EIDAS II: naar een Europese e-ID door Gauthier Berth
E-commerceIT-rechtPrivacySecurity

EIDAS II: naar een Europese e-ID door Gauthier Berth

By 6 februari 2024maart 28th, 2024No Comments

EIDAS en EIDAS II-verordening

Inhoudstafel

  1. EIDAS. 1
  2. Inleiding. 1
  3. Elektronische handtekening. 1
  4. Wat betekent dit nu voor een onderneming in België?. 2
  5. U wenst zelf een elektronische handtekening uit te brengen? Dat kan. 6
  6. Elektronische zegel 6
  7. Elektronische tijdstempel 7
  8. Diensten voor elektronisch aangetekende bezorging. 7
  9. Authenticatie van websites. 8
  10. EIDAS II 9
  11. NIEUW: Europese portemonnee voor digitale identiteit 9
  12. NIEUW: Elektronische attestering van attributen, elektronische archiefdiensten en elektronische registers. 11
  13. Elektronische attestering van attributen. 11
  14. Elektronische archiefdiensten. 13
  15. Elektronische registers. 13
  16. Conclusie. 14
  17. Wijzigingen aan EIDAS. 14
  18. Overzicht wijzigingen. 14
  19. Conclusie. 16

 

I.               EIDAS

A.             Inleiding

Vooreerst verwijs ik, Gauthier Berth, graag naar het blogartikel over de EIDAS-verordening geschreven door Mr. Jents Debruyne, waarop huidig blogartikel (lichtjes herhalend) voortbouwt.

 

B.             Elektronische handtekening

Met Verordening (EU) Nr. 910/2014 (Hierna: EIDAS-verordening) is er sinds 1 juli 2016 een EU-kader in werking getreden betreffende – onder meer – de aanvaardbaarheid van elektronische handtekeningen binnen elke lidstaat. Deze verordening maakt een onderscheid tussen drie verschillende types elektronische handtekeningen:

  • de elektronische handtekening[1]: gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen;
  • de geavanceerde elektronische handtekening[2]: een elektronische handtekening die voldoet aan de eisen in artikel 26, meer bepaald:[3]
    1. zij is op unieke wijze aan de ondertekenaar verbonden;
    2. zij maakt het mogelijk de ondertekenaar te identificeren;
    3. zij komt tot stand met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken en
    4. zij is op zodanige wijze aan de daarmee ondertekende gegevens verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord;
  • de gekwalificeerde elektronische handtekening[4]: een geavanceerde elektronische handtekening die is aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen.

Praktisch dient men vooral rekening te houden met de rechtsgevolgen (lees: juridische gevolgen) die de EIDAS-verordening verbindt aan elk van de types elektronische handtekeningen.

Hoewel uit het eerste lid[5] van artikel 25 EIDAS-verordening volgt dat het rechtsgevolg van een elektronische handtekening en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures niet mag worden ontkend louter op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet, volgt uit het tweede lid[6] van datzelfde artikel uitdrukkelijk dat een gekwalificeerde elektronische handtekening hetzelfde rechtsgevolg heeft als een handgeschreven handtekening. Uit het derde lid[7] volgt dan weer dat een gekwalificeerde elektronische handtekening die op een in een lidstaat afgegeven gekwalificeerd certificaat is gebaseerd, in alle andere lidstaten als een gekwalificeerde elektronische handtekening dient te worden erkend.

 

1.              Wat betekent dit nu voor een onderneming in België?

a)              Theorie:

Daarvoor dienen eerst de concepten ‘vertrouwenslijsten’ en ‘(gekwalificeerde) vertrouwensdiensten’ te worden uitgelegd.

Luidens artikel 22 EIDAS-verordening dient elke lidstaat vertrouwenslijsten te stellen op met onder meer informatie over de gekwalificeerde verleners van vertrouwensdiensten waarvoor deze verantwoordelijk is, samen met informatie over de gekwalificeerde vertrouwensdiensten die door hen verleend worden, en deze houdt ook deze lijsten bij en maakt deze bekend.

Een vertrouwensdienst wordt gedefinieerd als elektronische dienst die gewoonlijk tegen betaling wordt verricht en het onderstaande inhoudt[8]:

  1. het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging en op deze diensten betrekking hebbende certificaten of
  2. het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites, of
  3. het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben.

Een gekwalificeerde vertrouwensdienst is een vertrouwensdienst die voldoet aan de toepasselijke eisen[9] zoals vastgelegd in de verordening.[10]

Een verlener van vertrouwensdiensten is een natuurlijke persoon of rechtspersoon die een of meer vertrouwensdiensten verleent als een gekwalificeerde of als een niet-gekwalificeerde verlener van vertrouwensdiensten.[11]

Een gekwalificeerde verlener van vertrouwensdiensten is een verlener van vertrouwensdiensten die één of meerdere gekwalificeerde vertrouwensdiensten verleent en van het toezichthoudende orgaan de status van gekwalificeerde heeft gekregen.[12]

In het kort: indien u een vertrouwensdienst (bv. het verifiëren van elektronische handtekening, zoals ‘itsme’) levert, bent u een verlener van vertrouwensdiensten. Indien u zich laat kwalificeren door de lidstaat waar u gevestigd bent, bent u een gekwalificeerde verlener van vertrouwensdiensten.

Waarom zou een verlener van vertrouwensdiensten zich laten kwalificeren en zich zo aan strenger[13] toezicht[14] blootstellen?

Omdat (in beginsel[15]) enkel een gekwalificeerde verlener gekwalificeerde vertrouwensdiensten (bv. het aanmaken of de verificatie van een gekwalificeerde elektronische handtekening) mag leveren.

