eIDAS 2: de nieuwe Europese verordening uitgelegd voor 2026

Inleiding: waarom eIDAS 2 alles verandert voor Europese bedrijven

In werking getreden op 20 mei 2024 na een lange wetgevingsproces, vertegenwoordigt de verordening eIDAS 2 — officieel Verordening (EU) 2024/1183 — de meest ambitieuze hervorming ooit ondernomen op het gebied van elektronische identificatie en vertrouwensdiensten in Europa. Het herroept en vervangt gedeeltelijk de oorspronkelijke eIDAS-verordening van 2014 (nr. 910/2014), met behoud van achterwaartse compatibiliteit met de bestaande infrastructuur. Voor bedrijven die gebruikmaken van elektronische handtekening conform eIDAS, brengt deze herziening nieuwe verplichtingen, ongekende kansen en een strak conformiteitsschema tot 2026 en daarna. Dit artikel ontcijfert diepgaand de belangrijkste bepalingen van de tekst, hun operationele gevolgen en hoe uw organisatie zich erop kan voorbereiden.

---

Wat de verordening eIDAS 2 fundamenteel verandert

Van de verordening van 2014 naar de versie 2024: een structurele hervorming

De oorspronkelijke eIDAS-verordening van 2014 had de basis gelegd voor wederzijdse erkenning van elektronische identificatieschema's tussen lidstaten en een uniform juridisch kader voor vertrouwensdiensten (handtekening, zegel, tijdstempel, enz.). Maar tien jaar later waren de beperkingen duidelijk: lage adoptiegraad van aangemelde eID's, fragmentatie van nationale oplossingen, afwezigheid van een universeel digitaal portefeuille voor burgers, en vooral ongeschiktheid voor webgebruik (GAFAM uitgesloten van het vertrouwenskader).

eIDAS 2 corrigeert deze leemten op drie hoofdassen:

1. Het Europese portefeuille voor digitale identiteit (EUDI Wallet) — elke lidstaat moet uiterlijk in november 2026 een digitale portefeuille-toepassing aanbieden waarmee elke Europese burger of ingezetene zijn identiteitskenmerken (identiteitskaart, rijbewijs, diploma's, enz.) veilig kan opslaan en presenteren.
2. De uitbreiding van gekwalificeerde vertrouwensdiensten — de tekst voegt nieuwe gekwalificeerde diensten toe: gekwalificeerd elektronisch archiefbeheer (QESAP), gekwalificeerde identiteitsattributtenrapporten (QEAA), gekwalificeerde elektronische boekenkasten (QLED) en beheer van apparaten voor het aanmaken van ondertekeningen op afstand (QRCD).
3. De verplichting voor grote platforms — providers van online diensten met grote omvang (sociale media, marktplaatsen) moeten het EUDI-portefeuille voor gebruikersauthenticatie accepteren.

Het EUDI Wallet portefeuille: architectuur en werking

Het EUDI Wallet staat centraal in eIDAS 2. Concreet gaat het om een softwaretoepassing — geleverd of gecertificeerd door elke lidstaat — die is gebaseerd op een gedecentraliseerd model van selectieve attributaanbieding. De gebruiker verzendt alleen de gegevens die strikt noodzakelijk zijn voor de transactie (minimalisatieprincipe, conform GDPR).

Vanuit technisch perspectief is de architectuur gebaseerd op de specificaties van het Architecture Reference Framework (ARF), gepubliceerd door de Europese Commissie en regelmatig bijgewerkt door het Large Scale Pilot (LSP) dat vier pilotconsortia groepeert (DC4EU, EWC, POTENTIAL, NOBID). De gekozen gegevensformaten zijn vooral ISO/IEC 18013-5 (mDL/mDocs) en W3C Verifiable Credentials, wat grensoverschrijdende interoperabiliteit garandeert.

Voor bedrijven betekent dit dat zij uiteindelijk de identiteit van hun klanten of partners via het portefeuille kunnen verifiëren zonder zelf documentgegevensverzameling te beheren — hetgeen de KYC-wrijving (Know Your Customer) aanzienlijk verkleint en documentfraude-risico's beperkt.

