Vertrouwensdiensten
In het kader van de Europese verordening inzake digitale identiteit is de definitie van vertrouwensdiensten ruimer dan in de oorspronkelijke eIDAS-verordening. Hieronder vallen de volgende vertrouwensdiensten:
Certificaten voor elektronische handtekeningen, certificaten voor elektronische zegels, certificaten voor websiteauthenticatie of certificaten voor het verlenen van andere vertrouwensdiensten
De Europese verordening inzake digitale identiteit handhaaft het rechtskader voor certificaten, met name verschillende certificaten die zijn afgestemd op specifieke doeleinden. Deze omvatten certificaten voor elektronische handtekeningen, voor elektronische zegels, voor websiteauthenticatie en voor het verlenen van andere vertrouwensdiensten. Een certificaat wordt gedefinieerd als een elektronische verklaring van de identiteit van de persoon aan wie het is afgegeven en dient als bewijs om bepaalde handelingen te vergemakkelijken. Het onderscheid tussen gekwalificeerde en niet-gekwalificeerde certificaten wordt gehandhaafd, afhankelijk van de status van de verlener van vertrouwensdiensten en van het betrouwbaarheidsniveau ten aanzien van de geattesteerde informatie. Ten slotte is de enige toevoeging met betrekking tot certificaten de mogelijkheid om deze certificaten op te vragen en op te slaan inde Europese portemonneevoor digitale identiteit, ongeacht het type certificaat.
Elektronische handtekeningen
De Europese verordening inzake digitale identiteit handhaaft het rechtskader voor elektronische handtekeningen die door natuurlijke personen moeten worden afgegeven en gebruikt om een document of gegevens te ondertekenen. Het onderscheid tussen elektronische handtekeningen, geavanceerde elektronische handtekeningen en gekwalificeerde elektronische handtekeningen wordt gehandhaafd, waarbij deze laatste dezelfde rechtsgevolgen hebben als handgeschreven handtekeningen in de hele Unie. De nieuwe Europese verordening inzake digitale identiteit zal het gebruik van gekwalificeerde elektronische handtekeningen voor niet-professionele doeleinden kosteloos maken voor alle natuurlijke personen wanneer deze worden gecreëerd door middel van de Europese portemonnee voor digitale identiteit.
Elektronische zegels
De Europese verordening inzake digitale identiteit wijzigt noch de definitie van elektronische zegels, noch de creatie, validering of bewaring ervan. Elektronische zegels moeten door rechtspersonen worden gecreëerd en gebruikt om de oorsprong en integriteit van gegevens/documenten te waarborgen. De verordening handhaaft ook het onderscheid tussen elektronische zegels, geavanceerde elektronische zegels en gekwalificeerde elektronische zegels.
Elektronische Attestations van Attributen
De Europese verordening inzake digitale identiteit heeft de uitgifte van Electronic Attestation of Attributes (EAA) geïntroduceerd als een nieuwe vertrouwensdienst. EAA’s worden gedefinieerd als een verklaring in elektronische vorm waarmee attributen kunnen worden geauthenticeerd. Volgens artikel 45 ter, lid 1, kunnen deze verklaringen geen rechtsgevolgen of ontvankelijkheid als bewijsmiddel in rechte worden ontzegd louter omdat zij in elektronische vorm zijn. Deze vertrouwensdiensten kunnen weliswaar gekwalificeerd of niet-gekwalificeerd zijn, afhankelijk van de status van de verlener van vertrouwensdiensten, maar niet-gekwalificeerde EAA’s moeten nog steeds worden toegelaten en erkend in gerechtelijke procedures, hoewel grensoverschrijdende erkenning voor hen niet verplicht is. EAA kan ook worden afgegeven door een overheidsinstantie die verantwoordelijk is voor een authentieke bron, of door een organisatie die namens haar optreedt. Gebruikers kunnen hun Europese portemonnee voor digitale identiteit gebruiken om hun EAA te ontvangen, te valideren en te delen.
Elektronische tijdstempels
De Europese verordening inzake digitale identiteit wijzigt de bepalingen inzake elektronische tijdstempels niet. De uitgifte ervan is bedoeld om de juistheid van de tijd in verband met gegevens/documenten te waarborgen. De Europese verordening inzake digitale identiteit wijzigt geen bepalingen inzake vertrouwensdiensten die de oprichting ervan (ook op gekwalificeerd niveau) en de validering ervan waarborgen.
