Table of Contents
Op 23 juli 2014 heeft de Europese Unie de eIDAS-verordening aangenomen betreffende elektronische identificatie en vertrouwensdiensten. Sinds 1 juli 2016 vervangt ze Richtlijn 1999/93/EG betreffende de elektronische handtekening en de verstrekkers van certificatiediensten.
De hoofddoelstellingen van de eIDAS-verordening zijn drievoudig:
- wegnemen van de juridische en technische belemmeringen voor de werking van de interne markt op het vlak van grensoverschrijdende administratieve formaliteiten;
- zorgen voor een groter vertrouwen in elektronische transacties;
- de rechtszekerheid versterken, zowel voor de verleners als voor de gebruikers van vertrouwensdiensten.
Behalve deze drie hoofddoelstellingen, komt ook de wil tot uiting om de innovatie en ontwikkeling van het aanbod aan vertrouwensdiensten en diensten voor elektronische identificatie te stimuleren.
In België is deze wil concreet vertaald in de goedkeuring van de wet van 21 juli 2016, wet "eIDAS en elektronische archivering” genoemd, die de verordening uitvoert en aanvult door het vastleggen van bepalingen die het scheppen van een volledig, samenhangend juridisch kader voor elektronische archivering nastreven. In die context werd aan de FOD Economie de rol toegekend van toezichthoudende instantie, die instaat voor de kwalificatie en supervisie van de in België gevestigde vertrouwensdienstverleners.
Een samenvatting van de Digital Act (PDF, 511.78 KB)
Veelgestelde vragen (FAQ) over vertrouwensdiensten (PDF, 734.84 KB)
Meer informatie over de juridische aspecten en aandachtspunten van de elektronische handtekening en andere vertrouwensdiensten.
Vertrouwensdiensten
Naast de elektronische handtekening omvatten de eIDAS-verordening en de wet eIDAS en elektronische archivering nog andere vertrouwensdiensten, zoals het elektronische zegel, de datumstempel, de dienst van elektronisch aangetekende zending, de authenticatie van websites en elektronische archivering.
“Een vertrouwensdienst is een elektronische dienst die gewoonlijk tegen betaling wordt verricht en het onderstaande inhoudt:
- het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging en op deze diensten betrekking hebbende certificaten, of
- het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites, of
- het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben” (art. 3 §16 van de eIDAS-verordening).
Elektronische handtekening
Wat is een elektronische handtekening?
Volgens de eIDAS-verordening betreft het “gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn aan andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen” (art. 3 §10 van de verordening).
Deze definitie omvat alle soorten elektronische handtekeningen, zoals handgeschreven gescande handtekeningen, biometrische handtekeningen (bijvoorbeeld stemherkenning, irisherkenning, herkenning van vingerafdrukken), digitale handtekeningen of de eenvoudige codes van bankkaarten.
Wanneer een elektronische handtekening aan bepaalde eisen voldoet, kan ze “geavanceerd” of “gekwalificeerd” zijn.
Om geavanceerd te zijn, moet zij
- op unieke wijze met de ondertekenaar verbonden zijn,
- het mogelijk maken om de ondertekenaar te identificeren,
- tot stand gekomen zijn met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken en
- op zodanige wijze aan de daarmee ondertekende gegevens verbonden zijn, dat elke wijziging achteraf van de gegevens kan worden opgespoord (art. 26 van de eIDAS-verordening).
Zij is gekwalificeerd indien zij niet alleen geavanceerd is, maar ook aangemaakt is met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen en gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen (art. 3 §12 van de eIDAS-verordening).
De verordening specificeert dat een elektronische handtekening (ongeacht de gebruikte technologie en het niveau) niet als bewijsmiddel in juridische procedures mag worden geweigerd, louter om de reden dat ze elektronisch is of niet gekwalificeerd. Niettemin wordt alleen de gekwalificeerde handtekening gelijkgesteld met een handgeschreven handtekening (art. 25 van de eIDAS-verordening).
Elektronisch zegel
Zoals voor de elektronische handtekening, bestaan er drie niveaus van elektronisch zegel:
- Het elektronische zegel (basisvorm): gegevens in elektronische vorm, die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die worden gebruikt om de oorsprong en integriteit daarvan te waarborgen (art. 3 §25 van de eIDAS-verordening).
