De eIDAS Verordening Uitleg: Wat Elke Onderneming Moet Weten
De eIDAS-verordening werd in september 2014 van kracht in de Europese Unie, waarbij alle lidstaten verplicht werden om de bepalingen ervan uiterlijk op 1 juli 2016 te implementeren. De verordening maakt deel uit van de digitale agenda van de EU, die als doel heeft "een eerlijke, open en veilige digitale omgeving" voor bedrijven in de unie te waarborgen.
Dit artikel legt uit wat de eIDAS-verordening is en hoe deze helpt om soepele, naadloze en veilige digitale transacties in alle EU-lidstaten te creëren.
Wat is de eIDAS-verordening en wat betekent het?
eIDAS staat voor elektronische identificatie, authenticatie en vertrouwensdiensten, en de verordening maakt deel uit van een grotere poging om regels voor elektronische transacties zoals elektronische handtekeningen te standaardiseren in de EU. Het idee is dat elke persoon, bedrijf of overheidsinstantie in elke lidstaat in staat moet zijn om elektronische transacties uit te voeren met elke andere persoon, bedrijf of overheidsinstantie in de interne markt op een veilige manier en zonder obstakels.
De eIDAS-verordening, formeel bekend als Verordening 910/2014, werd op 23 juli 2014 uitgevaardigd met als doel juridische zekerheid te creëren over digitale identificatie in de EU. Het creëert regels voor vertrouwensdiensten die elektronische transacties vergemakkelijken. Het definieert ook een juridisch kader voor:
- elektronische handtekeningen
- elektronische zegels
- elektronische tijdstempels
- elektronische documenten
- elektronische geregistreerde bezorgdiensten
- certificaatdiensten voor website-authenticatie
De interoperabiliteit die door eIDAS wordt bevorderd, betekent dat Europese landen nu samenwerken om elkaars elektronische identificatiesystemen te erkennen en te verifiëren, wat administratieve rompslomp voor bedrijven vermindert. De oprichting van een lijst van vertrouwensdienstverleners stimuleert de discussie en innovatie op het gebied van elektronische beveiligingsmaatregelen.
Elk bedrijf dat gebruik maakt van elektronische transacties in de EU moet ervoor zorgen dat het voldoet aan de eIDAS-verordening.
Begrip van de terminologie
Er zijn veel termen die je moet begrijpen om te voldoen aan eIDAS. Hier zijn de belangrijkste definities uit de verordening.
Gekwalificeerde Vertrouwensdiensten
Ook wel Vertrouwensdienstverleners of Trusted Service Providers (TSP's) genoemd, deze organisaties creëren, verifiëren en valideren certificaten voor elektronische transacties, zoals e-handtekeningen. Gekwalificeerde Vertrouwensdiensten (QTS) zijn diegene die zijn erkend om een dienst aan te bieden die veilig genoeg is om certificaten voor Gekwalificeerde Elektronische Handtekeningen uit te geven. Het toezichthoudende orgaan van de lidstaat bepaalt welke vertrouwensdienstverleners gekwalificeerd worden. Alleen QTS die op de EU-vertrouwenslijst staan, kunnen diensten leveren die de hoogste mate van veilige transacties onder de eIDAS-wetgeving authentificeren.
Certificaatautoriteit
Een QTS is een type certificaatautoriteit, aangezien het de bevoegdheid heeft om de certificaten uit te geven die elektronische transacties valideren. Het wordt ook wel een certificeringsautoriteit of CA genoemd.
Elektronische Handtekeningen
Op een basaal niveau zijn elektronische handtekeningen digitale gegevens die de acceptatie of goedkeuring van de inhoud van een document aangeven. eIDAS bepaalt dat een e-handtekening niet kan worden geweigerd op basis van het feit dat deze elektronisch is. Individuele staten moeten echter de juridische impact van een elektronische handtekening binnen hun eigen grenzen bepalen. Dit geldt niet voor een Gekwalificeerde Elektronische Handtekening (QES), die in de hele unie hetzelfde gewicht heeft als een handgeschreven handtekening. Lees verder om meer te weten te komen over de verschillende soorten elektronische handtekeningen.
