Overgang eIDAS 1 naar 2 : gevolgen voor ondertekening in 2025

Op 20 mei 2024 is verordening (EU) 2024/1183 — gewoonlijk eIDAS 2 genoemd — gepubliceerd in het Publicatieblad van de Europese Unie, waarbij verordening nr. 910/2014 (eIDAS 1) geleidelijk wordt ingetrokken. Deze tekst vertegenwoordigt de meest omvangrijke hervorming van digitale identiteit en elektronische handtekeningen in Europa sinds 2016. Voor Franse bedrijven die elektronische handtekeningenoplossingen gebruiken in hun contractwerkflows, is de overgang niet zomaar een formaliteit : deze impliceert technische, juridische en organisatorische aanpassingen die zich tot en met 2026 en daarna uitstrekken. Het begrijpen van de overgang van eIDAS 1 naar eIDAS 2 en de gevolgen daarvan voor elektronische handtekeningen in 2025 is dus een prioriteit geworden voor juridische directies, IT en HR. Dit artikel ontcijfert de fundamentele veranderingen in het kader, het nauwkeurige rooster van de overgang en de concrete maatregelen die u moet nemen om conform te blijven.

Wat de verordening eIDAS 2 fundamenteel verandert

Van de verordening van 2014 naar de hervorming van 2024 : waarom een herziening nodig was

EIDAS 1 had de basis gelegd voor wederzijdse erkenning van elektronische handtekeningen binnen de Unie. Drie hiërarchische niveaus — eenvoudig (SES), geavanceerd (AdES) en gekwalificeerd (QES) — structureerden de bewijskracht van handtekeningen, gesteund door een lijst van vertrouwensaanbieders (TSL). Maar in tien jaar zijn twee grote gaten aan het licht gekomen.

Ten eerste was de oorspronkelijke verordening in wezen van toepassing op relaties met openbare instanties (G2B, G2C). Deze stelde geen directe verplichtingen in voor privétransacties (B2B, B2C), waardoor een regelgevingsvacuüm ontstond dat elke lidstaat op verschillende wijze invulde. Ten tweede had de opkomst van digitale diensten — mobiele applicaties, open banking, telehealth — het gebrek aan een draagbaar en interoperabel stelsel van digitale identiteit op continentaal niveau aan het licht gebracht.

EIDAS 2 reageert op beide uitdagingen door het Europese portefeuille voor digitale identiteit (EU Digital Identity Wallet, EUDIW) in te voeren en de reikwijdte van vertrouwensdiensten uit te breiden naar nieuwe use-cases : gekwalificeerde elektronische archivering, attestaties van gekwalificeerde attributen, gekwalificeerde elektronische registers (inclusief gecertificeerde blockchain-toepassingen).

De nieuwe categorieën van gekwalificeerde vertrouwensdiensten

De verordening eIDAS 2 breidt de lijst van gekwalificeerde vertrouwensdiensten uit (artikel 3 en herziene bijlage IV). Naast handtekeningen, zegels en gekwalificeerde tijdstempels die al door eIDAS 1 werden erkend, zijn nu ook gekwalificeerd :

• Gekwalificeerde elektronische archiveringsservices (art. 34 bis) : verplichting om de integriteit en leesbaarheid van ondertekende documenten op lange termijn te behouden, met versterkte eisen voor aanbieders (QTSP).
• Services voor beheer van gekwalificeerde externe handtekeningcreatiemiddelen (QRCD) : versterkt kader voor externe handtekeningenoplossingen via HSM (Hardware Security Module) cloud.
• Attestaties van gekwalificeerde attributen : mechanisme waarmee een vertrouwensprovider attributen van een entiteit kan certificeren (bijv. advocatenkwaliteit, artsenstatuut) zonder de volledige identiteit prijs te geven.
• Gekwalificeerde elektronische registers : erkenning van gedistribueerde registers onder strikte voorwaarden voor controleerbaarheid en veerkracht.

Voor gebruikers van elektronische handtekeningenoplossingen betekent deze uitbreiding dat de gekwalificeerde vertrouwensdiensten die beschikbaar zijn op de markt zich zullen diversifiëren, en dat de selectiecriteria voor een aanbieders (QTSP) deze nieuwe mogelijkheden moeten omvatten.

