Gartner: Entrust benoemd tot leider in identiteitsverificatie.

Open webportaal Support
Signhost logoSignhost logo
Log in

Alles wat bedrijven moeten weten over eIDAS 2.0

Team Signhost

October 15, 2024

image

De regelgeving omtrent elektronische “IDentification, Authentication & trust Services”, oftewel de eIDAS-verordening, trad in 2014 in werking. In 2016 moesten Europese landen aan de wetgeving voldoen. Het doel van de Europese Unie met deze wet is het creëren van een eerlijke, open en veilige digitale omgeving.
 

Dankzij een evaluatie over het effect van de verordening in 2020, kwam de Europese Commissie tot de conclusie dat de gewenste resultaten niet waren behaald. De eIDAS-verordening had slechts gedeeltelijk geleid tot grensoverschrijdende toegang tot publieke online diensten. Ook kwam er naar voren dat sommige sectoren werden uitgesloten en dat slechts 14 lidstaten elektrische identificatie (eID) hadden ingevoerd. Dit laatste betekent dat slechts 59% van alle inwoners toegang had tot een betrouwbare eID tijdens de evaluatie.
 

De Europese Commissie besloot daarom een wetswijziging in te voeren, die beter bekendstaat als eIDAS 2.0
 

In dit artikel bekijken we wat de belangrijkste onderdelen van de eIDAS 2.0-verordening zijn en hoe deze verschilt van de oorspronkelijke verordening. Inclusief een handig tijdschema, zodat je weet wanneer nieuwe elementen worden geïmplementeerd.  

Wat is eIDAS 2.0?

eIDAS 2.0 is een uitbreiding van de eIDAS-verordening, met als doel in te spelen op de digitalisatie die momenteel in Europa plaatsvindt. Evenals het aanpakken van tekortkomingen in de originele verordening, zodat alle Europeanen veilig kunnen deelnemen aan de digitale toekomst.

De reden hiervoor is een evaluatie die werd opgelegd in artikel 49 van de oorspronkelijke eIDAS-verordening: "De Commissie evalueert de toepassing van deze verordening en brengt uiterlijk op 1 juli 2020 verslag uit aan het Europees Parlement en de Raad.

Dit leidde tot een voorstel van de Europese Commissie tot een herziening, om precies te zijn in juni 2021. In november 2023 bereikten het Europees Parlement en de Europese Raad een overeenstemming en op 29 februari 2024 werd het nieuwe voorstel goedgekeurd.

De belangrijkste doelen van eIDAS 2.0 zijn:

  • Zorgen voor een betrouwbaar en veilig identificatieproces, dat digitaal en grensoverschrijdend is.
  • Het ondersteunen van zowel publieke als privé diensten, om optimaal te profiteren van deze grensoverschrijdende oplossingen.
  • Burgers de totale controle geven over hun eigen persoonlijke gegevens en een veilige manier bieden om dit digitaal te doen.
  • Een eerlijk speelveld creëren voor het accepteren van EU-gekwalificeerde vertrouwensdiensten. 

Hoe verschilt eIDAS 2.0 van eIDAS 1.0?

Er zijn een aantal verschillen tussen de originele verordening en de aangepaste regels, waaronder:

 

OnderdeeleIDAS 1.0eIDAS 2.0
Digitale ID’sLidstaten zijn niet verplicht om een nationale eID te ontwikkelen. Lidstaten moeten eID-wallets verstrekken aan inwoners en  entiteiten.
VertrouwensdienstenVooral gericht op elektronische handtekeningen, digitale waarmerken, time stamps en gecertificeerde diensten voor  website authenticatie.Het toevoegen van extra vertrouwensdiensten, zoals elektronische ledgers en archieven. Plus het uitbreiden van de verordening, zodat elektronische handtekeningen en waarmerken in een bredere context kunnen worden gebruikt.
SectorDe focus ligt op grensoverschrijdende openbare diensten. Een bredere inzet voor het verbeteren van de toegankelijkheid, inclusief de privésector.
InteroperabiliteitGeen interoperabiliteit tussen de eID’s van verschillende lidstaten. Het bevorderen van de uitwisselbaarheid van eID’s binnen EU-lidstaten.
Beheer door de gebruikerWeinig verschillende soorten ID’s, met een minimale controle voor de gebruiker.Het verplichten van een Self-Sovereign Identity (SSI) , zodat burgers meer controle hebben over hun eigen identiteitsgegevens. 

 

Belangrijkste elementen van eIDAS 2.0

European Digital Identity Wallet (EUDI)

Een van de belangrijkste toevoegingen in de herziene verordening is de ontwikkeling van de EUDI. Soms ook wel EDIW of EU-wallet genoemd. Het is een digitale "portemonnee" voor alle Europeanen, die het makkelijker maakt om jezelf te identificeren en voor het bevestigen van bepaalde persoonlijke informatie. En dit alles op een manier die wordt erkend in heel Europa. 

