeenkomst in de verschillende jurisdicties. Bovendien kunt u erop vertrouwen dat u aan alle regelgeving voldoet.
Er is ook minder administratieve rompslomp. Alles gebeurt immers online en volgens een duidelijk en eenvoudig proces. Als iemand een document moet ondertekenen, ontvangt men de informatie op telefoon of tablet. Dat betekent dat u niet meer achter de handtekening aan hoeft te zitten.
En vergeet ook het hogere veiligheidsniveau niet. Met een QES wordt u beschermd door ingewikkelde cryptografische systemen. Zo zijn uw data veiliger dan wanneer u een document per post, fax of e-mail zou versturen.
De verlener van vertrouwensdiensten genereert digitale certificaten. Die worden gebruikt om elektronische handtekeningen te authentiseren. Dit biedt zowel de uitgever als de ondertekenaar zekerheid dat de transactie veilig is. Gekwalificeerde verleners van vertrouwensdiensten mogen certificaten uitgeven voor gekwalificeerde elektronische handtekeningen. Nadat ze door de overheid van hun eigen lidstaat zijn gekwalificeerd, worden ze opgenomen in de vertrouwenslijst van de EU.
De EUTL is de European Union Trust List (de Europese vertrouwenslijst). Hierop staan de Europese instanties waarvan de overheid heeft vastgesteld dat ze aan de eisen van eIDAS kunnen voldoen. De instanties op deze lijst mogen digitale certificaten genereren om elektronische transacties te verifiëren.
De eIDAS-verordening heeft de manier van zakendoen in de EU-lidstaten radicaal veranderd. Er kan nu probleemloos elektronisch worden samengewerkt. Dat zorgt voor een veiligere en gestroomlijndere ervaring. De verordening maakt deel uit van de digitale agenda van de EU. Ze regelt de implementatie van de hoogste veiligheidsniveaus. Zo kan er veilig en vertrouwd digitaal met andere lidstaten worden samengewerkt. Daarom is het belangrijk dat alle bedrijven zich aan de eIDAS-regels houden wanneer iemand elektronisch moet worden geïdentificeerd.
Meer weten?
Neem dan contact met ons op, wij vertellen u graag meer.