Er zijn uiteraard strenge (Europese) eisen verbonden aan het kwalificatieproces voor zowel verlener[16] als diens aangeboden vertrouwensdienst[17]. Hier voorziet de Europese Commissie ook nog bijzondere regels voor de aanbieding van bepaalde[18] vertrouwensdiensten.

Elke lidstaat moet elektronische identificatiemiddelen uitgegeven door andere lidstaten erkennen, mits aan de volgende voorwaarden is voldaan: [19]

  1. het elektronisch identificatiemiddel is uitgegeven op grond van een stelsel voor elektronische identificatie dat is opgenomen in de lijst die de Commissie uit hoofde van artikel 9 heeft bekendgemaakt;
  2. het betrouwbaarheidsniveau van het elektronisch identificatiemiddel is gelijk aan of hoger dan het betrouwbaarheidsniveau dat de bevoegde openbare instantie als voorwaarde stelt voor onlinetoegang tot die dienst in de eerste lidstaat, mits het betrouwbaarheidsniveau van dat elektronisch identificatiemiddel in overeenstemming is met het betrouwbaarheidsniveau substantieel of hoog;
  3. de openbare instantie in kwestie gebruikt het betrouwbaarheidsniveau substantieel of hoog voor de toegang tot die onlinedienst.

 

Hierop geldt één uitzondering: een gekwalificeerde elektronische handtekening die op een in een lidstaat afgegeven gekwalificeerd certificaat is gebaseerd, wordt in alle andere lidstaten als een gekwalificeerde elektronische handtekening erkend.[20]

 

Wat is een betrouwbaarheidsniveau?

Hoewel artikel 3 EIDAS I geen definitie bevat voor het begrip, geeft overweging 16 ons wel een beter inzicht:

“Het betrouwbaarheidsniveau moet de mate van vertrouwen weergeven die in een elektronisch identificatiemiddel kan worden gesteld voor het vaststellen van de identiteit van een persoon, en moet zodoende zekerheid geven dat de persoon die beweert een bepaalde identiteit te hebben ook daadwerkelijk degene is aan wie deze identiteit is toegekend. Het betrouwbaarheidsniveau hangt af van de mate van vertrouwen die elektronische identificatiemiddelen bieden voor de opgegeven of beweerde identiteit van een persoon, rekening houdend met processen (bijvoorbeeld het bewijzen van de identiteit,verificatie, en authenticatie), beheersactiviteiten (bijvoorbeeld de entiteit die elektronische identificatiemiddelen uitgeeft en de procedure voor uitgifte van dergelijke middelen) en geïmplementeerde technische beheersmaatregelen. (…)”.

Art. 8.2 EIDAS-verordening onderscheidt drie types betrouwbaarheidsniveaus: laag; substantieel en hoog:

“a) Het betrouwbaarheidsniveau laag betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een beperkte mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen;

  1. b) het betrouwbaarheidsniveau substantieel betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een substantiële mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen;
  2. c) het betrouwbaarheidsniveau hoog betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een hogere mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt dan een elektronisch identificatiemiddel met betrouwbaarheidsniveau substantieel, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te voorkomen.”

 

b)              Praktijk:

Als onderneming dient u ermee rekening te houden dat enkel gekwalificeerde elektronische handtekeningen gelijk moeten worden gesteld met een handgeschreven handtekening. Geavanceerde elektronische handtekeningen en elektronische handtekeningen bieden dus minder rechtszekerheid, mocht het ooit tot een juridische procedure komen.

 

U kan de vertrouwenslijst van de verschillende lidstaten hier raadplegen:

https://eidas.ec.europa.eu/efda/tl-browser/#/screen/home

 

Voor België luidt de vertrouwenslijst[21] als volgt (dd. 18-12-23):

  • Belgian Mobile ID SA/NV
    • itsme Sign Validation
  • Certipost n.v./s.a.
    • CN: Belgium Root CA
    • CN: Certipost E-Trust Primary Qualified CA
  • Connect Solutions
    • email
  • CONNECTIVE
    • Connective Validation Service
  • DigiCert Europe Belgium B.V.
    • itsme Sign Issuing CA
    • QuoVadis BE PKI Certification Authority
    • QuoVadis Belgium Issuing CA
  • Dioss Smart Solutions
    • Tuvi
  • Docbyte NV
    • Docbyte preservation service
    • Docbyte e-Archiving – preservation service
  • GlobalSign NV/SA
    • GlobalSign Atlas
    • GlobalSign GCC
  • IPEX
    • Registered Email Plus
  • Kingdom of Belgium – Federal Government
    • Belgium Root CA6
    • EC1 TSU 2021
    • EC2 TSU 2021
  • Postalia Belgium
    • EasyPost Connect
  • SA UNIFIEDPOST
    • Registered
  • Universign
    • Universign CA Hardware
  • Zetes S.A./N.V.
    • Zetes TSP PKI certification authority
    • ZetesConfidens – Signature Creation Service – Issuing CA
    • ZETES TSP RSA Qualified
    • ZetesConfidens EC Qualified
    • ZetesConfidens RSA Qualified
  • Trust service providers without currently active trust services:
    • Portima s.c.r.l. c.v.b.a.
    • Society for Worldwide Interbank Financial Telecommunication SCRL

 

2.              U wenst zelf een elektronische handtekening uit te brengen? Dat kan.

U dient de veiligheidseisen in acht te houden in overeenstemming met artikel 19 EIDAS-verordening, ongeacht of u de intentie heeft gekwalificeerde of niet-gekwalificeerde vertrouwensdiensten te verlenen.

Indien u echter de intentie heeft gekwalificeerde diensten aan te bieden, dient u ook de bijzondere bepalingen met betrekking tot gekwalificeerde vertrouwensdiensten in acht te houden. Dit betreft artikel 20 en verder EIDAS-verordening, maar ook artikel  7 tot 9, voor zover de dienst een elektronische identificatie inhoudt.

Aarzel niet ons te contacteren ter verdere begeleiding.

