eIDAS-compliance voor het MKB: de volledige checklist voor 2026

De Europese eIDAS-verordening (EU nr. 910/2014, binnenkort gewijzigd door eIDAS 2.0) regelt elektronische handtekeningen in de hele Europese Unie. Voor een MKB-bedrijf is naleving van de regels niet slechts een vinkje: het is de garantie dat zijn contracten afdwingbaar zijn, dat zijn handtekeninggegevens beschermd zijn en dat het zichzelf beschermt tegen juridische risico's die kostbaar kunnen zijn. Hier is de checklist voor 2026 in 12 concrete punten om te controleren of uw kmo volledig eIDAS-compliant is.

Punt 1: kies het juiste handtekeningniveau

Eerste reflex: breng uw contracttypes in kaart en koppel er een streefniveau aan. Standaard commerciële contracten (offertes, inkooporders, eenvoudige geheimhoudingsverklaringen): SES is voldoende. Arbeidscontracten, huurcontracten, gevoelige geheimhoudingsverklaringen, strategische overeenkomsten: minimaal AES, bij voorkeur met OTP-sms. Gereglementeerde handelingen (advocaat, notaris, overheidsopdrachten boven een drempel): Verplichte QES. Zonder deze mapping riskeert u ondermaats (geweigerd contract) of overmaats (buitensporige kosten).

Punt 2: controleer de kwalificatie van de dienstverlener

Uw dienstverlener moet een vertrouwde dienstverlener (QTSP) zijn of afhankelijk zijn van een QTSP voor AES/QES-niveaus. Raadpleeg de Trust Services List gepubliceerd door ANSSI (eidas.ssi.gouv.fr) en de European Trusted List (webgate.ec.europa.eu/tl-browser). De Franse referentie-QTSP's: Certigna, Doaposte, Certinomis, Universign. Voor SES/AES via platform (Certyneo, Yousign, enz.), controleer hun expliciet gedocumenteerde eIDAS-compliance.

Punt 3: Test de audit trail

Onderteken een testenvelop en verzamel de audit trail (meestal een aparte PDF). Het moet bevatten: identiteit en e-mailadres van de ondertekenaar, tijdstempel van elke stap (verzenden, openen, validatie, handtekening), IP-adres, user-agent, hash van het document, OTP-validatie als AES. Als één van deze elementen ontbreekt, wordt de bewijskracht verzwakt. Certyneo biedt het volledige audittraject, zelfs met een gratis abonnement.

Punt 4: controleer de tijdstempel

De tijdstempel moet zijn uitgegeven door een Time Stamp Authority (TSA) die voldoet aan RFC 3161. Een tijdstempel eenvoudigweg afkomstig van een NTP-server van het bedrijf is niet voldoende. Open de ondertekende PDF in Adobe Reader: tabblad Handtekeningen → Details → Tijdstempel. Daar zou u een geldig TSA-certificaat en een gecertificeerde klok moeten zien. Als de PDF geen gecertificeerde tijdstempel heeft, moet u terugvallen op de keuze van de serviceprovider.

Punt 5: archivering gedurende minstens 10 jaar

Het Wetboek van Koophandel (artikel L. 123-22) vereist een opslag van 10 jaar voor handelsdocumenten. De Arbeidswet legt een termijn van vijf jaar op voor arbeidsovereenkomsten na beëindiging ervan. Bij archivering moeten de integriteit (hash, verzegeling) en toegang behouden blijven. Ideaal: PDF/A-formaat (ISO 19005), dubbele opslag (primaire + externe back-up), gekwalificeerde elektronische kluis (CFE) voor maximaal bewijs. Certyneo archiveert standaard 10 jaar en biedt export aan naar CFE-partners.

Punt 6: controleer de gegevenslokalisatie

Waar worden uw handtekeninggegevens gehost? Voor een Franse kmo die zich bezighoudt met gevoelige contracten, kiest u voor Franse of EU-hosting. Vraag uw dienstverlener naar de lijst met onderaannemers en hun locatie (artikel 28 AVG). Vermijd oplossingen die vallen onder de Amerikaanse Cloud Act voor strategische contracten. Certyneo wordt gehost in Frankrijk, zonder afhankelijkheid van de Cloud Act. Zie ons artikel op /blog/cloud-act-signature-electronique.

Punt 7: verwoorden met de AVG

Handtekening en AVG zijn nauw met elkaar verbonden: elke envelop bevat persoonlijke gegevens (naam, e-mail, IP, telefoon). Zorg ervoor dat uw verwerkingsregister (art. 30 AVG) de elektronische handtekening bevat, dat de bewaartermijnen consistent zijn (10 jaar) en dat de rechten van individuen kunnen worden geïmplementeerd (toegang, rectificatie, overdraagbaarheid). Als u veel handtekeningen vraagt, is een DPO aan te raden. Zie ons artikel /blog/signature-electronique-rgpd.

Punt 8: identificeer ondertekenaars stroomopwaarts

Voor een solide AES begint identificatie niet met ondertekening: het begint met het verzamelen van gegevens. Controleer e-mails (geen aliassen, geen mailinglijst), telefoonnummers (geen gedeelde lijn) en houd de identificatiebron bij (ID voor zware contracten, bestaande klant-KYC voor lopende contracten). Door deze due diligence is het bewijsmateriaal solide in geval van een geschil.

Punt 9: train de teams

Uw verkoop-, HR- en juridische teams moeten de regels begrijpen: dwing een ondertekenaar nooit om een ​​apparaat van derden te gebruiken, stuur nooit een gewijzigde ondertekende PDF terug, plak nooit een gescande handtekeningafbeelding in plaats van een echte handtekening. Eén uur training per team is voldoende om goede reflexen bij te brengen. Certyneo biedt een complete gids om intern te delen (/bronnen).

Punt 10: controleer de contracten van de dienstverleners

De CGU/CGV van de handtekeningdienstverlener moet: de eIDAS-naleving initiëren, archiveringsperioden specificeren, een AVG-uitbestedingsovereenkomst opnemen (art. 28), de onderaannemers documenteren, een omkeerbaarheidsplan voorleggen in geval van stopzetting. Vraag ook SOC 2 Type II of gelijkwaardig aan als u grote volumes verwerkt. Voor Certyneo zijn deze documenten beschikbaar op /legal en /security.

Punt 11: bereid eIDAS 2.0 en de EUDI Wallet voor

De eIDAS 2.0-verordening (EU 2024/1183) wordt geleidelijk van kracht en vereist dat de lidstaten vóór eind 2026 een EUDI Wallet implementeren. Deze digitale identiteitsportemonnee zal met name toegang tot de QES op afstand mogelijk maken zonder een fysiek registratiekantoor. Bereid uw kmo voor: controleer of uw serviceprovider een EUDI Wallet-routekaart heeft, volg de mededelingen van ANSSI en de Europese Commissie. Zie /blog/eidas-2-nouveau-reglement-2026.

Punt 12: jaarlijkse audit

Compliance is geen verworven status: het is een continu proces. Plan een jaarlijkse audit (intern of extern) om het volgende te controleren: wijzigingen in de regelgeving, ontwikkelingen bij dienstverleners, up-to-date overzicht van contracttypen, effectief behoud, training van nieuwe rekruten. Een lichte audit duurt voor een kmo een halve dag en voorkomt veel verrassingen. Begin met het aanmaken van een gratis Certyneo-account op certyneo.com/signup om de naleving in de praktijk te testen, en bekijk vervolgens onze eIDAS-gids om dieper te graven (/guide/eidas).