Dutch 
English 
FAQ: Gekwalificeerd elektronisch archiveren en bewaren (QeA / QPres)
Qualified Electronic Archiving (QeA) is de door eIDAS gedefinieerde benadering van vertrouwensdiensten voor het defensief bewaren van elektronische records gedurende lange bewaarperioden, met verifieerbare controles, bewijsmechanismen en duidelijk bestuur.
Deze FAQ is bedoeld voor gereguleerde organisaties (en hun auditors, inspecteurs en inkoopteams) die bewijsklare bewaring nodig hebben voor documenten zoals ondertekende contracten, eTMF-bestanden, financiële documenten en gereguleerde bedrijfsarchieven. Waar relevant verwijzen de antwoorden naar de mogelijkheden van Docbyte Vault.
Voor een overzicht van de commerciële oplossing, zie Docbyte gekwalificeerde elektronische archivering. Voor ondertekende of verzegelde records, zie ook bewaring van digitale handtekeningen en zegels.
Fundamentele vragen
Wat is Gekwalificeerde Elektronische Archivering (QeA) onder eIDAS?
QeA is een vertrouwensdienstconcept onder Verordening (EU) nr. 910/2014 (eIDAS), dat specifiek wordt behandeld in artikel 34 over gekwalificeerde bewaringsdiensten voor gekwalificeerde elektronische handtekeningen. In de praktijk is QeA een op normen gebaseerde aanpak om elektronische records te bewaren met verifieerbare integriteit, authenticiteit, governance en bruikbaarheid op de lange termijn. Records blijven verdedigbaar bij audits, geschillen en regelgevende inspecties gedurende tientallen jaren.
Wat is het verschil tussen QeA en "gewoon" elektronisch archiveren?
Reguliere archivering richt zich meestal op opslag en terugvinden. QeA voegt daar gecontroleerde ingest en provenance, bewijsmechanismen (integriteitscontroles, bewijsrecords, tijdstempels), governance (bewaren, wettelijk vasthouden, verdedigbare verwijdering), audit trails en conserveringsplanning voor bruikbaarheid op de lange termijn aan toe. QeA is afgestemd op eIDAS, ETSI TS 119 511/512, CEN TS 18170 en OAIS (ISO 14721). Reguliere archivering doet dat meestal niet.
Wat is CEN TS 18170 en waarom is het belangrijk?
CEN TS 18170 is de Europese technische specificatie met eisen en richtlijnen voor elektronische archiveringssystemen. Het behandelt de functionele, technische en organisatorische vereisten voor systemen die zijn ontworpen om elektronische records met bewijskracht en nalevingswaarde te bewaren. Voor Europese organisaties die archiveringsoplossingen aanschaffen of beoordelen, biedt CEN TS 18170 een gemeenschappelijke basis naast het eIDAS trust services framework.
Welke ETSI-normen zijn van toepassing op gekwalificeerde archivering?
De kernnormen van ETSI zijn: ETSI TS 119 511 (beleids- en beveiligingseisen voor VVD's die langetermijnbewaring van digitale handtekeningen of algemene gegevens bieden) en ETSI TS 119 512 (protocollen voor langetermijndiensten voor gegevensbewaring). Het ETSI definieert ook formaten voor archiefhandtekeningen voor de lange termijn (CAdES-LTA (ETSI EN 319 122), XAdES-LTA (ETSI EN 319 132), PAdES-LTA en ASiC-LTA (ETSI EN 319 162)). Dit zijn containerformaten voor elektronische handtekeningen die validatiegegevens kunnen insluiten in het ondertekende bestand zelf, en ze maken deel uit van het bredere standaardenecosysteem naast de Docbyte-benadering voor bewijsstukken.
Wat is OAIS (ISO 14721) en wat is de relatie met QeA?
OAIS (Open Archival Information System, ISO 14721) is het referentiemodel voor systemen voor digitale bewaring. Het definieert SIP/AIP/DIP-verpakkingen, preserveringsplanning, het concept van de aangewezen gemeenschap en de functionele verantwoordelijkheden van een archief. QeA bouwt voort op OAIS-concepten. Een archief dat geschikt is voor QeA is in wezen een OAIS-conform systeem met aanvullende controles op vertrouwensdiensten voor bewijs, tijdstempels en beheer, zoals vereist door eIDAS.
Technische vragen
Wat is gekwalificeerde conservering (QPres) en wanneer is het nodig?
