eIDAS 2: de nieuwe Europese verordening uitgelegd in 2026

Inleiding: waarom eIDAS 2 alles verandert voor Europese ondernemingen

De verordening die op 20 mei 2024 van kracht werd na een lange wetgevingsprocedure, eIDAS 2 — officieel genoemd Verordening (EU) 2024/1183 — vertegenwoordigt de meest ambitieuse hervorming ooit ondernomen op het gebied van elektronische identificatie en vertrouwensdiensten in Europa. Het herroept en vervangt gedeeltelijk de oorspronkelijke eIDAS-verordening van 2014 (nr. 910/2014), terwijl de achterwaartse compatibiliteit met de bestaande infrastructuur behouden blijft. Voor ondernemingen die elektronische handtekeningen conform eIDAS gebruiken, introduceert deze herziening nieuwe verplichtingen, ongekende mogelijkheden en een strak nalevingsschema tot 2026 en daarna. Dit artikel ontcijfert diepgaand de belangrijkste bepalingen van de tekst, hun operationele gevolgen en hoe uw organisatie zich erop kan voorbereiden.

---

Wat eIDAS 2 fundamenteel verandert

Van de verordening van 2014 naar de versie van 2024: een structurele herziening

De oorspronkelijke eIDAS-verordening van 2014 had de basis gelegd voor wederzijdse erkenning van elektronische identificatieschema's tussen lidstaten en een uniform juridisch kader voor vertrouwensdiensten (handtekening, zegel, tijdstempel, enz.) vastgesteld. Maar tien jaar later waren de tekortkomingen duidelijk: laag adoptiepercentage van aangegeven eID's, versnippering van nationale oplossingen, afwezigheid van een universeel digitaal portefeuille voor burgers, en vooral ongeschiktheid voor webgebruiken (GAFAM uitgesloten van het vertrouwenskader).

eIDAS 2 corrigeert deze tekortkomingen op drie belangrijke gebieden:

1. De Europese portefeuille voor digitale identiteit (EUDI Wallet) — elke lidstaat moet uiterlijk in november 2026 een toepassing voor digitale portefeuilles aanbieden waarmee elke Europese burger of ingezetene zijn of haar identiteitskenmerken (identiteitsbewijs, rijbewijs, diploma's, enz.) veilig kan opslaan en presenteren.
2. De uitbreiding van gekwalificeerde vertrouwensdiensten — de tekst voegt nieuwe gekwalificeerde diensten toe: beheer van gekwalificeerde elektronische archiveringsservice (QESAP), gekwalificeerde identiteitskenmerkverslagen (QEAA), gekwalificeerde elektronische grootboeken (QLED) en beheer van apparaten voor het aanmaken van handtekeningen op afstand (QRCD).
3. De verplichting voor grote platforms — aanbieders van online diensten van grote omvang (sociale netwerken, marktplaatsen) zullen het EUDI-portefeuille moeten accepteren voor gebruikersauthenticatie.

De EUDI Wallet-portefeuille: architectuur en werking

De EUDI Wallet staat centraal in eIDAS 2. Concreet gaat het om een softwaretoepassing — geleverd of gecertificeerd door elke lidstaat — die gebaseerd is op een gedecentraliseerd model voor selectieve presentatie van kenmerken. De gebruiker verzendt alleen de gegevens die strikt noodzakelijk zijn voor de transactie (minimaliseringsprincipe, conform GDPR).

Vanuit technisch oogpunt rust de architectuur op de specificaties van het Architecture Reference Framework (ARF), gepubliceerd door de Europese Commissie en regelmatig bijgewerkt door het Large Scale Pilot (LSP) dat vier pilotconsortia groepeert (DC4EU, EWC, POTENTIAL, NOBID). De gekozen gegevensformaten zijn voornamelijk ISO/IEC 18013-5 (mDL/mDocs) en W3C Verifiable Credentials, die grensoverschrijdende interoperabiliteit garanderen.

Voor ondernemingen betekent dit dat zij op termijn de identiteit van hun klanten of partners via het portefeuille kunnen verifiëren zonder zelf gegevens in te zamelen — wat de KYC-franje (Know Your Customer) aanzienlijk vermindert en frauderisico's met documenten beperkt.

