In november 2023 hebben de Raad van de Europese Unie en het Europees Parlement een voorlopig akkoord geformaliseerd over de wijze waarop de verordening betreffende elektronische identificatie-, authenticatie- en vertrouwensdiensten (eIDAS) moet worden bijgewerkt en gewijzigd. De nieuwe overeenkomst, die in de volksmond eIDAS 2.0 wordt genoemd, maakt de weg vrij voor een alomvattend kader voor Europese digitale identiteit (eID). Zodra deze veranderingen zijn goedgekeurd en van kracht zijn, zullen ze grote gevolgen hebben voor alle EU-burgers, inwoners en bedrijven. Lees verder voor meer informatie en ontdek hoe eIDAS 2.0 van invloed zal zijn op zowel particulieren als bedrijven.
Achtergrond: Wat is eIDAS?
De voorgestelde wetgeving wijzigt de eIDAS-verordening betreffende de interne markt van de EU, die in 2014 werd goedgekeurd en tussen 2016 en 2018 stapsgewijs werd ingevoerd. Deze alomvattende verordening moet zorgen voor veiligheid bij de toegang tot openbare diensten en de uitvoering van online transacties over de EU-grenzen heen. Tot nu toe heeft eIDAS niet alleen effectief toezicht gehouden op elektronische archieven en digitale kluizen, maar ook op de manier waarop aanbieders van vertrouwensdiensten elektronische identificatie, elektronische handtekeningen, elektronische zegels, elektronische tijdstempels, elektronische diensten voor aangetekende bezorging (ERDS), elektronische documenten en websiteverificatiecertificaten leveren. Deze basisinstrumenten zijn essentieel voor het soepel uitvoeren van veilige elektronische transacties.
In juni 2021 besloot de EU-Commissie echter nieuwe technologische uitdagingen voor online veiligheid aan te gaan en begon de Raad serieuze discussies over het aangaan van deze uitdagingen om de bestaande regelgeving van de EU te moderniseren en zo het vertrouwen, de veiligheid en het gemak van online transacties voor alle EU-burgers te verbeteren.
Veranderingen
Hoewel de oorspronkelijke eIDAS-verordening toegepast op elektronische handtekeningen, elektronische zegels en elektronische tijdstempels, evenals op digitale kluizen en elektronische archieven, zal de bijgewerkte eIDAS 2.0 e-geregistreerde leveringsdiensten, e-certificaten voor authenticatie en elektronische tijdstempels omvatten. elektronische zegels voor elektronische documenten. In essentie zal het toezicht houden op grensoverschrijdende digitale diensten zoals de authenticatie en identificatie van personen en websites.
Bovendien zal het beveiliging en privacy voor elektronische identiteiten en vertrouwde diensten door een kader te creëren dat het creëren van digitale identiteiten door middel van Europese digitale identiteitsportemonnees zal vergemakkelijken. Deze identiteitsportemonnees zullen individuen en bedrijven in staat stellen om digitale identiteiten te creëren en te gebruiken zonder dat verplichte overheidsverificatie nodig is. Bovendien zullen zowel digitale identiteiten als vertrouwensdiensten worden verbeterd door de interoperabiliteitsstructuur van de nationale systemen van de lidstaten te stroomlijnen.
Actuele en bijgewerkte vertrouwensdiensten die bedrijven nodig hebben
Sommige voorstellen uit 2021 haalden de eindstreep, terwijl andere het onderzoek niet overleefden. De voorstellen die de meeste invloed hebben op personen en organisaties in de EU zijn de volgende.
De Europese portemonnee voor digitale identiteit
De goedgekeurde voorstelovereenkomst vereist dat de lidstaten een Europese digitale identiteitsportefeuille (eID) uitgeven, die technisch gezien zal gaan over wat de verordening een beetje onhandig "elektronische attesten van kenmerken" noemt. Eenvoudig gezegd zal de eID digitale ID- en biometrische documenten opslaan, zoals mobiele rijbewijzen, diploma's, beroepscertificaten en documenten voor reizen, gezondheidszorg en bankieren.
Elektronische archiveringsdiensten
Digitale kluizen en de elektronische archivering van elektronische documenten worden gemoderniseerd door de introductie van het concept van "gekwalificeerde elektronische archiveringsdiensten", die ervoor moeten zorgen dat alle elektronische gegevens en documenten worden gecreëerd of onderhouden door een gekwalificeerde aanbieder van vertrouwensdiensten. Bovendien zullen de integriteit en nauwkeurigheid van hun oorsprong en wettelijke kenmerken bewaard blijven gedurende de hele bewaarperiode. Tot slot verplicht het nieuwe voorstel tot een nauwkeurige registratie van de datum en tijd van het archiveringsproces.
Om te garanderen dat de veiligheid en authenticiteit van elektronische archivering actueel blijft in het evoluerende digitale landschap, bevordert het voorstel het gebruik van de digitale identiteitsportefeuille om betrouwbare digitale identiteiten vast te stellen, die gebaseerd zullen zijn op gemeenschappelijke technische normen die in de hele Europese Unie worden aangenomen.
