Overgang eIDAS 1 naar 2: gevolgen voor handtekeningen in 2025

Op 20 mei 2024 werd verordening (EU) 2024/1183 — algemeen bekend als eIDAS 2 — gepubliceerd in het Publicatieblad van de Europese Unie, waarbij verordening nr. 910/2014 (eIDAS 1) geleidelijk werd ingetrokken. Deze tekst vertegenwoordigt de meest structurerende hervorming van digitale identiteit en elektronische handtekeningen in Europa sinds 2016. Voor Franse bedrijven die elektronische handtekeningoplossingen in hun contractuele workflows gebruiken, is de overgang geen formaliteit: deze houdt in dat technische, juridische en organisatorische aanpassingen nodig zijn met een tijdspanne tot 2026 en daarna. Het begrijpen van de overgang van eIDAS 1 naar eIDAS 2 en de impact ervan op elektronische handtekeningen in 2025 is daarom een prioriteit geworden voor juridische afdelingen, IT-directies en HR-afdelingen. Dit artikel ontrafelt de fundamentele ontwikkelingen van het kader, het precieze transitieplan en de concrete maatregelen die u moet nemen om compliant te blijven.

Wat verordening eIDAS 2 fundamenteel wijzigt

Van de verordening van 2014 naar de herziening van 2024: waarom een herziening nodig was

EIDAS 1 had de basis gelegd voor wederzijdse erkenning van elektronische handtekeningen binnen de Unie. Drie hiërarchische niveaus — eenvoudig (SES), geavanceerd (AdES) en gekwalificeerd (QES) — structureerden de bewijskracht van handtekeningen, gebaseerd op een lijst van aanbieders van vertrouwensdiensten (TSL). Maar in tien jaar tijd waren twee grote lacunes duidelijk geworden.

Ten eerste gold de oorspronkelijke verordening in wezen alleen voor relaties met overheidsinstanties (G2B, G2C). Deze creëerde geen directe verplichtingen in particuliere transacties (B2B, B2C), waardoor een regelgevingsvacuüm ontstond dat elke lidstaat op heterogene wijze invulde. Ten tweede had de opmars van digitale diensten — mobiele applicaties, open banking, telehealth — het ontbreken van een draagbaar en interoperabel identiteitsysteem op continentaal niveau aan het licht gebracht.

EIDAS 2 pakt deze twee uitdagingen aan door de Europese digitale identiteitsportefeuille (EU Digital Identity Wallet, EUDIW) in te voeren en het toepassingsgebied van vertrouwensdiensten uit te breiden naar nieuwe use cases: gekwalificeerde elektronische archivering, attestaties van gekwalificeerde attributen, gekwalificeerde elektronische registers (inclusief gecertificeerde blockchain-applicaties).

De nieuwe categorieën van gekwalificeerde vertrouwensdiensten

Verordening eIDAS 2 breidt de lijst met gekwalificeerde vertrouwensdiensten uit (artikel 3 en herziene bijlage IV). Naast de handtekeningen, zegels en tijdstempels die al door eIDAS 1 werden erkend, zijn nu ook gekwalificeerd:

• Diensten voor gekwalificeerde elektronische archivering (art. 34 bis): verplichting om de integriteit en leesbaarheid van ondertekende documenten op lange termijn te behouden, met versterkte vereisten voor dienstaanbieders (QTSP).
• Diensten voor beheer van externe gekwalificeerde apparaten voor handtekeningcreatie (QRCD): versterkte regulering van externe handtekeningoplossingen via HSM (Hardware Security Module) cloud.
• Attestaties van gekwalificeerde attributen: mechanisme waarmee een vertrouwde derde attributen van een entiteit kan certificeren (bijv. advocatenkwaliteit, medischestatut) zonder de volledige identiteit prijs te geven.
• Gekwalificeerde elektronische registers: erkenning van gedistribueerde registers onder strikte eisen van auditeerbaarheid en veerkracht.

Voor gebruikers van elektronische handtekeningoplossingen betekent deze uitbreiding dat de beschikbare gekwalificeerde vertrouwensdiensten op de markt diverser zullen worden, en dat de selectiecriteria voor een dienstaanbieder (QTSP) deze nieuwe capaciteiten moeten omvatten.