EUDIW : de digitale identiteitsportefeuille als handtekeningeninfrastructuur

De zichtbaarste innovatie van eIDAS 2 blijft de EUDIW. Elke lidstaat zal zijn burgers en ingezetenen een gratis, interoperabele digitale identiteitsportefeuille ter beschikking moeten stellen die compatibel is met alle andere lidstaten, uiterlijk op 26 november 2026 (termijn voor nationale conformiteit volgens artikel 5 bis). Deze portefeuille zal het volgende mogelijk maken :

• de gebruiker authenticeren met een hoog zekerheidspiegel (LoA High) zonder gebruik te maken van een derdeverificatieserviceprovider ;
• elektronische documenten ondertekenen met gekwalificeerde waarde (QES) rechtstreeks vanuit de wallet ;
• selectieve identiteitsattributen delen (selective disclosure), waardoor het minimalisatieprincipe van de AVG wordt gerespecteerd.

Voor ondernemingen vereenvoudigt de EUDIW theoretisch de procedures voor identiteitsverificatie vóór gekwalificeerde ondertekening, waardoor de wrijving van videoïdentificatie of persoonlijke identificatie wordt verwijderd. In de praktijk hangt de impact af van het tempo van nationale implementatie — Frankrijk heeft in 2025 een proefexperiment gelanceerd in het kader van het programma "France Identité".

Nauwkeurig rooster van de overgang van eIDAS 1 naar eIDAS 2

De regelgevingsmijlpalen die u moet kennen

De verordening 2024/1183 is op 20 mei 2024 van kracht geworden, maar de toepassing ervan is geleidelijk. Hier zijn de belangrijkste termijnen :

| Datum | Evenement | |------|----------| | 20 mei 2024 | Publicatie in het PB, formele inwerkingtreding | | 20 november 2024 | Termijn van 6 maanden voor aanvaarding van uitvoeringshandelingen door de Commissie (technische EUDIW-specificaties) | | Einde 2025 | Publicatie van herziene ETSI-normen (EN 319 411-1/2, EN 319 401) met eIDAS 2-eisen | | 26 mei 2026 | Deadline voor naleving door de lidstaten van nieuwe kategorieën gekwalificeerde diensten | | 26 november 2026 | Verplichte beschikbaarstelling van EUDIW door elke lidstaat | | 2027-2028 | Volledige herziening van nationale vertrouwenslijsten (TSL) en accreditatie van nieuwe QTSP |

EIDAS 1 blijft geldig en handtekeningen die onder dit regime zijn aangebracht, behouden hun volledige juridische waarde. Er is geen verplichting om bestaande documenten opnieuw te ondertekenen. Daarentegen zullen gekwalificeerde vertrouwensaanbieders hun accreditatie vóór 2027 volgens de nieuwe technische normen moeten vernieuwen.

Wat niet verandert en wat u moet volgen

Continuïteit is een essentieel beginsel van de overgang. De drie niveaus van handtekeningen (SES, AdES, QES) behouden hun ongewijzigde definities. Het vermoeden van gelijkwaardigheid met een handgeschreven handtekening gekoppeld aan QES (artikel 25 eIDAS 1, herhaald in artikel 27 eIDAS 2) blijft van kracht. De bewijskracht van uw huidige elektronische handtekeningen wordt niet in twijfel getrokken.

Wat u echter moet volgen : uitvoeringshandelingen (implementing acts) gepubliceerd door de Europese Commissie gedurende 2025-2026 leggen de nauwkeurige technische specificaties van de EUDIW en nieuwe diensten vast. Deze teksten op niveau 2 hebben aanzienlijke praktische betekenis voor integrators en softwareuitgevers. Voor bedrijven die elektronische handtekeningen gebruiken in HR-processen of juridische processen, is het aanbevolen om van uw serviceprovider een eIDAS 2-conformiteitsplan op te vragen.

Concrete gevolgen voor bedrijven en hun handtekeningenoplossingen

Welke workflows worden in de eerste plaats beïnvloed?