Elektronische Zegels
Elektronische zegels, of eZegels, zijn elektronische gegevens die de oorsprong en integriteit van andere gegevens waarborgen. Het is een beetje zoals een digitale vingerafdruk voor een bedrijf of organisatie die valideert dat de ontvangen informatie afkomstig is van dat bedrijf. Elektronische zegels kunnen worden gebruikt om automatisch verwerkte facturen of contracten die tussen bedrijven in verschillende lidstaten worden verzonden, te valideren zonder fysieke papieren documenten per post te hoeven versturen. Een Gekwalificeerd Elektronisch Zegel draagt in de unie hetzelfde gewicht.
Elektronische Tijdstempels
Een elektronische tijdstempel, of eTijdstempel, kan worden toegepast met een Gekwalificeerde Elektronische Handtekening om precies aan te tonen wanneer het document werd ondertekend. De uitgevende instantie van het document moet wettelijk bevestigen dat de datum en tijd van de tijdstempel correct zijn als deze op de QES is toegepast. Het is elektronisch bewijs dat een stuk data op een bepaald moment bestond. Dit maakt het gemakkelijker om de voortgang van documenten te volgen en zorgt voor extra verantwoording.
Elektronische Geregistreerde Bezorgdiensten
Een Elektronische Geregistreerde Bezorgdienst, of eDelivery, stelt overheidsorganisaties, bedrijven en het publiek in staat om gegevens naar en van andere partijen over te dragen, met bewijs van verzending en ontvangst. Dit verhoogt de verantwoording en minimaliseert het risico van verlies, diefstal of wijziging van de gegevens door een onbevoegde partij. Elektronische Geregistreerde Bezorgdiensten kunnen worden gebruikt voor bestelorders, contracten of andere soortgelijke documenten.
Gekwalificeerd Webauthenticatiecertificaat
Deze certificaten bewijzen wie de eigenaar van een website is. Een QWAC geeft bezoekers vertrouwen dat de website die ze bezoeken betrouwbaar en veilig is. Deze certificering helpt phishingwebsites en andere online oplichting te voorkomen.
Wat zijn de Soorten Elektronische Handtekeningen zoals gedefinieerd door eIDAS?
eIDAS definieert drie verschillende soorten elektronische handtekeningen, met toenemende niveaus van beveiliging. Hier zijn de drie soorten en enkele van hun kenmerken:
| Type van e-handtekening | Kenmerken |
|---|---|
| Eenvoudige Elektronische Handtekening (SES) | Ook wel een Basis Elektronische Handtekening genoemd, dit kan elke vorm van een digitale markering zijn om de acceptatie van een document aan te geven. Van het scannen van een kopie van je handgeschreven handtekening en deze op de pagina plakken tot het drukken van een knop die 'Ik ga akkoord' zegt. Als je de digitale identiteit van de ondertekenaar niet hoeft te verifiëren, is dit een acceptabele elektronische handtekening. |
| Geavanceerde Elektronische Handtekening (AES) | Om een AES te ontvangen, moet je de identiteit van de ondertekenaar kunnen controleren. Het is echter niet nodig om deze te kunnen garanderen. Je moet ook de mogelijkheid hebben om te controleren of er geen wijzigingen in het document zijn aangebracht nadat de ontvanger hun handtekening heeft toegevoegd. Om een AES te maken, heb je een Secure Signature Creation Device (SSCD) nodig. |
| Gekwalificeerde Elektronische Handtekening (QES) | De QES heeft een speciale status in de eIDAS-verordening, die het hetzelfde gewicht geeft als een handgeschreven handtekening in persoon in de hele unie. Dit komt door de veilige manier waarop de QES wordt gemaakt. Om een QES te verkrijgen, moet je eerst je identiteit laten bevestigen door een QTP, hetzij persoonlijk of via een videogesprek. Een QES vereist ook multi-factor authenticatie wanneer deze wordt gebruikt, zoals het invoeren van een PIN-code. Een Gekwalificeerd Handtekeningcreatieapparaat (QSCD) is noodzakelijk om een QES te genereren. |
In het geval van een SES of AES moet de uitgever bewijzen dat de ondertekenaar degene was die hij beweerde te zijn, als er later een geschil is. Een QES is zo veilig dat als de ondertekenaar ontkent dat het hun handtekening was, de bewijslast bij hen ligt tijdens juridische procedures.