De EUDIW: de digitale identiteitsportefeuille als handtekeningsinfrastructuur

De meest zichtbare innovatie van eIDAS 2 blijft de EUDIW. Elke lidstaat moet zijn burgers en ingezetenen tegen 26 november 2026 een gratis, interoperabele digitale identiteitsportefeuille ter beschikking stellen (tijdsvak voor naleving volgens artikel 5 bis). Deze portefeuille maakt het mogelijk:

• de gebruiker met een hoog verzekeringsniveau (LoA High) te verifiëren zonder beroep op een derde identificatiedienstaanbieder;
• elektronische ondertekening van documenten met gekwalificeerde waarde (QES) rechtstreeks vanuit de portefeuille;
• selectieve identiteitsattributen te delen (selective disclosure), wat het minimalisatieprincipe van de AVG respecteert.

Voor bedrijven vereenvoudigt de EUDIW theoretisch voorafgaande identiteitsverificatieprocedures voor gekwalificeerde handtekeningen, waardoor de wrijving van video-identificatie of persoonlijke identificatie verdwijnt. In de praktijk hangt de impact af van het tempo van nationale implementatie — Frankrijk heeft in 2025 een pilootexperiment gestart als onderdeel van het programma "France Identité".

Precieze transitiekalender van eIDAS 1 naar eIDAS 2

De regelgevingsfases die u moet kennen

Verordening 2024/1183 is op 20 mei 2024 in werking getreden, maar de toepassing ervan is geleidelijk. Hier zijn de belangrijkste deadlines:

| Datum | Gebeurtenis | |------|----------| | 20 mei 2024 | Publicatie in het Publicatieblad, formele inwerkingtreding | | 20 november 2024 | Deadline van 6 maanden voor aanvaarding van uitvoeringshandelingen door de Commissie (EUDIW-technische specificaties) | | Eind 2025 | Publicatie van herziene ETSI-normen (EN 319 411-1/2, EN 319 401) met eIDAS 2-vereisten | | 26 mei 2026 | Uiterste datum voor naleving door lidstaten van nieuwe categorieën gekwalificeerde diensten | | 26 november 2026 | Verplichte beschikbaarheid van EUDIW door elke lidstaat | | 2027-2028 | Volledige herziening van nationale vertrouwenslijsten (TSL) en accreditatie van nieuwe QTSP's |

EIDAS 1 blijft geldig en handtekeningen die onder dit regime zijn afgegeven, behouden hun volledige juridische waarde. Er is geen verplichting om bestaande documenten opnieuw te ondertekenen. Gekwalificeerde vertrouwensdienstaanbieders zullen echter hun accreditatie volgens de nieuwe technische normen vóór 2027 moeten verlengen.

Wat niet verandert en waar u op moet letten

Continuïteit is een hoofdbeginsel van de overgang. De drie handtekeningniveaus (SES, AdES, QES) blijven behouden met ongewijzigde definities. Het vermoeden van gelijkwaardigheid met een handgeschreven handtekening gekoppeld aan QES (artikel 25 eIDAS 1, herhaald in artikel 27 eIDAS 2) blijft van kracht. De bewijskracht van uw huidige elektronische handtekeningen wordt niet ter discussie gesteld.

Waar u op moet letten: de uitvoeringshandelingen die door de Europese Commissie gedurende 2025-2026 worden gepubliceerd, zullen de precieze technische specificaties van de EUDIW en de nieuwe dienstencategorieën vaststellen. Deze niveau 2-teksten hebben aanzienlijk praktisch belang voor integrators en softwareuitgevers. Voor bedrijven die elektronische handtekeningen gebruiken in hun HR- of juridische processen, is het aanbevolen om uw dienstaanbieder om een nalevingsroadmap voor eIDAS 2 te vragen.

Concrete impact op bedrijven en hun handtekeningoplossingen

Welke workflows staan voorop?

