Verplichtingen dienstverleners elektronische handtekening België

Inleiding

Een oplossing voor elektronische handtekening in België implementeren vereist voorbereiding. Achter elke gekwalificeerde of geavanceerde handtekening gaan tientallen juridische verplichtingen schuil die voor de dienstverlener vertrouwensdiensten (PSCo) gelden. eIDAS-verordening, GDPR, referentieel voor algemene veiligheid, ETSI-normen... het regelgevingskader is zowel omvangrijk als voortdurend evoluerend. Voor bedrijven die deze diensten gebruiken, is het begrijpen van deze juridische verplichtingen onontbeerlijk om een conforme partner te kiezen en juridische risico's te vermijden. Dit artikel schetst uitgebreid, onderdeel voor onderdeel, alle vereisten die van toepassing zijn op PSCo's die in België actief zijn.

---

De status van gekwalificeerde dienstverlener vertrouwensdiensten

Wat is een PSCo volgens eIDAS?

De eIDAS-verordening nr. 910/2014 maakt onderscheid tussen twee categorieën dienstverleners: niet-gekwalificeerde dienstverleners vertrouwensdiensten en gekwalificeerde dienstverleners (PSCQ). De eersten kunnen eenvoudige of geavanceerde elektronische handtekeningsdiensten aanbieden zonder verplichte beoordeling door derden. De laatsten — uitsluitend bevoegd tot het verstrekken van gekwalificeerde handtekeningen in de zin van artikel 3(15) eIDAS — moeten aan aanzienlijk veel strenger eisen voldoen.

In België is het de Autoriteit voor Digitale Diensten (in coördinatie met de lidstaten) die de rol vervult van toezichthoudende instantie zoals voorzien in artikel 17 eIDAS. Zij publiceert en onderhoudt de vertrouwenslijst (TSL — Trust Service List), beschikbaar op de officiële website, waarin de gekwalificeerde dienstverleners en hun diensten worden vermeld.

De kwalificatieprocedure: audit en conformiteit

Om de gekwalificeerde status te verkrijgen, moet een PSCo verplicht:

• De diensten laten beoordelen door een erkende conformiteitsevaluatieorganisatie (CAB — Conformity Assessment Body) volgens de norm EN ISO/IEC 17065.

• Het auditrapport indienen bij de bevoegde autoriteit, die beslist over het toekennen van de gekwalificeerde status. Deze status wordt minstens elke 24 maanden opnieuw beoordeeld (artikel 20 §1 eIDAS).

• De bevoegde autoriteit op de hoogte stellen van wezenlijke wijzigingen in de diensten binnen 3 maanden voordat de wijziging van kracht wordt (artikel 21 eIDAS).

Niet-naleving van deze stappen stelt de dienstverlener bloot aan schrapping uit de TSL en verlies van de juridische vermoedens die aan gekwalificeerde handtekeningen zijn verbonden. Voor klantbedrijven betekent het inschakelen van een PSCo die niet op de TSL staat, dat zij geen enkel juridisch vermoeden van betrouwbaarheid genieten.

> Voor meer informatie over de verschillende handtekeningsniveaus en hun juridische gevolgen, raadpleeg onze gids.

---

Technische en veiligheidsverplichtingen voor PSCo's

Naleving van ETSI-normen

Gekwalificeerde dienstverleners moeten zich houden aan een reeks Europese normen gepubliceerd door het Europees Instituut voor Telecommunicatiestandaarden (ETSI). De belangrijkste zijn:

• ETSI EN 319 401: algemene veiligheidsvereisten van toepassing op alle PSCo's.

• ETSI EN 319 411-1 en 411-2: beleidsregels en praktijken van certificaatautoriteiten die gekwalificeerde handtekeningscertificaten verstrekken.

• ETSI EN 319 132: indelingen van geavanceerde elektronische handtekeningen (XAdES voor XML, PAdES voor PDF, CAdES voor CMS).