Authenticatie van de website
De authenticatie van de website is reeds verstrekt bij eIDAS-verordening 910/2014. Volgens de herziene verordening wordt aan een natuurlijke of rechtspersoon een gekwalificeerd certificaat voor websiteauthenticatie (QWAC’s) afgegeven dat het mogelijk maakt een website te authenticeren en de website te koppelen aan de identiteit van de persoon aan wie het certificaat is afgegeven. De verordening vereist dat webbrowsers een QWAC herkennen en de identiteitsgegevens van de eigenaar van de website op een gebruiksvriendelijke manier weergeven. De certificaten kunnen gekwalificeerd of niet-gekwalificeerd zijn en het gebruik van dergelijke certificaten door websites moet vrijwillig zijn.
Elektronische archivering
De Europese verordening inzake digitale identiteit heeft een elektronische archivering van elektronische gegevens en elektronische documenten ingevoerd als vertrouwensdienst die erop gericht is de ontvangst, opslag, opvraging en verwijdering van elektronische gegevens en elektronische documenten te waarborgen. Zij kunnen zowel gekwalificeerd als niet-gekwalificeerd zijn indien zij worden verstrekt door respectievelijk een gekwalificeerde of niet-gekwalificeerde verlener van vertrouwensdiensten.
Apparaten voor het aanmaken van handtekeningen/zegels
De Europese verordening inzake digitale identiteit heeft een gekwalificeerde vertrouwensdienst ingevoerd voor het beheer van op afstand gekwalificeerde apparaten voor het aanmaken van elektronische handtekeningen/zegels voor gebruikers. In Verordening (EU) nr. 910/2014 werd het beheer van dergelijke op afstand gekwalificeerde apparaten niet gecategoriseerd als een afzonderlijke vertrouwensdienst.
Elektronische grootboeken
De Europese verordening inzake digitale identiteit introduceert de registratie van elektronische gegevens in elektronische grootboeken als vertrouwensdienst. Elektronische grootboeken worden gedefinieerd als diensten die een sequentiële chronologische volgorde van gegevensrecords bieden, die de integriteit en nauwkeurigheid van zowel de records zelf als hun chronologische volgorde garanderen. Twee typologieën van elektronische grootboeken kunnen worden onderscheiden: gecentraliseerd en gedistribueerd. De verordening neemt een neutraal standpunt in ten aanzien van dergelijke typologie of zelfs de gebruikte technologie. Bovendien kunnen elektronische grootboeken gekwalificeerd of niet-gekwalificeerd zijn. In het algemeen is het de bedoeling dat elektronische grootboeken, in combinatie met andere technologieën, bijdragen aan oplossingen voor efficiëntere en transformerende overheidsdiensten.
Elektronische aangetekende bezorgdienst
De Europese verordening inzake digitale identiteit handhaaft de elektronische aangetekende bezorgdiensten als vertrouwensdiensten. Deze diensten bieden een veilig kanaal voor de verzending van documenten, met inbegrip van het bewijs van het verzenden en ontvangen van de gegevens. Zij zorgen voor volledige zekerheid bij het identificeren van de geadresseerde en handhaven een hoog niveau van vertrouwen in de identificatie van de afzender. Zij kunnen al dan niet gekwalificeerd zijn, terwijl alleen gekwalificeerde elektronische aangetekende bezorgdiensten een EU-brede erkenning krijgen.
Vanuit juridisch oogpunt profiteren zowel gekwalificeerde als niet-gekwalificeerde vertrouwensdiensten van een non-discriminatieclausule als bewijs voor rechtbanken. Met andere woorden, vertrouwensdiensten kunnen in gerechtelijke procedures niet worden afgewezen alleen op grond van het feit dat zij in elektronische vorm zijn of omdat zij niet gekwalificeerd zijn.
