eIDAS 2.0: Wat verandert er voor QES in 2025-2026?

Wat is eIDAS 2.0?

eIDAS 2.0 verwijst naar Verordening (EU) 2024/1183, die een wijziging inhoudt van de oorspronkelijke eIDAS-verordening (910/2014) die sinds 2016 de elektronische identificatie en vertrouwensdiensten in de hele EU regelt. Zie het als eIDAS 2.0 – een verbeterde versie die de beperkingen aanpakt die tijdens de eerste acht jaar van de implementatie zijn ontdekt.

Waarom was er een update nodig?

De oorspronkelijke eIDAS-verordening boekte opmerkelijk succes met het creëren van een wettelijk kader voor gekwalificeerde elektronische handtekeningen en grensoverschrijdend digitaal vertrouwen. Er zijn echter lacunes ontstaan:

Beperkte invoering van nationale eID-systemen

Tegen 2021 kon slechts 59% van de inwoners van de EU een vertrouwde elektronische identiteit gebruiken om toegang te krijgen tot grensoverschrijdende onlinediensten. Lidstaten konden vrijwillig nationale eID-regelingen aanmelden, maar veel lidstaten hebben geen allesomvattende systemen opgezet, wat tot versnippering heeft geleid.

Inconsistente implementatie

Nationale toezichthoudende instanties en conformiteitsbeoordelingsorganisaties interpreteerden de eIDAS-vereisten verschillend, waardoor de veiligheidsniveaus en vertrouwensnormen van lidstaat tot lidstaat verschilden. Een leverancier van gekwalificeerde handtekeningen die gecertificeerd is in Duitsland kan te maken krijgen met andere eisen dan een leverancier in Italië.

Technologische hiaten

De verordening van 2014 voorzag niet hoe smartphones het primaire digitale identiteitsapparaat zouden worden. Het aanmaken van gekwalificeerde handtekeningen op afstand was mogelijk, maar omslachtig en vereiste USB-tokens of smartcards in plaats van geïntegreerde mobiele oplossingen.

Beperkte omvang van trustdiensten

Vertrouwensdiensten zoals elektronische archivering, elektronische grootboeken en het beheer van elektronische handtekeningen op afstand werden niet voldoende afgedekt, ondanks de groeiende vraag van bedrijven naar deze mogelijkheden.

De spelbepaler: Europese Digitale Identiteit Portemonnees (EUDIW)

De kern van eIDAS 2.0 is de European Digital Identity Wallet – eenmobiele applicatie die de manier waarop Europeanen hun identiteit bewijzen en documenten digitaal ondertekenen fundamenteel zal veranderen.

Wat is de EUDIW?

De European Digital Identity Wallet is een smartphone-app (of ander persoonlijk apparaat) waarmee gebruikers:

• Digitale identiteitsdocumenten opslaan en beheren: Nationale identiteitskaarten, rijbewijzen, beroepskwalificaties, onderwijsdiploma’s, ziekteverzekeringskaarten en meer
• Bewijs je identiteit zonder onnodige gegevens te onthullen: Bewijs bijvoorbeeld dat je ouder bent dan 18 zonder je exacte geboortedatum of volledige naam te tonen
• Maak gekwalificeerde elektronische handtekeningen rechtstreeks vanaf je telefoon: Geen aparte apps, USB-tokens of fysieke apparaten nodig
• Krijg toegang tot zowel publieke als private diensten: Overheidsportalen, bank-apps, e-commerce platforms en zakelijke toepassingen
• Gebruik dezelfde portemonnee in alle EU-landen: Je Belgische portemonnee werkt naadloos in Spanje, Duitsland, Italië of een andere lidstaat.

Verplichte uitgifte door lidstaten

In tegenstelling tot het oorspronkelijke eIDAS, waarbij nationale eID-regelingen vrijwillig waren, verplicht eIDAS 2.0 alle 27 EU-lidstaten om digitale identiteitsportefeuilles te verstrekken aan burgers die daarom vragen. Dit mandaat garandeert universele beschikbaarheid in de hele Unie.

