Verplichtingen handtekening elektronisch diensten Nederland

Inleiding

Het implementeren van een oplossing voor elektronische handtekeningen in Nederland vergt grondige voorbereiding. Achter elke gekwalificeerde of geavanceerde handtekening verschuilen zich tientallen juridische verplichtingen die voor de dienstaanbieder van vertrouwensdiensten (DAVD) gelden. eIDAS-verordening, RGPD, algemeen beveiligingsreferentiekader, ETSI-normen… het regelgevingskader is zowel uitgebreid als dynamisch. Voor gebruiksorganisaties is het begrijpen van deze juridische verplichtingen voor elektronische handtekeningsdiensten Nederland eIDAS RGPD essentieel om een conforme partner te kiezen en juridische risico's te vermijden. Dit artikel beschrijft in detail, sectie voor sectie, alle vereisten die van toepassing zijn op DAVD's die actief zijn op Nederlands grondgebied.

---

De status van gekwalificeerde dienstaanbieder van vertrouwensdiensten

Wat is een DAVD volgens eIDAS?

De verordening eIDAS nr. 910/2014 onderscheidt twee categorieën dienstaanbieders : niet-gekwalificeerde dienstaanbieders van vertrouwensdiensten en gekwalificeerde dienstaanbieders (GDAVD). De eerste kunnen diensten voor eenvoudige of geavanceerde elektronische handtekeningen aanbieden zonder verplichte audit door derden. De tweede — uitsluitend gemachtigd voor het afgeven van gekwalificeerde handtekeningen volgens artikel 3(15) van eIDAS — moeten aanzienlijk strenger voldoen aan eisen.

In Nederland vervult het Logius (voorheen het Ministerie van Binnenlandse Zaken) de rol van toezichthoudende autoriteit zoals voorzien in artikel 17 van eIDAS. Het publiceert en handhaaft de Nederlandse vertrouwenslijst (TSL — Trust Service List), toegankelijk op de officiële website, waarin de gekwalificeerde dienstaanbieders en hun diensten zijn opgesomd.

De kwalificatieprocedure : audit en naleving

Om de gekwalificeerde status te verkrijgen, moet een DAVD verplicht :

• Zijn diensten laten auditeren door een door Logius erkende conformiteitsbeoordelingsorganisatie (CAB — Conformity Assessment Body) volgens de norm EN ISO/IEC 17065.

• Het auditrapport indienen bij Logius, die beslist over toekenning van de gekwalificeerde status. Deze status wordt minstens elke 24 maanden opnieuw beoordeeld (artikel 20 §1 eIDAS).

• Logius in kennis stellen van elke substantiële wijziging in zijn diensten, ten minste 3 maanden voor de geplande wijziging (artikel 21 eIDAS).

Het niet nakomen van deze stappen exposeert de aanbieder voor verwijdering uit de TSL en verlies van de juridische vermoedens verbonden aan de gekwalificeerde handtekening. Voor gebruikersorganisaties betekent het gebruik van een DAVD die niet op de TSL staat feitelijk dat geen enkel wettelijk vermoeden van betrouwbaarheid geldt.

> Voor meer informatie over de verschillende handtekeningniveaus en hun juridische gevolgen, raadpleeg onze complete gids voor eIDAS 2.0.

---

Technische en beveiligingsverplichtingen voor DAVD's

Naleving van ETSI-normen

Gekwalificeerde dienstaanbieders moeten voldoen aan een reeks Europese normen uitgegeven door het European Telecommunications Standards Institute (ETSI). De belangrijkste zijn :

• ETSI EN 319 401 : algemene beveiligingsvereisten die van toepassing zijn op alle DAVD's.

• ETSI EN 319 411-1 en 411-2 : beleidsregels en praktijken van certificeringsinstanties die gekwalificeerde handtekeningscertificaten afgeven.

• ETSI EN 319 132 : formaten voor geavanceerde elektronische handtekeningen (XAdES voor XML, PAdES voor PDF, CAdES voor CMS).

• ETSI EN 319 122 : CAdES-formaat voor gekwalificeerde handtekeningen.