Vanwege de strengere eisen die gelden voor gekwalificeerde verleners van vertrouwensdiensten, bieden gekwalificeerde vertrouwensdienstenechter een sterker specifiek juridisch effect dan niet-gekwalificeerde, evenals een hogere technische beveiliging: Een gekwalificeerde elektronische handtekening heeft dezelfde rechtsgevolgen als een handgeschreven handtekening. Een gekwalificeerd elektronisch zegel geniet het vermoeden van integriteit van de gegevens en van de juistheid van de oorsprong van die gegevens waaraan het gekwalificeerde elektronische zegel is gekoppeld. Een gekwalificeerde elektronische verklaring van attributen en attesten van attributen, afgegeven door of namens een overheidsinstantie die verantwoordelijk is voor een authentieke bron, heeft dezelfde rechtsgevolgen als rechtmatig afgegeven verklaringen op papier. Gekwalificeerde vertrouwensdiensten bieden daarom meer rechtszekerheid en een hogere beveiliging van elektronische transacties.
Er is geen wijziging ten aanzien van het rechtsgevolg dat wordt toegekend aan elektronische handtekeningen van de oorspronkelijke eIDAS in de Europese verordening inzake digitale identiteit. Wat zal veranderen is de beschikbaarheid en het gemak voor iedereen om gekwalificeerde elektronische handtekeningen te maken. Eenmaal aan boord van een Europese portemonnee voor digitale identiteit hebben alle natuurlijke personen de mogelijkheid om met een gekwalificeerde elektronische handtekening standaard via een Europese portemonnee voor digitale identiteit gratis te ondertekenen voor niet-professionele doeleinden.
De eIDAS-verordening 910/2014 introduceerde aanvankelijk het gebruik van elektronische zegels door juridische entiteiten en deze bepaling blijft ongewijzigd in het kader van de gewijzigde verordening. Net als natuurlijke personen zullen rechtspersonen ook toegang krijgen tot de functionaliteit van elektronisch verzegelen van documenten door gebruik te maken van hun Europese portemonnee voor digitale identiteit. Europese aanbieders van portemonnees voor digitale identiteit of lidstaten zijn echter niet verplicht dergelijke functionaliteiten gratis aan te bieden aan juridische entiteiten en/of voor professioneel gebruik.
De Europese verordening inzake digitale identiteit handhaaft het beginsel van non-discriminatie van elektronische documenten en bepaalt dat deze geen rechtsgevolgen of ontvankelijkheid mogen worden ontzegd op de enkele grond dat zij in elektronische vorm zijn. Voorts wordt geen onderscheid gemaakt tussen elektronische gegevens, elektronische documenten in elektronische vorm en fysieke documenten die zijn gedigitaliseerd. Ten slotte stelt de verordening, door gebruik te maken van elektronische archivering als vertrouwensdienst, een kader vast dat de duurzaamheid en leesbaarheid van elektronische documenten vergemakkelijkt, evenals het behoud van de integriteit, vertrouwelijkheid en een bewijs van oorsprong gedurende de bewaringsperiode.
Wat de rechtsgevolgen betreft, zijn de bepalingen van de eIDAS-verordening waarin is bepaald dat een gekwalificeerde elektronische handtekening of zegel op basis van een in een lidstaat afgegeven gekwalificeerd certificaat in alle andere lidstaten respectievelijk als gekwalificeerde elektronische handtekening of zegel wordt erkend, in de Europese verordening inzake digitale identiteit (EUDI) bewaard.
Binnen twaalf maanden na de datum van inwerkingtreding van de EUDI-verordening stelt de Commissie door middel van uitvoeringshandelingen een lijst op van referentienormen, specificaties en procedures, indien nodig, voor gekwalificeerde certificaten voor elektronische handtekeningen. Bijgevolg moeten gekwalificeerde verleners van vertrouwensdiensten, die verantwoordelijk zijn voor de afgifte of validering van gekwalificeerde certificaten voor elektronische handtekeningen, voldoen aan deze gespecificeerde normen en procedures. Gekwalificeerde certificaten voor elektronische handtekeningen die vóór de datum van inwerkingtreding van die uitvoeringshandelingen zijn afgegeven, blijven geldig tot het verstrijken of intrekken van die certificaten, afhankelijk van wat het eerst plaatsvindt.
