Paperless transactions: How to get the best from the EU regulation

Elektronische transacties: Haal het beste uit de Europese verordening

25/06/2019

Dankzij de Europese eIDAS-verordening kunnen grote bedrijven, KMO’s en particulieren voortaan grensoverschrijdende elektronische transacties uitvoeren, in een volledig wettelijk kader. Hiervoor kan beroep gedaan worden op een gekwalificeerde vertrouwensdienstverlener (Qualified Trust Service Provider of QTSP) die borg staat voor een optimale beveiliging van deze transacties. 

 

De eIDAS-verordening biedt een regelgevend kader voor zowel burgers als organisaties die gebruik maken van elektronische vertrouwensdiensten, zoals elektronische handtekeningen of zegels, tijdstempels, diensten voor aangetekende verzendingen en certificaten voor authenticatie van websites. Ze bepaalt aan welke normen de producten en oplossingen, die deze diensten aanbieden, moeten voldoen. Het hoofddoel van deze regelgeving is om een gemeenschappelijke basis te creëren voor veilige elektronische transacties tussen burgers, organisaties en overheidsinstanties.

 

Geen papier? Geen probleem.

 

Dankzij eIDAS moet zuiver elektronisch bewijsmateriaal voortaan aanvaard worden. Rechtbanken met name mogen de rechtsgeldigheid en toelaatbaarheid van elektronische documenten als bewijsmateriaal in gerechtelijke procedures niet meer weigeren louter en alleen op grond van hun elektronische vorm.

Dit betekent dat een particulier of een organisatie die een transactie wil uitvoeren langs elektronische weg, bijvoorbeeld om zich in te schrijven als student bij een buitenlandse universiteit of om in te tekenen op een aanbesteding, dit rechtsgeldig kan doen vanuit alle EU-landen. Om de transactie te beveiligen, kan hiervoor beroep gedaan worden op een vertrouwensdienst, zoals een dienst voor elektronische handtekeningen of tijdstempels.

De eIDAS-verordening bespaart niet alleen tijd en kosten doordat papier overbodig wordt, maar garandeert ook grensoverschrijdende erkenning van de nationale elektronische identiteitsbewijzen en van de vertrouwensdiensten die ten grondslag liggen aan de elektronische transacties. Dit kader beveiligt en faciliteert de transacties en bevordert de interoperabiliteit van systemen in de hele EU. hello hello 

 

Vertrouwensdiensten waar u op kunt vertrouwen

 

De potentiële voordelen van de eIDAS-verordening zijn dus verreikend. Maar de elektronische vertrouwensdiensten die papierloze transacties mogelijk maken, kunnen alleen soepel en veilig werken als ze worden opgezet en beheerd door het juiste type provider, bij voorkeur een gekwalificeerde vertrouwensdienstverlener (QTSP).

Er zijn twee soorten vertrouwensdiensten: algemeen en gekwalificeerd. Het verschil tussen gekwalificeerde en niet-gekwalificeerde dienstverleners komt neer op welk van beide ze kunnen aanbieden. Een niet-gekwalificeerde dienstverlener mag zich alleen bezighouden met algemene vertrouwensdiensten, waarvoor niet hetzelfde niveau van juridische erkenning vereist wordt als voor het gekwalificeerde equivalent ervan. Maar ook deze dienstverleners moeten voldoen aan eisen op het gebied van toegankelijkheid, bescherming van persoonsgegevens, risico- en beveiligingsbeheer. Ze zijn evenzo aansprakelijk voor eventuele schade die opzettelijk of door nalatigheid wordt berokkend aan personen of organisaties als gevolg van het niet naleven van de eIDAS-verplichtingen.

Gekwalificeerde vertrouwensdiensten vereisen het hoogste vertrouwensniveau, en dit is waar u een QTSP moet inschakelen. Om een QTSP te vinden, let u op het 'EU-keurmerk voor gekwalificeerde vertrouwensdiensten'. Dit onderscheidende logo, dat bovenop de onderstaande piramide is weergegeven, is het EU-vertrouwensmerk dat garant staat voor kwaliteit en betrouwbaarheid bij gekwalificeerde vertrouwensdiensten. Het is niet zomaar een 'kwaliteitsmerk' zonder goede onderbouwing. Zoals het piramidediagram laat zien, legt de eIDAS-verordening een consistente verzameling kwaliteits- en beveiligingseisen op aan QTSP's en de diensten die zij verlenen. Deze eisen zijn erop gericht het vertrouwen van consumenten en bedrijven (met name de KMO’s) in de elektronische markt te versterken en het gebruik van gekwalificeerde vertrouwensdiensten en producten te bevorderen.

 

Trust services you can trust

 

Vertrouwen door rigoureuze controle

 

Volgens de toezichtregeling moeten alle QTSP's en hun gekwalificeerde vertrouwensdiensten elke twee jaar een conformiteitsbeoordeling ondergaan door een geaccrediteerde auditor, waarbij wordt gecontroleerd of ze voldoen aan de eisen van de eIDAS-verordening. Nationale toezichthoudende organen bepalen of vertrouwensdienstverleners en hun vertrouwensdiensten een gekwalificeerde status krijgen, behouden of kwijtraken. Deze beslissingen worden gepubliceerd in elektronisch ondertekende of verzegelde nationale vertrouwenslijsten, die geautomatiseerd verwerkt kunnen worden.

