Dutch 
English 
French 
De eIDAS-verordening is sinds 2014 een hoeksteen van digitaal vertrouwen binnen de Europese Unie. Maar bijna tien jaar later is er een nieuwe versie (eIDAS 2) in werking getreden. Deze verschuiving is niet zomaar een update: het is een antwoord op de praktische beperkingen die werden waargenomen bij de tenuitvoerlegging van eIDAS 1. In dit artikel wordt uitgelegd waarom de verandering nodig was, wat er nieuw is in eIDAS 2 en welke rol Qualified Electronic Archiving (QeA) nu kan spelen in het digitale vertrouwenslandschap.
eIDAS 1.0: De basis van vertrouwen leggen
Verordening (EU) 910/2014algemeen aangeduid als eIDAS 1.0, legde de wettelijke basis voor elektronische identificatie en vertrouwensdiensten binnen de EU. Het introduceerde belangrijke diensten zoals elektronische handtekeningen, zegels, tijdstempels, aangetekende levering en websiteverificatie.
Het hoofddoel was drieledig:
- Een geharmoniseerd wettelijk kader opzetten voor elektronische transacties
- Vertrouwen opbouwen in digitale diensten
- Zorgen voor interoperabiliteit tussen de lidstaten
Een belangrijke vernieuwing was het principe van non-discriminatie: een elektronisch document mocht geen rechtsgevolgen worden ontzegd enkel en alleen vanwege het digitale formaat.
eIDAS 1 introduceerde ook vertrouwensniveaus:
- Basis: Non-discriminatie van elektronische formaten
- Gevorderd: Geldige gelijkwaardigheid aan handgeschreven items als aan specifieke integriteits- en identificatievereisten wordt voldaan
- Gekwalificeerd: Het hoogste niveau, met certificaten van gekwalificeerde leveranciers van vertrouwensdiensten en een vermoeden van authenticiteit en juridische gelijkwaardigheid met handgeschreven handtekeningen
Hoewel met eIDAS 1 aanzienlijke vooruitgang is geboekt, zijn er nog lacunes, met name wat betreft de bewaring van ondertekende informatie en de bewijskracht van digitale documenten in de loop der tijd.
Waarom eIDAS 2.0 nodig was
Ondanks de sterke punten was eIDAS 1 niet genoeg om een echte digitale economie te ondersteunen. Belangrijke beperkingen werden duidelijk:
- Veel belangrijke documenten, zoals contracten van grote waarde, worden nog steeds op papier ondertekend.
- KYC processen bleven afhankelijk van niet-verifieerbare documenten
- Het bewaren van digitale handtekeningen in de loop der tijd werd niet voldoende aangepakt
- Het vertrouwen in digitaal gedeelde gegevens was beperkt door een gebrek aan garanties rond authenticiteit en herkomst
De COVID-19 pandemie versnelde de behoefte aan betrouwbare digitale alternatieven. Ze legde ook de inefficiëntie bloot van grensoverschrijdende digitale workflows zonder wederzijds vertrouwen. België probeerde door middel van nationale wetten, zoals de Digitale Wet van 2016, een aantal van deze hiaten op te vullen, vooral rond elektronische archivering.
eIDAS 2.0: Een kader voor authentieke informatie
eIDAS 2.0, geformaliseerd als Verordening (EU) 2024/1183, is op 20 mei 2024 in werking getreden. De verordening introduceert een nieuwe laag van vertrouwensinfrastructuur ter ondersteuning van de Europese digitale economie en de European Digital Identity Wallet (EUDIW). Het definieert vier nieuwe gekwalificeerde vertrouwensdiensten:
- gekwalificeerde elektronische archivering (QeA)
- Gekwalificeerd elektronisch grootboek
- Gekwalificeerde elektronische attestatie van attributen (QeAA)
- Apparaten voor het op afstand maken van handtekeningen en zegels (QSCD)
Deze diensten zijn bedoeld om gegevensintegriteit, controleerbaarheid en veilige uitwisseling tussen personen, bedrijven en overheden te vergemakkelijken.
De rol van gekwalificeerde elektronische archivering (QeA)
QeA vult een leemte die eIDAS 1 open liet. Het formaliseert de voorwaarden waaronder al dan niet ondertekende elektronische informatie op een juridisch betrouwbare manier in de tijd kan worden bewaard. De vereisten voor een dergelijke dienst omvatten:
- Vertrouwelijkheid: Door toegangscontrole en retentiebeheer
- Integriteit: Via onveranderlijkheid en fixiteitscontroles
- Authenticiteit: Door metadata, traceren van herkomst en beheer van bewijsmateriaal
- Beschikbaarheid: Met langdurige leesbaarheid en beveiligingscontroles
QeA haalt digitale archivering uit de schaduw. Voorheen was archivering vaak een handeling aan de achterkant. Nu wordt het een essentieel eerstelijnsonderdeel van digitaal bewijsbeheer, geïntegreerd vanaf het moment dat informatie wordt gecreëerd. Dit is wat de EU "archivering door ontwerp" noemt.
QeA zal waarschijnlijk verplicht worden voor elk document met een wettelijke bewaarplicht en voor documenten die grensoverschrijdend juridisch tegenstelbaar moeten zijn aan derden.
Afstemmen op andere ontwikkelingen in de regelgeving
De introductie van QeA sluit aan bij andere EU-regelgeving:
- NIS2: Over cyberbeveiliging en operationele veerkracht
- GDPR: Voor gegevensbescherming en opslagbeperking
- Enkele digitale gateway: Intergouvernementele gegevensuitwisseling vergemakkelijken
- DORA: Specifiek voor digitale veerkracht in financiële diensten
Elk van deze raamwerken is gebaseerd op authentieke, op lange termijn toegankelijke informatie. QeA biedt die ruggengraat.
Vooruitblik
De veranderingen die met eIDAS 2 worden geïntroduceerd, gaan over meer dan alleen naleving. Ze betekenen een verschuiving in de manier waarop digitaal vertrouwen wordt opgebouwd en behouden over grenzen en systemen heen. Voor organisaties is het nu tijd om te handelen: implementeer of sluit aan op een QeA-conform systeem om digitale activiteiten toekomstbestendig te maken.
Komende standaarden zullen de verwachtingen alleen maar verhogen:
- C2PA voor herkomstcertificering
- ISO 24574 voor veilige digitale kluizen en toegangscontrole
Met QeA heeft de EU een cruciaal puzzelstukje voltooid: ervoor zorgen dat digitale informatie niet alleen vandaag geldig is, maar ook morgen verifieerbaar.