Binnen twaalf maanden na de datum van inwerkingtreding van de EUDI-verordening stelt de Commissie door middel van uitvoeringshandelingen een lijst op van referentienormen, specificaties en procedures, indien nodig, voor gekwalificeerde certificaten voor elektronische zegels. Bijgevolg moeten gekwalificeerde verleners van vertrouwensdiensten, die verantwoordelijk zijn voor de afgifte of validering van certificaten voor gekwalificeerde elektronische zegels, voldoen aan deze gespecificeerde normen en procedures. Gekwalificeerde certificaten voor elektronische zegels die vóór de datum van inwerkingtreding van die uitvoeringshandelingen zijn afgegeven, blijven geldig tot de vervaldatum of intrekking ervan, naargelang wat het eerst plaatsvindt.
Leveranciers van vertrouwensdiensten
- Indien een verlener van vertrouwensdiensten (TSP) een gekwalificeerde vertrouwensdienst wenst te verlenen, verzoekt hij eerst een beoordeling van een geaccrediteerde conformiteitsbeoordelingsinstantie (CAB). Het CAB moet bevestigen dat de kandidaat-gekwalificeerde verlener van vertrouwensdiensten en de gekwalificeerde vertrouwensdienst die hij voornemens is te verlenen, voldoet aan de vereisten van de Europese verordening inzake digitale identiteit en artikel 21 van Richtlijn (EU) 2022/2555 inzake NIS2. Dit proces wordt meestal aangeduid als een „audit”.
- Zodra de TSP het verslag heeft ontvangen, moet hij een verzoek indienen bij het toezichthoudende orgaan van het land waar het is gevestigd, samen met het verslag van de conformiteitsbeoordelingsinstantie waarin de naleving wordt bevestigd. Het toezichthoudende orgaan moet deze beweerde naleving binnen drie maanden verifiëren. Indien het toezichthoudend orgaan langer duurt dan verwacht om te verifiëren, wordt het TSP binnen drie maanden na indiening hiervan in kennis gesteld, met opgave van de redenen voor de vertraging en wordt een bijgewerkt tijdschema verstrekt.
- Zodra de verificatie positief is afgerond, verleent het toezichthoudende orgaan de gekwalificeerde status. Daarna zou de nationale vertrouwenslijst van gekwalificeerde verleners van vertrouwensdiensten worden bijgewerkt. Pas nadat de verantwoordelijke instantie het aan de lijst heeft toegevoegd, mag de QTSP beginnen met het aanbieden van haar gekwalificeerde vertrouwensdienst. De aangeboden gekwalificeerde vertrouwensdiensten zullen profiteren van een EU-brede grensoverschrijdende erkenning.
Gekwalificeerde vertrouwensdiensten worden om de 24 maanden aan een conformiteitsbeoordeling onderworpen. Een conformiteitsbeoordelingsinstantie controleert het QTSP en de gekwalificeerde vertrouwensdienst die wordt verleend. Als het nog steeds voldoet aan de vereisten van de Europese verordening inzake digitale identiteit, zal een verslag worden uitgebracht aan het QTSP. Na ontvangst beschikt het QTSP over drie werkdagen vanaf de datum van ontvangst om het verslag in te dienen bij het toezichthoudend orgaan. Na een positieve verificatie door het toezichthoudend orgaan wordt de gekwalificeerde status gehandhaafd. Het toezichthoudend orgaan behoudt zich echter het recht voor om op elk gewenst moment aanvullend bewijsmateriaal op te vragen of verdere beoordelingen uit te voeren.
Wanneer een QTSP een audit plant, moet het het toezichthoudend orgaan ten minste een maand van tevoren daarvan in kennis stellen. Bovendien heeft het toezichthoudende orgaan het recht om de audit bij het conformiteitsbeoordelingsorgaan bij te wonen indien het toezichthoudende orgaan dat wenst.
Tussen twee regelmatige audits kan het toezichthoudende orgaan te allen tijde een audit uitvoeren of een conformiteitsbeoordelingsinstantie verzoeken een conformiteitsbeoordeling uit te voeren om de gekwalificeerde status van de verleende diensten en zichzelf te bevestigen.
Indien een QTSP reeds een gekwalificeerde status heeft verkregen voor de afgifte van gekwalificeerde certificaten, moet het vóór de inwerkingtreding van de verordening een conformiteitsbeoordelingsverslag indienen bij een toezichthoudende instantie uiterlijk twee jaar na de inwerkingtreding van de verordening.