De lidstaten hebben tot 24 maanden na de goedkeuring van de technische specificaties (uitvoeringshandelingen) de tijd om deze portemonnees aan te bieden. Volgens artikel 5a moet de Europese Commissie uiterlijk op 21 november 2024 technische normen en certificeringsvereisten vaststellen, wat betekent dat de portemonnee in 2025 moet worden ingevoerd en dat de volledige beschikbaarheid is gepland voor 2026.

Particuliere sector moet EUDIW accepteren

eIDAS 2.0 gaat verder door grote online platforms te verplichten EUDIW te accepteren voor identiteitsverificatie. Dit omvat:

• Sociale mediaplatforms
• E-commerce marktplaatsen
• Clouddiensten
• Platformen om de economie te delen
• Financiële dienstverleners

Deze verplichte acceptatie zorgt ervoor dat bedrijven geen eigen identiteitssilo’s kunnen creëren en bevordert interoperabiliteit en gebruikerskeuze in de hele digitale economie.

Invloed op gekwalificeerde elektronische handtekeningen

Voor bedrijven en personen die momenteel gekwalificeerde elektronische handtekeningen gebruiken, brengt eIDAS 2.0 zowel kansen als nieuwe overwegingen met zich mee.

Je smartphone wordt een QSCD

Een van de meest transformerende technische veranderingen: EUDIW bevat QSCD-functionaliteit (Qualified Signature Creation Device) ingebouwd in de portemonnee. Dit betekent het volgende:

• Geen externe hardware nodig: Vergeet USB-tokens, smartcards of afzonderlijke cryptografische apparaten
• Veilige sleutelopslag in apparaat enclave: Je privé ondertekeningssleutels blijven beschermd door de veilige hardware van je smartphone
• Biometrische verificatie: Gebruik vingerafdruk of gezichtsherkenning om handtekeningen te autoriseren
• Direct gekwalificeerde handtekeningen maken: Van documentontvangst tot ondertekend document in minder dan een minuut

Bestaande QES-methoden blijven werken

De introductie van EUDIW maakt de huidige QES-methoden niet ongeldig. Gekwalificeerde leveranciers van vertrouwensdiensten zoals die worden aangeboden via platforms zoals QES-Sign (itsme, Evrotrust, Adacom) blijven actief en blijven volledig voldoen aan eIDAS 2.0.

Verbeterde beveiligingseisen

eIDAS 2.0 introduceert strengere technische en operationele vereisten voor gekwalificeerde vertrouwensdiensten, waaronder:

• Geharmoniseerde conformiteitsbeoordeling: Consistentere evaluatiecriteria in alle lidstaten
• Verplichte melding van incidenten: QTSP’s moeten inbreuken op de beveiliging binnen specifieke termijnen melden aan toezichthoudende autoriteiten.
• Verscherpt toezicht: Nationale toezichthoudende instanties krijgen extra bevoegdheden om naleving te waarborgen
• Regelmatige audits: Frequentere conformiteitsbeoordelingen om de gekwalificeerde status te behouden

Nieuwe vertrouwensdiensten

eIDAS 2.0 breidt gekwalificeerde vertrouwensdiensten uit met:

Gekwalificeerde elektronische archivering

Zorgt ervoor dat documenten tientallen jaren leesbaar, authentiek en rechtsgeldig blijven, cruciaal voor contracten met lange bewaartermijnen.

Gekwalificeerde elektronische grootboeken

Biedt fraudebestendige records van gegevens of transacties in de loop van de tijd, ter ondersteuning van naleving van regelgeving en audit trails.

Beheer van elektronische handtekeningen en verzegelingen op afstand

Formaliseert het maken van QES op afstand (zoals de huidige methoden) met duidelijkere technische standaarden en beveiligingseisen.

Tijdlijn voor implementatie: Wat gebeurt wanneer?