• ETSI TS 119 431 : vereisten voor op afstand gemaakte handtekeningsservices (QSCD op afstand).

Deze normen zijn niet optioneel : de eIDAS-verordening (Bijlagen II, III en IV) verwijst daar expliciet naar voor het definiëren van de minimumvereisten voor gekwalificeerde certificaten en handtekeningsscheppingsapparaten.

Beheer van gekwalificeerde handtekeningsscheppingsapparaten (QSCD)

Een van de pijlers van de gekwalificeerde handtekening is het gebruik van een gekwalificeerd handtekeningsscheppingsapparaat (QSCD — Qualified Signature Creation Device) conform Bijlage II van eIDAS. De aanbieder moet waarborgen dat :

• De persoonlijke sleutel van de ondertekenaar niet buiten het QSCD kan worden gegenereerd, opgeslagen of gekopieerd.

• Sleutelgeneratie uitsluitend plaatsvindt in een gecertificeerde omgeving (Common Criteria EAL 4+ certificering of gelijkwaardig).

• Authenticatie van de ondertekenaar voorafgaand aan elke handtekeninghandeling berust op minstens twee authenticatiefactoren.

In een context van op afstand gemaakte handtekeningen — steeds gebruikelijker in SaaS-omgevingen — gelden deze vereisten voor de HSM-server (Hardware Security Module) die de sleutels host. Logius heeft specifieke beveiligingsprofielen gepubliceerd die de beveiligingscriteria definiëren.

Continuïteitsbeleid en incidentmeldingsbeleid

Artikel 19 van eIDAS verplicht elke dienstaanbieder van vertrouwensdiensten (gekwalificeerd of niet) om :

• De toezichthoudende autoriteit (Logius) en, indien van toepassing, de gegevensbeschermingsautoriteit (Autoriteit Persoonsgegevens) binnen 24 uur in kennis te stellen na ontdekking van een beveiligingsinbreuk die de betrouwbaarheid van de dienst kan aantasten.

• Een gedocumenteerd en regelmatig getest bedrijfscontinuïteitsplan te hanteren.

• Een informatiebeleid dat geformaliseerd is en met name risicobeheersing, incidentenbeheersing en back-upbeleid omvat.

Deze vereisten overlappen gedeeltelijk met die van de NIS2-richtlijn (2022/2555/EU), geïmplementeerd in Nederlands recht door de Uitvoeringsrichtlijn Richtlijn Netwerkbeveiliging en Informatiebeveiliging, die DAVD's van aanzienlijke omvang classificeert als belangrijke of essentiële entiteiten met verhoogde cyberveiligheidsverplichting.

> Ontdek hoe de elektronische handtekening voor advocaten kantoren deze beperkingen in hun documentaire workflows moet integreren.

---

RGPD-verplichtingen specifiek voor DAVD's

De DAVD, verwerkingsverantwoordelijke of verwerker ?

De RGPD-kwalificatie van de aanbieder hangt af van de aard van de verleende dienst :

• Wanneer de DAVD rechtstreeks gekwalificeerde certificaten afgeeft op naam van de ondertekenaar en de doeleinden van de verwerking van persoonlijke gegevens bepaalt (identiteit, biometrische authenticatiegegevens), handelt hij als verwerkingsverantwoordelijke volgens artikel 4(7) RGPD.

• Wanneer het zijn API in het platform van een B2B-klant integreert en persoonlijke gegevens alleen verwerkt volgens de instructies van die klant, draagt hij de kwaliteit van verwerker (artikel 4(8) RGPD) en moet verplicht een verwerkersovereenkomst aangaan conform artikel 28 RGPD.

In de praktijk verenigen de meeste DAVD's beide kwaliteiten : verwerkingsverantwoordelijke voor het beheer van hun eigen certificeringsinfrastructuur, verwerker voor de verwerking van documenten en metagegevens van ondertekenaarders.