Waarborgen Niveaus
Er zijn drie verschillende waarborgniveaus voor de verschillende elektronische identificatiemiddelen, zoals gepresenteerd in Artikel 8 van de verordening. Deze vormen de basis voor de classificatie van de drie verschillende soorten elektronische handtekening. Dit zijn de drie eIDAS waarborgniveaus:
| Waarborgniveau | Kenmerken |
|---|---|
| Laag | Elektronische identificatiemethoden die voldoen aan de bepalingen voor een laag waarborgniveau bieden slechts "een beperkte mate van vertrouwen" bij het controleren en verifiëren van de identiteit van de ontvanger. |
| Substantieel | Een substantieel waarborgniveau betekent dat de eID-methode meer vertrouwen biedt bij het nauwkeurig identificeren van de ondertekenaar. |
| Hoog | eIDs met een hoog waarborgniveau bieden "een hogere mate van vertrouwen" bij het identificeren van de ondertekenaar. |
Deze waarborgniveaus zijn gebaseerd op de ISO/IEC 2915-standaard en gebruiken twee hoofdzakelijke soorten waarborgen om ze te definiëren:
- Identiteitswaarborg – verwijst naar de systemen die zijn opgezet om de persoon te identificeren wanneer ze zich voor de dienst registreren.
- Authenticatiewaarborg – verwijst naar de manier waarop je die identiteit verifieert op het moment van ondertekening.
Voor het laagste waarborgniveau moet je mogelijk een basisvorm van identificatie vereisen bij registratie en vervolgens een eenvoudig wachtwoord bij inloggen. Hoewel er enkele systemen zijn om te zorgen dat de juiste persoon het document ondertekent, zou het niet al te moeilijk zijn voor een derde partij om die informatie te verkrijgen en frauduleus te ondertekenen.
Voor het substantieel waarborgniveau verifieer je mogelijk de identificatie met een autoriteit en vereist het niet alleen een wachtwoord, maar ook een eenmalige toegangscode (OTP) die via sms wordt verzonden om de handtekening te voltooien.
Voor het hoog waarborgniveau gebruik je de registratieautoriteit en verifieer je de identificatie met officiële overheidsdocumenten en door een face-to-face ontmoeting, hetzij persoonlijk of via een videogesprek. Op het moment van ondertekening is multi-factor identificatie en cryptografische bescherming door middel van een public key infrastructure (PKI) nodig.
Wat zijn de Beveiligingsniveaus voor Elektronische Identificatie (eID)?
Omdat eIDAS een EU-brede verordening is die lidstaten in staat stelt hun eigen vertrouwde diensten met betrekking tot eID te kwalificeren, is de tekst van de wetgeving specifiek over het handhaven van hetzelfde beveiligingsniveau in de hele unie. Een van de redenen achter eIDAS was om naadloze grensoverschrijdende transacties te faciliteren, waardoor deze consistentie belangrijk is.
Paragraaf 34 vereist dat individuele overheden "essentiële toezichtseisen" volgen om deze pariteit te behouden. Ze worden ook aangemoedigd om best practices met hun tegenhangers te bespreken. Staten wordt gevraagd vergelijkbare IT-processen te gebruiken om bijvoorbeeld QES's te creëren.
De verordening maakt ook duidelijk dat de QES en het Gekwalificeerde Elektronische Zegel het hoogste beveiligingsniveau vertegenwoordigen en dat geen enkele lidstaat een vorm van eID mag vereisen die een strikter beveiligingsniveau vereist om een transactie van een andere staat te verifiëren.
Technologische Standaarden
Hoewel eIDAS geen technische specificaties oplegt, zijn er standaarden vastgesteld voor vertrouwensdienstverleners door de Europese Commissie en verwijzen de meeste lidstaten naar deze wanneer ze hun vertrouwenslijsten opstellen. Bepaalde specificaties moeten worden voldaan voor certificering van de TSP's zelf, voor de eID waarborgniveaus en voor de drie soorten handtekening.
In november 2017 gaf de Europese Commissie (EC) de gedelegeerde verordening uit over regelgevende technische standaarden voor sterke klantauthenticatie en gemeenschappelijke en veilige open communicatiestandaarden.