 

C.            Elektronische zegel

EIDAS I maakt verder een onderscheid tussen drie verschillende types elektronische zegels:

  • de elektronische zegel[22]: gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die worden gebruikt om de oorsprong en integriteit daarvan te waarborgen;
  • de geavanceerde elektronische zegel[23]: een elektronisch zegel dat voldoet aan de eisen in artikel 36, meer bepaald:[24]
  1. zij is op unieke wijze aan de aanmaker van het zegel verbonden;
  2. zij maakt het mogelijk de aanmaker van het zegel te identificeren;
  3. zij komt tot stand met gebruikmaking van gegevens voor het aanmaken van elektronische zegels die de aanmaker van het zegel met een hoog vertrouwensniveau onder zijn controle kan gebruiken voor het aanmaken van elektronische zegels en
  4. zij is op zodanige wijze aan de gegevens waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.
  • de gekwalificeerde elektronische zegel[25]: een geavanceerd elektronisch zegel dat aangemaakt is door een gekwalificeerd middel voor het aanmaken van elektronische zegels en dat gebaseerd is op een gekwalificeerd certificaat voor elektronische zegels.

 

Praktisch dient men opnieuw vooral rekening te houden met de rechtsgevolgen:

  1. Het rechtsgevolg van een elektronisch zegel en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat het zegel elektronisch is of niet aan de eisen voor gekwalificeerde elektronische zegels voldoet.
  2. Voor een gekwalificeerd elektronisch zegel geldt het vermoeden van integriteit van de gegevens en van juistheid van de oorsprong van de gegevens waaraan het gekwalificeerd elektronisch zegel is verbonden.
  3. Een gekwalificeerd elektronisch zegel dat op een in een lidstaat afgegeven gekwalificeerd certificaat is gebaseerd, wordt in alle andere lidstaten als een gekwalificeerd elektronisch zegel erkend.

 

D.            Elektronische tijdstempel

EIDAS I maakt verder een onderscheid tussen twee verschillende types elektronische tijdstempels:

  • de elektronische tijdstempel[26]: gegevens in elektronische vorm die andere gegevens in elektronische vorm verbinden aan een bepaald tijdstip en die bewijzen dat die laatstgenoemde gegevens op dat tijdstip bestonden;
  • de gekwalificeerde elektronische tijdstempel[27]: een elektronische tijdstempel die voldoet aan de in artikel 42 vastgelegde eisen.

 

Praktisch dient men opnieuw vooral rekening te houden met de rechtsgevolgen:

  1. Het rechtsgevolg van een elektronisch tijdstempel en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat het stempel elektronisch is of niet aan de eisen voor gekwalificeerde elektronische tijdstempels voldoet.
  2. Voor een gekwalificeerd elektronisch tijdstempel geldt het vermoeden van de juistheid van de aangegeven datum en het aangegeven tijdstip, en van de integriteit van de gegevens waaraan de datum en het tijdstip zijn gekoppeld.
  3. Een gekwalificeerd elektronisch tijdstempel, afgegeven in een lidstaat, wordt in alle lidstaten als een gekwalificeerd elektronisch tijdstempel erkend.

 

E.             Diensten voor elektronisch aangetekende bezorging

EIDAS I maakt verder een onderscheid tussen twee verschillende types diensten voor elektronisch aangetekende bezorging:

  • de dienst voor elektronisch aangetekende bezorging[28]: een dienst die het mogelijk maakt gegevens via elektronische middelen tussen derden te verzenden en die bewijs verschaft ten aanzien van het hanteren van de verzonden gegevens, met inbegrip van bewijs van het verzenden en ontvangen van de gegevens, en die de verzonden gegevens beschermt tegen het risico van verlies, diefstal, beschadiging of onbevoegde wijzigingen;
  • de gekwalificeerde dienst voor elektronisch aangetekende bezorging[29]: een dienst voor elektronisch aangetekende bezorging die voldoet aan de in artikel 44 vastgestelde eisen.

 

Praktisch dient men opnieuw vooral rekening te houden met de rechtsgevolgen:

  1. Het rechtsgevolg en toelaatbaarheid als bewijsmiddel in gerechtelijke procedures van gegevens die via een dienst voor elektronisch aangetekende bezorging verstuurd en ontvangen worden, mogen niet worden ontkend louter op grond van het feit dat de dienst elektronisch is of niet aan de eisen voor de gekwalificeerde dienst voor elektronisch aangetekende bezorging voldoet.
  2. Voor gegevens die via een gekwalificeerde dienst voor elektronisch aangetekende bezorging worden verstuurd en ontvangen, geldt het vermoeden van integriteit van de gegevens, van de verzending van die gegevens door de geïdentificeerde afzender, van de ontvangst daarvan door de geïdentificeerde geadresseerde, en van de nauwkeurigheid van de datum en het tijdstip van verzending en van ontvangst, zoals aangegeven door de gekwalificeerde dienst voor elektronisch aangetekende bezorging.

 

F.             Authenticatie van websites

EIDAS I maakt verder een onderscheid tussen twee verschillende types certificaten voor websiteauthenticatie:

  • het certificaat voor websiteauthenticatie[30]: attestering die het mogelijk maakt de authenticiteit van een website vast te stellen en die de website verbindt aan de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven;
  • het gekwalificeerd certificaat voor websiteauthenticatie[31]: een certificaat voor websiteauthenticatie dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage IV.

 

Praktisch dient men opnieuw vooral rekening te houden met de rechtsgevolgen[32]:

  1. Het rechtsgevolg van een elektronisch document en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat het document elektronisch is.

 

II.             EIDAS II

A.             NIEUW: Europese portemonnee voor digitale identiteit

In 2024 zal de nieuwste telg in de EIDAS-familie in werking treden, die voor een reeks vernieuwingen zorgt.

