Veiligere transacties via internet

SAMENVATTING VAN:

Verordening (EU) nr. 910/2014: betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt

SAMENVATTING

WAT DOET DEZE VERORDENING?

• Met deze verordening betreffende elektronische identificatie en vertrouwensdiensten (eIDAS) wordt een nieuw Europees wettelijk kader gecreëerd voor veilige elektronische transacties binnen de EU tussen bedrijven, burgers en publieke autoriteiten.
• Deze verordening streeft ernaar om het vertrouwen in elektronische transacties in de gehele EU te vergroten en de effectiviteit van publieke en particuliere online diensten en elektronische handel te verhogen. De verordening is van toepassing op:
  • stelsels voor elektronische identificatie* die door de EU-landen zijn aangemeld bij de Europese Commissie;
  • verleners van vertrouwensdiensten die in de EU zijn gevestigd.
• Ze neemt de bestaande belemmeringen voor het gebruik van elektronische identificatiemiddelen in de EU weg. Zo zal het nu gemakkelijk zijn voor een Portugees bedrijf om een aanbesteding uit te schrijven voor een openbaredienstcontract in Zweden, terwijl EU-subsidies volledig online kunnen worden beheerd.

KERNPUNTEN

Elektronische identificatie

• Een elektronische identificatie die in een EU-land wordt toegekend, moet in alle andere EU-landen worden erkend. Dit is slechts van toepassing wanneer de elektronische identificatie aan de eisen van de verordening voldoet, is aangemeld bij de Commissie en is opgenomen in een lijst. Wederzijdse erkenning van elektronische identificatie zal verplicht zijn vanaf het 28 september 2018 en zal veilige elektronische transacties in de gehele EU makkelijker maken.
• Een stelsel voor elektronische identificatie moet een van de drie garantieniveaus vermelden (laag, substantieel en hoog) op grond van dat stelsel uitgegeven vormen van elektronische identificatie. Wederzijdse erkenning is alleen verplicht wanneer de relevante overheidsinstantie de niveaus „substantieel” of „hoog” gebruikt om toegang te krijgen tot de online diensten.

Aanmelding

• Wanneer de Commissie wordt ingelicht over de stelsels voor elektronische identificatie, moeten EU-landen informatie verschaffen over aspecten zoals:
  • de garantieniveaus en de uitgever van de vormen van elektronische identificatie op grond van dat stelsel;
  • toepasselijke toezichtsystemen en aansprakelijkheidsregelingen;
  • de entiteit die de registratie van de unieke persoonsidentificatiegegevens beheert.
• In het geval van een inbreuk op de beveiliging van het stelsel voor elektronische identificatie of de authenticatie, moet het aanmeldende EU-land:
  • onverwijld de authenticatie in de gehele EU, of de delen waarvan de integriteit is geschonden, opschorten of intrekken en
  • andere EU-landen en de Commissie hiervan op de hoogte brengen.

Aansprakelijkheid

• Bij elke transactie tussen EU-landen waarbij de verplichtingen van de verordening door verzuim niet werden nageleefd, kunnen de volgende partijen aansprakelijk worden gesteld voor enige schade die opzettelijk of door nalatigheid aan elke persoon of instantie werd toegebracht:
  • een aanmeldend EU-land
  • de partij die de elektronische identificatie uitgeeft
  • de partij die de authenticatieprocedure uitvoert.

Samenwerking en operabiliteit tussen EU-landen

• De aangemelde nationale stelsels voor elektronische identificatie moeten interoperabel zijn. Het interoperabiliteitskader moet technologieneutraal zijn en geen specifieke nationale technische oplossingen voor elektronische identificatie verkiezen boven andere.

Vertrouwensdiensten

• Deze verordening omschrijft vertrouwensdiensten als betaalde diensten die het volgende omvatten:
  • de creatie, controle en goedkeuring van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging en certificaten die verband houden met deze diensten; of
  • de creatie, controle en goedkeuring van certificaten voor authenticatie van websites; of
  • het behoud van elektronische handtekeningen, zegels of certificaten die verband houden met deze diensten.
• Verleners van vertrouwensdiensten die zijn gevestigd in de EU worden gezien als „gekwalificeerd” als ze tegemoetkomen aan de toepasselijke vereisten van deze verordening. Deze verleners zijn wettelijk gerechtigd om gekwalificeerde vertrouwensdiensten te verstrekken (waaronder gekwalificeerde elektronische handtekeningen, zegels of certificaten) in alle EU-landen. Vertrouwensdiensten die worden aangeboden door dienstverleners uit niet-EU-landen kunnen na goedkeuring tussen het EU-land en het niet-EU-land of een internationale organisatie rechtens worden erkend als gelijkwaardig aan gekwalificeerde vertrouwensdiensten.

Toezicht

• De EU-landen moeten uit hoofde van deze verordening een of meer toezichthoudende organen aanstellen. Deze organen moeten, waar gepast, samenwerken met de instanties voor gegevensbescherming.
• Alle verleners van vertrouwensdiensten zijn onderworpen aan toezicht en verplichtingen inzake risicobeheer en de kennisgeving van veiligheidsinbreuken.
• Niet-gekwalificeerde verleners van vertrouwensdiensten zijn onderworpen aan een terughoudende vorm van toezicht, d.w.z. dat het toezichthoudende orgaan alleen reageert wanneer wordt vermoed dat de verlener misbruik heeft gepleegd.
• Gekwalificeerde verleners van vertrouwensdiensten die in de EU zijn gevestigd, zijn onderworpen aan strikt toezicht. Dit houdt voorafgaande toestemming van het toezichthoudende orgaan in, zoals een audit die ten minste eenmaal per twee jaar wordt uitgevoerd door een organisatie die zal evalueren of de verlener de vereisten van de verordening nakomt.
• Een nieuw, vrijwillig EU-vertrouwensmerk zal de gekwalificeerde vertrouwensdiensten identificeren die door de relevante verleners worden verstrekt.

Een aantal door de Europese Commissie in de loop van 2015 aangenomen besluiten zetten het volgende uiteen:

• procedurele regelingen voor samenwerking tussen EU-landen inzake elektronische identificatie
• specificaties met betrekking tot de vorm van het EU-vertrouwensmerk voor gekwalificeerde vertrouwensdiensten;
• technische en operationele eisten van het interoperabiliteitskader;
• minimale technische specificaties en procedures voor garantieniveaus voor middelen van elektronische identificatie;
• technische specificaties en formaten met betrekking tot vertrouwenslijsten;
• specificaties met betrekking tot formaten van geavanceerde elektronische handtekeningen en geavanceerde zegels die moeten worden erkend door overheidsorganen; en
• omstandigheden, formaten en procedures van aanmelding van stelsels voor elektronische identificatie.

VANAF WANNEER IS DE VERORDENING VAN TOEPASSING?

De verordening trad in werking vanaf 17 september 2014.

KERNBEGRIP

* elektronische identificatie: materiële of immateriële vormen van identificatie die persoonsgegevens bevatten en worden gebruikt voor de authenticatie van een online dienst.

BESLUIT

Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PB L 257, 28.8.2014, blz. 73-114)

De opeenvolgende wijzigingen in Verordening (EU) nr. 910/2014 werden opgenomen in de basistekst. Deze geconsolideerde versie heft uitsluitend documentaire waarde.

Laatste bijwerking 17.03.2016