Als het QTSP niet voldoet aan de vereisten van de Europese verordening inzake digitale identiteit en deze niet binnen de vastgestelde termijn rectificeert nadat het is geïnformeerd, kan de gekwalificeerde status worden ingetrokken en kan de nationale vertrouwenslijst dienovereenkomstig worden bijgewerkt.
Aangezien de gekwalificeerde status van de door de TSP verleende vertrouwensdienst wordt aangegeven als ingetrokken in de vertrouwenslijst, is de TSP niet langer bevoegd om die gekwalificeerde vertrouwensdienst te verlenen.
In de Europese verordening inzake digitale identiteit wordt een conformiteitsbeoordelingsinstantie gedefinieerd als een entiteit die bevoegd is voor de beoordeling van gekwalificeerde verleners van vertrouwensdiensten en de diensten die zij aanbieden.
Aanvankelijk was er geen verplichting voor nationale accreditatie-instanties (NAB’s) of lidstaten om de Europese Commissie op de hoogte te stellen van geaccrediteerde CAB’s op grond van artikel 3, lid 18, van eIDAS.
Dankzij de samenwerkingsinspanningen van NAB’s en toezichthoudende organen heeft de Commissie echter een lijst van dooreIDAS geaccrediteerde CAB’s opgesteld.
Op grond van de eIDAS-verordening 910/2014 worden CAB’s vermeld in het land waar de accrediterende NAB is gevestigd, wat kan verschillen van het land van vestiging van de CAB.
De Europese verordening inzake digitale identiteit brengt een wijziging in, aangezien de lidstaten de Commissie onverwijld in kennis moeten stellen van geaccrediteerde CAB’s, met inbegrip van hun namen, adressen en accreditatiegegevens, samen met eventuele latere wijzigingen. Deze informatie zal met alle lidstaten worden gedeeld en toegankelijk blijven voor het publiek.
Betrouwbare lijsten zijn essentieel voor het waarborgen van zekerheid en het opbouwen van vertrouwen tussen marktdeelnemers. Betrouwbare lijsten geven voortdurend de gekwalificeerde status van een verlener van vertrouwensdiensten en de door hem aangeboden vertrouwensdienst aan. De lijst bevordert de interoperabiliteit van gekwalificeerde vertrouwensdiensten door de validering van onder meer gekwalificeerde elektronische handtekeningen en gekwalificeerde elektronische zegels te vergemakkelijken.
In het kader van de Europese verordening inzake digitale identiteit blijven nationale vertrouwenslijsten een constitutief rechtsgevolg hebben, zoals dat reeds het geval was in het kader van de oorspronkelijke eIDAS-verordening. Met andere woorden, een dienstverrichter/dienst wordt alleen gekwalificeerd als hij een geldige gekwalificeerde status heeft op de nationale vertrouwenslijst van de lidstaat waar hij is gevestigd. Bijgevolg zullen de gebruikers (burgers, bedrijven of overheidsdiensten) alleen profiteren van het rechtsgevolg dat aan een bepaalde gekwalificeerde vertrouwensdienst is verbonden indien deze (als gekwalificeerd) in de desbetreffende vertrouwenslijst is opgenomen.
In het kader van de nieuwe Europese verordening inzake digitale identiteit is er geen verplichting voor browserverkopers om de vertrouwenslijsten in hun producten te herkennen, te integreren of te gebruiken. De verplichting voor browsers is beperkt tot het weergeven van de gecertificeerde identiteitsgegevens en de andere geattesteerde attributen aan de eindgebruiker op een gebruiksvriendelijke manier in de browseromgeving, door middel van technische middelen naar keuze. Dit is gericht op het verbeteren van de veiligheid en transparantie van het internet als vertrouwde diensten.
Nee. Het is een zakelijke beslissing van de verleners van vertrouwensdiensten over het al dan niet verlenen van één, meer dan één of alle vertrouwensdiensten, met inbegrip van de verstrekking van die diensten in hun gekwalificeerde versie.