De invoering van eIDAS 2.0 verloopt volgens een gefaseerde aanpak met specifieke deadlines:

Wat dit betekent voor verschillende belanghebbenden

Voor bedrijven die QES gebruiken

Als jouw organisatie op dit moment gekwalificeerde elektronische handtekeningen gebruikt, overweeg dan deze implicaties:

Kansen

• Bredere acceptatie door klanten/partners: Als iedereen EUDIW heeft, wordt het aanvragen van QES bij tegenpartijen een fluitje van een cent.
• Vereenvoudigd onboarding: Nieuwe werknemers of zakenpartners kunnen zich meteen aanmelden zonder app-downloads of provider-selectie
• Minder support: Door de overheid uitgegeven portemonnees verminderen het aantal supporttickets voor “hoe onderteken ik?
• Verbeterde beveiliging: Uniforme standaarden in de hele EU verbeteren het algemene vertrouwen en de veiligheid

Actiepunten

• Aanvaardingssystemen bijwerken: Zorg ervoor dat uw systemen voor documentbeheer en handtekeningverificatie de door EUDIW gecreëerde gekwalificeerde handtekeningen kunnen herkennen.
• Personeel opleiden: Teams voorbereiden op duale QES-methoden tijdens de overgangsperiode 2025-2026
• Contracten herzien: Controleer de eIDAS 2.0-routekaart van uw QES-provider en werk serviceovereenkomsten bij.
• Uitvoeringshandelingen volgen: Blijf op de hoogte van technische specificaties gepubliceerd door de Europese Commissie

Voor QES-aanbieders (QTSP’s)

Gekwalificeerde aanbieders van vertrouwensdiensten staan voor zowel uitdagingen als kansen:

• Coëxistentie met EUDIW: Aanbieders zullen naast overheidsportemonnees opereren en zich richten op diensten met toegevoegde waarde, zoals workflowautomatisering, ondertekening in bulk, API-integratie en ondersteuning van meerdere methoden.
• Strengere compliance-eisen: Strengere conformiteitsbeoordelingen en doorlopend toezicht vereisen meer investeringen in beveiliging en kwaliteitsbeheer.
• Nieuwe servicemogelijkheden: Uitgebreide vertrouwensdiensten (archivering, grootboeken, beheer van handtekeningen op afstand) creëren extra inkomstenstromen
• Interoperabiliteitsnormen: Moet ervoor zorgen dat handtekeningen naadloos samenwerken met EUDIW en andere providers

Voor HR-afdelingen

HR-teams zullen aanzienlijke verbeteringen in de workflow ervaren:

Voor particulieren

EU-burgers krijgen een ongekende controle over hun digitale identiteit:

• Universele toegang tot QES: U hoeft geen aanbieders te onderzoeken, opties te vergelijken of setupkosten te betalen – uw overheid zorgt voor de portemonnee
• Privacy door ontwerp: Alleen noodzakelijke informatie delen (bewijzen dat je ouder bent dan 18 zonder je exacte geboortedatum te onthullen)
• Eén app voor alles: Identiteitsverificatie, ondertekening van documenten, opslag van referenties en toegang tot services in één interface
• Minder afhankelijkheid van privéplatforms: Door de overheid uitgegeven identiteit vermindert afhankelijkheid van inlogsystemen van techbedrijven

Zorgen en open vragen

Ondanks de belofte wordt eIDAS 2.0 geconfronteerd met kritiek en onopgeloste uitdagingen:

Zorgen over gegevensbescherming

Privacyvoorvechters hebben hun bezorgdheid geuit over EUDIW:

• Potentieel voor toezicht: Gecentraliseerde identiteitssystemen kunnen het mogelijk maken om activiteiten van burgers te volgen als ze verkeerd ontworpen zijn.
• Onduidelijke gegevensbewaring: Hoe lang kunnen gegevens in digitale portemonnees blijven? Wat gebeurt er met gearchiveerde identiteitsgegevens?
• Geen expliciete garanties tegen misbruik: Critici beweren dat de verordening geen krachtig verbod bevat op het gebruik van portemonneegegevens voor reclame of profilering.