De onderstaande informatie is gebaseerd op het huidig voorstel voor de wijziging van de EIDAS-verordening.

Allereerst verplicht het voorstel de lidstaten een Europese portemonnee voor digitale identiteit uit te geven in het kader van een aangemeld stelsel voor elektronische identificatie, op basis van gemeenschappelijke technische normen en na een verplichte certificering. Ter facilitering hiervan zou er een EU-toolbox uitgebracht worden.[33]

In het voorstel wordt deze ‘Europese portemonnee’ als volgt gedefinieerd[34]: “een elektronisch identificatiemiddel dat gebruikers in staat stelt identiteitsgegevens, waaronder persoonsidentificatiegegevens, en elektronische attesteringen van attributen met betrekking tot hun identiteit op te slaan en op te vragen, op verzoek aan vertrouwende partijen te verstrekken, en voor online en, indien passend, offline authenticatie voor een dienst overeenkomstig artikel 6 bis te gebruiken, en dat ondertekening middels gekwalificeerde elektronische handtekeningen en verzegeling middels gekwalificeerde elektronische zegels mogelijk maakt”.

Hiermee tracht de EU-wetgever “(…) burgers en andere ingezetenen, zoals gedefinieerd in het nationale recht, een geharmoniseerde Europese digitale identiteit te bieden op basis van het concept van een Europese portemonnee voor digitale identiteit.”

Dit elektronisch identificatiemiddel zou op grond van nationale regelingen met betrouwbaarheidsniveau  “hoog” worden ingevoerd, en zal op zichzelf fungeren als eID-middel, op basis van persoonsidentificatiegegevens en de portemonnee die de lidstaten verstrekken.[35]

In het kader van transparantie moedigt de Commissie de lidstaten aan om de broncode van de softwarecomponenten van Europese portemonnees voor digitale identiteit vrij te geven en daar waar mogelijk gebruik te maken van een openbronlicentie.[36]

Bij gebruik van de portemonnee kunnen voor authenticatie kosten in rekening worden gebracht door de diensten die van het gebruik afhankelijk zijn, bijvoorbeeld voor de afgifte van elektronische attesteringen van attributen aan de portemonnee. [37] Dit echter niet ten aanzien van natuurlijke personen, immers, luidens toekomstige overweging 9 EIDAS II-verordening is het uitgeven, gebruiken voor authenticatie en intrekken van Europese portemonnees voor digitale identiteit voor hen gratis. Met natuurlijke personen bedoelt men: u en ik; dit in tegenstelling tot rechtspersonen, waarmee afzonderlijke juridische entiteiten zoals vennootschappen bedoeld worden.

Verder is ook nieuw dat aanbieders van portemonnees en verstrekkers van aangemelde elektronische identificatiemiddelen die in een commerciële of professionele hoedanigheid optreden, zakelijke gebruikers van poortwachters zijn in de zin van de definitie hiervan in Verordening (EU) 2022/1925 (hierna: Digital Markets Act).[38]

 

Wie of wat zijn poortwachters?

Een onderneming kan worden aangewezen (door de Commissie) als poortwachter, indien deze kernplatformdiensten[39] aanbiedt (bijvoorbeeld: een onlinezoekmachine) en aan de voorwaarden in artikel 3 Digital Markets Act voldoet.[40]

Sedert 6 september 2023 bestaat er een lijst van uitdrukkelijk door de Commissie[41] benoemde[42] poortwachters, dit betreft: Alphabet (moederbedrijf Google), Amazon, Apple, ByteDance (moederbedrijf TikTok), Meta (moederbedrijf Facebook) en Microsoft.

 

De verordening verplicht poortwachters om kosteloos te zorgen voor effectieve interoperabiliteit met en, ten behoeve van interoperabiliteit, toegang tot dezelfde besturingssystemen, hardware en software als die welke beschikbaar zijn of worden gebruikt bij het aanbieden van hun eigen complementaire en ondersteunende diensten en hardware. Dit moet verstrekkers van Europese portemonnees voor digitale identiteit en van aangemelde elektronische identificatiemiddelen in staat stellen via interfaces of soortgelijke oplossingen even doeltreffend aan te sluiten op de betrokken functionaliteiten als op de diensten of hardware van de poortwachters zelf. [43]  [44]

Het is de poortwachters verboden om zakelijke gebruikers te verplichten een identificatiedienst van de poortwachter te gebruiken, aan te bieden of daarmee te interageren in het kader van diensten die worden aangeboden door zakelijke gebruikers die gebruikmaken van de kernplatformdiensten van die poortwachter.[45]

Hierin lezen wij voornamelijk dat gratis Application Programming Interfaces (of API’s) beschikbaar dienen te worden gesteld aan bovenvermelde verstrekkers voor elk van de (relevante) producten van deze multinationals.

 

Nog een nieuwigheid is het matchen van bestanden (of ‘matching of records’). Toekomstig artikel 3.55 EIDAS II-verordening definieert dit begrip als volgt: “een proces waarbij persoonsidentificatiegegevens, persoonsidentificatiemiddelen, gekwalificeerde elektronische attestering van attributen of attesteringen van attributen uitgegeven door of namens een publiekrechtelijk orgaan dat verantwoordelijk is voor een authentieke bron, met een bestaande account van dezelfde persoon worden gematcht of gekoppeld”. Luidens toekomstig artikel 11 bis zullen lidstaten voortaan, wanneer zij als vertrouwende partijen optreden, matching van bestanden dienen te waarborgen, bij gebruik van voor authenticatie aangemelde elektronische identificatiemiddelen of Europese portemonnees voor digitale identiteit.