Deze verordening is een aanvulling op eIDAS en heeft als doel klanten in de hele unie de veiligst mogelijke online ervaring te bieden wat betreft de geldigheid van betalingen en andere elektronische overboekingen. Het vereist dat betalingsproviders gekwalificeerde certificaten gebruiken voor elektronische zegels en gekwalificeerde certificaten voor website-authenticatie.
Hoe Bedrijven Geëffecteerd Worden door de eIDAS-Verordening
Bedrijven kunnen op verschillende manieren profiteren van de eIDAS-verordening. Er is bijvoorbeeld een veel gestroomlijndere werkstroom. De papieren documenten die je over de unie moest verzenden voor ondertekening en dan wachten totdat ze terugkwamen, zijn verleden tijd. Door een ondertekenoplossing zoals Signhost te gebruiken, gebeurt alles op je apparaat, met een handige transactieontvangst die voor je audittrail wordt gegenereerd.
Tegenwoordig werken bedrijven steeds vaker samen met partners in andere lidstaten of zelfs in meerdere lidstaten zelf. In deze en veel andere gevallen maakt de EU-brede standaard voor de juridische status van een QES zakelijke transacties veiliger. Het betekent dat er geen onzekerheid is over de legitimiteit van de deal in verschillende rechtsgebieden. En je kunt een hoog niveau van vertrouwen hebben wat betreft naleving.
Er is ook minder administratieve lastigheid, omdat alles online plaatsvindt en een duidelijk en makkelijk te volgen proces volgt. Wanneer iemand een document moet ondertekenen, ontvangt hij de informatie op zijn telefoon of tablet, waardoor je ze niet hoeft na te jagen voor een handtekening.
Er is ook het hogere beveiligingsniveau om te overwegen. Het gebruik van een QES biedt je de bescherming van ingewikkelde cryptografische systemen om je gegevens veilig te houden op een manier die het versturen van documenten per post, per fax of zelfs per e-mail niet doet.
FAQ
Wat is een vertrouwensdienst?
De vertrouwensdienstverlener maakt digitale certificaten die elektronische handtekeningen authentificeren en zowel de afzender als de ondertekenaar vertrouwen geven dat de transactie veilig en beveiligd is. Gekwalificeerde vertrouwensdienstverleners kunnen certificaten uitgeven voor Gekwalificeerde Elektronische Handtekeningen, en ze staan op de EU Vertrouwenslijst zodra ze gekwalificeerd zijn door de openbare autoriteiten in hun land.
Wat is de EUTL?
De EUTL is de Europese Unie Vertrouwenslijst en bevat die organen in de unie die door hun overheden zijn geaccrediteerd om te voldoen aan de eisen van eIDAS. De aanbieders op deze lijst mogen digitale certificaten creëren om elektronische transacties te verifiëren.
Conclusie
De eIDAS-verordening heeft de manier waarop de EU-lidstaten zaken doen veranderd, waarbij naadloze elektronische interacties worden gewaarborgd en de ervaring veiliger en gestroomlijnder wordt gemaakt. Als onderdeel van de digitale agenda van de unie regelt de verordening de implementatie van de hoogste beveiligingsniveaus om vertrouwen en zekerheid te waarborgen bij digitaal werken over grenzen heen. Daarom is het belangrijk dat alle bedrijven zich houden aan eIDAS bij het uitvoeren van elektronische identificatie.
Referenties en Verdere Lezing
- De handleiding van de Europese Commissie over eIDAS
- Elektronische identificatie van nieuwe klanten
- Inloggen zonder gebruikersnamen en wachtwoorden
- Handtekening- en identificatiemethoden in Europa
- Browser van de Vertrouwde Lijst
*Disclaimer: Deze inhoud vormt geen juridisch advies. De geschiktheid, afdwingbaarheid of toelaatbaarheid van elektronische documenten is waarschijnlijk afhankelijk van verschillende factoren, zoals het land of de staat waarin u opereert, het land of de staat waarin het elektronische document wordt verspreid, evenals het type elektronisch document. Het is raadzaam juridisch advies in te winnen om eventuele juridische implicaties en vragen met betrekking tot het gebruik van elektronische documenten te analyseren.