• ETSI EN 319 122: CAdES-indeling voor gekwalificeerde handtekeningen.

• ETSI TS 119 431: vereisten voor diensten voor het op afstand creëren van handtekeningen (QSCD op afstand).

Deze normen zijn niet optioneel: de eIDAS-verordening (Bijlagen II, III en IV) verwijst er expliciet naar om de minimale vereisten voor gekwalificeerde certificaten en handtekeningscreatieapparaten te bepalen.

Beheer van beveiligde handtekeningscreatieapparaten (QSCD)

Een van de pijlers van de gekwalificeerde handtekening is het gebruik van een beveiligd handtekeningscreatieapparaat (QSCD — Qualified Signature Creation Device) dat voldoet aan Bijlage II van eIDAS. De dienstverlener moet garanderen dat:

• De privésleutel van de ondertekenaar niet buiten de QSCD kan worden gegenereerd, opgeslagen of gekopieerd.

• De sleutel uitsluitend in een gecertificeerde omgeving wordt gegenereerd (Common Criteria EAL 4+-certificering of gelijkwaardig).

• De authenticatie van de ondertekenaar voorafgaand aan elke ondertekeningshandeling gebaseerd is op ten minste twee verificatiefactoren.

In een context van ondertekening op afstand — steeds vaker voorkomend in SaaS-omgevingen — gelden deze eisen voor de HSM-server (Hardware Security Module) die de sleutels host. De bevoegde autoriteit heeft specifieke beveiligingsprofielen gepubliceerd (PP-0075, PP-0076) die de te bereiken beveiligingscriteria bepalen.

Beleid voor bedrijfscontinuïteit en incidentmeldingen

Artikel 19 van eIDAS verplicht elke dienstverlener vertrouwensdiensten (gekwalificeerd of niet) om:

• Binnen 24 uur na ontdekking van een veiligheidsinbreuk die de betrouwbaarheid van de dienst kan aantasten, de toezichthoudende instantie en eventueel de gegevensbeschermingsautoriteit in te lichten.

• Een gedocumenteerd en regelmatig getest bedrijfscontinuïteitsplan te hebben.

• Een formeel beleid voor informatiebeveiliging te hebben, dat onder meer risicobeheersing, incidentbeheersing en back-upbeleid omvat.

Deze vereisten overlappen gedeeltelijk met die van de NIS2-richtlijn (2022/2555/EU), getransponeerd in de Belgische rechtsorde, die PSCo's van aanzienlijke omvang onder de categorie van belangrijke of essentiële entiteiten klassificeren die aan versterkte cyberbeveiligingsverplichtingen onderhevig zijn.

> Ontdek hoe dienstverleners deze beperkingen in hun documentworkflows moeten integreren.

---

GDPR-verplichtingen specifiek voor PSCo's

Is de PSCo verantwoordelijk voor verwerking of onderaannemer?

De GDPR-classificatie van de dienstverlener hangt af van de aard van de verleende dienst:

• Wanneer de PSCo rechtstreeks gekwalificeerde certificaten namens de ondertekenaar afgeeft en de verwerkingsdoeleinden bepaalt (identiteit, biometrische verificatiegegevens), handelt deze als verwerkingverantwoordelijke in de zin van artikel 4(7) GDPR.

• Wanneer de dienstverlener de API in het platform van een B2B-klant integreert en persoonsgegevens alleen volgens de instructies van deze klant verwerkt, fungeert deze als onderaannemer (artikel 4(8) GDPR) en moet verplicht een DPA (Data Processing Agreement) afsluiten conform artikel 28 GDPR.

In praktijk hebben de meeste SaaS-PSCo's beide kwaliteiten: verantwoordelijk voor het beheer van hun eigen certificaatinfrastructuur, onderaannemer voor de verwerking van documenten en metagegevens van ondertekenaars.

