Het opbouwen van vertrouwen in de online omgeving is de sleutel tot economische en sociale ontwikkeling. Gebrek aan vertrouwen, met name door een vermeend gebrek aan rechtszekerheid, doet consumenten, bedrijven en overheden aarzelen om elektronisch transacties uit te voeren en nieuwe diensten aan te nemen.
eIDAS werd opgezet om de regelgeving in de EU inzake elektronische handtekeningen samenhangender te maken en zo het vertrouwen te vergroten.
Wat is eIDAS?
eIDAS probeert het vertrouwen in elektronische transacties op de interne markt van de EU te vergroten door een gemeenschappelijke basis te bieden voor veilige elektronische interactie tussen burgers, bedrijven en overheden over de grenzen heen, om zo de doeltreffendheid van openbare en particuliere online diensten, elektronisch zakendoen en elektronische handel in de EU te vergroten.
De verordening zal in de plaats komen van de huidige richtlijn inzake e-handtekeningen en alle huidige inconsistenties in de wetgeving inzake digitale handtekeningen in Europa. Ze werd in juli 2014 door de Raad Algemene Zaken aangenomen en de verordeningen voor vertrouwensdiensten zijn op 1 juli 2016 in werking getreden. De verplichte wederzijdse erkenning van elektronische identiteiten (eID's) is vanaf 2018 van toepassing.
eIDAS omvat authenticatie, handtekeningzegels, aangetekende zendingen en tijdstempels.
Wat zijn de voordelen van eIDAS?
De richtlijn inzake e-handtekeningen (Richtlijn 1999/93/EG) bestaat al 15 jaar en bevat geen specifieke verplichtingen voor het nationale toezicht op dienstverleners. Ze houdt ook geen rekening met nieuwe technologieën die sinds de invoering ervan zijn ontwikkeld. eIDAS zal een nieuwe laag toevoegen aan de regelgeving inzake digitale handtekeningen en heeft tot doel:
- Grensoverschrijdende elektronische transacties veiliger en betrouwbaarder maken
- Transparantie en standaardisering op de markt mogelijk maken
- Zorgen voor verantwoording
- Burgers die naar nieuwe lidstaten verhuizen de mogelijkheid bieden om het papierwerk te verminderen door online administratie
- De administratieve rompslomp voor bedrijven verminderen, zodat de algemene kosten kunnen worden verminderd en de winst verhoogd.
- De flexibiliteit en het gemak van overheidsdiensten vergroten.
Voor wie is eIDAS bedoeld?
Iedere persoon of ieder bedrijf dat in de EU actief is en elektronische handtekeningen gebruikt voor identiteitscontrole en elektronische transacties, moet ervoor zorgen dat deze regels worden nageleefd.
Soorten e-handtekeningen zoals gedefinieerd door eIDAS – gekwalificeerde vs. geavanceerde vs. elektronische zegels
De eIDAS-verordening bevat definities voor geavanceerde elektronische handtekeningen en gekwalificeerde elektronische handtekeningen. Deze zijn vastgesteld om consistentie te bieden in alle lidstaten van de EU in de manier waarop documenten worden ondertekend.
Zowel geavanceerde als gekwalificeerde elektronische handtekeningen bewijzen de identiteit van de ondertekenaar en zijn het equivalent van een handtekening in inkt. Het belangrijkste verschil is de aanvaarding door andere EU-lidstaten (d.w.z. Andere staten dan die waar de vertrouwensleverancier vandaan komt). Geavanceerde elektronische handtekeningen kunnen door andere lidstaten worden aanvaard, maar gekwalificeerde elektronische handtekeningen moeten worden aanvaard. Het is ook belangrijk op te merken dat een geavanceerde elektronische handtekening geen rechtsgevolgen en geen toelaatbaarheid in gerechtelijke procedures mag worden ontzegd louter op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet.