---

De garantieniveaus en de rangschikking van handtekeningen: wat verandert

Instandhouding van de QES/AdES/SES-hiërarchie

Het régime van elektronische handtekeningen blijft gestructureerd rond drie niveaus gedefinieerd in artikel 3 van eIDAS 2 (met behoud van de terminologie van 2014 maar met verduidelijking van technische vereisten):

• Eenvoudige elektronische handtekening (SES): minimale bewijswaarde, geschikt voor gebruikelijke documenten.
• Geavanceerde elektronische handtekening (AdES): exclusieve binding aan ondertekenaar, mogelijkheid om latere wijzigingen op te sporen.
• Gekwalificeerde elektronische handtekening (QES): wettelijk equivalent van handgeschreven handtekening in de hele EU (artikel 25§2), uitgegeven via een gekwalificeerd apparaat voor handtekeningcreatie (QSCD) op basis van een gekwalificeerd certificaat.

De vernieuwing zit in de manier waarop QES nu kan worden geleverd via gekwalificeerde diensten voor ondertekening op afstand (QRCD), waarvan de vergunningsvoorwaarden zijn bepaald in artikelen 29a en 29b van de herziene tekst. Dit opent de deur naar 100% digitale workflows voor de meest veeleisende documenten — notariële contracten, elektronische authentieke akten — zonder fysieke smartcard nodig.

De impact op gekwalificeerde vertrouwensdienstproviders (QTSP)

Dienstverleners zoals Certyneo, die opereren met ondersteuning van gecertificeerde QTSP's, moeten anticiperen op de versterkte auditnalysen die door eIDAS 2 zijn geïntroduceerd. Artikel 24 stelt nu sterkere controles in op de uitbestedingsketen, en de vereisten voor veiligheidsmeldingen aansluiten zich expliciet aan die van de NIS2-richtlijn (24-uurstermijn voor initiële melding). Voor een dieper inzicht in het functioneren van verschillende handtekeningniveaus in een B2B-context, raadpleeg onze volledige gids elektronische handtekening in bedrijven.

---

Implementatietijdlijn en bedrijfsverplichtingen in 2025-2026

De belangrijkste mijlpalen van de uitrol

De verordening (EU) 2024/1183 is op 30 april 2024 in het Europees Publicatieblad gepubliceerd en is op 20 mei 2024 in werking getreden. De uitvoerings- en gedelegeerde besluiten — essentieel om technische vereisten nauwkeurig in te stellen — worden geleidelijk gepubliceerd:

| Termijn | Verplichting | |---|---| | mei 2024 | Inwerkingtreding van de verordening | | einde 2024 | Publicatie van uitvoeringsbesluiten over ARF v2.0 | | mid-2025 | Certificering van eerste EUDI Wallet-pilots | | november 2026 | Verplichte beschikbaarheid van EUDI Wallet in elke lidstaat | | 2027 | Verplichte acceptatie door grote onlineplatforms |

Wat bedrijven B2B nu moeten doen

Voor bedrijven die elektronische handtekeningoplossingen gebruiken, zijn drie prioriteiten in 2025-2026 essentieel:

1. Hun vertrouwensketen controleren: verifiëren dat hun handtekeningsprovider inderdaad in de Trusted List van hun lidstaat staat, en dat de gebruikte certificaten voldoen aan de nieuwe ETSI EN 319 401- en EN 319 411-1-specificaties herzien.

2. De integratie van het EUDI Wallet anticiperen: bedrijven werkzaam in gereglementeerde sectoren (bank, verzekering, gezondheidszorg, onroerend goed) zullen onder de eersten zijn die betrokken raken bij identiteitsverificatieflows via portefeuille. Het voorbereiden van API-integratie vanaf 2025 wordt aanbevolen.

3. Hun bewaarbeleidsmaatregelen herzien: de nieuwe gekwalificeerde elektronische archiefbeheersdienst (QESAP) introduceert preservatiestandaarden voor lange termijn die zich in bepaalde sectoren kunnen voordoen (openbare aanbestedingen, farmaceutische sector). Onze ROI-calculator voor elektronische handtekening stelt u in staat de financiële impact van een upgrade van uw documentaire infrastructuur in te schatten.

---

Interoperabiliteit, GDPR en vraagstukken van digitale soevereiniteit

eIDAS 2 en GDPR: versterkte complementariteit

Een van de grote voortuitgang van eIDAS 2 is de expliciete integratie van gegevensbeschermingsprincipes vanaf het ontwerp (privacy by design) in de architectuur van het EUDI-portefeuille. Artikel 5a§14 bepaalt dat het portefeuille providers niet in staat stelt het gedrag van gebruikers bij transacties te volgen. Uitgevers van gekwalificeerde identiteitskenmerken (QEAA) worden niet ingelicht over het gebruik van de verstrekte getuigschriften — hetgeen een grote breuk vormt met de huidige gecentraliseerde modellen.