De overgang van eIDAS 1 naar eIDAS 2 heeft niet dezelfde gevolgen afhankelijk van het gebruikte handtekeningsniveau. Voor bedrijven onderscheiden zich drie situaties :

Eenvoudige elektronische handtekening (SES) : gebruikt voor wijzigingen van geringe waarde, ontvangstmeldingen, interne formulieren. Geen verplichting tot onmiddellijke update. De bewijsregels worden bepaald door het Burgerlijk Wetboek (art. 1366-1367) en niet rechtstreeks door eIDAS.

Geavanceerde elektronische handtekening (AdES/AdESQC) : bedrijven die B2B-oplossingen gebruiken voor handelscontracten, gedigitaliseerde arbeidscontracten of onroerend goedtransacties moeten controleren of hun serviceprovider conformiteit handhaaft met de herziene ETSI-normen EN 319 132 (XAdES), EN 319 122 (CAdES) en EN 319 142 (PAdES) voor eIDAS 2. Deze normen zullen uiterlijk einde 2025 door ETSI worden gepubliceerd.

Gekwalificeerde elektronische handtekening (QES) : gekwalificeerde serviceproviders (QTSP) moeten overstappen op eIDAS 2-accreditatie. De overgangsperiode geeft een redelijke termijn (tot 2027), maar aanbestedingen gelanceerd in 2025 zouden een eIDAS 2-conformiteitsclausule in de selectiecriteria moeten opnemen. Voor organisaties die beschikbare opties vergelijken, stelt de vergelijking van elektronische handtekeningenoplossingen u in staat de rijpheid van uitgevers over dit onderwerp in te schatten.

Nieuwe eisen voor gekwalificeerde vertrouwensaanbieders (QTSP)

EIDAS 2 verzwaart de eisen voor QTSP op drie hoofdpunten :

1. Systeembeveiliging : verplichte afstemming op NIS2 (richtlijn (EU) 2022/2555) voor QTSP, nu geclassificeerd als essentiële entiteiten. Dit leidt tot verplichtingen voor incidentmelding binnen 24 uur, jaarlijkse beveiligingsaudits en implementatie van continuïteitsplannen.

1. Versterkte verantwoordelijkheid : artikel 13 eIDAS 2 breidt het aansprakelijkheidsregime van QTSP uit. In geval van bewezen inbreuk moet de serviceprovider bewijzen dat hij geen schuld treft, en niet andersom.

1. Verplichte interoperabiliteit : QTSP moeten gestandaardiseerde API's blootstellen die compatibel zijn met EUDIW om systeemeigen integratie van identiteitswalleta's mogelijk te maken. Deze eis zal de modernisering van beschikbare integratieinterfaces voor ontwikkelaars versnellen.

Voor bedrijven die in deze context van serviceprovider willen wisselen, is migratie van DocuSign of YouSign naar een eIDAS 2-conforme oplossing een stap die beter nu kan worden ingepland dan in urgentie in 2027.

Persoonsgegevens en eIDAS 2 : de samenhang met de AVG

De EUDIW verzamelt en verwerkt persoonsgegevens betreffende identiteit. De verordening eIDAS 2 bepaalt expliciet (overweging 11 en artikel 5 bis §14) dat het gehele dispositief conform de AVG moet zijn (verordening (EU) 2016/679). Verschillende aandachtspunten :

• Selectieve openbaarmaking : de portefeuille moet de gebruiker toestaan alleen de attributen te delen die strikt noodzakelijk zijn voor de transactie (minimalisatiebeginsel, art. 5(1)(c) AVG). Voor een contractondertekening zou alleen verificatie van de meerderjarigheid kunnen worden gedeeld zonder de volledige geboortedatum prijs te geven.
• Overdrachten buiten de EU : identiteitsgegevens verwerkt in het kader van EUDIW kunnen alleen buiten de EER worden overgedragen met passende garanties (art. 46 AVG). Serviceproviders die Amerikaanse cloudininfrastructuur gebruiken, moeten hun conformiteit documenteren.
• Bewaring van logbestanden van handtekeningen : archivering van handtekeningbewijzen moet respecteren naar de duur van opslag evenredig met de aard van het document. De nieuwe gekwalificeerde archiveringsservice van eIDAS 2 biedt een technisch raamwerk om aan deze eis te voldoen.