De Commissie geeft in één van haar overwegingen mee dat het gebruik van unieke en permanente identificatiecodes van essentieel belang is om matching van bestanden mogelijk te maken.[46]

 

B.             NIEUW: Elektronische attestering van attributen, elektronische archiefdiensten en elektronische registers

Verder voert de EIDAS II-verordening bijzondere regels in betreffende de eisen en rechtsgevolgen van de ‘elektronische attestering van attributen’[47], de ‘elektronische archiefdiensten’[48] en de ‘elektronische registers’[49].[50]

 

1.              Elektronische attestering van attributen

Een attribuut is een “aanduiding van de eigenschap, kwaliteit, rechten of toestemming van een natuurlijke persoon of rechtspersoon of van een voorwerp”[51]

Met geattesteerde attributen worden onder meer rijbewijzen, diploma’s, vergunningen en geboorteakten bedoeld.[52]

Met de elektronische attestering van attributen bedoelt men “een attestering in elektronisch formaat aan de hand waarvan attributen kunnen worden geauthenticeerd”.[53]

Deze elektronisch attestering is gekwalificeerd indien die is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en indien voldaan is aan de eisen[54].[55]

Deze kan ook worden uitgegeven door of namens een openbare instantie die verantwoordelijk is voor een authentieke bron, mits aan de eisen[56] is voldaan. Toekomstige bijlage VI somt een lijst[57] op van attributen die lidstaten minimaal moeten voorzien ter elektronische verificatie, indien die attributen gebruikmaken van authentieke bronnen binnen de publieke sector van de desbetreffende lidstaat.

 

Wat is een authentieke bron?

Een authentieke bron is “een register of systeem, onder de verantwoordelijkheid van een openbare instantie of particuliere entiteit, dat attributen omtrent een natuurlijke persoon of rechtspersoon bevat en verstrekt, en als een primaire bron van die informatie wordt beschouwd of krachtens Unierecht of nationaal recht, met inbegrip van de bestuursrechtelijke praktijken, als authentiek wordt erkend”.[58]

De lijst van Belgische authentieke bronnen is hier raadpleegbaar.

Dit betreft onder meer het Rijksregister (Federale Overheidsdienst Binnenlandse Zaken) en Vreemdelingenregister (Federale Overheidsdienst Binnenlandse Zaken), het Centraal strafregister (Federale Overheidsdienst Justitie), identiteitskaarten (Federale Overheidsdienst Binnenlandse Zaken), bankrekeningnummers en daarmee gepaarde contracten en identificatiegegevens (Centraal Aanspreekpunt Nationale Bank van België), ondernemingen (Federale Overheidsdienst Economie), jaarrekeningen (Nationale Bank van België), fiscale schulden (Federale Overheidsdienst Financiën) testamenten (Koninklijke Federatie van het Belgisch Notariaat) en erfopvolging (Koninklijke Federatie van het Belgisch Notariaat) maar ook alarmsystemen (Federale Overheidsdienst Binnenlandse Zaken) en camerasystemen (Federale Overheidsdienst Binnenlandse Zaken).

 

Rechtsgevolgen[59]:”

  1. Het rechtsgevolg van een elektronische attestering van attributen en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures worden niet ontzegd louter op grond van het feit dat het elektronisch is of niet aan de eisen voor gekwalificeerde elektronische attesteringen van attributen voldoet.
  2. Een gekwalificeerde elektronische attestering van attributen en attesteringen van attributen uitgegeven door of namens een openbare instantie die verantwoordelijk is voor een authentieke bron, hebben dezelfde rechtsgevolgen als rechtmatig afgegeven attesteringen op papier.
  3. Een gekwalificeerde elektronische attestering van attributen, afgegeven in een lidstaat, wordt in alle lidstaten als een gekwalificeerde elektronische attestering van attributen erkend.
  4. Een attestering van attributen uitgegeven door of namens een openbare instantie die verantwoordelijk is voor een authentieke bron, wordt in alle lidstaten erkend als een attestering van attributen uitgegeven door of namens een openbare instantie die verantwoordelijk is voor een authentieke bron.”

 

Uit punt 2 hierboven volgt dus dat beide types elektronische attesteringen van attributen (die voldoen aan de respectievelijke eisen) dezelfde rechtsgevolgen hebben als rechtmatig afgegeven attesteringen op papier. Een papieren exemplaar van uw identiteitskaart heeft dus net zoveel bewijswaarde als de elektronische variant, uitgegeven door de FOD Binnenlandse Zaken (die de authentieke bron beheert, zie hierboven).

In diezelfde zin en ter gelijkstelling van beide types elektronische attesteringen – voor zover uitgegeven door de bevoegde overheid – stelt de Commissie in haar voorstel verder dat elektronische attestering van attributen met dezelfde rechtsgevolgen als bij de gekwalificeerde elektronische attestering van attributen rechtstreeks aan de portemonnee kan worden afgegeven door de overheidsinstantie die verantwoordelijk is voor de authentieke bron of door een aangewezen openbaar orgaan namens een overheidsinstantie die verantwoordelijk is voor een authentieke bron, mits aan de nodige vereisten is voldaan.[60]

 

2.              Elektronische archiefdiensten

Artikel 3 definieert[61] ‘elektronische archivering’ als “een dienst die de ontvangst, opslag, opvraging en verwijdering van elektronische gegevens verzorgt om de duurzaamheid en leesbaarheid ervan te garanderen alsook de integriteit, de vertrouwelijkheid en het bewijs van de oorsprong ervan gedurende de volledige bewaartermijn te vrijwaren”.

Opnieuw verwijst de toekomstige verordening naar een gekwalificeerde versie; zij definieert een gekwalificeerde elektronische archiveringsdienst als volgt: “een elektronische archiveringsdienst die voldoet aan de eisen die zijn vastgelegd in artikel 45 octies bis”.

Als voorbeeld kan hier verwezen worden naar het E-depot van Digital Archief Vlaanderen.