QPres is de bewijs- en vernieuwingslaag die nodig is als records voorzien zijn van elektronische handtekeningen of elektronische zegels en langdurige verifieerbaarheid vereist is. QeA biedt het archiveringsraamwerk; QPres gaat specifiek in op hoe de geldigheid van het bewijs en het validatierapport kan worden verlengd. Bij ingest legt QPres de validatiestatus van de handtekening of het zegel vast: de certificaatketen, de intrekkingsstatus (OCSP) en een gekwalificeerde tijdstempel. Dit bewijsrecord wordt naast het gearchiveerde record opgeslagen. Voordat algoritmen of certificaten dreigen te verlopen, vernieuwt QPres de bewijsketen proactief, waardoor de geldigheid wordt verlengd zonder het originele ondertekende record te wijzigen.
Wat gebeurt er wanneer certificaten verlopen?
Zonder bewijsrecords kan een ondertekend record oncontroleerbaar worden nadat het certificaat verlopen is. Een QPres-aanpak legt validatiebewijs vast (certificaatketens, OCSP-reacties, gekwalificeerde tijdstempels) op een moment dat alles nog geldig is, slaat dit bewijs op naast het gearchiveerde record als een validatierapport en bewijsrecord, en vernieuwt de bewijsketen voordat deze dreigt te verlopen. Hierdoor blijft er een ononderbroken vertrouwensketen over de volledige bewaarperiode.
Zijn elektronische handtekeningen en zegels "veilig" als ik alleen de PDF opsla?
De PDF veilig opslaan is noodzakelijk, maar niet voldoende. Na verloop van tijd: certificaten verlopen, cryptografische algoritmen zijn verouderd, ontbrekende context of onvolledig bewijs verzwakt wat u kunt bewijzen. QPres pakt dit allemaal aan door het bewijs te bewaren dat nodig is voor toekomstige validatie, niet alleen de bytes van het bestand. Dit onderscheid is essentieel voor gereguleerde records met lange bewaarperioden.
Wat zijn bewijsstukken en waarom zijn ze belangrijk?
Bewijsrecords zijn gestructureerde pakketten die de validatiestatus van een ondertekende/verzegelde record op een specifiek tijdstip vastleggen: de certificaatketen, intrekkingsstatus (OCSP/CRL), gekwalificeerde tijdstempels en het resultaat van de handtekeningvalidatie. Ze worden ingesloten in archiefformaten voor de lange termijn of opgeslagen naast de record. Zonder bewijsrecords hangt toekomstige validatie af van het feit of de oorspronkelijke infrastructuur (certificaatautoriteiten, OCSP-diensten) nog toegankelijk is. Dit is mogelijk niet het geval na 10 tot 25 jaar.
Wat is het verschil tussen digitale bewaring en QeA?
Digitale bewaring (OAIS) richt zich op bruikbaarheid en integriteit op de lange termijn: records leesbaar, authentiek en toegankelijk houden in de loop der tijd, inclusief formaatmigratie en fixiteitsbewaking. QeA voegt de laag van vertrouwensdiensten toe: bewijskrachtige records, gekwalificeerde tijdstempels, op eIDAS afgestemde controles en CEN TS 18170-conforme governance. Voor archiefdocumenten zonder elektronische handtekeningen kan alleen digitale bewaring voldoende zijn. Voor records met handtekeningen/zegels voegt QeA/QPres de wettelijk verdedigbare bewijslaag toe.
Vragen over bestuur en naleving
Hoe verhoudt QeA zich tot GDPR?
GDPR en QeA hebben betrekking op complementaire verplichtingen. GDPR vereist een wettelijke basis voor bewaring, gegevensminimalisatie, doelbeperking en het recht om gegevens te wissen. QeA biedt de controles voor verdedigbare bewaring en verdedigbare verwijdering: aantonen dat records werden bewaard voor de juiste duur, onder het juiste beleid, met de juiste goedkeuringen, en verwijderd wanneer ze niet langer nodig zijn. Een gekwalificeerd archief moet beide verplichtingen ondersteunen.
Hoe werken retentie en legal holds in een gekwalificeerd archief?
Retentieregels zijn gebaseerd op beleidsregels en worden consistent afgedwongen voor alle documenttypes. Wettelijke bewaarplichten maken opschorting van verwijdering mogelijk wanneer records onderwerp zijn van onderzoek, geschillen of rechtszaken, met volledige traceerbaarheid van bewaarplichtbeslissingen, wie ze heeft toegepast en wanneer ze zijn opgeheven. Verdedigbare verwijdering betekent dat u kunt bewijzen wat er is verwijderd, wanneer, door wie, onder welk beleid en met welke goedkeuringen.