Ja, in het kader van het verstrekken van een gekwalificeerd certificaat of een gekwalificeerde verklaring van attributen, is een gekwalificeerde vertrouwensdienstverlener (QTSP) verplicht om de identiteit van de natuurlijke of rechtspersoon te verifiëren. Deze eis geldt ook voor gevallen waarin een gekwalificeerde elektronische aangetekende bezorgdienst wordt verleend. Overeenkomstig artikel 24 van de Europese verordening inzake digitale identiteit moet een QTSP bij de afgifte van een gekwalificeerd certificaat of een gekwalificeerde elektronische verklaring van attributen de identiteit en alle noodzakelijke kenmerken van de betrokken persoon verifiëren. Dit zorgt ervoor dat de QTSP zekerheid heeft in de juistheid en juistheid van de identiteit van het individu, evenals alle relevante attributen, op het moment van uitgifte. Verificatie kan worden uitgevoerd met behulp van verschillende methoden, waaronder de Europese portemonnee voor digitale identiteit, gekwalificeerde elektronische handtekeningen of zegels, of andere zeer betrouwbare methoden. Bovendien kan de fysieke aanwezigheid van de natuurlijke persoon of een gemachtigde vertegenwoordiger van de rechtspersoon ook dienen als controlemiddel.
Nee. Volgens het beginsel van de interne markt (artikel 4) en artikel 24 bis van de Europese verordening inzake digitale identiteit wordt een in een lidstaat verleende gekwalificeerde vertrouwensdienst in alle andere lidstaten erkend als gekwalificeerde vertrouwensdienst.
De Europese verordening inzake digitale identiteit maakt het proces van wederzijdse erkenning van vertrouwensdiensten eenvoudiger door aan de internationale overeenkomst van artikel 218 VWEU de mogelijkheid toe te voegen om uitvoeringshandelingen vast te stellen om de voorwaarden vast te stellen waaronder vertrouwenskaders van derde landen als gelijkwaardig aan het kader voor gekwalificeerde vertrouwensdiensten in de Unie kunnen worden beschouwd.
Wat kan/moet op nationaal niveau worden gedaan?
De Europese verordening inzake digitale identiteit voorziet in een nieuw alomvattend governancekader voor elektronische identificatie en vertrouwensdiensten. Dit kader is bedoeld om de implementatie en het toezicht op zowel de Europese portemonnees voor digitale identiteit als de vertrouwensdiensten te vergemakkelijken. Het nieuwe governancekader omvat met name een nieuw samenwerkings- en coördinatieorgaan, de Europese Groep voor samenwerking op het gebied van digitale identiteit. Dit orgaan kreeg de opdracht een breed scala aan taken uit te wisselen, bijvoorbeeld om advies uit te wisselen en samen te werken met de Commissie over opkomende beleidsinitiatieven, het organiseren van collegiale toetsingen van andere aangemelde elektronische identificatiemiddelen dan de Europese portemonnee voor digitale identiteit, verzoeken om wederzijdse bijstand te bespreken en standpunten, beste praktijken en andere informatie tussen alle partijen uit te wisselen. De nieuwe opzet zal de consistentie en doeltreffendheid van het huidige governancesysteem verbeteren en de huidige versnipperde structuur vervangen.
Ja, de lidstaten kunnen andere vertrouwensdiensten oprichten. Indien deze diensten echter niet voldoen aan het in de gewijzigde eIDAS-verordening geschetste rechtskader, met name voor gekwalificeerde vertrouwensdiensten, zullen zij geen rechtsgevolgen hebben over de grenzen heen.
Als algemeen beginsel worden elektronische handtekeningen en elektronische zegels niet ontzegd als bewijsmiddel in gerechtelijke procedures, onder meer door overheidsdiensten, uitsluitend op grond van het feit dat ze in elektronische vorm zijn of niet voldoen aan de vereisten voor gekwalificeerde elektronische handtekeningen/zegels. Dergelijke elektronische handtekeningen/zegels moeten van dit beginsel profiteren, ongeacht hun technische vorm. De EUDI-verordening handhaafde de verplichting voor onlinediensten die worden aangeboden door of namens een overheidsinstantie om ten minste de technische formaten of methoden te erkennen die zijn opgenomen in een overeenkomstig artikel 27/37I vastgestelde uitvoeringshandeling.
