eIDAS
De
eIDAS-verordening (Verordening 910/2014) creëert een juridisch kader voor digitale identiteit en authenticatie. Daarmee wil Europa meer vertrouwen wekken voor grensoverschrijdende elektronische transacties en tegelijkertijd de doeltreffendheid van onlinediensten en e-commerceplatforms vergroten.
De doelstellingen van deze verordening – de ontwikkeling van een Europees kader voor digitale identiteit en voor vertrouwensdiensten – konden echter onvoldoende door de lidstaten worden verwezenlijkt. Door de omvang en gevolgen ervan was het beter dat de Europese instellingen zelf maatregelen namen. Dat leidde tot de huidige herziening.
In een notendop
Het onderwerp en het doel van de verordening worden uitgebreid. Komen nu ook aan bod:
| • | Europese portemonnees voor digitale identiteit; |
| • | elektronische archivering; |
| • | elektronische attestering van attributen; |
| • | middelen voor het aanmaken van elektronische handtekeningen; |
| • | middelen voor het aanmaken van elektronische zegels; |
| • | elektronische registers. |
Europese portemonnees voor digitale identiteit
Een Europese portemonnee voor digitale identiteit is een elektronisch identificatiemiddel waarmee je je kan identificeren en kiezen welke persoonlijke gegevens je wil delen, zowel online als offline, met overheidsinstanties en bedrijven in de hele EU.
Kortom: een Europese e-identiteit.
De digitale identificatiesystemen die overheden in de EU vandaag de dag aanbieden, hebben verschillende belangrijke tekortkomingen. Ze zijn niet beschikbaar voor de hele bevolking, zijn vaak beperkt tot online overheidsdiensten en kunnen niet gemakkelijk in een ander land worden gebruikt.
In alle EU-landen samen accepteert nog maar 14% van alle belangrijke openbare dienstverleners zo’n elektronisch bewijs uit een ander land, bijvoorbeeld om iemands identiteit te checken zonder extra wachtwoord. Erg vaak gebeurt dat nog niet, maar het aantal gevallen neemt wel toe.
Met de Europese portemonnees voor digitale identiteit zullen burgers overal in de EU hun identiteit kunnen bewijzen als dat nodig is om toegang te krijgen tot onlinediensten, digitale documenten te delen of simpelweg een specifiek persoonlijk kenmerk te bewijzen, zoals hun leeftijd. En dat zonder hun volledige identiteit of andere persoonlijke details te moeten prijsgeven.
Elke lidstaat is verplicht om minstens 1 Europese portemonnee voor digitale identiteit te verstrekken. Dat moet gebeuren binnen de 24 maanden na de inwerkintreding van de uitvoeringshandelingen van de Commissie.
Die uitvoeringshandelingen zijn er om uiteenlopende benaderingen in verschillende lidstaten te voorkomen. De Commissie moet een lijst met referentienormen vaststellen en, waar nodig, specificaties en procedures vaststellen.
Als een natuurlijke of rechtspersoon Europese portemonnees voor digitale identiteit wil gebruiken voor het verlenen van publieke of private diensten, dan moet ze zich laten registreren in de lidstaat waar ze gevestigd is.
Het is aan conformiteitsbeoordelingsinstanties om te certificeren of de portemonnee aan alle wettelijke eisen voldoet. Elke lidstaat stuurt een lijst met informatie over gecertificeerde portemonnees naar de Commissie en de Europese samenwerkingsgroep voor digitale identiteit (zie hierna).
Bij een beveiligingsinbreuk of -aantasting van een portemonnee moet de lidstaat het gebruik van die portemonnee opschorten of intrekken.
Stelsels voor elektronische identificatie
Bij een stelsel voor elektronische identificatie worden er elektronische identificatiemiddelen uitgegeven aan natuurlijke personen, rechtspersonen of hun vertegenwoordigers.
Wil een lidstaat portemonnees voor digitale identiteit gebruiken om grensoverschrijdende diensten te verlenen? Dan moet ze ondubbelzinnige identiteitsmatching garanderen voor natuurlijke personen die gebruikmaken van aangemelde elektronische identificatiemiddelen of zo’n portemonnee.
Ook is het aan conformiteitsbeoordelingsinstanties om te certificeren of een stelsel voldoet aan alle wettelijke cyberbeveiligingsvereisten.
Vertrouwensdiensten
Een vertrouwensdienst is elektronische dienst die gewoonlijk tegen betaling wordt verricht.