De overgang van eIDAS 1 naar eIDAS 2 heeft niet dezelfde impact afhankelijk van het gebruikte handtekeningniveau. Voor bedrijven onderscheiden zich drie situaties:

Eenvoudige elektronische handtekening (SES): gebruikt voor minderwaardige wijzigingen, ontvangstbevestigingen, interne formulieren. Geen verplichting voor onmiddellijke updates. De bewijsregels blijven bepaald door het Burgerlijk Wetboek (art. 1366-1367) en niet rechtstreeks door eIDAS.

Geavanceerde elektronische handtekening (AdES/AdESQC): bedrijven die B2B-oplossingen gebruiken voor handelscontracten, gedigitaliseerde arbeidscontracten of onroerendgoedakten moeten controleren of hun dienstaanbieder naleving handhaaft van ETSI-normen EN 319 132 (XAdES), EN 319 122 (CAdES) en EN 319 142 (PAdES) in herziene versies voor eIDAS 2. Deze normen zullen door ETSI tegen eind 2025 worden gepubliceerd.

Gekwalificeerde elektronische handtekening (QES): gekwalificeerde dienstaanbieders (QTSP) moeten over op nieuwe eIDAS 2-accreditatie. De overgangsperiode verleent een redelijke termijn (tot 2027), maar aanbestedingen gelanceerd vanaf 2025 zouden eIDAS 2-nalevingsclausules in selectiecriteria moeten opnemen. Voor organisaties die opties vergelijken, maakt de vergelijking van elektronische handtekeningoplossingen het mogelijk de rijpheid van uitgevers op dit onderwerp te evalueren.

Nieuwe vereisten voor gekwalificeerde vertrouwensdienstaanbieders (QTSP)

EIDAS 2 verscherpt de vereisten voor QTSP's op drie belangrijke punten:

1. Systeemveiligheid: verplichte afstemming op NIS2 (richtlijn (EU) 2022/2555) voor QTSP's, nu geclassificeerd als essentiële entiteiten. Dit resulteert in verplichtingen tot incidentmelding binnen 24 uur, jaarlijkse veiligheidsaudits en implementatie van bedrijfsvoortzeettingsplannen.

1. Versterkte verantwoordelijkheid: artikel 13 eIDAS 2 breidt het aansprakelijkheidsregime voor QTSP's uit. In geval van aangetoond verzuim is de bewijslast omgekeerd: de dienstaanbieder moet bewijzen dat geen schuld heeft, niet andersom.

1. Verplichte interoperabiliteit: QTSP's moeten gestandaardiseerde API's blootstellen die compatibel zijn met EUDIW om native integratie van identiteitsportefeuilles mogelijk te maken. Deze vereiste zal de modernisering van beschikbare integratieinterfaces voor ontwikkelaars versnellen.

Voor bedrijven die in deze context van dienstaanbieder willen veranderen, is migratie van DocuSign of YouSign naar een eIDAS 2-conforme oplossing een stap die beter nu kan worden voorzien dan in 2027 onder druk.

Persoonsgegevens en eIDAS 2: afstemming met GDPR

De EUDIW verzamelt en verwerkt identiteitsgegevens. Verordening eIDAS 2 bepaalt expliciet (overweging 11 en artikel 5 bis §14) dat het gehele systeem conform GDPR moet zijn (verordening (EU) 2016/679). Verschillende aandachtspunten:

• Selectieve openbaarmaking: de portefeuille moet de gebruiker toestaan alleen de voor de transactie noodzakelijke attributen te delen (minimalisatieprincipe, art. 5(1)(c) GDPR). Voor contractondertekening zou alleen meerderjarigheidscontrole kunnen worden gedeeld zonder volledige geboortedatum prijs te geven.
• Overdrachten buiten de EU: identiteitsgegevens verwerkt in het kader van EUDIW kunnen buiten de EER alleen met passende waarborgen worden overgedragen (art. 46 GDPR). Dienstaanbieders die Amerikaanse cloudinfrastructuren gebruiken, moeten hun naleving documenteren.
• Behoud van handtekeninglogboeken: archivering van handtekeningsbewijzen moet aansluiten bij een termijn evenredig aan de aard van het document. De nieuwe gekwalificeerde archiveringsservice eIDAS 2 biedt een technisch kader om aan deze vereiste te voldoen.