Specifieke verplichtingen met betrekking tot biometrische gegevens en identiteitsgegevens

Het identificeren en authenticeren van de ondertekenaar — verplichte stap voor het afgeven van een gekwalificeerd certificaat — omvat vaak verwerking van gevoelige gegevens : scan van identiteitsdocument, selfie-video, biometrische herkenningsgegevens. Deze gegevens vormen persoonlijke gegevens onderworpen aan RGPD, of zelfs biometrische gegevens onder artikel 9 RGPD (bijzondere categorieën).

De verplichtingen van de DAVD omvatten :

• Juridische grondslag : expliciete toestemming (artikel 9§2a) of, in bepaalde gevallen, wettelijke verplichting (artikel 9§2b) voor verwerking van biometrische gegevens.

• Beperkte opslagduur : volgens richtlijnen van de Autoriteit Persoonsgegevens moeten identificatiegegevens voor het strikt noodzakelijke moment worden bewaard, meestal afgestemd op de geldigheidsduur van het certificaat + wettelijke bewijsduur (vaak 10 jaar voor handgeschreven akten, artikel 1974 Burgerlijk Wetboek).

• Effectbepaling (DPIA) verplicht (artikel 35 RGPD) zodra de verwerking waarschijnlijk een hoog risico met zich meebrengt — wat systematisch het geval is voor biometrie.

• Verwerkingsregister (artikel 30 RGPD) up-to-date gehouden en documenterend voor elke verwerkingscategorie.

Internationale dataoverdrachten

Veel DAVD's hosten de hele of deel van hun infrastructuur buiten de Europese Economische Ruimte (EER). In dat geval gelden de passende waarborgen vereist volgens hoofdstuk V van de RGPD : adequaatheidsbesluit, standaardcontractbepalingen (SCC) van de Europese Commissie of bindende bedrijfsregels (BCR). Het arrest Schrems II (HvJ EU, C-311/18, 16 juli 2020) heeft onderstreept dat overdrachten naar de Verenigde Staten een voorafgaande landrisico-analyse vereisen.

> Voor inzicht in de impact van deze regels op uw organisatie, raadpleeg onze gids over elektronische handtekening in het bedrijfsleven.

---

Verplichtingen tot transparantie en informatie aan gebruikers

Certificeringsbeleid (CP) en certificeringspraktijkverklaring (CPV)

Elke DAVD die certificaten afgeeft, is verplicht een Certificeringsbeleid (CP) en een Certificeringspraktijkverklaring (CPV) te publiceren, in overeenstemming met de norm ETSI EN 319 411. Deze vrij toegankelijke documenten detailleren :

• De procedures voor identificatie en registratie van ondertekenaarders.

• De fysieke en logische beveiligingsmaatregelen die zijn geïmplementeerd.

• De voorwaarden voor intrekking van certificaten en bijbehorende termijnen.

• De aansprakelijkheden en beperkingen van garantie van de DAVD.

Het ontbreken of onvolledigheid van deze documenten vormt een niet-conformiteit die tijdens de herbeoordeling van de DAVD kan worden vastgesteld.

Vóórcontractuele en contractuele informatie aan klanten

Buiten puur technische verplichtingen verlangt artikel 13 van de RGPD dat de DAVD aan elke persoon van wie gegevens worden verzameld, duidelijke en toegankelijke informatie verstrekt over :

• De identiteit van de verwerkingsverantwoordelijke en contactgegevens van de gegevensbeschermingsmedewerker (verplicht voor DAVD's die op grote schaal gevoelige gegevens verwerken, artikel 37 RGPD).

• De doeleinden en juridische grondslag van elke verwerking.

• De rechten van personen (toegang, rectificatie, verwijdering, draagbaarheid, tegenspraak).

• De mogelijke ontvangers van gegevens (verwerkers, autoriteiten).

Deze informatie moet voorkomen in het privacybeleid van de dienst, in de gebruiksvoorwaarden en, indien van toepassing, in de verwerkersovereenkomst met professionele klanten.

Gekwalificeerde tijdstempel en controletrail

Om de bewijswaarde van ondertekeningen op lange termijn te garanderen, koppelen serieuze DAVD's systematisch een gekwalificeerde elektronische tijdstempel (artikel 42 eIDAS) aan elke ondertekende handeling. Deze tijdstempel vormt wettelijk vermoedelijk bewijs van het bestaan van de gegevens op de aangegeven datum. Het bewaren van het controlespoor (identificatielogboeken, documentvingerafdruk, ondertekeningsgegevens) is een feitelijke verplichting om toekomstige gerechtelijke verificatie mogelijk te maken.