Rechtsgevolgen[62]:”

  1. Het rechtsgevolg en de toelaatbaarheid als bewijsmiddel in gerechtelijke procedures van elektronische gegevens die zijn opgeslagen via een elektronische archiverings- dienst, worden niet ontzegd louter op grond van het feit dat de gegevens elektronisch zijn of niet opgeslagen zijn via een gekwalificeerde elektronische archiveringsdienst.
  2. Voor via een gekwalificeerde elektronische archiveringsdienst opgeslagen elektronische gegevens geldt het vermoeden van integriteit van de gegevens en van juistheid van de oorsprong van de gegevens voor de duur van de termijn van bewaring door de verlener van gekwalificeerde vertrouwensdiensten.
  3. Een gekwalificeerde elektronische archiveringsdienst in een lidstaat wordt in alle andere lidstaten als een gekwalificeerde elektronische archiveringsdienst erkend.”

 

3.              Elektronische registers

Artikel 3 definieert[63] ‘elektronisch register’ als “een opeenvolging van elektronische gegevensbestanden die de integriteit en de nauwkeurigheid van de chronologische volgorde daarvan waarborgt”.

Opnieuw verwijst de toekomstige verordening naar een gekwalificeerde versie; zij definieert een gekwalificeerd elektronisch register als volgt: “een elektronisch register dat voldoet aan de eisen die zijn vastgelegd in artikel 45 decies”.

Als voorbeeld kan hier verwezen worden naar de authentieke bronnen, hierboven opgelijst.

 

Rechtsgevolgen[64]:”

  1. Het rechtsgevolg van een elektronisch register en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures worden niet ontzegd louter op grond van het feit dat het elektronisch is of niet aan de eisen voor gekwalificeerde elektronische register voldoet.
  2. Voor gegevensbestanden in een gekwalificeerd elektronisch register geldt het vermoeden van het unieke karakter en de juistheid van de chronologische volgorde en van de integriteit ervan.
  3. Een gekwalificeerd elektronisch register in een lidstaat wordt in alle lidstaten als een gekwalificeerd elektronisch register erkend

 

4.              Conclusie

Enkel gekwalificeerde elektronische attestering van attributen en attesteringen van attributen uitgegeven door of namens een openbare instantie die verantwoordelijk is voor een authentieke bron hebben dezelfde rechtsgevolgen als rechtmatig afgegeven attesteringen op papier. Elektronische archiefdiensten en elektronische registers brengen niet dezelfde rechtsgevolgen met zich mee en zijn daarom minderwaardig aan het bovengenoemde.

 

C.            Wijzigingen aan EIDAS

1.              Overzicht wijzigingen

  • De eisen die gesteld worden aan niet-gekwalificeerde verleners van vertrouwensdiensten zijn nu verduidelijkt in toekomstig artikel 19bis EIDAS II-verordening.
  • De eisen die gesteld worden aan gekwalificeerde verleners van vertrouwensdiensten zijn ook verduidelijkt in een wijziging van huidige artikelen 20 en 24 EIDAS.
  • De eisen die gesteld worden aan toezichthoudende organen[65] en (de aanvang van[66]) (niet[67]-)gekwalificeerde[68] verleners van vertrouwensdiensten vinden nu ook aanknoping met de NIS2-richtlijn[69] en de daarin vastgestelde eisen qua cyberveiligheid.
  • De eisen die gesteld worden aan gekwalificeerde[70] verleners van vertrouwensdiensten vinden nu ook aanknoping met de Algemene Verordening Gegevensbescherming[71] (GDPR) en de daarin vastgestelde eisen qua gegevensbescherming.
  • De eisen die gesteld worden aan lidstaten[72], toezichthoudende organen[73], (de aanvang van[74]) (niet[75]-)gekwalificeerde[76] verleners van vertrouwensdiensten, geavanceerde elektronische handtekeningen[77], gekwalificeerde certificaten voor elektronische handtekeningen[78], validering van gekwalificeerde elektronische handtekeningen[79], van geavanceerde elektronische handtekeningen op basis van gekwalificeerde certificaten[80] en van geavanceerde elektronische zegels op basis van gekwalificeerde certificaten[81], gekwalificeerde valideringsdiensten voor gekwalificeerde elektronische handtekeningen[82] en gekwalificeerde bewaringsdiensten voor gekwalificeerde elektronische handtekeningen[83], geavanceerde elektronische zegels[84] en gekwalificeerde certificaten voor elektronische zegels[85], gekwalificeerde elektronische tijdstempels[86], gekwalificeerde diensten voor elektronisch aangetekende bezorging[87] en gekwalificeerde certificaten voor websiteauthenticatie[88] zullen nader worden bepaald: “Binnen twaalf maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen technische specificaties en referentienummers voor normen inzake (…) vast.”
  • De eisen die gesteld worden aan gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen worden uitgebreid: “Het genereren en beheren van de gegevens voor het aanmaken van elektronische handtekeningen namens de ondertekenaar of het dupliceren van dergelijke gegevens voor back-updoeleinden kan alleen worden uitgevoerd door een gekwalificeerde verlener van vertrouwensdiensten die een gekwalificeerde vertrouwensdienst voor het beheer van een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen op afstand verleent.”[89]
  • Aan de nieuwe categorie[90] die voortvloeit uit toekomstig artikel 29.1bis EIDAS II-verordening (zie vorig gedachtestreepje) worden ook bijzondere eisen[91]
  • Een nieuwe categorie “gekwalificeerde dienst voor het beheer van gekwalificeerde middelen voor het aanmaken van elektronische zegels op afstand” wordt eveneens toegevoegd, waaraan ook (identieke) bijzondere eisen[92] worden gesteld.
  • De eisen die gesteld worden aan de certificering van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen worden verstrengd. Voortaan zijn deze certificaten in de tijd beperkt[93], en houden ze slechts gelding voor zover de kwetsbaarheidsbeoordelingen regelmatig[94] zijn en gevonden kwetsbaarheden ook wel degelijk worden verholpen[95].[96]

De eisen die gesteld worden aan de validering van geavanceerde elektronische handtekeningen op basis van gekwalificeerde certificaten zijn vanaf nu vastgelegd in toekomstig artikel 32bis EIDAS II-verordening.