Deze architectuur staat bekend als unlinkability (niet-correlatibiliteit): twee verschillende transacties door dezelfde gebruiker kunnen niet aan elkaar worden gekoppeld zonder diens toestemming. Deze garantie gaat voorbij aan de minimumvereisten van de GDPR terwijl zij zich er perfect mee verzoent.

De geopolitieke dimensie: controle terugwinnen over online identiteit

eIDAS 2 beantwoordt ook aan een soevereiniteitskwestie. Vandaag berust online verificatie sterk op knoppen "Inloggen met Google/Facebook/Apple", wat Amerikaanse techreuzen een dominante positie geeft in het beheer van digitale identiteiten in Europa. Door zeer grote platformen (in de zin van de Digital Services Act) te verplichten het EUDI Wallet als authentificatiemiddel te accepteren, creëert eIDAS 2 een interoperabel en soeverein alternatief.

Voor B2B-bedrijven betekent dit ook dat eIDAS 2-naleving een selectiecriterium voor leveranciers kan worden in openbare en particuliere aanbestedingen — vergelijkbaar met wat ISO 27001-certificering vandaag vertegenwoordigt in aankoopprocessen. Overweegt uw organisatie haar huidige oplossing te upgraden, onze migratiegids van DocuSign of YouSign naar Certyneo beschrijft in detail de fasen van een beheerste overgang.

Juridisch kader van toepassing op eIDAS 2 en elektronische handtekening

Referentieteksten

Verordening (EU) 2024/1183 van het Europees Parlement en de Raad van 11 april 2024, tot wijziging van verordening (EU) nr. 910/2014 in verband met de vaststelling van het Europese kader voor digitale identiteit (eIDAS 2). Gepubliceerd in het Publicatieblad van de EU op 30 april 2024, in werking getreden op 20 mei 2024.

Verordening (EU) nr. 910/2014 (eIDAS 1): blijft van kracht voor bepalingen niet gewijzigd, in het bijzonder artikelen met betrekking tot garantieniveaus "laag", "substantieel" en "hoog" voor aangemelde identificatieschema's.

Frans Burgerlijk Wetboek, artikelen 1366 en 1367: elektronisch geschrift heeft dezelfde bewijswaarde als papieren geschrift onder voorwaarde dat de persoon van wie het afkomstig is, naar behoren wordt geïdentificeerd en het document onder voorwaarden is opgesteld die de integriteit ervan garanderen. De gekwalificeerde elektronische handtekening (QES) in de zin van eIDAS 2 voldoet aan deze vereisten van rechtswege.

Verordening (EU) 2016/679 (GDPR): de verwerking van identiteitsgegevens in het kader van het EUDI-portefeuille is onderworpen aan de beginselen van minimalisatie (art. 5§1c), beperking van doel (art. 5§1b) en gegevensbescherming door ontwerp (art. 25). Gekwalificeerde dienstverleners stellen zich op als afzonderlijke verwerkingsverantwoordelijken voor verificatieactiviteiten.

Richtlijn (EU) 2022/2555 (NIS2): omgezet in Frans recht door verordening nr. 2024-528 van 12 juni 2024, stelt zij aan gekwalificeerde vertrouwensdienstproviders verplichtingen op voor cyberthreat-beheer en melding van incidenten binnen 24 uur.

ETSI-normen:

• EN 319 132 (XAdES) en EN 319 122 (CAdES): geavanceerde formaten voor elektronische handtekening.
• EN 319 401: algemene eisen voor vertrouwensdienstproviders.
• EN 319 411-1 en 411-2: beleid en veiligheidseisen voor CA's die gekwalificeerde certificaten afgeven.
• EN 319 521: eisen voor gekwalificeerde diensten voor behoud van handtekeningen (QESAP).

Bedrijfsverplichtingen en juridische risico's

Elk bedrijf dat elektronische handtekeningen in contractuele context gebruikt, dient zeker te stellen dat het gekozen handtekeningniveau geschikt is voor de waarde en aard van het document. Voor documenten onder wettelijk handtekeningvereiste (verkoopbelofte, arbeidscontracten, inkooporders boven bepaalde grenzen), biedt alleen QES of AdES op basis van gekwalificeerd certificaat het betrouwbaarheidspresumptie voorzien in artikel 26 van eIDAS 2.

In geval van geschil keert de bewijslast zich om: is de handtekening gekwalificeerd, dan dient de partij die het document betwist het te bewijzen; is zij eenvoudig of geavanceerd zonder gekwalificeerd certificaat, rust de bewijslast op ondertekenaar die het aanvoert. Niet-naleving van traceerbaarheid en integriteitsvoorwaarden kan tot nietigheid van het document of onverbindendheid van de handtekening voor derden voeren.