---

De vertrouwensniveaus en de hiërarchie van handtekeningen: wat verandert

Handhaving van de QES / AdES / SES-hiërarchie

Het elektronische handtekeningenstelsel blijft gestructureerd rond drie niveaus die in artikel 3 van eIDAS 2 zijn gedefinieerd (waarin de terminologie van 2014 wordt overgenomen maar de technische vereisten worden verduidelijkt):

• Eenvoudige elektronische handtekening (SES): minimale bewijswaarde, geschikt voor gangbare handelingen.
• Geavanceerde elektronische handtekening (AdES): exclusieve koppeling aan ondertekenaar, mogelijkheid om latere wijzigingen op te sporen.
• Gekwalificeerde elektronische handtekening (QES): wettelijk equivalent van handgeschreven handtekening in de gehele EU (artikel 25§2), uitgegeven via een gekwalificeerd handtekeningcreatierapparaat (QSCD) op basis van een gekwalificeerd certificaat.

Het nieuwste onderdeel ligt in de manier waarop QES nu kan worden geleverd via gekwalificeerde services voor handtekeningen op afstand (QRCD), waarvan de toestemmingsvoorwaarden in artikelen 29a en 29b van de herziene tekst zijn gespecificeerd. Dit opent de weg voor 100% digitale flows voor de meest veeleisende handelingen — notariële contracten, elektronische notariële akten — zonder behoefte aan fysieke smartcards.

De gevolgen voor aanbieders van gekwalificeerde vertrouwensdiensten (QTSP)

Aanbieders zoals Certyneo, die werken op basis van gecertificeerde QTSP's, moeten voorbereid zijn op de nieuwe controle-eisen die door eIDAS 2 zijn geïntroduceerd. Artikel 24 verplicht nu versterkte controles op de uitbestedingsketen, en de eisen voor melding van beveiligingsincidenten stemmen expliciet af op die van NIS2-richtlijn (meldingstermijn van 24 uur). Voor meer diepgang over hoe de verschillende handtekeningniveaus in een B2B-context werken, zie onze complete gids voor elektronische handtekeningen in ondernemingen.

---

Implementatiekalender en verplichtingen voor ondernemingen in 2025-2026

De belangrijkste implementatiestappen

De verordening (EU) 2024/1183 is op 30 april 2024 in het Publicatieblad van de EU gepubliceerd en op 20 mei 2024 van kracht geworden. De uitvoerings- en gedelegeerde handelingen — essentieel om de technische vereisten te verduidelijken — worden geleidelijk gepubliceerd:

| Deadline | Verplichting | |---|---| | Mei 2024 | Inwerkingtreding van de verordening | | Eind 2024 | Publicatie van uitvoeringshandelingen op ARF v2.0 | | Midden 2025 | Certificering van eerste EUDI Wallet-pilots | | November 2026 | Verplichte beschikbaarheid van EUDI Wallet in elke lidstaat | | 2027 | Verplichte aanvaarding door grote onlineplatforms |

Wat B2B-ondernemingen nu moeten doen

Voor ondernemingen die gebruikmaken van elektronische handtekeningoplossingen, zijn drie prioriteiten in 2025-2026 essentieel:

1. Controleer hun vertrouwensketen: verifieer dat hun ondertekenaar inderdaad voorkomt op de QTSP-lijst (Trusted List) van hun lidstaat, en dat de gebruikte certificaten voldoen aan de herziene ETSI EN 319 401 en EN 319 411-1 specificaties.

2. Anticiperen op integratie van het EUDI-portefeuille: ondernemingen in gereglementeerde sectoren (bankwezen, verzekeringen, gezondheidszorg, onroerend goed) zullen onder de eersten zijn die door portefeuilleflows voor identiteitsverificatie worden getroffen. Het voorbereiden van integratie-API's in 2025 is raadzaam.

3. Herzien hun bewaaringsbeleid: de nieuwe gekwalificeerde service voor elektronische archivering (QESAP) introduceert standaarden voor langetermijnbewaring die zich in bepaalde sectoren kunnen opleggen (openbare aanbestedingen, farmaceutische industrie). Onze ROI-calculator voor elektronische handtekeningen helpt u de financiële gevolgen van een upgrade van uw documentaire infrastructuur in te schatten.

---

Interoperabiliteit, GDPR en kwesties van digitale soevereiniteit

eIDAS 2 en GDPR: versterkte complementariteit

Een van de belangrijkste voortuitgangen van eIDAS 2 is de expliciete integratie van gegevensbescherming-by-design principes in de architectuur van het EUDI-portefeuille. Artikel 5a§14 bepaalt dat het portefeuille aanbieders niet toestaat het gebruikersgedrag tijdens transacties te volgen. Uitgevers van gekwalificeerde identiteitskenmerken (QEAA) worden niet geïnformeerd hoe de afgegeven attesten worden gebruikt — wat een grote breuk vormt met de huidige gecentraliseerde modellen.