Beveiligingseisen

IT-beveiligingsdeskundigen merken op dat eIDAS 2.0 geen specifieke beveiligingsnormen voor portemonnee-implementaties definieert – deze zullen komen via uitvoeringshandelingen. Totdat er technische specificaties zijn gepubliceerd, blijven er vragen over:

• Cryptografische algoritmen vereist voor gekwalificeerde handtekeningen in portemonnees
• Bescherming tegen malware op smartphones voor consumenten
• Herstelmechanismen als de toegang tot de portemonnee verloren gaat
• Voorkomen van klonen of onbevoegd extraheren van sleutels

Consistente implementatie

Het oorspronkelijke eIDAS had te lijden onder een inconsistente interpretatie in de lidstaten. Hoewel eIDAS 2.0 dit wil aanpakken door middel van meer gedetailleerde technische specificaties, blijft het een uitdaging om echte harmonisatie te bereiken in 27 landen.

Acceptatievereisten voor de particuliere sector

Hoewel grote online platforms EUDIW moeten accepteren, specificeert de verordening geen technische integratiedetails. Er blijven vragen over:

• Kosten en complexiteit van integratie voor bedrijven
• Aansprakelijkheid bij het accepteren van portemonneegegevens
• Verificatieprocessen voor geldigheid handtekening
• Terugvalmechanismen als portemonneesystemen niet beschikbaar zijn

Vergelijking: eIDAS 1.0 vs. eIDAS 2.0

Inzicht in wat er is veranderd, helpt bedrijven bij het plannen van hun overgang:

Voorbereiden op eIDAS 2.0: Praktische stappen

Bedrijven moeten nu beginnen met de voorbereiding, ook al duurt de volledige implementatie nog 18-24 maanden:

Onmiddellijke acties (2024-2025)

1. Beoordeel het huidige gebruik van QES: Documenteren welke processen gekwalificeerde handtekeningen gebruiken, belanghebbenden identificeren en workflows in kaart brengen
2. Controleer of de leverancier voldoet: Controleer of uw QES-provider klaar is voor eIDAS 2.0 en op welke termijn hij EUDIW-handtekeningen gaat ondersteunen.
3. Systeemarchitectuur beoordelen: Zorg ervoor dat systemen voor documentbeheer en handtekeningverificatie meerdere QES-bronnen kunnen verwerken (traditionele QTSP’s en EUDIW).
4. Houd technische standaarden in de gaten: Let op de uitvoeringsbesluiten die door de Europese Commissie worden gepubliceerd, met name portefeuillespecificaties.
5. Budget voor updates: Wijs middelen toe voor systeemaanpassingen, personeelstraining en mogelijke integratiewerkzaamheden

Tijdens uitrol (2025-2026)

1. EUDIW-acceptatie testen: Test handtekeningen op portemonneebasis in niet-kritieke processen zodra uw lidstaat EUDIW lanceert
2. Documentatie bijwerken: Ondertekenprocedures, gebruikershandleidingen en materialen met veelgestelde vragen herzien om de dubbele methoden weer te geven
3. Personeel trainen: Ervoor zorgen dat teams zowel de traditionele QES als de op EUDIW gebaseerde handtekeningen begrijpen.
4. Communiceer met belanghebbenden: Informeer klanten, partners en medewerkers over nieuwe ondertekenopties
5. Verificatieprocessen testen: Valideer dat uw systemen handtekeningen van beide bronnen correct verifiëren

Na implementatie (2027+)

1. Adoptiepercentages bewaken: Volg aan welke ondertekeningsmethoden stakeholders de voorkeur geven en optimaliseer de workflows dienovereenkomstig
2. Evaluatie van de leveranciersstrategie: Beoordelen of voortzetting van het gebruik van traditionele QTSP’s waarde toevoegt of dat EUDIW in de meeste behoeften voorziet.
3. Maak gebruik van nieuwe vertrouwensdiensten: Verken gekwalificeerde archivering, grootboeken en handtekeningbeheer op afstand voor extra voordelen op het gebied van compliance
4. Kostenstructuur herzien: Vergelijk uitgaven onder nieuw ecosysteem en pas inkoopstrategieën aan