Bedrijven die internationale arbeidscontracten beheren, worden in het bijzonder beïnvloed door deze AVG/eIDAS 2-samenhang, vooral wanneer ondertekenende partijen buiten de EU verblijven.

Toepasselijk juridisch kader voor de overgang van eIDAS 1 naar eIDAS 2

Referentieteksten

De overgang berust op een stapeling van teksten die essentieel zijn om onder controle te houden :

Op Europees niveau :

• Verordening (EU) nr. 910/2014 (eIDAS 1) : nog steeds van kracht tot geleidelijke intrekking door eIDAS 2. Bepaalt de drie niveaus van handtekeningen (SES, AdES, QES) en het regime van QTSP.
• Verordening (EU) 2024/1183 (eIDAS 2) : van kracht sinds 20 mei 2024. Wijzigt eIDAS 1 substantieel zonder het onmiddellijk in te trekken. Bepalingen met betrekking tot EUDIW zijn van toepassing zodra uitvoeringshandelingen zijn gepubliceerd.
• Verordening (EU) 2016/679 (AVG) : is volledig van toepassing op de verwerking van identiteitsgegevens in het kader van EUDIW en handtekeningsprocessen. Artikel 5 bis §14 van eIDAS 2 herhaalt deze onderwerping expliciet.
• Richtlijn (EU) 2022/2555 (NIS2) : stelt versterkte cybersecurity-verplichtingen in voor QTSP, nu geclassificeerd als essentiële entiteiten. Omgezet in Frans recht door ordinantie nr. 2024-821 van 20 juni 2024 (in voorbereiding van decreet).

Op Frans niveau :

• Burgerlijk Wetboek, artikelen 1366 en 1367 : basis voor de bewijskracht van elektronische stukken. Artikel 1366 bepaalt de gelijkwaardigheid tussen elektronisch stuk en papier onder voorwaarden. Artikel 1367 geeft gekwalificeerde handtekeningen (QES) dezelfde bewijskracht als handgeschreven handtekeningen.
• Decreet nr. 2017-1416 van 28 september 2017 : verduidelijkt de voorwaarden voor gebruik van elektronische handtekeningen in privaatrechtelijke akten. Blijft van toepassing tijdens de overgangsperiode.
• Algemene referentie voor beveiliging (RGS) v2 : voor Franse overheidsinstellingen vereist de RGS het gebruik van oplossingen die door ANSSI zijn aangemerkt. De update ervan om eIDAS 2 op te nemen, wordt verwacht in 2026.

Toepasselijke technische ETSI-normen

ETSI-normen vormen het 3de niveau van de normatieve hiërarchie. Huidige toepasselijke versies :

• EN 319 132-1/2 : XAdES-formaat (geavanceerde XML-handtekeningen)
• EN 319 122-1/2 : CAdES-formaat (geavanceerde CMS-handtekeningen)
• EN 319 142-1/2 : PAdES-formaat (geavanceerde PDF-handtekeningen)
• EN 319 401 : algemene eisen voor serviceproviders vertrouwensdiensten
• EN 319 411-1/2 : eisen voor CA's die gekwalificeerde certificaten afgeven

Deze normen zullen vóór einde 2025 worden herzien om nieuwe eIDAS 2-eisen op te nemen. Contracten met QTSP moeten een updateclausule naar herziene versies zonder toeslag bevatten.

Juridische risico's van niet-naleving

Een handtekening uitgegeven door een serviceprovider die na 2027 niet langer is geaccrediteerd, zou niet automatisch zijn juridische waarde verliezen voor reeds ondertekende documenten, maar zou geen baat meer hebben van het wettelijk vermoeden van gelijkwaardigheid met een handgeschreven handtekening (art. 25 eIDAS). De bewijslast van integriteit en identiteit van de ondertekenaar zou dan volledig op het bedrijf rusten in geval van geschil. Dit bewijsrisico is bijzonder gevoelig voor akten met lange verjaringstermijnen (5 jaar in handelszaken, 30 jaar voor onroerend goedrechten).