Deze architectuur staat bekend als unlinkability (onkoppelbaarheid): twee verschillende transacties van dezelfde gebruiker kunnen niet aan elkaar worden gekoppeld zonder toestemming. Deze waarborg gaat verder dan de minimumvereisten van de GDPR en sluit perfect op deze aan.

De geopolitieke dimensie: controle herwinnen over digitale identiteit

eIDAS 2 beantwoordt ook aan een soevereiniteitsvraagstuk. Vandaag rust online authenticatie grotendeels op de knoppen "Inloggen met Google/Facebook/Apple", wat Amerikaanse technologiebedrijven een dominante positie geeft in het beheer van Europese digitale identiteiten. Door zeer grote platforms (in de zin van de Digital Services Act) te verplichten het EUDI-portefeuille als authenticatiemiddel te accepteren, creëert eIDAS 2 een interoperabel en soeverein alternatief.

Voor B2B-ondernemingen betekent dit ook dat eIDAS 2-naleving een criteria voor leveranciersselectie kan worden in openbare en private aanbestedingen — net als ISO 27001-certificering vandaag doet in inkoopprocessen. Als uw organisatie van gedachten verandert over het verbeteren van uw huidige oplossing, beschrijft onze gids voor migratie van DocuSign of YouSign naar Certyneo de stappen van een gecontroleerde overgang.

Juridisch kader van toepassing op eIDAS 2 en elektronische handtekeningen

Referentieteksten

Verordening (EU) 2024/1183 van het Europees Parlement en de Raad van 11 april 2024, tot wijziging van Verordening (EU) nr. 910/2014 met betrekking tot de vaststelling van het Europese kader voor digitale identiteit (eIDAS 2). Gepubliceerd in het Publicatieblad van de EU op 30 april 2024, van kracht geworden op 20 mei 2024.

Verordening (EU) nr. 910/2014 (eIDAS 1): van kracht gebleven voor de bepalingen die niet zijn gewijzigd, met name de artikelen met betrekking tot de vertrouwensniveaus "laag", "wezenlijk" en "hoog" voor aangegeven identificatieschema's.

Burgerlijk Wetboek, artikelen 1366 en 1367 (voor Nederlandse context vergelijkbaar met relevante wetgeving): elektronische geschriften hebben dezelfde bewijswaarde als papieren geschriften op voorwaarde dat de persoon van wie zij afkomstig zijn behoorlijk is geïdentificeerd en dat het document onder voorwaarden is opgesteld die de integriteit waarborgen. De gekwalificeerde elektronische handtekening (QES) in de zin van eIDAS 2 voldoet automatisch aan deze vereisten.

Verordening (EU) 2016/679 (GDPR): de verwerking van identiteitsgegevens in het kader van het EUDI-portefeuille valt onder de minimaliserings- (art. 5§1c), doelbeperkings- (art. 5§1b) en privacy-by-design-principes (art. 25). Gekwalificeerde dienstverleners hebben een afzonderlijke verwerkingsverantwoordelijkenrol voor verificatiebewerkingen.

Richtlijn (EU) 2022/2555 (NIS2): omgezet in Nederlandse wetgeving door de nodige regelgeving, stelt zij aanbieders van gekwalificeerde vertrouwensdiensten onder cyberbeveiligingsbeheerings- en meldingsverplichtingen (binnen 24 uur).

ETSI-normen:

• EN 319 132 (XAdES) en EN 319 122 (CAdES): geavanceerde elektronische handtekeningformaten.
• EN 319 401: algemene vereisten voor aanbieders van vertrouwensdiensten.
• EN 319 411-1 en 411-2: beleid en veiligheidsvereisten voor CA's die gekwalificeerde certificaten uitgeven.
• EN 319 521: vereisten voor gekwalificeerde handtekeningbewaringsdiensten (QESAP).

Verplichtingen en juridische risico's voor ondernemingen

Elke onderneming die elektronische handtekeningen in een contractuele context gebruikt, moet garanderen dat het gekozen handtekeningsniveau passend is voor de waarde en aard van de handeling. Voor handelingen met een wettelijke ondertekensverplichting (verkoopbeloften, arbeidsovereenkomsten, aanbestedingscodes die bepaalde drempels overschrijden), biedt alleen QES of AdES op basis van een gekwalificeerd certificaat de vermoeden van betrouwbaarheid zoals bedoeld in artikel 26 van eIDAS 2.

Bij een geschil keert de bewijslast om: als de handtekening gekwalificeerd is, moet de partij die het document betwist de wijziging ervan bewijzen; als zij eenvoudig of geavanceerd zonder gekwalificeerd certificaat is, rust de bewijslast op de ondertekenaar die ervan beroep doet. Het niet naleven van traceerings- en integriteitsvereisten kan tot nietigheid van de handeling of onverbindendheid van de handtekening tegenover derden leiden.