- Het “geavanceerde” elektronische zegel: het moet op unieke wijze aan de maker van het zegel verbonden zijn; het mogelijk maken om de maker van het zegel te identificeren; tot stand gekomen zijn met gebruikmaking van gegevens voor het aanmaken van elektronische zegels die de maker van het zegel met een hoog vertrouwensniveau onder zijn controle kan gebruiken voor het aanmaken van elektronische zegels; en op zodanige wijze verbonden zijn aan de gegevens waarop het betrekking heeft, dat elke wijziging achteraf van de gegevens kan worden opgespoord (art. 36 van de eIDAS-verordening).
- Het “gekwalificeerde” elektronische zegel: dit is een geavanceerd elektronisch zegel dat aangemaakt is met behulp van een gekwalificeerd middel voor het aanmaken van elektronische zegels en dat gebaseerd is op een gekwalificeerd certificaat voor elektronische zegels (art. 3 §27 van de eIDAS-verordening).
Hoewel een elektronisch zegel niet als bewijsmiddel in gerechtelijke procedures mag worden geweigerd louter op grond van het feit dat het zegel elektronisch is, geldt alleen voor de gekwalificeerde handtekening het vermoeden van integriteit van de gegevens en van juistheid van de oorsprong van de gegevens waaraan het is verbonden (art. 35 van de eIDAS-verordening).
Tijdstempel
Met elektronische tijdstempel wordt bedoeld: “gegevens in elektronische vorm die andere gegevens in elektronische vorm verbinden aan een bepaald tijdstip en die bewijzen dat die laatstgenoemde gegevens op dat tijdstip bestonden” (art. 3 §33 van de eIDAS-verordening).
Het elektronische tijdstempel maakt het mogelijk om
- een document op precieze wijze te dateren en
- te certificeren dat op een precies ogenblik een gegeven bestond of dat een verrichting langs elektronische weg werd uitgevoerd (elektronische handtekening, elektronische aangetekende zending, …).
Een elektronische tijdstempel wordt gekwalificeerd genoemd indien het voldoet aan volgende eisen:
- het koppelt de datum en het tijdstip op zodanige wijze aan gegevens dat onmerkbare wijziging van de gegevens redelijkerwijs kan worden uitgesloten;
- het is gebaseerd op een nauwkeurige tijdsbron die aan de gecoördineerde universele tijd is gekoppeld; en
- het wordt ondertekend met behulp van een geavanceerde elektronische handtekening of verzegeld met een geavanceerd elektronisch zegel van de gekwalificeerde verlener van vertrouwensdiensten, of met behulp van een andere gelijkwaardige methode (art. 42 van de eIDAS-verordening).
Voor een gekwalificeerde elektronische tijdstempel geldt het vermoeden van de juistheid van de aangegeven datum en het aangegeven tijdstip, en van de integriteit van de gegevens waaraan de datum en het tijdstip zijn gekoppeld (art. 41 van de eIDAS-verordening).
Dienst van elektronische aangetekende zending
“Een dienst van elektronisch aangetekende zending” is een dienst die het mogelijk maakt gegevens via elektronische middelen tussen derden te verzenden en die bewijs verschaft ten aanzien van het hanteren van de verzonden gegevens, met inbegrip van bewijs van het verzenden en ontvangen van de gegevens, en die de verzonden gegevens beschermt tegen het risico van verlies, diefstal, beschadiging of onbevoegde wijzigingen” (art. 3 §36 van de eIDAS-verordening; daarin wordt deze dienst verwoord als “dienst voor economische bezorging”).
Voor gegevens die via een gekwalificeerde dienst van elektronisch aangetekende zending worden verstuurd en ontvangen, geldt het vermoeden
- van integriteit van de gegevens,
- van de verzending van die gegevens door de geïdentificeerde afzender,
- van de ontvangst daarvan door de geïdentificeerde geadresseerde, en
- van de juistheid van de datum en het tijdstip van verzending en van ontvangst, zoals aangegeven door de gekwalificeerde dienst van elektronische aangetekende zending (art. 43 van de eIDAS-verordening).