Specifieke verplichtingen met betrekking tot biometrische en identiteitsgegevens

De identificatie en verificatie van de ondertekenaar — een verplichte stap voor het verstrekken van een gekwalificeerd certificaat — houdt vaak de verwerking van gevoelige gegevens in: scan van identiteitsdocument, selfie-video, biometrische gegevens van gezichtsherkenning. Deze gegevens vormen persoonsgegevens onderworpen aan de GDPR, en soms zelfs biometrische gegevens die onder artikel 9 GDPR vallen (bijzondere categorieën).

De verplichtingen van de PSCo omvatten:

• Juridische basis: expliciete toestemming (artikel 9§2a) of, in bepaalde gevallen, wettelijke verplichting (artikel 9§2b) voor de verwerking van biometrische gegevens.

• Beperkte bewaringsduur: volgens GDPR-richtlijnen moeten identificatiegegevens worden bewaard voor de strikte noodzaak, meestal afgestemd op de geldigheid van het certificaat plus wettelijke bewijsperiode (meestal 10 jaar voor onderhandse akten, artikel 2224 van de Belgische wetboeken).

• Verplichte impactanalyse (AIPD) (artikel 35 GDPR) wanneer de verwerking een hoog risico met zich meebrengt — wat systematisch het geval is voor biometrie.

• Verwerkingsregister (artikel 30 GDPR) dat regelmatig wordt bijgewerkt en elke verwerkingscategorie dokumenteert.

Internationale gegevensoverdrachten

Veel PSCo's hosten al of een deel van hun infrastructuur buiten de Europese Economische Ruimte (EER). In dit geval gelden de passende waarborgen vereist door hoofdstuk V GDPR: adequaatbesluit, standaardcontractbepalingen (SCCs) van de Europese Commissie of bindende bedrijfsvoorschriften (BCR). Het Schrems II-arrest (HvJ, C-311/18, 16 juli 2020) herinnerde eraan dat overdrachten naar de Verenigde Staten voorafgaande landrisico-analyse vereisen.

> Om de impact van deze regels op uw organisatie te begrijpen, raadpleeg onze gids.

---

Verplichtingen van transparantie en informatie aan gebruikers

Certificatiebeleid (PC) en Verklaring van Certificatiepraktijken (DCP)

Elke PSCo die certificaten afgeeft, moet een Certificatiebeleid (PC) en een Verklaring van Certificatiepraktijken (DCP) publiceren, overeenkomstig de ETSI EN 319 411-norm. Deze openbaar beschikbare documenten detailleren:

• Procedures voor identificatie en registratie van ondertekenaars.

• Fysieke en logische veiligheidsmaatregelen die zijn geïmplementeerd.

• Voorwaarden voor intrekking van certificaten en bijbehorende termijnen.

• Verantwoordelijkheden en aansprakelijkheidsbeperkingen van de PSCo.

Afwezigheid of onvolkomenheid van deze documenten vormt een niet-conformiteit die kan worden geconstateerd tijdens de herbeoordeling door de erkende organisatie.

Voorcontractuele en contractuele informatie aan klanten

Naast puur technische verplichtingen stelt artikel 13 GDPR de PSCo verplicht elke persoon van wie gegevens worden verzameld duidelijke en toegankelijke informatie te verstrekken over:

• De identiteit van de verwerkingsverantwoordelijke en contactgegevens van de DPO (verplicht voor PSCo's die op grote schaal gevoelige gegevens verwerken, artikel 37 GDPR).

• Doeleinden en juridische basis van elke verwerking.

• Rechten van personen (toegang, rectificatie, wissing, draagbaarheid, bezwaar).

• Mogelijke ontvangers van gegevens (onderaannemers, autoriteiten).

Deze informatie moet voorkomen in het privacybeleid van de dienst, in de gebruiksvoorwaarden en eventueel in de DPA met professionele klanten.