> Vergelijk marktoplossingen volgens deze criteria in onze vergelijking van elektronische handtekeningsoplossingen.

---

eIDAS 2.0 : nieuwe verplichtingen aan de horizon 2026-2027

De verordening eIDAS 2.0 (EU) 2024/1183

Gepubliceerd in het Publicatieblad van de EU op 30 april 2024, verordening (EU) 2024/1183 bekend als « eIDAS 2.0 » versterkt de verplichtingen van DAVD's aanzienlijk rond drie assen :

• De Europese Digitale Identiteitswallet (EUDI Wallet) : lidstaten moeten vóór 2 november 2026 een gecertificeerde digitale identiteitswallet beschikbaar stellen. DAVD's zullen hun diensten met deze wallet moeten integreren om gekwalificeerde handtekeningen via eIDAS 2.0-identiteit aan te bieden.

• Het beheer van attesten van attributen : eIDAS 2.0 introduceert gekwalificeerde attesten van attributen (QEAAs), afgegevenissuer door gekwalificeerde aanbieders van attesten. Nieuwe audit- en kwalificatieprocedures gelden.

• Versterking van toezicht : nationale toezichthoudende autoriteiten (Logius voor Nederland) zien hun bevoegdheden uitgebreid, met name het vermogen om controles zonder voorafgaande kennisgeving in te stellen en verplichte corrigerende maatregelen in verkorte termijnen op te leggen.

Praktische gevolgen voor huidige dienstaanbieders

DAVD's die reeds onder eIDAS 1.0 gekwalificeerd zijn, moeten progressief aan wijzigingen voor eIDAS 2.0 voldoen vóór de door de Commissie vastgestelde termijnen. De belangrijkste aanpassingen betreffen :

• De hervorming van de identificeerinfrastructuur om EUDI Wallet als verificatiemiddel te ondersteunen.

• Het bijwerken van CP/CPV voor integratie van nieuwe certificaat- en attesttypologieën.

• De versterking van beveiligingsvereisten voor QSCD op afstand, met nieuwe zogenoemde beschermingsprofielen.

Voor gebruiksorganisaties betekent dit al vandaag nagaan dat hun dienstaanbieder een gedocumenteerde en verifieerbare roadmap voor eIDAS 2.0-naleving heeft.

Juridisch kader dat van toepassing is op de verplichtingen van elektronische handtekeningsdienstaanbieders

De normatieve keten die van toepassing is op dienstaanbieders van elektronische handtekeningen die actief zijn in Nederland, is gestructureerd op verschillende hiërarchische niveaus die elkaar aanvullen.

Nederlands Burgerlijk Wetboek — Artikelen 3:15a en 3:15b

Artikel 3:15a van het Burgerlijk Wetboek erkent het elektronische geschrift als bewijsmiddel gelijkwaardig aan schriftelijk bewijs, mits « die persoon gemakkelijk te identificeren is en de integriteit ervan is gewaarborgd ». Artikel 3:15b stelt dat de elektronische handtekening « bestaat uit het gebruik van een betrouwbare identificatieprocedure die haar verband met het document waarop zij betrekking heeft garandeert ». Het wettelijk vermoeden van betrouwbaarheid komt gekwalificeerde handtekeningen volgens eIDAS ten goede, omgekeerde bewijslast in het voordeel van de ondertekenaar.

Verordening eIDAS nr. 910/2014/EU

Deze verordening, rechtstreeks toepasbaar in alle lidstaten, stelt het juridische kader voor vertrouwensdiensten vast. Artikel 26 definieert de voorwaarden voor geavanceerde elektronische handtekeningen ; artikel 28 de vereisten voor gekwalificeerde certificaten ; Bijlage I detailleert de verplichte inhoud van deze certificaten. Gekwalificeerde DAVD's genieten een vermoedenvan conformiteit met technische en juridische vereisten van de verordening (artikel 19§2), wat een belangrijk voordeel is in geval van geschil.