Gebruiksscenario's: eIDAS 2 toegepast op B2B-bedrijven

Scenario 1 — Een managementconsultancykantoor (ongeveer 80 consultants)

Een adviesstructuur die haar medewerkers in klanten in meerdere lidstaten (Frankrijk, Duitsland, Nederland) inzet, moet maandelijks opdrachten, contractwijzigingen en acceptatierapporten laten ondertekenen. Vóór eIDAS 2 zorgde het beheer van grensoverschrijdende identiteiten voor fricties: weigering van bepaalde Duitse klanten om certificaten van een Frans QTSP te erkennen, dubbele emailverificatie ontoereikend voor gevoelige documenten.

Met inzet van het EUDI Wallet in 2026, kunnen consultants ondertekenen via hun nationale portefeuille — volledig erkend in alle lidstaten — zonder fricties. Het kantoor verwacht een verlaging van 60 tot 70% van de tijd besteed aan verificatiegespreksronde voorafgaand aan ondertekening, ongeveer 3 tot 4 uur per consultant per maand volgens sectorbenchmarks gepubliceerd door McKinsey Digital (2024).

Scenario 2 — Een industriële KMO met 350 leverancierscontracten per jaar

Een KMO in de industriële apparatuurbranche, werkend met ongeveer honderd Europese en Aziatische leveranciers, moet order, vertrouwelijkheidsakkoorden (NDA's) en raamcontracten contracteren. Tot nu toe keerden 30% van deze documenten terug zonder geldige handtekening of met vertragingen van meer dan 10 werkdagen.

Door een elektronische handtekeningoplossing conform eIDAS 2 met identiteitsverificatie via gekwalificeerde kenmerken (QEAA) in te voeren, kan de KMO een handtekeningstream dwingen waarbij de identiteit van de wettelijk vertegenwoordiger van de leverancier automatisch via het EUDI-portefeuille wordt geverifieerd, zonder handmatige invoer. Verwacht resultaat: vermindering van gemiddelde ondertekeningstermijn van 10 dagen tot minder dan 48 uur, en afname van 40% van geschillen door niet-conforme handtekeningen, op basis van bereiken waargenomen in ELENIUS 2025-verslagen over B2B-dedigitalisering.

Scenario 3 — Een vastgoedgroep met akkoorden in meerdere landen

Een netwerk van makelaars werkzaam in Frankrijk, Spanje en Portugal moet regelmatig akkoorden tussen verkopers en kopersvan verschillende nationaliteiten laten ondertekenen. QES is in bepaalde contexten nodig om equivalentie met handgeschreven handtekening voor notarissen te waarborgen.

Dankzij eIDAS 2 en interoperabiliteit van EUDI-portefeuilles kan een Portugese koper een compromisakkoord onder Frans recht ondertekenen met behulp van zijn nationaal portefeuille, met een "hoog" vertrouwensniveau automatisch erkend door het handtekeningsplatform. De groep vermindert haar reis- en legaliseringskosten met ongeveer 800 tot 1.200 euro per grensoverschrijdend dossier, terwijl zij de sluitingstermijn van akkoorden met circa 3 weken tot 5 dagen gemiddeld vermindert. Voor sector-specifieke toepassingen geeft onze pagina gewijd aan elektronische handtekening in onroerend goed details van aangepaste workflows.

Conclusie

eIDAS 2 is geen eenvoudige regelgevingsupdate: het is een diepgaande herziening van hoe digitale identiteit en elektronisch vertrouwen in Europa functioneren. Het EUDI Wallet-portefeuille, de nieuwe gekwalificeerde diensten, de verplichting tot interoperabiliteit en de afstemming met NIS2 en GDPR vormen een samenhangend ecosysteem dat de contractuele en authenticatieprocessen van bedrijven tot eind 2026 zal transformeren.

Om conform en competitief te blijven, moeten organisaties nu handelen: hun vertrouwensketen controleren, een dienstverlener kiezen die aansluit bij de nieuwe eisen en hun documentstromen voorbereiden op integratie van het Europese digitale portefeuille.

Certyneo begeleidt u bij deze overgang met gekwalificeerde elektronische handtekeningoplossingen conform eIDAS 2, gereed voor 2026. Vraag een demonstratie of maak uw Certyneo-account aan om uw contracten vandaag nog te beveiligen.