Gekwalificeerde tijdstempel en audittrail

Om de lange-termijnbewijswaarde van handtekeningen te garanderen, associëren serieuze PSCo's systematisch een gekwalificeerde elektronische tijdstempel (artikel 42 eIDAS) aan elke ondertekende handeling. Deze tijdstempel vormt een juridisch vermoeden van het bestaan van de gegevens op de aangegeven datum. Het bewaren van de audittrail (logboeken van identificatie, documentvingerafdruk, handtekeningsgegevens) is een feitelijke verplichting om latere gerechtelijke verificatie mogelijk te maken.

> Vergelijk marktoplossingen volgens deze criteria in onze gids.

---

eIDAS 2.0: nieuwe verplichtingen aan de horizon 2026-2027

De eIDAS 2.0-verordening (EU) 2024/1183

Gepubliceerd in het Publicatieblad van de EU op 30 april 2024, versterkt de verordening (EU) 2024/1183 genaamd « eIDAS 2.0 » de verplichtingen van PSCo's aanzienlijk rond drie assen:

• De Europese Digitale Identiteitsportefeuille (EUDI Wallet): lidstaten moeten tegen 2 november 2026 een gecertificeerde digitale identiteitsportefeuille beschikbaar stellen. PSCo's zullen hun dienst met deze portefeuille moeten integreren om gekwalificeerde handtekeningen via eIDAS 2.0-identiteit aan te bieden.

• Het beheer van kenmerkverklaringen: eIDAS 2.0 introduceert gekwalificeerde kenmerkverklaringen (QEAAs), verstrekt door gekwalificeerde verklaringsdienstverleners. Nieuwe audit- en kwalificatieprocedures zullen van toepassing zijn.

• Versterking van toezicht: nationale toezichtauthoriteiten krijgen uitgebreide bevoegdheden, met inbegrip van de capaciteit om ongekondigd audits in te stellen en bindende corrigerende maatregelen in verkorte termijnen op te leggen.

Praktische gevolgen voor huidige dienstverleners

Reeds onder eIDAS 1.0 gekwalificeerde PSCo's moeten geleidelijk aan conformiteit bereiken vóór de door de Europese Commissie gestelde termijnen (gepubliceerd of in publicatie). De voornaamste aanpassingen betreffen:

• Hervorming van de identificatie-infrastructuur ter ondersteuning van de EUDI Wallet als verificatiemiddel.

• Update van PC/DCP voor integratie van nieuwe certificaat- en verklaringstypologieën.

• Versterking van veiligheidsvereisten voor QSCD's op afstand, met nieuwe komende beveiligingsprofielen.

Voor klantbedrijven betekent dit al vandaag verificatie dat hun dienstverlener een gedocumenteerde en verifieerbare eIDAS 2.0-conformiteitsroutekaart heeft.

Geldend juridisch kader voor verplichtingen van dienstverleners elektronische handtekening

De normatieve keten van toepassing op dienstverleners elektronische handtekening in België is gestructureerd op verschillende hiërarchische complementaire niveaus.

Belgische Grondwet en Burgerlijk Wetboek — Artikelen 1314-1320

Het Belgisch Burgerlijk Wetboek erkent de elektronische schrift als bewijsmiddel gelijk aan schriftelijk bewijs, op voorwaarde dat « kan duidelijk worden vastgesteld van wie zij afkomstig is en dat zij is opgesteld en bewaard op een wijze die de integriteit ervan waarborgt ». De elektronische handtekening « bestaat uit het gebruik van een betrouwbare identificatieprocedure die de verbinding ervan met de bescheiden waaraan zij is bevestigd waarborgt ». Het vermoeden van betrouwbaarheid baat gekwalificeerde handtekeningen in de zin van eIDAS, het bewijsomleidende beginsel ten gunste van de ondertekenaar omkering.