Elektronische handtekeningen en zegels
Om te zorgen voor consistente certificeringspraktijken in de hele EU wordt in het voorstel het volgende aanbevolen Richtsnoeren van de Commissie betreffende de certificering en hercertificering van gekwalificeerde middelen voor het aanmaken van handtekeningen en zegels. Verder roept het voorstel op tot grensoverschrijdende erkenning van gekwalificeerde elektronische handtekeningen en zegels.
Momenteel zijn er drie soorten e-handtekeningen opgenomen in eIDAS (eenvoudige, geavanceerde en gekwalificeerde). Gekwalificeerde elektronische handtekeningen zijn net zo rechtsgeldig als handgeschreven handtekeningen op papier en moeten worden gecertificeerd door een Qualified Service Trust Provider (QSTP). QSTP's zijn onderworpen aan de strengste EU-eisen en moeten regelmatige audits ondergaan die garanderen dat ze zich aan de reguleringsnormen houden.
Tot slot introduceert eIDAS bepalingen voor het gebruik van elektronische zegels, waarmee elektronische documenten met dezelfde autoriteit worden geauthenticeerd als traditionele zegels die de oorsprong en integriteit van officiële documenten authenticeren.
Elektronische tijdstempels
Het binden van elektronische gegevens aan andere elektronische gegevens levert bewijs van het tijdstip waarop de gegevens hebben bestaan. Net als bij elektronische handtekeningen en zegels vraagt eIDAS 2.0 om grensoverschrijdende erkenning van de tijdstempels die door elke lidstaat worden uitgegeven.
Elektronische aangetekende bezorgdiensten
Deze vertrouwensdienst levert het bewijs dat elektronische gegevens zijn verzonden en ontvangen en biedt daarmee zekerheid die vergelijkbaar is met aangetekende post in een traditioneel postsysteem. eIDAS 2.0 garandeert grensoverschrijdende interoperabiliteit tussen gekwalificeerde elektronische diensten voor aangetekende bezorging.
Websiteverificatiediensten
Onder de noemer "gekwalificeerde vertrouwensdienst" koppelt websiteverificatie een website aan de natuurlijke of rechtspersoon die houder is van het certificaat en zorgt er zo voor dat gebruikers de website-identiteit vertrouwen waarmee ze interageren. Op dit moment worden websites geverifieerd door basiscertificaten die worden beheerd door certificaatautoriteiten.
Artikel 45 van het nieuwe eIDAS 2.0 voorstel zal lidstaten toestaan om naar eigen goeddunken nieuwe root certificaten in te voegen. Dit is echter zeer bekritiseerd door deskundigen op het gebied van cyberbeveiliging en het valt nog te bezien of deze wijzigingen uiteindelijk in de wet zullen worden opgenomen.
De twijfel over elektronische grootboeken
In eerste instantie nam de ITRE-commissie een versie van het eIDAS 2-voorstel aan waarin de sectie over elektronische grootboeken werd uitgesloten als gereguleerde vertrouwensdienst. Dit was zeer verontrustend aangezien elektronische grootboeken tegenwoordig een belangrijke rol spelen in vertrouwensdiensten. De oorspronkelijke reden om elektronische grootboeken uit te sluiten was puur om technologische neutraliteit te behouden. In feite zag de commissie over het hoofd dat elektronische grootboeken inherent neutraal zijn en een generieke categorie vertegenwoordigen in plaats van een specifieke implementatie.
Je vraagt je misschien af waar ze voor bedoeld zijn. Elektronische grootboeken zijn veilige en transparante databases waarin financiële en andere gegevens worden opgeslagen. Het grootboek registreert informatie op een manier die de mogelijkheid van fraude of andere fouten uitsluit.
In reactie hierop heeft een coalitie van prominente belanghebbenden zich verenigd om hun ernstige bezorgdheid te uiten en de leden van het Parlement op te roepen deze cruciale bepalingen opnieuw op te nemen in eIDAS 2.0. In tegenstelling tot de misvattingen brengen elektronische grootboeken de technologische neutraliteit niet in gevaar; in plaats daarvan zorgen ze ervoor dat de regelgeving aanpasbaar blijft aan toekomstige ontwikkelingen. Door het belang van elektronische grootboeken te erkennen, ondersteunen ze de oprichting van robuuste Europese digitale infrastructuren, pakken ze cyberdreigingen aan en voldoen ze aan de maatschappelijke vraag naar meer digitaal vertrouwen, katalyseren ze Europese innovatie en ondersteunen ze het digitale identiteitskader van het continent.
Wat is de volgende stap?
De huidige tekst van de wetgevingshandeling is onderworpen aan een nauwgezet juridisch en taalkundig onderzoek voordat hij naar verwachting formeel zal worden aangenomen door de Raad en het Europees Parlement, waarschijnlijk in maart of april van 2024. Pas daarna zal de officiële versie van de wetgevingshandeling beschikbaar worden gemaakt voor het publiek na publicatie in het Publicatieblad van de EU.
Twintig dagen na de bekendmaking in het Publicatieblad treden de wijzigingen van eIDAS in werking en moeten de lidstaten binnen 24 maanden digitale EU-identiteitsportefeuilles beschikbaar stellen.