Belangrijkste opmerkingen

• eIDAS 2.0 is nu wet: Verordening (EU) 2024/1183 is op 20 mei 2024 in werking getreden en vormt het wettelijke kader voor Europese digitale identiteitsportemonnees en verbeterde vertrouwensdiensten in de hele EU.
• EUDIW verandert de toegankelijkheid van QES: Tegen 2026 zullen alle EU-burgers toegang hebben tot door de overheid uitgegeven digitale identiteitsportefeuilles waarmee gekwalificeerde elektronische handtekeningen rechtstreeks vanaf smartphones kunnen worden aangemaakt – zonder externe apps of hardware.
• Verplichte acceptatie creëert interoperabiliteit: Grote online platforms moeten EUDIW accepteren voor identiteitsverificatie en alle lidstaten moeten portemonnees uitgeven aan burgers die daarom vragen, zodat ze universeel beschikbaar en grensoverschrijdend functioneel zijn.
• Bestaande QES-methoden blijven geldig: Gekwalificeerde aanbieders van vertrouwensdiensten en huidige handtekeningmethoden blijven naast EUDIW werken tijdens de overgangsperiode en daarna, waardoor bedrijven meerdere opties hebben om aan de eisen te voldoen.
• De voorbereiding moet nu beginnen: Ook al duurt de volledige implementatie nog 18-24 maanden, toch moeten bedrijven hun huidige systemen beoordelen, controleren of de leverancier voldoet en plannen maken voor het accepteren van handtekeningen van zowel traditionele QTSP’s als EUDIW-bronnen.
• Verbeterde beveiliging en nieuwe diensten: eIDAS 2.0 introduceert strengere conformiteitseisen voor gekwalificeerde vertrouwensdiensten en breidt de dekking uit met elektronische archivering, grootboeken en beheer van handtekeningen op afstand.

Veelgestelde vragen

Wanneer zal eIDAS 2.0 eIDAS 1.0 volledig vervangen?

eIDAS 2.0 vervangt de oorspronkelijke verordening niet, maar wijzigt deze. Verordening (EU) 2024/1183 is op 20 mei 2024 in werking getreden, maar de tenuitvoerlegging is gefaseerd. De invoering van EUDIW zou in 2025 moeten beginnen en de universele beschikbaarheid zou in 2026 een feit moeten zijn. Veel bepalingen zullen tijdens een meerjarige overgang naast bestaande systemen bestaan.

Werkt mijn huidige QES-provider nog steeds na eIDAS 2.0?

Ja. Gekwalificeerde leveranciers van vertrouwensdiensten zoals die worden aangeboden via QES-Sign (itsme, Evrotrust, Adacom) blijven actief en blijven volledig aan de eisen voldoen. eIDAS 2.0 voegt EUDIW toe als een extra QES-methode, maar ontkracht bestaande benaderingen niet. Veel bedrijven zullen beide systemen gebruiken tijdens de overgang en mogelijk ook daarna.

Moet ik wachten tot EUDIW gekwalificeerde handtekeningen gebruikt?

Absoluut niet. Blijf gekwalificeerde elektronische handtekeningen gebruiken via de huidige leveranciers. EUDIW zal pas in 2026 op grote schaal beschikbaar zijn en bedrijven hebben nu al QES-oplossingen nodig. Platforms die pay-per-use QES aanbieden (zoals QES-Sign, vanaf €5 per handtekening) bieden onmiddellijke toegang zonder abonnementen of langetermijnverplichtingen.

Hoeveel gaat de Europese portemonnee voor digitale identiteit kosten?

EUDIW zal door de lidstaten gratis aan burgers worden verstrekt. Dit wordt expliciet vermeld in eIDAS 2.0. Burgers die een digitale identiteitsportefeuille aanvragen, hoeven geen kosten te betalen voor de portefeuille zelf, hoewel specifieke diensten die via de portefeuille toegankelijk zijn, kosten met zich mee kunnen brengen die door dienstverleners worden bepaald.

Wat als iemand geen digitale identiteitsportemonnee wil?