Verordening eIDAS nr. 910/2014/EU

Deze verordening, rechtstreeks toepasselijk in alle lidstaten, stelt het juridische kader voor vertrouwensdiensten vast. Het artikel 26 bepaalt de voorwaarden van de geavanceerde elektronische handtekening; artikel 28 de vereisten van gekwalificeerde certificaten; Bijlage I detaileert de verplichte inhoud van deze certificaten. Gekwalificeerde PSCo's genieten het vermoeden van conformiteit met de technische en juridische vereisten van de verordening (artikel 19§2), wat een groot voordeel vormt in geval van geschillen.

Verordening eIDAS 2.0 — (EU) 2024/1183

Gepubliceerd op 30 april 2024, introduceert deze wijzigingsverordening nieuwe categorieën vertrouwensdiensten (gekwalificeerde kenmerkverklaringen, gekwalificeerde archiveringsdiensten) en versterkt toezichtsverplichtingen. Deze verordening wijzigt gedeeltelijk verordening 910/2014, met geleidelijke toepasbaarheid volgens uitvoeringsbesluiten van de Europese Commissie.

GDPR — Verordening (EU) 2016/679

De GDPR is van toepassing op elke verwerking van persoonsgegevens in het kader van een elektronische handtekeningsdienst. Artikelen 5 (beginselen van rechtmatigheid), 6 (juridische basis), 9 (gevoelige gegevens), 13-14 (informatie), 28 (onderaanneming), 32 (veiligheid), 33-34 (schendingsmededeling), 35 (AIPD) en 37 (DPO) vormen de meest frequent toepasselijke bepalingen. De GDPR-autoriteit is de bevoegde controlerende instantie en kan boetes tot 20 miljoen euro of 4% van de wereldwijde jaarlijkse omzet opleggen (artikel 83§5 GDPR).

NIS2-richtlijn — (EU) 2022/2555

Getransponeerd in de Belgische rechtsorde, klassificeert NIS2 aanzienlijke PSCo's onder de categorie belangrijke of essentiële entiteiten onderworpen aan cyberveiligheidsbeheers- en incidentmeldingsverplichtingen aan de autoriteiten binnen 24 uur (vroege waarschuwing) vervolgens 72 uur (volledige mededeling).

ETSI-normen

De verzameling van normen EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 en TS 119 431 vormt de verplichte technische referentie voor kwalificatieaudit. Niet-naleving ervan leidt tot onmogelijkheid om de gekwalificeerde status te verkrijgen of te behouden.

Juridische risico's bij niet-conformiteit

Een niet-conforme dienstverlener loopt risico op: schrapping uit de vertrouwenslijst, aansprakelijkheid uit contract en buitencontractuele vordering, GDPR-administratieve sancties, GDPR-boetes tot 20 miljoen euro of 4% wereldwijde jaarlijkse omzet, evenals rechtszaken van klanten die schade hebben geleden door juridisch ongeldig gemaakte handtekeningen.

Gebruiksscenario's: hoe bedrijven conformiteit van hun PSCo controleren

Scenario 1 — Een industrieel concern beherende 3.000 leverancierscontracten per jaar

Een industrieel concern van gemiddelde omvang, actief in de vervaardiging van mechanische apparatuur, demateriaisiert al zijn leverancierscontracten via een SaaS-platform voor elektronische handtekening. Tijdens een intern audit naar aanleiding van regelgevingswijziging stelt de juridische directie vast dat de geselecteerde dienstverlener — oorspronkelijk gekozen op prijscriterium — noch op de Belgische vertrouwenslijst noch op enige Europese vertrouwenslijst voorkomt. De verleende handtekeningen zijn van het type « eenvoudig » zonder robuust handtekeningsmecanisme.

Gezien het juridische risico — de bewijswaarde van alle ondertekende contracten zou in geval van geschil kunnen worden betwist — voert het bedrijf een migratie naar een gekwalificeerde PSCo uit. De nieuwe oplossing integreert een geavanceerde handtekening met gekwalificeerd certificaat, een gekwalificeerde tijdstempel en een exporteerbare audittrail. Het migratieproject, binnen 8 weken voltooid, stelt het bedrijf in staat nieuwe ondertekende handelingen terugwerkend veilig te stellen en een conforme documentpolitiek in te stellen. De juridische teams schatten dat het geschilrisico met betrekking tot oude contracten minimaal is gezien hun foutloze uitvoering, maar elke nieuwe handtekening is nu beschermd.