Verordening eIDAS 2.0 — (EU) 2024/1183

Gepubliceerd op 30 april 2024, introduceert deze wijzigingsverordening nieuwe categorieën vertrouwensdiensten (gekwalificeerde attesten van attributen, gekwalificeerde archiveringsdiensten) en versterkt de toezichtverplichting. Het heft gedeeltelijk verordening 910/2014 op en vervangt die, met progressieve toepasselijkheid naar gelang van uitvoeringshandelingen van de Europese Commissie.

RGPD — Verordening (EU) 2016/679

De RGPD is van toepassing op alle verwerking van persoonlijke gegevens die in het kader van een elektronische handtekeningsdienst plaatsvindt. Artikelen 5 (beginselen van rechtmatigheid), 6 (juridische grondslag), 9 (gevoelige gegevens), 13-14 (informatie), 28 (verwerking), 32 (beveiliging), 33-34 (meldingsplicht bij inbreuk), 35 (effectbepalingen) en 37 (gegevensbeschermingsmedewerker) vormen de meest frequent toepasselijke bepalingen. De Autoriteit Persoonsgegevens is de bevoegde toezichthoudende autoriteit in Nederland en kan boetes tot 20 miljoen euro of 4% van het jaarlijkse mondiale omzet opleggen (artikel 83§5 RGPD).

NIS2-richtlijn — (EU) 2022/2555

Geïmplementeerd in Nederlands recht door wetgeving, NIS2 classificeert aanzienlijke DAVD's als essentiële entiteiten die onderworpen zijn aan versterkte verplichting voor cyberveiligheidsbeheer en meldingsplicht aan Logius binnen 24 uur (vroegtijdige waarschuwing) en daarna 72 uur (volledige melding).

ETSI-normen

Alle normen EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 en TS 119 431 vormen de verplichte technische referentie voor audit van kwalificatie. Het niet naleven ervan leidt tot onmogelijkheid om gekwalificeerde status te verkrijgen of te handhaven.

Juridische risico's bij niet-naleving

Een niet-conforme dienstaanbieder riskeert : verwijdering uit de Nederlandse vertrouwenslijst, aansprakeling voor contractuele en buitencontractuele verplichting, administratieve boeten van de Autoriteit Persoonsgegevens, NIS2-boeten tot 10 miljoen euro of 2% van wereldwijde omzet voor belangrijke entiteiten en 20 miljoen of 4% van wereldwijde omzet voor essentiële entiteiten, alsmede gerechtelijke vorderingen van klanten die door niet-geldige handtekeningen hebben geleden.

Gebruiksscenario's : hoe ondernemingen de naleving van hun DAVD verifiëren

Scenario 1 — Een industrieel concern met 3.000 leverancierscontracten per jaar

Een middelgroot industrieel bedrijf (ETI) in de vervaardiging van mechanische apparaten digitaliseert alle leverancierscontracten via een SaaS-platform voor elektronische handtekeningen. Ter gelegenheid van een interne audit, veroorzaakt door regelgevingswijzigingen, stelt de juridische afdeling vast dat de initieel gekozen dienstaanbieder — op grond van kostenprijs geselecteerd — noch op de Nederlandse TSL, noch op enige Europese TSL staat vermeld. De afgegeven handtekeningen zijn van het type « eenvoudig » zonder robuust mechanisme voor identificatie van de ondertekenaar.

Gezien het juridische risico — de bewijswaarde van alle ondertekende contracten kan in geval van geschil ter discussie worden gesteld — gaat het bedrijf over tot migratie naar een Logius-gekwalificeerde DAVD. De nieuwe oplossing bevat een geavanceerde handtekening met gekwalificeerd certificaat, een gekwalificeerde tijdstempel en exporteerbaar controlespoor. De migratieoperatie, in minder dan 8 weken voltooid, maakt het mogelijk om nieuwe akten retroactief beveiligd en met gedocumenteerde piste d'audit in te stellen. Het juridische team acht het risico op geschillen over alle oude contracten marginaal vanwege hun uitgevoerde en onbetwiste karakter, maar alle nieuwe handtekeningen zijn nu beschermd.