EUDIW is vrijwillig voor burgers – niemand wordt gedwongen om een digitale identiteitsportefeuille aan te vragen of te gebruiken. Traditionele identificatiemethoden (fysieke identiteitskaarten, paspoorten) blijven geldig. Bedrijven en platforms kunnen echter steeds vaker de voorkeur geven aan of vragen om digitale identiteitsverificatie voor online diensten, waardoor EUDIW zeer nuttig wordt, ook al is het niet verplicht.

Werkt EUDIW ook in niet-EU-landen?

EUDIW is primair ontworpen voor gebruik binnen de EU, EER en mogelijk landen met gelijkwaardigheidsovereenkomsten. Voor echt wereldwijde operaties die QES vereisen in landen als de Verenigde Staten, China, Brazilië of Australië, moeten bedrijven QTSP’s blijven gebruiken met een brede geografische dekking, zoals Adacom (68 landen) of Evrotrust (58 landen).

Hoe veilig is het om QES te maken op een smartphone?

EUDIW zal gebruik maken van beveiligde enclaves voor smartphones (zoals iOS Secure Enclave of Android StrongBox) om privé ondertekeningssleutels te beschermen, in combinatie met biometrische authenticatie. Deze op hardware gebaseerde beveiligingsfuncties voldoen aan de QSCD-vereisten onder eIDAS. Technische specificaties gepubliceerd via uitvoeringsbesluiten zullen de exacte beveiligingsstandaarden voor portemonnee-implementaties definiëren.

Kunnen bedrijven hun eigen digitale identiteitsportefeuilles maken?

Nee. Alleen lidstaten kunnen Europese digitale identiteitsportefeuilles onder eIDAS 2.0 uitgeven. Privébedrijven kunnen de portemonneesoftware ontwikkelen (lidstaten kunnen de ontwikkeling uitbesteden), maar de uitgifte, certificering en het toezicht blijven verantwoordelijkheden van de overheid. Dit zorgt voor vertrouwen, veiligheid en grensoverschrijdende interoperabiliteit.

Conclusie

eIDAS 2.0 vertegenwoordigt de belangrijkste evolutie in Europese digitale identiteits- en vertrouwensdiensten sinds de oorspronkelijke verordening in 2016 werd gelanceerd. De introductie van Europese digitale identiteitsportefeuilles zal gekwalificeerde elektronische handtekeningen omvormen van een gespecialiseerde zakelijke tool tot een alomtegenwoordige mogelijkheid die toegankelijk is voor elke EU-burger via hun smartphone.

Voor bedrijven die momenteel QES gebruiken, biedt deze evolutie enorme kansen: bredere acceptatie onder partners en klanten, vereenvoudigde onboardingprocessen, minder wrijving bij grensoverschrijdende transacties en verbeterde beveiliging door geharmoniseerde standaarden. In de overgangsperiode tussen 2025 en 2027 zullen zowel de traditionele QTSP-gebaseerde methoden als de nieuwe EUDIW-handtekeningen tegelijkertijd worden gebruikt, wat organisaties flexibiliteit geeft in de manier waarop ze zich aanpassen.

De sleutel tot succes is voorbereiding. Als u de tijdlijn begrijpt, uw huidige systemen beoordeelt, controleert of de leverancier voldoet aan de regels en plannen maakt voor de acceptatie van twee methoden, zal uw organisatie de voordelen van eIDAS 2.0 kunnen benutten terwijl de QES-mogelijkheden tijdens de overgang ononderbroken blijven.

Hoewel er nog uitdagingen zijn – vooral op het gebied van privacywaarborgen, beveiligingsspecificaties en consistente implementatie in de lidstaten – is het fundamentele doel van eIDAS 2.0 duidelijk: het creëren van een echt eengemaakte digitale interne markt waar elektronische identiteiten en gekwalificeerde handtekeningen naadloos werken over grenzen, platforms en gebruikssituaties heen.

Of u nu een HR-manager bent die arbeidscontracten ondertekent, een advocaat die juridische documenten uitvoert of een bedrijfseigenaar die onderhandelt over internationale overeenkomsten, eIDAS 2.0 maakt gekwalificeerde elektronische handtekeningen toegankelijker, veiliger en meer geïntegreerd in het dagelijkse Europese digitale leven.