De eIDAS-Verordening: een nieuwe meld- en zorgplicht voor vertrouwensdienstverleners. Bent u voorbereid?

Sinds 1 juli j.l. is de eIDAS-Verordening (Verordening elektronische identiteiten en vertrouwensdiensten) van kracht. Deze Verordening brengt door de invoering van nieuwe verplichtingen belangrijke veranderingen voor aanbieders van elektronische identificatiemiddelen en bepaalde vertrouwensdiensten (trust services).

De verandering met de meeste impact voor aanbieders van dergelijke diensten is waarschijnlijk de nieuwe meld- en zorgplicht. Aanbieders van zowel gekwalificeerde als niet gekwalificeerde vertrouwensdiensten moeten vanaf 1 juli incidenten met een significante impact melden bij de toezichthouder (de Autoriteit Consument en Markt)*, en waar passend ook bij de Autoriteit Persoonsgegevens en het Nationaal Cyber Security Centrum (NCSC).

Daarnaast legt de Verordening zwaardere verplichtingen met het oog op de te nemen beveiligingsmaatregelen op. De eIDAS-Verordening vervangt de Europese Richtlijn elektronische handtekening (Richtlijn 1999/93/EG).

Wat zijn vertrouwensdiensten?

Vertrouwensdiensten zijn elektronische diensten die gewoonlijk tegen betaling worden verricht en het onderstaande inhouden:

  • a) het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging en op deze diensten betrekking hebbende certificaten of
  • b) het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites, of
  • c) het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben (artikel 3, onder 16, eIDAS Verordening).

Onder vertrouwensdiensten worden verstaan:

  • Elektronische handtekeningen (ook wel digitale handtekening genoemd);
  • Elektronische zegels;
  • Elektronische tijdstempels;
  • Diensten voor aangetekende bezorging;
  • Elektronische certificaten voor authenticatie van websites.

Onderscheid tussen gekwalificeerde en niet-gekwalificeerde vertrouwensdiensten

Bij vertrouwensdiensten wordt onderscheid gemaakt tussen gekwalificeerde en niet-gekwalificeerde diensten. Een niet-gekwalificeerde aanbieder is in principe iedere aanbieder die een dergelijke dienst aanbiedt. Een gekwalificeerde aanbieder is een aanbieder die diensten aanbiedt met een hoger betrouwbaarheidsniveau.

Aan het aanbieden van gekwalificeerde vertrouwensdiensten worden onder de eIDAS-Verordening zwaardere eisen gesteld dan aan niet-gekwalificeerde diensten. Een voorbeeld van niet-gekwalificeerde vertrouwensdiensten (met een lager niveau van betrouwbaarheid) zijn website-certificaten. Voor zowel afnemers van de diensten als aanbieders moet duidelijk zijn welke betrouwbaarheidsniveau een dienst heeft.

Wat verandert er voor de aanbieder van vertrouwensdiensten met de eIDAS-Verordening?

Zowel aanbieders van niet-gekwalificeerde als gekwalificeerde vertrouwensdiensten dienen passende technische en organisatorische maatregelen te nemen om veiligheidsrisico’s van de diensten die verleend worden uit te minimaliseren. De eIDAS-Verordening voert nieuwe verplichtingen ten aanzien van veiligheidsrisico’s in voor aanbieders van vertrouwensdiensten. Dit zijn:

  • Meldplichten bij inbreuk op veiligheid of verlies van integriteit

Een (vermoeden van een) veiligheidsinbreuk of integriteitsverlies, met aanzienlijke gevolgen voor de verleende vertrouwensdienst of voor de persoonsgegevens die daarmee worden beheerd, dient onverwijld, doch uiterlijk binnen 24-uur na de ontdekking gemeld te zijn bij de toezichthouder en, waar passend, bij de Autoriteit Persoonsgegevens en/of het NCSC.

  • Aangescherpte toezicht/beveiligingseisen

Het toezicht op de aanbieders van niet-gekwalificeerde vertrouwensdiensten is gericht op de controle op het nemen van passende maatregelen tot risicobeheersing. Dit toezicht kan alleen achteraf plaatsvinden; dus wanneer een incident heeft plaatsgevonden of de toezichthouder signalen krijgt over misstanden bij die aanbieder.

Aanbieders die een gekwalificeerde dienst willen aanbieden dienen het voornemen daartoe bij de toezichthouder te melden en de resultaten van een veiligheidsaudit (een kritisch onderzoek naar de veiligheid van de vertrouwensdienst) van een erkend orgaan aan de toezichthouder te overhandigen. De toezichthouder beoordeeld aan de hand van de resultaten van de veiligheidsaudit of de aanbieder op de vertrouwenslijst met betrouwbare aanbieders en diensten kan worden geplaatst.

Aanbieders van gekwalificeerde vertrouwensdiensten dienen eveneens jaarlijks een veiligheidsaudit uit te voeren en de resultaten daarvan in te dienen bij de toezichthouder. Ook mag de toezichthouder hier proactief toezicht houden op de naleving van de zorgplicht en waar nodig handhavend optreden.

Met de eIDAS-Verordening hoopt de Europese Commissie te voorzien in een betrouwbare, beveiligde en wettelijk geregelde omgeving ten behoeve van elektronische identificatie en elektronische vertrouwensdiensten om grensoverschrijdende elektronische transacties te faciliteren voor het bedrijfsleven, burgers en overheden. Met de eIDAS-Verordening wordt het gemakkelijker om online en cross-border zaken te doen, zoals het openen van een bankrekening, het opzetten van een bedrijf een ander lidstaat, of het doen van belastingaangiftes en internetbetalingen.