  • De gekwalificeerde diensten voor elektronisch aangetekende bezorging krijgen voortaan een sterkere doorwerking in de andere lidstaten: “Een gekwalificeerde dienst voor elektronisch aangetekende bezorging in een lidstaat wordt in alle lidstaten als een gekwalificeerde dienst voor elektronisch aangetekende bezorging erkend.“[97]
  • Het interoperabiliteitskader tussen verleners van gekwalificeerde diensten voor elektronisch aangetekende bezorging wordt voortaan (deels) wettelijk geregeld.[98]
  • De eisen die gesteld worden aan gekwalificeerde certificaten voor websiteauthenticatie worden verstrengd ten aanzien van aanbieders van webbrowsers (die geen KMO zijn).[99]

 

2.              Conclusie

Er zijn heel wat vernieuwingen en uitbreidingen. Belangrijk is dat er nu duidelijk aanknopingen zijn gemaakt met de AVG (of GDPR) en met de NIS2-richtlijn, wat de rechtszekerheid alleen maar ten goede doet.

De Commissie is echter klaarblijkelijk zinnens om binnen de twaalf maanden na de inwerkingtreding van de nieuwe verordening uitvoeringshandelingen vast te stellen waar haar voorheen (in EIDAS I) de mogelijkheid uitdrukkelijk werd voorzien, en ook in een aantal nieuwe gevallen. Het wordt dus na de inwerkingtreding van EIDAS II-verordening opnieuw afwachten wat de Commissie zal beslissen, en wanneer…

 

[1] Art. 3.10 EIDAS-verordening.

[2] Art. 3.11 EIDAS-verordening.

[3] Art. 26 EIDAS-verordening.

[4] Art. 3.12 EIDAS-verordening.

[5] Art. 25.1 EIDAS-verordening.

[6] Art. 25.2 EIDAS-verordening.

[7] Art. 25.3 EIDAS-verordening.

[8] Art. 3.16 EIDAS-verordening.

[9] Art. 24 EIDAS-verordening.

[10] Art. 3.17 EIDAS-verordening

[11] Art. 3.19 EIDAS-verordening.

[12] Art. 3.20 EIDAS-verordening.

[13] Art. 13, 20 en 24 EIDAS-verordening.

[14] Art. 19 EIDAS-verordening.

[15] Zie art. 21.1 en 21.3 EIDAS-verordening, maar ook art. 33 en 34 EIDAS-verordening.

[16] Art. 24 EIDAS-verordening.

[17] Art. 28-32 EIDAS-verordening.

[18] Het leveren van gekwalificeerde certificaten voor elektronische handtekeningen (art. 28), gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen (art. 29-31), de validering van gekwalificeerde elektronische handtekeningen (art. 32-33) en de bewaring van gekwalificeerde elektronische handtekeningen (art. 34).

[19] Art. 6.1 EIDAS-verordening.

[20] Art. 25.3 EIDAS-verordening.

[21] https://eidas.ec.europa.eu/efda/tl-browser/#/screen/tl/BE

[22] Art. 3.25 EIDAS-verordening.

[23] Art. 3.26 EIDAS-verordening.

[24] Art. 36 EIDAS-verordening.

[25] Art. 3.27 EIDAS-verordening.

[26] Art. 3.33 EIDAS-verordening.

[27] Art. 3.34 EIDAS-verordening.

[28] Art. 3.36 EIDAS-verordening.

[29] Art. 3.37 EIDAS-verordening.

[30] Art. 3.38 EIDAS-verordening.

[31] Art. 3.39 EIDAS-verordening.

[32] Afdeling 8 “Authenticatie van websites” bevat geen bepaling betreffende de rechtsgevolgen, maar artikel 46 (het eerste artikel na Afdeling 8) geeft wel de rechtsgevolgen van elektronische documenten weer.

[33] https://data.consilium.europa.eu/doc/document/ST-14959-2022-INIT/nl/pdf, p. 1-2.

[34] Toekomstig art. 3.42 EIDAS II-verordening

[35] https://data.consilium.europa.eu/doc/document/ST-14959-2022-INIT/nl/pdf, p. 4

[36] Toekomstige overweging 11a EIDAS II-verordening.

[37] Toekomstig art. 6 bis, lid 6 bis EIDAS II-verordening; https://data.consilium.europa.eu/doc/document/ST-14959-2022-INIT/nl/pdf, p. 6

[38] Toekomstig art. 12 ter EIDAS II-verordening.

[39] Luidens art. 2.2 Digital Markets Act betreft dit de volgende lijst van diensten: onlinetussenhandelsdienst; onlinezoekmachine; onlinesocialenetwerkdienst; videoplatformdienst; nummeronafhankelijke interpersoonlijke communicatiedienst; besturingssysteem; webbrowser; virtuele assistent; cloudcomputingdienst; onlineadvertentiedienst, waaronder advertentienetwerken, advertentie-uitwisselingsdiensten en andere advertentietussenhandelsdiensten, aangeboden door een onderneming die een van de in de punten a) tot en met i) genoemde kernplatformdiensten aanbiedt.

[40] Art. 2.1 en 3 Digital Markets Act.

[41] https://ec.europa.eu/commission/presscorner/detail/en/ip_23_4328

[42] Overeenkomstig art. 3.4 en 3.8 Digital Markets Act.

[43] Toekomstige overweging 36f EIDAS II-verordening.

[44] https://data.consilium.europa.eu/doc/document/ST-14959-2022-INIT/nl/pdf, p. 6.