Ten slotte introduceert eIDAS ook de erkenning van elektronische zegels die op handtekeningen lijken, maar alleen betrekking hebben op rechtspersonen en vennootschappen. Hiermee kunnen organisaties als afdeling documenten ondertekenen in plaats van een geautoriseerde ondertekenaar te moeten gebruiken.
Er wordt verwacht dat tijdstempels worden gebruikt voor alle elektronische handtekeningen om de tijd te verifiëren die aan de ondertekening is gekoppeld.
Betrouwbaarheidsniveaus
In artikel 8 van de nieuwe verordening worden drie niveaus van zekerheid vastgesteld voor identificatiesystemen die recht evenredig zijn met hun juridische waarde: laag, substantieel en hoog. Ongeacht het betrouwbaarheidsniveau worden staten die een identiteitsregeling hebben aangemeld aansprakelijk voor deze regeling, de registratie van gegevensbeheerders en de in de aangemelde regeling opgenomen aanbieders van identiteits- en authenticatiesystemen.
Helaas is de taal in eIDAS enigszins vaag en onbehulpzaam als het gaat om het uitleggen van deze stellingen:
“Het betrouwbaarheidsniveau laag betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een beperkte mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen” (Bron)
U kunt echter zien hoe bestaande handtekeningreferenties in deze trapsgewijze benadering passen. Een voorbeeld:
- Lage betrouwbaarheid geeft een beperkt vertrouwen in de identiteit van de ondertekenaar, dus dit type referentie kan alleen maar het eigendom van een e-mailadres aantonen.
- Substantiële betrouwbaarheid biedt een beperkte mate van vertrouwen in de geclaimde identiteit van een ondertekenaar, dus om dit betrouwbaarheidsniveau te bereiken moet u wellicht het eigendom van een e-mailadres en de identiteit van de ondertekenaar bewijzen.
- Hoge betrouwbaarheid biedt een hoge mate van vertrouwen in de geclaimde identiteit van een persoon. Naast het bewijzen van de identiteit van de persoon, kunnen referenties met een hoge betrouwbaarheid ook de organisatie omvatten die de persoon vertegenwoordigt.
eIDAS-voorschriften voor leveranciers van vertrouwensdiensten
Om aan de eIDAS-kwalificaties te voldoen, moeten elektronische handtekeningen worden aangemaakt met een digitaal certificaat dat gekocht is bij een ‘leverancier van vertrouwensdiensten’, zoals een certificeringsinstantie (CA). Het is de verantwoordelijkheid van de leverancier van de vertrouwensdienst om de richtlijnen van eIDAS te volgen, waaronder:
- De identiteit verifiëren van de attributen van de persoon aan wie het certificaat zal worden afgegeven.
- Door de persoon fysiek aanwezig te laten zijn (voor een lage betrouwbaarheid kan dit een elektronische aanwezigheid zijn).
- Een toezichthoudend orgaan op de hoogte brengen van alle wijzigingen in de levering van zijn vertrouwensdiensten en van elke intentie om certificaten in te trekken.
- Medewerkers trainen in best practices op het gebied van gegevens en beveiliging.
- In staat zijn om gegevens en certificaten met de grootst mogelijke veiligheid en met de hoogste vormen van vertrouwen op te slaan en maatregelen te nemen om vervalsing of diefstal te voorkomen.
- Gegevens op certificaten gedurende een passende periode bewaren, zelfs nadat een certificaat is ingetrokken. Dit wordt aanbevolen in een certificaatdatabase waar wijzigingen zoals intrekking kunnen worden geregistreerd.
Overzicht
De eIDAS-regelgeving is vaag geformuleerd omdat ze niet kan worden gebruikt voor een bepaald type technologie of validatieproces. De definities zijn dan ook voor interpretatie vatbaar. Maar wat we uit de verordening kunnen afleiden, is dat een rechtbank of overheidsinstantie zal moeten zien dat een elektronische handtekening cryptografisch ondertekend is met een certificaat dat is uitgegeven door een leverancier van vertrouwensdiensten en voorzien is van een tijdstempel om manipulatie te voorkomen.