Op het moment van schrijven accepteert slechts 14% van belangrijke publieke dienstverleners grensoverschrijdende authenticatie via een eID-systeem. eIDAS 2.0 moet daar verandering in brengen. Veel mensen gebruiken apps op smartphones en andere apparaten om zichzelf online en/of offline te identificeren. Met deze EU-wallet moet dit makkelijker en veiliger worden, door het kunnen opslaan en uitwisselen van je naam, geboortedatum en nationaliteit. Maar het is ook mogelijk om andere informatie toe te voegen, die je altijd binnen handbereik wil hebben. 

 

Burgers kunnen de EUDI gebruiken om een bankrekening te openen, toegang te krijgen tot overheidsdiensten, in te checken bij een hotel en nog veel meer. Het concept hierachter is het creëren van een centrale online identiteit voor inwoners, waardoor het niet meer nodig is om nieuwe accounts aan te maken op afzonderlijke platformen. 

Erkenning buiten de eigen landsgrenzen 

De EUDI moet de missie van eIDAS 2.0 ondersteunen en de interoperabiliteit binnen de EU bevorderen. De verordening bepaalt de standaard voor EUDI en digitale identiteiten, om ervoor te zorgen dat overal dezelfde strenge veiligheidseisen gelden. De systemen van elke lidstaat moeten volgens deze technische standaard worden opgezet, voor een vergrote acceptatie en gebruik van digitale ID’s.
 

Dit is niet alleen voordelig voor burgers, maar ook voor bedrijven. Het eenvoudig identificeren en verifiëren van klanten in heel Europa, zorgt ervoor dat nieuwe markten bereikbaar zijn zonder veel vertraging of kosten.

Vertrouwensdiensten

eIDAS 2.0 omvat een grotere variëteit aan vertrouwensdiensten dan in de originele variant, waar het ging om elektronische handtekeningen, e-seals, time stamps, verificatie en website authenticatie. Daaraan zijn nu ook elektronisch archiveren en ledgers toegevoegd. Plus apparaten voor het creëren van waarmerken en het beheren van elektronische handtekeningen op afstand, om de veiligheid te bevorderen.
 

De “eIDAS 2.0 toolbox” heeft als doel betrokkenen snel up-to-speed te brengen met de nieuwe regelgeving. Inclusief een grotere set aan maatregelen, voor het controleren van diverse documenten. De sectoren onderwijs en reizen zullen hier veel mee te maken krijgen, aangezien deze organisaties verschillende zaken moeten controleren. Denk aan het huren van een auto, daarvoor moet zowel iemands identiteit als rijbewijs worden geverifieerd. Die vervolgens worden opgeslagen in de EUDI van deze persoon. 

Om dit te bereiken wordt gebruikgemaakt van Qualified Electronic Attestation of Attributes (QEAA). De aanbieder van vertrouwensdiensten controleert al deze additionele documenten, waaronder dus rijbewijzen, geboorteaktes, diploma’s en meer. 

Wanneer treedt eIDAS 2.0 in werking?

Nu de eIDAS 2.0-verordening is aangenomen door het Europees Parlement en de Raad, kan het allemaal erg snel gaan. Natuurlijk is er tijd nodig om alle regels te implementeren, maar er zal binnenkort een tijdschema worden uitgebracht zodat alle belanghebbenden zich goed kunnen voorbereiden. 
 

Op het moment van schrijven zijn deze data bekend:

  • 11 april 2024 – Het publiceren van de tekst van de verordening in het Official Journal van de EU
  • Mei 2024 – eIDAS 2.0 gaat van kracht
  • Oktober 2026 – Lidstaten moeten EUDI’s klaar hebben staan voor burgers 

Welke landen en sectoren worden beïnvloed door eIDAS 2.0?

eIDAS 2.0 zal alle Europese landen en de European Economic Area (EEA) beïnvloeden. Dit zal gevolgen hebben voor alle sectoren die online diensten aanbieden, verificatie van klanten vereisen of online transacties uitvoeren. Het is een van de redenen waarom de EU de wetgeving heeft bijgewerkt, zodat alle sectoren baat hebben bij de nieuwe versie.

In het voorstel omtrent eIDAS 2.0, gaf het Europees Parlement een aantal voorbeelden van sectoren die in het bijzonder kunnen profiteren van de EU-wallet:

 

‘Particuliere partijen die diensten verlenen, zoals op het gebied van vervoer, energie, bankieren en financiële diensten, sociale zekerheid, gezondheid, drinkwater, postdiensten, digitale infrastructuur, telecommunicatie of onderwijs, moeten het gebruik van EDIW's accepteren voor het verlenen van diensten waarbij sterke gebruikersauthenticatie voor online identificatie vereist is door wetgeving van de Unie of nationale wetgeving.’

Hoe kunnen organisaties zich voorbereiden op eIDAS 2.0?

Belangrijke veranderingen identificeren 

De eerste stap in compliance, is begrijpen welke veranderingen er nodig zijn in de huidige processen. Een van de belangrijkste veranderingen is het accepteren van de EUID-wallet tijdens de verificatie en authenticatie van klanten. Wat zorgt voor een ander onboardingsproces. 