[45] Toekomstige overweging 21 EIDAS II-verordening.

[46] Toekomstige overweging 17a EIDAS II-verordening.

[47] Toekomstig art. 45 bis e.v. EIDAS II-verordening.

[48] Toekomstig art. 45 octies e.v. EIDAS II-verordening.

[49] Toekomstig art. 45 nonies e.v. EIDAS II-verordening.

[50] Toekomstige (nieuwe) afdeling 9, 10 en 11 EIDAS II-verordening.

[51] Toekomstig art. 3.43 EIDAS II-verordening.

[52] Toekomstige overwegingen 26 en 27 EIDAS II-verordening.

[53] Toekomstig art. 3.44 EIDAS II-verordening.

[54] Toekomstige bijlage V EIDAS II-verordening.

[55] Toekomstig art. 3.45 EIDAS II-verordening.

[56] Zie toekomstig art. 45 quinquies bis en toekomstige bijlage VII EIDAS II-verordening.

[57] Het betreft 10 attributen, met name: 1. adres; 2. leeftijd; 3. geslacht; 4. burgerlijke staat; 5. gezinssamenstelling; 6. nationaliteit of staatsburgerschap; 7. onderwijskwalificaties, -titels en -diploma’s; 8. beroepskwalificaties, -titels en -licenties; 9. openbare vergunningen en licenties; 10. financiële en bedrijfsgegevens.

[58] Toekomstig art. 2.46 EIDAS II-verordening.

[59] Toekomstig art. 45 bis EIDAS II-verordening.

[60] Toekomstig art. 45 bis en 45 quinquies bis en bijlage VII EIDAS II-verordening, toekomstige overweging 30 EIDAS II-verordening; https://data.consilium.europa.eu/doc/document/ST-14959-2022-INIT/nl/pdf, p. 7

[61] Toekomstig art. 3.48 EIDAS II-verordening.

[62] Toekomstig art. 45 octies EIDAS II-verordening.

[63] Toekomstig art. 3.53 EIDAS II-verordening.

[64] Toekomstig art. 45 nonies EIDAS II-verordening.

[65] Toekomstig art. 18.4 EIDAS II-verordening.

[66] Toekomstig artikel 21.1 en 21.2 EIDAS II-verordening.

[67] Toekomstig art. 19bis.1 EIDAS II-verordening.

[68] Toekomstig art. 20.1 en 20.3bis en quater EIDAS II-verordening.

[69] Richtlijn (EU) 2022/2555.

[70] Toekomstig art. 20.2 en 20.3ter EIDAS II-verordening.

[71] Verordening (EU) 2016/679.

[72] Wanneer zij hun lijst van gecertificeerde gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen toelichten aan de Commissie. Toekomstig art. 31.3 EIDAS II-verordening.

[73] Toekomstig art. 18.5 EIDAS II-verordening.

[74] Toekomstig artikel 21.4 EIDAS II-verordening.

[75] Toekomstig art. 19bis.2 EIDAS II-verordening.

[76] Toekomstig art. 20.4 en 24.1bis EIDAS II-verordening.

[77] Toekomstig art. 26.2 EIDAS II-verordening.

[78] Toekomstig art. 28.6 EIDAS II-verordening.

[79] Toekomstig art. 32.3 EIDAS II-verordening.

[80] Toekomstig art. 32bis.3 EIDAS II-verordening.

[81] Toekomstig art. 40bis EIDAS II-verordening met een verwijzing naar toekomstig art. 32bis EIDAS II-verordening.

[82] Toekomstig art. 33.2 EIDAS II-verordening.

[83] Toekomstig art. 34.3 EIDAS II-verordening.

[84] Toekomstig art. 36.2 EIDAS II-verordening.

[85] Toekomstig art. 38.6 EIDAS II-verordening.

[86] Toekomstig art. 42.2 EIDAS II-verordening.

[87] Toekomstig art. 44.2 EIDAS II-verordening.

[88] Toekomstig art. 45.1 en 45.4 EIDAS II-verordening. Er bestaat geen (huidig of toekomstig) art. 45.3 EIDAS II-verordening, dus dit zal mogelijk nog aangepast worden.

[89] Toekomstig art. 29.1bis EIDAS II-verordening.

[90] “een gekwalificeerde dienst voor het beheer van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen op afstand”

[91] Toekomstig art. 29bis EIDAS II-verordening.

[92] Toekomstig art. 39bis EIDAS II-verordening met een verwijzing naar toekomstig art. 29bis EIDAS II-verordening.

[93] Niet langer dan vijf jaar geldig.

[94] Tweejaarlijks (lees: om de 2 jaar, de Engelstalige versie schrijft als volgt: “conditional upon a regular 2 year vulnerabilities assessment”). Bron: https://data.consilium.europa.eu/doc/document/ST-14959-2022-INIT/en/pdf, p. 76 .

[95] De Engelstalige versie schrijft als volgt: “[w]here vulnerabilities are identified and not remedied”. Cambridge dictionary definieert ‘to remedy’ als “to do something to correct or improve something that is wrong”. Niet elke kwetsbaarheid kan zomaar verholpen worden, volgens de gegeven definitie lijkt de bewoording in de Engelse versie, ‘to remedy’, echter wel de mogelijkheid open te laten om het probleem minstens proberen ‘aan te pakken’. Bron: https://data.consilium.europa.eu/doc/document/ST-14959-2022-INIT/en/pdf, p. 76;

https://dictionary.cambridge.org/dictionary/english/remedy

[96] Toekomstig art. 30.3bis EIDAS II-verordening.

[97] Toekomstig art. 43.2bis EIDAS II-verordening.

[98] Toekomstig art. 44.3 en 44.4 EIDAS II-verordening.

[99] Toekomstig art. 45.2 EIDAS II-verordening.