Nee, het is verboden voor nationale wetten om de geldigheidsduur van gekwalificeerde certificaten te reguleren, aangezien dit is geharmoniseerd door de Europese verordening inzake digitale identiteit.
Nee, het is verboden voor nationale wetgeving ter zake, aangezien dit is geharmoniseerd door de Europese verordening inzake digitale identiteit. In de Europese verordening inzake digitale identiteit is bepaald dat een dergelijke certificering niet langer dan vijf jaar geldig is, mits om de twee jaar kwetsbaarheidsbeoordelingen worden uitgevoerd. De Commissie zal verantwoordelijk zijn voor het uitvaardigen van richtsnoeren voor de certificering en hercertificering van gekwalificeerde apparaten voor het aanmaken van elektronische handtekeningen en gekwalificeerde apparaten voor het aanmaken van elektronische zegels, met inbegrip van hun geldigheids- en tijdsbeperkingen. Dit zal zorgen voor consistentie in de certificeringspraktijken in de hele Unie.
De Europese verordening inzake digitale identiteit bepaalt dat de lidstaten sancties moeten vaststellen voor inbreuken, onder meer voor het misbruik van het EU-trustmerk voor gekwalificeerde vertrouwensdiensten door niet-gekwalificeerde verleners van vertrouwensdiensten. Om een doeltreffende handhaving van de verordening te waarborgen en tegelijkertijd te garanderen dat sancties doeltreffend, evenredig en afschrikkend zijn, voorziet de verordening in de vaststelling van richtsnoeren voor administratieve geldboeten voor zowel gekwalificeerde als niet-gekwalificeerde verleners van vertrouwensdiensten. De verordening stelt een drempel vast voor de maximumsancties die kunnen worden opgelegd aan verleners van vertrouwensdiensten die de regels betreffende natuurlijke personen schenden.
Acties van de EU-instellingen en de lidstaten
Na de inwerkingtreding van de Europese verordening inzake digitale identiteit zal de Commissie een reeks uitvoeringshandelingen vaststellen om de tenuitvoerlegging van de verordening te harmoniseren. Daarnaast zal de Commissie nauwe en gestructureerde samenwerking met verschillende belanghebbenden bevorderen, waaronder de lidstaten, het maatschappelijk middenveld en de particuliere sector. Deze samenwerking zal worden vergemakkelijkt door deskundigengroepen, gerichte raadplegingen van belanghebbenden en openbare raadplegingen.
De Europese verordening inzake digitale identiteit is rechtstreeks van toepassing in alle 27 EU-lidstaten. De lidstaten zorgen er onder meer voor dat:
- Een of meer toezichthoudende organen aan te wijzen en de Commissie in kennis te stellen van hun naam en adres.
- Conformiteitsbeoordelingsinstanties aanwijzen voor de certificering van Europese portemonnees voor digitale identiteit en de Commissie in kennis stellen van hun namen, adressen en accreditatiegegevens.
- Samenwerken met de Commissie om vertegenwoordigers in de samenwerkingsgroep voor grensoverschrijdende samenwerking aan te wijzen.
- Doeltreffende, evenredige en afschrikkende sancties voor inbreuken uit te voeren.
- Ervoor zorgen dat gekwalificeerde verleners van vertrouwensdiensten van elektronische attestering van attributen op verzoek van de gebruiker de belangrijkste kenmerken elektronisch kunnen verifiëren. Deze kenmerken omvatten ten minste de kenmerken die zijn vermeld in bijlage VI bij de Europese verordening inzake digitale identiteit, wanneer deze zich baseren op authentieke bronnen binnen de overheidssector.
- Overweeg om gekwalificeerde certificaten voor websiteauthenticatie op overheidswebsites op te nemen.
- Overeenkomstig artikel 22 een nationale vertrouwenslijst blijven publiceren en bijhouden.
- Ervoor zorgen dat openbare lichamen formaten van geavanceerde elektronische handtekeningen en elektronische zegels erkennen overeenkomstig artikel 27/37.
De verordening is niet van toepassing op de EU-instellingen waarvoor hun eigen reglement van orde geldt. De Europese Commissie is momenteel op dit gebied geregeld bij Besluit 2021/2121 van de Commissie tot vaststelling van de eigen bepalingen van de Commissie inzake elektronische en gedigitaliseerde documenten.