Om van de gekwalificeerde status te genieten, moet de dienst van elektronische aangetekende zending aan de volgende eisen voldoen:
- hij wordt door een of meerdere gekwalificeerde vertrouwensdienstverleners geleverd;
- hij garandeert de identificatie van de afzender en de bestemmeling met een hoge vertrouwensgraad;
- de verzending en de ontvangst van de gegevens worden beveiligd door een geavanceerde elektronische handtekening of door een geavanceerd elektronisch zegel van een gekwalificeerde verlener van vertrouwensdiensten, zodat elke niet op te sporen mogelijkheid tot wijziging van de gegevens wordt uitgesloten;
- de verzender en de geadresseerde van de gegevens worden op duidelijke wijze in kennis gesteld van elke wijziging van de gegevens die nodig is voor het verzenden of het ontvangen van de gegevens;
- de datum en het tijdstip van het verzenden, ontvangen en wijzigen van gegevens worden aangegeven met een gekwalificeerd elektronisch tijdstempel. Voor gegevens die via een dienst van gekwalificeerde elektronische aangetekende zending worden verstuurd en ontvangen, geldt het vermoeden van
- integriteit van de gegevens,
- de verzending van die gegevens door de geïdentificeerde afzender,
- de ontvangst daarvan door de geïdentificeerde geadresseerde, en
- de juistheid van de datum en het uur van de zending en van de ontvangst die door de dienst van gekwalificeerde aangetekende zending worden aangeduid (art. 44 van de eIDAS-verordening).
Websiteauthenticatie
Diensten voor authenticatie van websites vormen een middel waarmee websitebezoekers er zeker van kunnen zijn dat het om de website van een werkelijk bestaande, legitieme entiteit gaat. Die diensten dragen bij tot toenemend vertrouwen in onlinezakendoen.
Om de authenticatie van websites ingang te doen vinden als een middel om het vertrouwen te versterken, definieert de eIDAS-verordening het certificaat voor websiteauthenticatie als een attestering die het mogelijk maakt om de authenticiteit van een website vast te stellen en die de website verbindt aan de natuurlijke persoon of rechtspersoon aan wie het certificaat is afgegeven. Om de gekwalificeerde status te behalen, moet het certificaat aan een hele reeks eisen, opgenomen in de eIDAS-verordening, voldoen (art. 3 §38 en bijlage IV van de eIDAS-verordening).
Elektronische archivering
In tegenstelling tot de andere elektronische diensten wordt de elektronische archivering niet op Europees niveau in de eIDAS-verordening gedefinieerd. In de Belgische wet eIDAS en elektronische archivering van 21 juli 2016 tot uitvoering van de eIDAS-verordening staat de definitie van elektronische archivering en het begrip gekwalificeerde elektronische archiveringsdienst. Ter herinnering: door deze wet worden de nieuwe bepalingen ingelast in het Wetboek van economisch recht (WER).
“Een gekwalificeerde elektronische archiveringsdienst is een vertrouwensdienst ter aanvulling van de diensten zoals bedoeld in de eIDAS-verordening, die bestaat in het bewaren van elektronische gegevens of het digitaliseren van papieren documenten en die aangeboden wordt door een vertrouwensdienstverlener in de zin van de eIDAS-verordening of die voor eigen rekening wordt uitgebaat door een openbare instantie of een natuurlijke persoon of rechtspersoon; (WER, art. 18, 17°).
De wet onderscheidt dus twee types elektronische archivering:
- de archivering door een dienstverlener en
- de “interne” archivering, met name een natuurlijk persoon of een rechtspersoon die voor eigen rekening een elektronische archiveringsdienst uitbaat.
Beide types van archivering kunnen de gekwalificeerde status verkrijgen en genieten hierdoor een vermoeden van integriteit en conformiteit. Een digitale kopie van een papieren document wordt geacht een getrouwe en duurzame kopie ervan te zijn wanneer die met een gekwalificeerde elektronische archiveringsdienst wordt gemaakt en bewaard (WER, art. XII.25, §6).
Op 16 april 2019 is - in toepassing van het artikel XII. 28, §3 WER – het koninklijk besluit van 29 maart 2019 tot vaststelling van de referentienummers voor normen inzake de gekwalificeerde elektronische archiveringsdienst (hierna: KB Normen) in werking getreden.