Bedrijven die internationale arbeidscontracten beheren, worden bijzonder getroffen door deze GDPR/eIDAS 2-afstemming, vooral wanneer ondertekenaars buiten de EU wonen.

Toepasselijk rechtskader voor de overgang van eIDAS 1 naar eIDAS 2

Verwijzingsteksten

De overgang berust op een opeenstapeling van teksten die noodzakelijk zijn om onder controle te hebben:

Op Europees niveau:

• Verordening (EU) nr. 910/2014 (eIDAS 1): nog steeds geldig tot geleidelijke intrekking door eIDAS 2. Bepaalt de drie handtekeningniveaus (SES, AdES, QES) en het QTSP-regime.
• Verordening (EU) 2024/1183 (eIDAS 2): in werking getreden op 20 mei 2024. Wijzigt eIDAS 1 substantieel zonder onmiddellijke intrekking. Bepalingen met betrekking tot EUDIW zijn van toepassing na publicatie van uitvoeringshandelingen.
• Verordening (EU) 2016/679 (GDPR): volledig van toepassing op verwerking van identiteitsgegevens in het kader van EUDIW en handtekeningsprocessen. Artikel 5 bis §14 van eIDAS 2 benadrukt deze ondergeschiktheid expliciet.
• Richtlijn (EU) 2022/2555 (NIS2): stelt versterkte cyberveiliigheidsvereisten aan QTSP's in, nu geclassificeerd als essentiële entiteiten. Omgezet in Frans recht door verordening nr. 2024-821 van 20 juni 2024 (in decreetontwikkeling).

Op Frans niveau:

• Burgerlijk Wetboek, artikelen 1366 en 1367: basis van bewijskracht van elektronische geschriften. Artikel 1366 stelt elektronische geschrift gelijk aan papier onder voorwaarden. Artikel 1367 geeft gekwalificeerde handtekening (QES) dezelfde bewijskracht als handgeschreven handtekening.
• Decreet nr. 2017-1416 van 28 september 2017: preciseert voorwaarden voor gebruik van elektronische handtekening in onderhandse akten. Blijft van toepassing gedurende overgangsperiode.
• Algemeen veiligheidskader (RGS) v2: voor Franse overheden stelt RGS het gebruik van door ANSSI gerefereerde oplossingen verplicht. Bijwerking voor integratie eIDAS 2 is verwacht gedurende 2026.

Toepasselijke ETSI-technische normen

ETSI-normen vormen het 3e niveau van de normatieve hiërarchie. Huidige toepasselijke versies:

• EN 319 132-1/2: XAdES-indeling (geavanceerde XML-handtekeningen)
• EN 319 122-1/2: CAdES-indeling (geavanceerde CMS-handtekeningen)
• EN 319 142-1/2: PAdES-indeling (geavanceerde PDF-handtekeningen)
• EN 319 401: algemene vereisten voor dienstaanbieders van vertrouwensdiensten
• EN 319 411-1/2: vereisten voor AC's die gekwalificeerde certificaten afgeven

Deze normen zullen vóór eind 2025 worden herzien om nieuwe eIDAS 2-vereisten op te nemen. Contracten met QTSP's moeten een herzieningsclausule bevatten naar herziene versies zonder meerkosten.

Juridische risico's van niet-naleving

Een handtekening afgegeven door een dienstaanbieder die na 2027 niet meer zou zijn geaccrediteerd, zou niet automatisch zijn juridische waarde verliezen voor reeds ondertekende documenten, maar zou niet meer baat hebben van het wettelijk vermoeden van gelijkwaardigheid met een handgeschreven handtekening (art. 25 eIDAS). De bewijslast van integriteit en identiteit van ondertekenaar zou in geval van geschil volledig op het bedrijf rusten. Dit bewijsrisico is bijzonder gevoelig voor akten met lange vervaltermijnen (5 jaar in handelsgeschillen, 30 jaar voor zakelijke rechten onroerend goed).