In theorie moet dit zorgen voor een makkelijker proces, omdat klanten enkel hun wallet hoeven te koppelen. Langdurige registratie en verificatie, het verstrekken van betaalgegevens en het uploaden van documenten is dan allemaal verleden tijd. Daarvoor is het wel essentieel dat het nieuwe proces getest is en naar behoren werkt. 

Updates in de gaten houden

Met een wetswijziging kan het voorkomen dat er nieuwe informatie bekend wordt in de periode van implementatie en het ontwikkelen van de technologische vereisten. Check dus regelmatig of er nog relevante updates zijn uitgebracht. Zet bijvoorbeeld een Google alert voor nieuwsberichten over eIDAS 2.0.

Tekortkomingen oplossen

Ga na of je huidige systemen eventuele tekortkomingen hebben, die moeten worden aangepakt voordat eIDAS 2.0 volledig van kracht gaat. Zorg ervoor dat deze voldoen aan de General Data Protection Regulation (GDPR / AVG). 

Als er tekortkomingen zijn is het belangrijk om de nodige middelen vrij te maken, om zo snel mogelijk aan alle regels te voldoen. Denk aan het herdesignen van systemen en/of het trainen van werknemers.

Samenwerken

Werk samen met eID-partners en QTSP’s, en bespreek de aankomende veranderingen. Ga na wat er van jouw organisatie verwacht wordt. Een gedeelte van de werkzaamheden zal worden gedaan door deze derde partijen, maar het is slim om precies te weten wat er van jouw kant verwacht wordt met betrekking tot compliance.

Voorbereiden op nieuwe mogelijkheden

De herziening zorgt voor nieuwe kansen waar je als bedrijf op kunt inspelen. Denk erover na hoe je hier optimaal van kunt profiteren. Laat je website bijvoorbeeld vertalen in andere Europese talen, en denk erover na hoe je jouw producten en diensten op een kosteneffectieve manier over de grens kunt aanbieden. Zorg dat je er klaar voor bent, voordat de EUID wordt uitgerold.

FAQ

Worden er onder eIDAS 2.0 wijzigingen aangebracht m.b.t. de eIDAS vertrouwenslijst?

Hoewel specifieke veranderingen in de vertrouwenslijst afhankelijk zijn van de definitieve regelgeving, verwacht men sowieso dat de lijst een belangrijke rol blijft spelen als openbaar register van vertrouwde QTSP's en hun diensten. Het is mogelijk dat er updates worden uitgebracht voor nieuwe diensten, maar dit zal pas echt duidelijk worden in de loop van tijd. 

Hoe sluit eIDAS 2.0 aan op andere EU-regelgevingen, zoals de AVG?

eIDAS 2.0 is ontworpen als aanvulling op andere EU-regelgevingen, waaronder de AVG. Het doel is ervoor zorgen dat elektronische identificatie- en vertrouwensdiensten niet alleen voldoen aan hoge veiligheidsnormen, maar ook het respecteren van de regels omtrent privacy en gegevensbescherming. Het dient een samenhangend geheel te vormen voor alle digitale transacties binnen de EU.  

Welke uitdagingen kunnen organisaties tegenkomen bij het naleven van de eIDAS 2.0?

Uitdagingen waar organisaties mee te maken kunnen krijgen zijn technologische upgrades, het aanpassen van het interne beleid op basis van de nieuwe regelgeving en het bijscholen van werknemers over de nieuwe procedures.

Daarnaast kan het behoorlijk complex zijn om op de hoogte te blijven van alle veranderingen en de gekwalificeerde vertrouwensdiensten. 

Conclusie

eIDAS 2.0 vereist de aandacht van bedrijven in iedere sector, die zich bevinden in een EU of EEA land. De aanpassing zal veel mogelijkheden brengen, omdat het makkelijker wordt om zaken te doen buiten de eigen landsgrenzen. Transacties en onboarding worden eenvoudiger, maar dit betekent wel dat entiteiten moeten samenwerken met betrouwbare dienstverleners op het gebied van digitale identificatie om dit mogelijk te maken.

Entrust Signhost is zo’n dienstverlener waarmee het mogelijk is om klanten op afstand welkom te heten. Ze helpen bij het aanbieden van een verbeterde klantervaring volgens de hoogste normen en met zo min mogelijk frictie. Meld je vandaag aan voor een gratis account en ontdek zelf hoe Entrust Signhost jouw onderneming kan helpen.

Referenties en meer te lezen

 

*Disclaimer: Deze content is geen juridisch advies. De geschiktheid, afdwingbaarheid of toelaatbaarheid van elektronische documenten zal waarschijnlijk afhangen van vele factoren, zoals het land of de staat waar u opereert, het land of de staat waar het elektronische document zal worden verspreid, en het type elektronisch document in kwestie. Raadpleeg een passende juridische adviseur om mogelijke juridische implicaties en vragen met betrekking tot het gebruik van elektronische documenten te analyseren.