Gebruiksscenario's : hoe organisaties de eIDAS 2-overgang anticiperen

Scenario 1 : een advocatenkantoor van 25 medewerkers rationaliseert haar documentaire conformiteit

Een advocatenkantoor gespecialiseerd in bedrijfsrecht, met ongeveer 25 medewerkers en intense activiteiten rond ondertekening van volmachten, cession-akten en akkoordprotocollen, gebruikte tot 2024 een geavanceerde handtekeningenoplossing (AdES) voor alle workflows. Na de aankondiging van eIDAS 2 voerde het kantoor een audit uit van zijn ongeveer 1.200 jaarlijks ondertekende documenten om te bepalen welke volgens de nieuwe aanbevelingen van zijn balie een QES nodig hebben.

Resultaat : 15% van de akten (ongeveer 180 per jaar) is opnieuw ingedeeld als gekwalificeerde handtekening, wat het bewijsregime van deze documenten heeft veiliggesteld. Het kantoor onderhandelde met zijn handtekeningenuitgever een clausule die eIDAS 2-conformiteit garandeerde bij publicatie van de uitvoeringshandelingen, zonder extra kosten. De administratieve tijd voor identiteitsverificatie van ondertekenende partijen daalde met 40% dankzij de anticipatie op EUDIW-integratie gepland voor 2026.

Scenario 2 : een industriële KMO van 150 medewerkers beveiligt haar leverancierscontractenketen

Een industriële KMO die ongeveer 350 leverancierscontracten per jaar beheert — inkooporders, NDA's, raamcontracten — werkte met twee verschillende handtekeningenoplossingen voor interne en externe workflows, wat fragmentatie van auditbewijzen veroorzaakte. In het kader van de eIDAS 2-overgang en nieuwe gekwalificeerde archiveringsexigentie besloot de IT-afdeling het platform te unifiseren.

Door migratie naar een unieke oplossing met gekwalificeerde elektronische archivering (toekomstige eIDAS 2-categorie), reduceerde de KMO haar veilige opslagkosten met 30% en consolideerde zij haar handtekeningsbewijzen in een digitale kluis die conform was. De gehele documentenketen is nu controleerbaar in minder dan 2 minuten bij leverancierscontroles — een groeiende eis van hun gegeven in de automobielindustrie.

Scenario 3 : een ziekenhuisgroep van ongeveer 600 bedden bereidt EUDIW-integratie voor

Een openbare ziekenhuisgroep gebruikte gekwalificeerde elektronische handtekeningen voor haar medische contracten en openbare aanbestedingen, in overeenstemming met verplichtingen onder de aanbestedingscode. Met eIDAS 2 heeft de IT-afdeling twee prioritaire problemen geïdentificeerd : toekomstige integratie van de "France Identité"-wallet voor freelance artsen die in de instelling werkzaam zijn, en NIS2-conformiteit van zijn QTSP.

De ziekenhuisgroep ingeschreven in haar digitale strategieschema 2025-2028 een specifiek onderdeel "eIDAS 2-conformiteit", met een begrotingsvoorstel van 45.000 € voor technische migratie en personeelsopleiding. Het doel is in staat te zijn handtekeningen via EUDIW te accepteren zodra nationale implementatie in november 2026 is gepland, waardoor contractduur met zelfstandige zorgprofessionals van 3 dagen naar gemiddeld minder dan 4 uur wordt teruggebracht volgens beschikbare sectorale benchmarks.

Conclusie

De overgang van eIDAS 1 naar eIDAS 2 is geen breuk maar een gestructureerde evolutie, met een nauwkeurig rooster dat zich tot 2027 uitstrekt. De gevolgen voor elektronische handtekeningen zijn reëel — uitbreiding van gekwalificeerde diensten, komst van EUDIW, verzwaring van NIS2-eisen voor QTSP — maar beheersbaar zolang zij van tevoren worden ingepland. Bedrijven die nu handelen, hebben speelruimte om hun workflows te controleren, contracten met hun serviceproviders veilig te stellen en hun teams op te leiden zonder druk van regelgevingsurgentie.

Certyneo begeleidt bedrijven bij deze overgang met een duidelijk eIDAS 2-conformiteitplan, handtekeningsformaten die up-to-date worden gehouden en een architectuur klaar voor EUDIW-integratie. Klaar om uw handtekeningsstromen in dit nieuwe regelgevingskader veilig te stellen ? Ontdek onze aanbiedingen en start gratis op Certyneo.