Welke sectorspecifieke voorschriften vereisen QeA of gelijkwaardige archivering?
De belangrijkste voorschriften zijn onder andere: MiFID II / MiFIR (financiële records tot 7 jaar), DORA (ICT record management), ICH E6 R2/R3 en FDA 21 CFR Part 11 (klinische records tot 25 jaar, ALCOA+ vereisten), EU Annex 11 / GxP (elektronische records in gereguleerde productie), GDPR (rechtmatig bewaren en wissen), en nationale archiveringswetgeving (waaronder de Belgische e-Archive wet). De exacte vereiste controles hangen af van de regelgeving, het rechtsgebied en de use case.
Hoe is QeA van toepassing op biowetenschappelijke dossiers (eTMF, GxP)?
Life sciences records (Trial Master Files, batchrecords, validatiedocumentatie, labnotitieboeken) moeten voldoen aan de ALCOA+ principes (Toerekenbaar, Leesbaar, Tijdelijk, Origineel, Nauwkeurig) en 25 jaar of langer vindbaar en verifieerbaar blijven. QeA biedt het kader voor het archiveren van deze records met volledige context, integriteitsbewijs en controlesporen. QPres is relevant wanneer records voorzien zijn van elektronische handtekeningen of zegels onder FDA 21 CFR Part 11 of EU Annex 11.
Praktische vragen
Garandeert QeA juridische aanvaardbaarheid?
QeA ondersteunt de sterkst haalbare juridische verdedigbaarheidspositie door verifieerbare controles, bewijsstukken, documentatie over de chain-of-custody en controlesporen te bieden die zijn afgestemd op eIDAS, ETSI, CEN TS 18170 en toepasselijke normen. De precieze juridische gevolgen hangen af van de jurisdictie, de use case en hoe bewijsmateriaal wordt beoordeeld in de relevante juridische context. Docbyte ontwerpt voor verdedigbaarheid, niet voor absolute ontvankelijkheidsgaranties. Geen enkele provider kan die garanderen.
Welke recordtypes hebben het meeste baat bij QeA?
Dossiers met lange bewaartermijnen, bewijskracht of elektronische handtekeningen/zegels: contracten en addenda, facturen en financiële dossiers, HR- en tewerkstellingsdossiers, verzekeringsclaims en acceptatiedossiers, besluiten en vergunningen van de overheid, dossiers van klinische proeven (eTMF), erfgoedcollecties, archieven van buitengebruikstellingen van toepassingen en alle dossiers die gebruikt worden om naleving van regelgeving aan te tonen.
Kunnen we gegevens exporteren voor audits, migraties of leveranciersovergangen?
Ja. Met op standaarden gebaseerde packaging (E-ARK SIP/AIP/DIP) en exportmogelijkheden kunnen records gecontroleerd worden opgehaald met hun volledige context, metadata en bewijspakketten. Dit ondersteunt de reactie op audits en eDiscovery en vermindert het risico op leveranciersbinding. Een gekwalificeerd archief mag geen gijzeling van gegevens veroorzaken.
Hoe krijgen controleurs en regelgevende instanties toegang tot gearchiveerde records?
Door middel van gecontroleerde, alleen-lezen toegang met rolgebaseerde machtigingen, doelbeperking, tijdgebonden referenties waar nodig en volledige controlelogboeken. Externe toegangsmodellen stellen regelgevers, inspecteurs en externe controleurs in staat om dossiers te bekijken zonder toegang te krijgen tot operationele systemen of interne infrastructuur.
Is QeA relevant buiten de EU?
Het eIDAS-kader is specifiek voor de EU, maar de onderliggende controles (integriteit, authenticiteit, controleerbaarheid, bruikbaarheid op lange termijn) worden wereldwijd erkend. OAIS (ISO 14721), ISO 14641, PREMIS en E-ARK zijn internationaal gebruikte standaarden. Voor organisaties die wereldwijd actief zijn, biedt QeA de laag voor naleving van de EU-normen, terwijl de op OAIS gebaseerde architectuur aan de bredere internationale bewaringseisen voldoet.
Volgende stap
Als u de QeA en QPres controles in kaart wilt brengen voor uw specifieke documenttypes, bewaarverplichtingen en regelgevende context, vraag dan een korte sessie aan met een Docbyte specialist. Docbyte Vault is ontworpen als een op OAIS afgestemde, eIDAS-geschikte preserveringslevenscyclus, niet als een opslaglaag.