Gebruiksscenario's: hoe organisaties de overgang naar eIDAS 2 anticiperen

Scenario 1: Een advocatenkantoor van 25 medewerkers rationaliseert documentaire naleving

Een gespecialiseerd advocatenkantoor in zakenrecht, met ongeveer 25 medewerkers en intensief ondertekenend verkeer van mandaten, cessieakten en overeenkomsten, gebruikte tot 2024 een geavanceerde handtekeningoplossing (AdES) voor alle workflows. Bij aankondiging van eIDAS 2 realiseerde het kantoor een audit van zijn 1.200 jaarlijks ondertekende documenten om degenen te identificeren die volgens de nieuwe aanbevelingen van zijn Orde QES vereisten.

Resultaat: 15% van de akten (ongeveer 180 per jaar) werd geklassificeerd naar gekwalificeerde handtekening, wat het bewijsregime van deze documenten beveiligde. Het kantoor onderhandelde met zijn handtekeninguitgevers over een clausule die eIDAS 2-naleving garandeerde bij publicatie van uitvoeringshandelingen, zonder meerkosten. De administratieve tijd voor identiteitsverificatie van ondertekenaars daalde met 40% door voorbereiding van EUDIW-integratie gepland voor 2026.

Scenario 2: Een industriële KMO van 150 medewerkers beveiligt leverancierscontractketeninge

Een industriële KMO die ongeveer 350 leverancierscontracten per jaar beheerde — inkooporders, NDA's, raamovereenkomsten — werkte met twee aparte handtekeningoplossingen voor interne en externe workflows, waardoor auditbewijzen fragmenteerden. In de context van de overgang eIDAS 2 en nieuwe gekwalificeerde archiveringsposting eisen, besloot de IT-afdeling platform te unificeren.

Door migratie naar één oplossing met gekwalificeerde elektronische archivering (toekomstige eIDAS 2-categorie) verminderde de KMO veilige opslagkosten met 30% en consolideerde handtekeningsbewijzen in een conforme digitale kluis. De volledige documentaire keten kan nu in minder dan 2 minuten worden geverifieerd bij leverancierscontroles — een groeiende vereiste van hun opdrachtgevers in de automobielindustrie.

Scenario 3: Een ziekenhuisgroep van ongeveer 600 bedden bereidt EUDIW-integratie voor

Een openbare ziekenhuisgroep gebruikte gekwalificeerde elektronische handtekening voor medische contracten en openbare aanbestedingen, conform verplichtingen van de aanbestedingscode. Met eIDAS 2 heeft de IT-afdeling twee prioritaire aandachtspunten geïdentificeerd: toekomstige integratie van "France Identité"-portefeuille voor vrijgevestigde artsen werkzaam in de instelling, en NIS2-naleving van zijn QTSP.

De ziekenhuisgroep voegde in zijn digitale strategisch schema 2025-2028 een specifiek "eIDAS 2-nalevings"-pakket in, met een begroting van ongeveer 45.000 € voor technische migratie en personeelsvorming. Het doel is geschikt te zijn voor handtekeningenontvanging via EUDIW bij nationale implementatie in november 2026, contractterminering met zelfstandige zorgprofessionals van 3 dagen naar minder dan 4 uur gemiddeld volgens beschikbare sectorale benchmarks reducerend.

Conclusie

De overgang van eIDAS 1 naar eIDAS 2 is geen breuk maar een gestructureerde evolutie, met een precieze kalender tot 2027. De impacts op elektronische handtekeningen zijn reëel — uitbreiding gekwalificeerde diensten, komst EUDIW, verscherpte NIS2-eisen voor QTSP's — maar beheersbaar zodra geantisipeerd. Bedrijven die nu handelen, hebben speelruimte voor audit van workflows, beveiligingscontracten met dienstaanbieders en personeelsvorming zonder regelgevingsurgentie.

Certyneo begeleidt bedrijven in deze overgang met een helder eIDAS 2-nalevingskader, actuele handtekeningindelingen en architectuur gereed voor EUDIW-integratie. Klaar om uw handtekeningsflows in dit nieuwe regelgevingsraamwerk te beveiligen? Ontdek onze aanbiedingen en begin gratis op Certyneo.