De vertrouwenspiramide voor gekwalificeerde vertrouwensdiensten die door de eIDAS-verordening wordt opgebouwd, berust mede op de toepassing van best practices en standaarden. Om uniforme voorwaarden voor de uitvoering van de verordening te waarborgen, heeft de Europese Commissie de bevoegdheid om implementatiespecificaties te definiëren en referentienummers toe te kennen aan deze standaarden. Het gebruik van deze referentienummers weerspiegelt de conformiteit aan de standaarden.

 

Het leven van QTSP-klanten wordt gemakkelijker

 

Hoewel degenen die een QTSP gebruiken om gekwalificeerde vertrouwensdiensten op te zetten verplicht zijn om bepaalde procedures te volgen (zoals een beveiligde registratie van de diensten), hoeven zij dit meestal maar één keer te doen. Sommige procedures kunnen zelfs geheel door de QTSP worden uitgevoerd.

Vanuit het perspectief van de klant is het dus vrij eenvoudig een QTSP in te schakelen voor het opzetten en beheren van gekwalificeerde diensten, vooral ook omdat de bewijslast in het geval van schade bij de QTSP berust. Bovendien is de juridische waarde van gekwalificeerde vertrouwensdiensten heel duidelijk, en dankzij eIDAS-tools zoals het vertrouwensmerk en de automatisch verwerkbare vertrouwenslijsten, kunnen deze vertrouwensdiensten automatisch herkend worden door standaard applicaties.

 

Nieuwe technologie, meer voordelen

 

Het gebruik van standaarden in de eIDAS-verordening maken het niet alleen eenvoudiger om een consistent vertrouwensniveau te bieden, maar ook om interoperabele en kant-en-klare oplossingen te ontwikkelen voor verschillende aspecten van elektronische vertrouwensdiensten. Er kunnen ook nieuwe oplossingen worden ontwikkeld om de dienstverlening te verbeteren, zelfs als hiervoor nog geen nieuwe standaard beschikbaar is, zo lang ze maar voldoen aan de eIDAS-eisen.

De eIDAS-verordening is inmiddels alweer enkele jaren van kracht en het lijkt erop dat de markt zelfregulerend is. De Europese Commissie stelt maar heel weinig nieuwe standaarden op. Auditors, beroepsorganisaties zoals het CA/Browser Forum en ondernemingen zoals Adobe hebben zelf bepaald aan de hand van welke standaarden ze QTSP's willen laten auditen.

Een gevolg van deze flexibele toepassing van de standaarden is dat er steeds meer interoperabele oplossingen komen die personen en organisaties aan weerszijden van een elektronische transactie helpen om op een open en betrouwbare manier te communiceren. Bijvoorbeeld: een gekwalificeerde elektronische handtekening van de ene persoon, gemaakt door een vertrouwensdienstverlener voor het creëren van handtekeningen in het ene land, kan door iemand anders in een ander land eenvoudig worden geverifieerd door middel van een applicatie op de laptop. Het is niet nodig dat beide personen dezelfde applicatie of provider gebruiken. Een ander voorbeeld is het verzenden en ontvangen van elektronisch aangetekende verzendingen, zonder dat de afzender en de ontvanger klanten van dezelfde dienstverlener hoeven te zijn.

De applicaties kunnen elkaar niet alleen verstaan doordat ze dezelfde gestandaardiseerde 'taal' spreken, maar ze kunnen dankzij de eerder genoemde nationale vertrouwenslijsten ook aan hun gebruikers laten weten of de output van een vertrouwensdienst al dan niet gekwalificeerd is. De QTSP-status is van cruciaal belang bij papierloze transacties. Gelukkig heeft de verordening die deze status in het leven geroepen heeft, ook de ontwikkeling bevorderd van een technologie waarmee de status gemakkelijk kan worden geverifieerd.

 

Sylvie smallSylvie Lacroix, CISA (Certified Information Systems Auditor) is Managing Director van SEALED. Zij beschikt over meer dan 20 jaar ervaring als eSecurity-consultant. Met een masters degree van de Polytechnische Faculteit van de KU Leuven als technische achtergrond is Sylvie haar loopbaan begonnen als onderzoeker in cryptografie aan dezelfde universiteit. Ze heeft ruime ervaring opgedaan met zakelijke toepassingen van cybersecurity, cryptografie en PKI-systemen. Sylvie heeft meegewerkt aan de implementatie van grootschalige projecten in Europa en daarbuiten, zoals nationale eID-kaarten en elektronische paspoorten. Sylvie is als expert opgetreden voor meerdere Europese studies naar elektronische handtekeningen, die als belangrijke mijlpalen hebben gediend op weg naar de formulering van de eIDAS-verordening. Ze heeft gewerkt voor meerdere prestigieuze organisaties, zoals Europese overheden, de Europese Commissie en diverse grote ondernemingen, alsmede voor CEN en ETSI, de twee belangrijkste Europese normalisatie-instellingen. Sylvie geeft leiding aan de ETSI Special Task Force voor validatie van handtekeningen (STF 524) en ze is editor van cybersecurity-beleidsrichtlijnen voor TSP's.

Meer weten ?

Vind ons op LinkedIn