Er komen eisen voor:
| • | niet-gekwalificeerde verleners van vertrouwensdiensten; |
| • | de validering van geavanceerde elektronische handtekeningen; |
| • | gekwalificeerde certificaten voor websiteauthenticatie; |
| • | de validering van geavanceerde elektronische zegels; en |
| • | een paar gekwalificeerde vertrouwensdiensten. |
Aanbieders van webbrowsers mogen voorzorgsmaatregelen nemen rond cyberbeveiliging. Die kunnen ze nemen voor gekwalificeerde certificaten voor websiteauthenticatie als er concrete aanwijzingen zijn voor inbreuken op de beveiliging of het verlies van integriteit van een certificaat of reeks van certificaten.
Gekwalificeerde diensten – zoals een elektronische handtekening – gebaseerd op een gekwalificeerd certificaat moeten in alle andere lidstaten als dusdanig worden erkend.
Elektronische attestering van attributen
Een attribuut is een eigenschap, hoedanigheid, recht of toestemming van een natuurlijke of rechtspersoon of van een object. Die kunnen worden geauthentiseerd via een attestering in elektronisch formaat.
Elektronische attestering van attributen kan rechtsgevolgen hebben. Gekwalificeerde elektronische attestering van attributen moet voldoen aan verschillende eisen. Ook als ze uitgegeven zijn door of namens een openbare instantie. Elke lidstaat moet maatregelen nemen zodat attributen kunnen worden geverifieerd wanneer een gebruiker dat vraagt.
Aanbieders van elektronische attesteringen van attributen moeten aan gebruikers van Europese portemonnees voor digitale identiteit de mogelijkheid geven om de elektronische attestering van attributen aan te vragen, te verkrijgen, op te slaan en te beheren.
Elektronische archiveringsdiensten
Ook elektronische archiveringsdiensten hebben rechtsgevolgen. Hun toelaatbaarheid als bewijsmiddel in gerechtelijke procedures wordt dus niet ontzegd omdat ze elektronisch zijn.
Bij elektronische gegevens en documenten die via een gekwalificeerde elektronische archiveringsdienst bewaard worden, geldt het vermoeden van integriteit van de gegevens en van juistheid van de oorsprong van de gegevens.
Daarnaast moeten ook elektronische archiveringsdiensten voldoen aan verschillende eisen. Zoals dat ze worden verleend door gekwalificeerde verleners van vertrouwensdiensten. En dat ze ervoor zorgen dat elektronische gegevens en documenten zodanig worden bewaard dat ze beschermd zijn tegen verlies en wijzigingen.
Elektronische registers
Hier geldt hetzelfde als bij de archiveringsdiensten en attestering: elektronische registers hebben rechtsgevolgen, en gekwalificeerde elektronische registers moeten voldoen aan verschillende eisen.
Toezicht en centraal contactpunt
Elke lidstaat wijst een of meer toezichthoudende organen aan. Hun namen en adressen moeten ze doorgeven aan de Commissie. De rol van die organen: toezicht houden op de aanbieders van Europese portemonnees die gevestigd zijn in die lidstaat.
Lidstaten moeten ook een toezichthoudend orgaan aanwijzen dat toezicht houdt op vertrouwensdiensten.
Tot slot wijst elke lidstaat een centraal contactpunt aan voor vertrouwensdiensten, Europese portemonnees voor digitale identiteit en aangemelde stelsels voor elektronische identificatie. Zo’n contactpunt oefent een verbindingsfunctie uit om de grensoverschrijdende samenwerking tussen de toezichthoudende organen en met andere bevoegde autoriteiten te vergemakkelijken.
Wederzijdse bijstand
Toezichthoudende organen kunnen bijstand vragen van organen in een andere lidstaat. De bedoeling is om het toezicht en de handhaving gemakkelijker te maken.
Ze kunnen bijvoorbeeld:
| • | om informatie vragen; |
| • | verzoeken om maatregelen te nemen; |
| • | samen onderzoeken uitvoeren. |
Europese samenwerkingsgroep
De Commissie richt een Europese samenwerkingsgroep voor digitale identiteit op. Die moet het eenvoudiger maken voor lidstaten om samen te werken en informatie uit te wisselen.
De samenwerkingsgroep bestaat uit vertegenwoordigers die zijn aangewezen door de lidstaten en de Commissie. Ze wordt voorgezeten door de Commissie.
Inwerkingtreding
Treedt in werking op 20 mei 2024.