Waargenomen voordelen: verlaging met 60% van mogelijke geschillen met betrekking tot ondertekeningsauthenticiteit, en winst van 3,5 dagen gemiddelde ondertekeningsvertraging op complexe contracten dank zij workflowautomatisering.

Scenario 2 — Een advocatenkantoor van 25 medewerkers gespecialiseerd in commercieel recht

Een advocatenkantoor dat elektronische ondertekening van volmachten, adviezen en processtukken wil digitaliseren, beoordeelt verschillende dienstverleners. Het evaluatiemodel integreert de volgende criteria: vermelding op vertrouwenslijst, publicatie van toegankelijk certificatiebeleid, aanwezigheid van GDPR-conforme DPA, beschikbaarheid van contacteerbare DPO en certificering van QSCD's op afstand.

Op vijf geëvalueerde dienstverleners voldoen slechts twee aan alle criteria. Het kantoor selecteert uiteindelijk een PSCo die standaard gekwalificeerde handtekening via QSCD op afstand aanbiedt, garantie voor wettelijk vermoeden van betrouwbaarheid. Implementatie duurt 3 weken, inclusief training. Resultaat: 75% van volmachten worden nu ondertekend binnen 24 uur tegen 5 tot 7 dagen eerder (postaal), en het kantoor kan aan klanten het beveiligingsniveau van de oplossing rechtvaardigen — een differentiërend argument in commerciële voorstellen.

Scenario 3 — Een ziekenhuisgroep met ongeveer 1.200 bedden

Een ziekenhuisgroep wil contracten voor werknemers, stageconventies en partnerschapsovereenkomsten met andere instellingen dematerialiseren. De gevoeligheid van verwerkte gegevens (gezondheidsgege­vens van verplegingspersoneel, HR-data) vereist verhoogde waakzaamheid op GDPR-verplichtingen van de PSCo.

De IT-afdeling en DPO van de instelling eisen: hosting van gegevens in België bij een erkende ziekenhuisgegevenshosteringprovider, geen gegevensoverdracht buiten EER, gedocumenteerde AIPD voor identificatieverwerkingen, en ondertekende DPA voorafgaand aan implementatie.

Na selectie van een PSCo die aan deze criteria voldoet, richt inzet zich eerst op HR-contracten (ongeveer 800 handelingen per jaar). Gemiddelde ondertekeningsvertraging voor bepaalde contracten dalt van 9 dagen naar minder dan 48 uur, bevrijdende aanzienlijke capaciteit voor HR-teams. De instelling beschikt bovendien over volledige tracering van verkregen toestemmingen, jaarlijks geaudit door de DPO.

Conclusie

De juridische verplichtingen voor dienstverleners elektronische handtekening in België vormen een veeleisend regelgevingscorpus: eIDAS-kwalificatie, GDPR-conformiteit, naleving van ETSI-normen, NIS2-verplichtingen en aanstande aanpassingen aan eIDAS 2.0. Voor gebruikersbedrijven is garantie van conformiteit van de PSCo geen optionele handeling — het is een voorwaarde sine qua non voor bewijswaarde van ondertekende handelingen en bescherming van persoonsgegevens van ondertekenaars.

Certyneo is een dienstverlener elektronische handtekening ontworpen om aan al deze vereisten te voldoen: eIDAS-conformiteit, GDPR by design, soevereine hosting en gedocumenteerde eIDAS 2.0-routekaart. Klaar om uw handtekeningen in volledige conformiteit veilig te stellen? Contacteer ons en ontvang persoonlijke begeleiding vanaf dag één.