Gebruiksscenario's: eIDAS 2 toegepast op B2B-ondernemingen

Scenario 1 — Een adviesbureau voor digitale transformatie (ongeveer 80 consultants)

Een advieskantoor dat zijn consultants in meerdere lidstaten (Frankrijk, Duitsland, Nederland) inzet, moet maandelijks machtigingsorders, contractaanpassingen en opnameverklaringen laten ondertekenen. Vóór eIDAS 2 veroorzaakte het beheer van grensoverschrijdende identiteiten veel wrijving: Duitse klanten weigerden certificaten van een Frans QTSP te erkennen, dubbele e-mailauthenticatie was ontoereikend voor gevoelige handelingen.

Met de implementatie van het EUDI-portefeuille in 2026 kunnen consultants uit hun nationale portefeuille ondertekenen — zonder enige wrijving erkend in alle lidstaten. Het kantoor verwacht een reductie van 60 tot 70% in de tijd die aan documentverificatieuitwisselingen voorafgaand aan ondertekening wordt besteed, oftewel ongeveer 3 tot 4 uur per consultant per maand volgens sectorale benchmarks van McKinsey Digital (2024).

Scenario 2 — Een KMO in de industrie die 350 leverancierscontracten per jaar beheert

Een KMO in de industriële apparaten, werkend met honderd Europese en Aziatische leveranciers, moet aanbestedingen, vertrouwelijkheidsovereenkomsten (NDA's) en raamcontracten contracteren. Tot nu toe keerden 30% van deze documenten zonder geldige handtekening terug of met vertragingen van meer dan 10 werkdagen.

Door een elektronische handtekeningoplossing conform eIDAS 2 aan te nemen met identiteitsverificatie via gekwalificeerde kenmerken (QEAA), kan de KMO een flow afdwingen waarbij de identiteit van de juridische vertegenwoordiger van de leverancier automatisch via het EUDI-portefeuille wordt geverifieerd, zonder handmatige invoer. Verwacht resultaat: vermindering van gemiddelde ondertekeningstermijn van 10 dagen tot minder dan 48 uur, en afname van 40% in geschillen over niet-conforme handtekeningen, op basis van bereiken waargenomen in ELENIUS 2025-rapporten over B2B-dedigitalisering.

Scenario 3 — Een groep makelaars die in meerdere landen verkoopakkoorden beheert

Een netwerk van makelaarskantoren dat actief is in Frankrijk, Spanje en Portugal moet regelmatig pre-contracten tussen verkopers en kopers van verschillende nationaliteiten laten ondertekenen. QES is in bepaalde contexten vereist om gelijkwaardigheid met handgeschreven handtekeningen voor notarissen te garanderen.

Dankzij eIDAS 2 en de interoperabiliteit van EUDI-portefeuilles kan een Portugese koper een akkord ondertekenen onder Frans recht met behulp van zijn nationale portefeuille, met een "hoog" vertrouwensniveau dat automatisch door het handtekeningplatform wordt erkend. De groep vermindert reiskosten en legalisatiekosten met ongeveer 800 tot 1.200 euro per grensoverschrijdend dossier, terwijl de ondertekeningstermijn voor pre-contracten van 3 weken tot gemiddeld 5 dagen afneemt. Voor sectorspecifieke gebruik, onze speciale pagina over elektronische handtekeningen in onroerend goed beschrijft aangepaste workflows.

Conclusie

eIDAS 2 is geen eenvoudige regelgeving-update: het is een grondige herziening van hoe digitale identiteit en elektronisch vertrouwen in Europa werken. Het EUDI Wallet-portefeuille, de nieuwe gekwalificeerde diensten, de interoperabiliteitsplicht en de afstemming met NIS2 en GDPR vormen een coherent ecosysteem dat de contractuele en authenticatieprocessen van ondernemingen tot eind 2026 zal transformeren.

Om in overeenstemming en competitief te blijven, moeten B2B-organisaties nu handelen: hun vertrouwensketen controleren, een dienstverlener kiezen die aansluit op de nieuwe eisen en hun documentflows voorbereiden op integratie van de Europese digitale portefeuille.

Certyneo begeleidt u bij deze overgang met gekwalificeerde elektronische handtekeningoplossingen conform eIDAS 2, klaar voor 2026. Vraag een demonstratie aan of maak uw account op Certyneo om uw contracten vandaag al veilig te stellen.