eIDAS-conformiteit voor KMO's: volledige checklist 2026

De Europese verordening eIDAS (EU nr. 910/2014, binnenkort aangepast door eIDAS 2.0) regelt elektronische handtekeningen in de hele Europese Unie. Voor een KMO is conformiteit niet zomaar iets wat u afvinkt: het garandeert dat uw contracten bindend zijn, dat uw handtekeningsgegevens beschermd zijn, en dat u zich beschermt tegen juridische risico's die duur kunnen uitvallen. Hier is de checklist 2026 in 12 concrete punten om te verifiëren dat uw KMO volledig eIDAS-conform is.

Punt 1: kies het juiste handtekeningniveau

Eerste reflex: maak een overzicht van uw contracttypen en koppel een doelniveau. Standaard commerciële contracten (offertes, inkooporders, eenvoudige NDA's): SES is voldoende. Arbeidsovereenkomsten, huurcontracten, gevoelige NDA's, strategische akkoorden: minimaal AES, bij voorkeur met OTP-sms. Gereglementeerde akten (advocaat, notaris, openbare aanbesteding boven een bepaalde drempel): QES is verplicht. Zonder deze mapping riskeert u ondermaatse formaten (geweigerd contract) of overdimensionering (overmatige kosten).

Punt 2: verifieer de kwalificatie van de dienstverlener

Uw dienstverlener moet een vertrouwde dienstverlener (QTSP) zijn of zich steunen op een QTSP voor de niveaus AES/QES. Raadpleeg de Trust Services List gepubliceerd door de ANSSI (eidas.ssi.gouv.fr) en de Europese Trusted List (webgate.ec.europa.eu/tl-browser). Referentie-QTSP's in Frankrijk: Certigna, Docaposte, Certinomis, Universign. Voor SES/AES via platform (Certyneo, Yousign, enz.), controleer hun eIDAS-conformiteit expliciet gedocumenteerd.

Punt 3: test het auditspoor

Onderteken een testvakje en haal het auditspoor op (meestal een apart PDF). Het moet bevatten: identiteit en e-mailadres van de ondertekenaar, tijdstempel van elke stap (verzending, opening, validatie, handtekening), IP-adres, user agent, hash van het document, OTP-validatie indien AES. Ontbreekt een van deze elementen, dan is de bewijswaarde zwak. Certyneo verstrekt het volledige auditspoor zelfs in het gratis plan.

Punt 4: controleer de tijdsaanduiding

De tijdsaanduiding moet zijn uitgegeven door een Time Stamp Authority (TSA) die conform RFC 3161 is. Een tijdsaanduiding die eenvoudig afkomstig is van een NTP-server van het bedrijf is niet voldoende. Open het ondertekende PDF in Adobe Reader: tabblad Handtekeningen → Details → Tijdsaanduiding. U moet daar een geldig TSA-certificaat en een gecertificeerd klok zien. Heeft het PDF geen gecertificeerde tijdsaanduiding, kies dan een andere dienstverlener.

Punt 5: archiveer minimaal 10 jaar

De Handelscodex (artikel L. 123-22) verplicht tot bewaring van 10 jaar voor handelsdocumenten. De Arbeidswet verplicht tot 5 jaar voor arbeidsovereenkomsten na beëindiging. De archivering moet integriteit waarborgen (hash, verzegeling) en toegang bieden. Ideaal: PDF/A-indeling (ISO 19005), dubbele opslag (primair + back-up off-site), gekwalificeerde elektronische kluis (CFE) voor maximale zekerheid. Certyneo archiveert standaard 10 jaar en biedt export naar partnerkluizen.

Punt 6: controleer de gegevenslocatie

Waar zijn uw handtekeningsgegevens gehost? Voor een Franse KMO met gevoelige contracten: geef de voorkeur aan hosting in Frankrijk of de EU. Vraag uw dienstverlener om de lijst met subcontractanten en hun locatie (artikel 28 AVG). Vermijd oplossingen onderworpen aan de Amerikaanse Cloud Act voor strategische contracten. Certyneo is gehost in Frankrijk, zonder afhankelijkheid van de Cloud Act. Zie ons artikel over /blog/cloud-act-signature-electronique.

Punt 7: combineer met AVG

Handtekening en AVG hangen nauw samen: elk vakje bevat persoonsgegevens (naam, e-mail, IP, telefoonnummer). Zorg ervoor dat uw verwerkingsregister (art. 30 AVG) elektronische handtekeningen bevat, dat bewaartermijnen consistent zijn (10 jaar), en dat persoonsrechten uitvoerbaar zijn (inzage, rectificatie, portabiliteit). Vraagt u veel handtekeningen, een DPO is aanbevolen. Zie ons artikel /blog/signature-electronique-rgpd.

Punt 8: identificeer ondertekenaars vooraf

Voor een solide AES begint identificatie niet bij handtekening: deze begint bij gegevensverzameling. Verifieer e-mailadressen (geen aliassen, geen mailinglijsten), telefoonnummers (geen gedeelde lijn), en bewaar sporen van identificatiebron (legitimatiebewijs voor zware contracten, bestaande KYC-klant voor doorlopende contracten). Deze voorzorgsmaatregel maakt het bewijs sterker in geval van geschil.

Punt 9: train uw teams

Uw commerciële, HR- en juridische teams moeten de regels begrijpen: nooit een ondertekenaar dwingen via een derde apparaat, nooit een gewijzigd ondertekend PDF retourneren, nooit een gescande handtekeningafbeelding plakken in plaats van een echte handtekening. Een uur training per team volstaat om goede gewoonten in te slijpen. Certyneo levert een compleet gids om intern te delen (/ressources).

Punt 10: controleer contracten van dienstverleners

De Algemene Voorwaarden van de handtekeningsdienstverlener moeten: eIDAS-conformiteit garanderen, archiveringsduurtes specificeren, een RGPD-subcontractingovereenkomst opnemen (art. 28), subcontractanten documenteren, een reversibiliteitsplan voorzien in geval van beëindiging. Vraag ook om SOC 2 Type II of equivalent als u aanzienlijke hoeveelheden verwerkt. Voor Certyneo zijn deze documenten beschikbaar op /legal en /security.

Punt 11: bereid eIDAS 2.0 en EUDI Wallet voor

De verordening eIDAS 2.0 (EU 2024/1183) treedt geleidelijk in werking en verplicht lidstaten om vóór eind 2026 een EUDI Wallet in te voeren. Dit digitale identiteitsbureau biedt onder meer toegang tot QES op afstand zonder fysieke registratiebureau. Bereid uw KMO voor: controleer of uw dienstverlener een EUDI Wallet-routekaart heeft, volg mededelingen van de ANSSI en de Europese Commissie. Zie /blog/eidas-2-nouveau-reglement-2026.

Punt 12: jaarlijkse audit

Conformiteit is niet een verworven status: het is een doorlopend proces. Plan jaarlijks een audit in (intern of extern) voor controle: regelgeving wijzigingen, dienstverlenerevoluties, up-to-date contracttypecatalogus, werkelijke bewaring, training nieuwe medewerkers. Een lichte audit kost een half dagdeel voor een KMO en voorkomt veel verrassingen. Begin met het aanmaken van een gratis Certyneo-account op certyneo.com/signup om de praktische conformiteit te testen, en raadpleeg vervolgens onze eIDAS-gids voor verdieping (/guide/eidas).