Een werkgroep, bestaande uit geïnteresseerden en belanghebbenden, ontwikkelde met de steun van de toezichthoudende overheid voor vertrouwensdienstverleners van de FOD Economie, het e-Archiving certificatieschema.
Dit schema beoogt in detail alle wettelijke vereisten te bundelen die van toepassing zijn voor dienstverleners van elektronische archivering en die voorheen verspreid waren over verschillende internationale standaarden.
Het schema laat de gebruiker toe gekwalificeerde elektronische archiveringsdiensten voor het bewaren van elektronische documenten en informatie in elektronische vorm praktisch en effectief te implementeren in lijn met de vereisten van de Belgische wetgeving.
Het certificatieschema voor elektronische archivering raadplegen (PDF, 976.27 KB)
Veiligheid en controle
De verleners van vertrouwensdiensten zijn verplicht om technologische en organisatorische middelen in te zetten die beantwoorden aan eisen die regelmatig worden verstrengd.
Bovendien worden de verleners van vertrouwensdiensten met gekwalificeerde status vooraf en achteraf aan controle onderworpen in een periodieke audit (om de twee jaar) of een eventuele buitengewone audit op verzoek van de toezichthoudende instantie.
De wet van 21 juli 2016 heeft officieel de FOD Economie als toezichthoudende instantie aangesteld om de in België gevestigde vertrouwensdienstverleners te controleren, met inbegrip van de verleners van elektronische archiveringsdiensten (WER, art. 18, 16°).
Ondertekenen met een gekwalificeerde elektronische handtekening
Meer uitleg hierover vindt u op de pagina "Hoe kan ik een document elektronisch ondertekenen"
Gekwalificeerde vertrouwensdienstverleners in België
Voor het eerst heeft een onderneming die de archivering van elektronische documenten aanbiedt het statuut ‘gekwalificeerd’ gekregen en is ze door België op de Europese vertrouwenslijst geplaatst. Het betreft hier de allereerste kwalificatie van een verlener van vertrouwensdiensten in dat domein in Europa. De betreffende onderneming werd toegevoegd aan de lijst van gekwalificeerde verleners van vertrouwensdiensten in België.
De procedure om in België gekwalificeerd te worden voor één of meer elektronische vertrouwensdiensten en om aansluitend op de vertrouwenslijst te worden geplaatst, doorloopt meerdere etappes.
De controle door de overheid op de verleners van vertrouwensdiensten die kandidaat zijn om gekwalificeerd te worden is onder meer gebaseerd op een conformiteitsbeoordelingsverslag afgeleverd door een instelling die werd geaccrediteerd voor het beoordelen van de conformiteit aan de bepaling van de eIDAS Verordening door middel van een audit. Een eerste instelling voor de certificatie van een elektronisch archief in België werd in april 2023 geaccrediteerd door BELAC (de Belgische accreditatieinstelling).
De accreditaties binnen dit domein zijn beschikbaar via Certificatie-instellingen van producten (PROD) | FOD Economie (fgov.be) (dienst ‘IT Products and services’).
De in België gekwalificeerde dienstverleners en de elektronische vertrouwensdiensten die zij leveren worden vermeld op de lijst gepubliceerd door de Europese Commissie (“EU List of eIDAS Trusted Lists”).
In onderstaande tabel vindt u een vereenvoudigd overzicht van de in België gekwalificeerde dienstverleners.
Gekwalificeerde vertrouwensdienstverleners in Europa
U kunt op de gezamenlijke lijst van de Europese Commissie al de in de Europese Unie gekwalificeerde vertrouwensdienstverleners terugvinden. Op deze overzichtslijst kunt u desgewenst een selectie maken per type van elektronische vertrouwensdienst en/of per Europese lidstaat en kunt u zoeken op (een deel van) de naam van een vertrouwensdienstverlener.
Documentatie
- Voorstelling van de eIDAS verordening (PDF, 164.89 KB)
- Voorstelling van de eIDAS en elektronische archivering wet (PDF, 219.06 KB)
- Gebruik van de begrippen “elektronische handtekening” en andere “vertrouwensdiensten” alsook het begrip “duurzame gegevensdrager” (PDF, 655.08 KB)
- Veelgestelde vragen (FAQ) over vertrouwensdiensten (PDF, 734.84 KB)