Waargenomen voordelen : reductie van 60% in mogelijke geschillen over de authenticiteit van handtekeningen, en winst van 3,5 dagen gemiddelde handtekeningslegtijd op complexe contracten dankzij automatisering van de validatiewerkstroom.

Scenario 2 — Een advocatenkantoor van 25 medewerkers gespecialiseerd in ondernemingsrecht

Een advocatenkantoor dat de ondertekening van mandaten, adviezen en gerechtelijke stukken wil digitaliseren, evalueert verschillende dienstaanbieders. Haar evaluatieraster bevat de volgende criteria : aanwezigheid op TSL, publicatie van toegankelijke CP/CPV, bestaan van RGPD-conforme verwerkersovereenkomst, beschikbaarheid van bereikbare gegevensbeschermingsmedewerker en certificering van op afstand gemaakte QSCD's.

Van de vijf geëvalueerde dienstaanbieders voldoen er slechts twee aan alle criteria. Het kantoor kiest uiteindelijk voor een DAVD die natiefgewijze gekwalificeerde handtekening via QSCD op afstand aanbiedt, garanderend het wettelijk vermoeden van betrouwbaarheid van artikel 3:15b van het Burgerlijk Wetboek. De implementatie duurt 3 weken, trainning inbegrepen. Resultaat : 75% van de mandaten worden nu ondertekend in minder dan 24 uur tegen 5 tot 7 dagen eerder (postverzending), en het kantoor kan aan zijn cliënten aantonen welk niveau van juridische veiligheid de oplossing biedt — een onderscheidend argument in commerciële aanbiedingen.

Scenario 3 — Een ziekenhuisgroep met ongeveer 1.200 bedden

Een ziekenhuisgroep wil arbeidscontracten, stageprogramma's en partnerschapsovereenkomsten met partnergezondheidsinstellingen digitaliseren. De gevoeligheid van verwerkte gegevens (gezondheidsgegevens van zorgpersoneel, HR-gegevens) vereist extra voorzichtigheid bij RGPD-verplichtingen van de DAVD.

De ICT-afdeling en gegevensbeschermingsmedewerker vereisen : hosting van gegevens in Nederland bij een voor gezondheidsgegevens gecertificeerde hoster, geen overdracht buiten EER, gedocumenteerde DPIA voor identificatiegegevensverwerking en ondertekende verwerkersovereenkomst vóór implementatie.

Na selectie van een DAVD die aan deze criteria voldoet, richt de implementatie zich in eerste instantie op HR-contracten (ongeveer 800 akten per jaar). De gemiddelde handtekeningslegtijd voor contracten voor bepaalde tijd daalt van 9 dagen tot minder dan 48 uur, waardoor aanzienlijke capaciteit voor HR-teams vrijkomt. Het ziekenhuis beschikt bovendien over volledige tracering van verleende toestemmingen, jaarlijks geaudit door zijn gegevensbeschermingsmedewerker.

Conclusie

De verplichtingen die op dienstaanbieders van elektronische handtekeningen in Nederland rusten, vormen een veeleisend regelgevingsgeheel : eIDAS-kwalificatie, RGPD-naleving, naleving van ETSI-normen, NIS2-verplichtingen en aanstaande aanpassingen aan eIDAS 2.0. Voor gebruiksorganisaties, verzekering van DAVD-naleving is geen optionele werkwijze — het is een voorwaarde sine qua non voor de bewijswaarde van ondertekende akten en bescherming van persoonlijke gegevens van ondertekenaarders.

Certyneo is een elektronische handtekeningsdienstaanbieder ontworpen om aan alle deze vereisten te voldoen : eIDAS-naleving, RGPD by design, soeverein hosting en gedocumenteerde eIDAS 2.0 roadmap. Klaar om uw handtekeningen volledige in naleving te beveiligen ? Vraag een demonstratie aan of maak een account op Certyneo en ontvang begeleiding op maat vanaf dag één.