Wat is eIDAS?

De Electronic Identification, Authentication and Trust Services Regulation 2014/910 of kortweg eIDAS vormt het kader voor de rechtsgeldigheid van elektronische handtekeningen in de EU. Hieronder worden drie verschillende soorten handtekeningen onderscheiden en verordonneerd: eenvoudige elektronische handtekeningen, gekwalificeerde elektronische handtekeningen (QES) en geavanceerde elektronische handtekeningen (AES). QES is de hoogste standaard voor elektronische handtekeningen en biedt één set regels voor de hele EU. Met DocuSign eSignature kunnen klanten alle drie de soorten elektronische handtekeningen gebruiken. Toen het Verenigd Koninkrijk de Europese Unie verliet, werd eIDAS onderdeel van de Britse nationale wetgeving op grond van de Europese uittredingswet.

Waarom werd de eIDAS-wetgeving voor elektronische handtekeningen ingevoerd?

De eIDAS-verordening werd ingevoerd ter vervanging van de richtlijn betreffende elektronische handtekeningen (1999). 

De vorige richtlijn gaf de EU-lidstaten de vrijheid om de bepalingen ervan naar eigen inzicht in nationaal recht om te zetten. Dit leidde onvermijdelijk tot ongelijkheid tussen de diverse nationale wetgevingen, waardoor het onmogelijk bleek gemeenschappelijke technische normen voor elektronische handtekeningen vast te stellen. Dit maakte grensoverschrijdend zakendoen tot een hele uitdaging. Sinds de richtlijn in 1999 van kracht werd, is de techniek bovendien niet stil blijven staan. Door de opkomst van mobiele en cloudtechnologieën raakte de richtlijn achterhaald. Zo moest er een 'geavanceerde elektronische handtekening' worden gemaakt met middelen die de ondertekenaar onder eigen controle kan houden. Hoewel de richtlijn 'technologieneutraal' was, werd de vereiste van exclusieve controle geïnterpreteerd als het verplichte gebruik van een smartcard of fysieke token. De huidige verordening biedt aanbieders de mogelijkheid om cloudtechnologie te gebruiken, zodat klanten elektronische handtekeningen kunnen genereren en valideren met een mobiel apparaat. 

Waarop is de eIDAS-verordening vooral gericht?

Het doel van de eIDAS-verordening is om gebruiksvriendelijke en veilige elektronische transacties te faciliteren voor burgers, bedrijven en overheidsinstellingen in verschillende EU-landen. Dit omvat twee elementen: ten eerste maakt de verordening wederzijdse erkenning en aanvaarding van elektronische identificatiemethoden over de EU-grenzen heen mogelijk en ten tweede stelt het een gemeenschappelijk juridisch kader vast voor een reeks 'vertrouwensdiensten', waaronder elektronische handtekeningen, elektronische zegels, tijdstempels, elektronisch geregistreerde leveringsdiensten en websiteverificatie.

De verordening heeft directe gevolgen in alle EU-lidstaten. Per 1 juli 2016 verving de verordening automatisch de richtlijn en heeft ook voorrang gekregen op eventuele strijdige nationale wetgeving inzake elektronische handtekeningen. De Electronic Identification and Trust Services for Electronic Transactions Regulations 2016 trad op 22 juli van dat jaar in werking ter vervanging van de Electronic Signature Regulations 2002 en ter aanpassing van de Electronic Communications Act 2000. 

Kun je wat meer vertellen over de verschillende soorten handtekeningen die mogen worden gebruikt en wanneer deze van toepassing zijn?

Elektronische handtekeningen worden wereldwijd geaccepteerd als het equivalent van een met pen gezette handtekening. Voor de meeste situaties, klanten en locaties is een elektronische handtekening voldoende. Voor transacties in sterk gereguleerde branches, in het buitenland of met overheidsinstanties zijn echter digitale handtekeningen gewenst of zelfs vereist. In tegenstelling tot elektronische handtekeningen biedt de digitale variant een hogere mate van zekerheid over de identiteit van de ondertekenaar. 

In de verordening worden drie soorten elektronische handtekeningen gedefinieerd, namelijk eenvoudige, geavanceerde en gekwalificeerde e-handtekeningen.

• Eenvoudige elektronische handtekening – een 'eenvoudige' elektronische handtekening wordt gedefinieerd als 'alle gegevens in elektronische vorm die aan andere gegevens in elektronische vorm zijn gekoppeld of er logisch verband mee houden en die door de ondertekenaar worden gebruikt voor ondertekening'. In lekentaal is dit het elektronische equivalent van een schriftelijke handtekening die een ondertekenaar op een document zet om aanvaarding of goedkeuring aan te geven. Een getypte naam onderaan een e-mail, een gescande pdf-handtekening, het klikken op een 'ik ga akkoord'-knop op een website of de standaardhandtekening die via het DocuSign-platform wordt gegenereerd, zijn allemaal voorbeelden van een 'eenvoudige' elektronische handtekening.
• Geavanceerde elektronische handtekening – een 'geavanceerde elektronische handtekening' is een geraffineerdere en veiligere vorm van een elektronische handtekening die wordt gegenereerd met behulp van encryptietechnologie. Volgens de verordening moet een geavanceerde elektronische handtekening: op unieke wijze gekoppeld zijn aan de ondertekenaar, de ondertekenaar kunnen identificeren, gemaakt zijn met behulp van een encryptiesleutel waarover uitsluitend de ondertekenaar de controle heeft, en op zodanige wijze aan de ondertekende gegevens gekoppeld zijn dat elke latere wijziging in de gegevens kan worden opgespoord.
• Gekwalificeerde elektronische handtekening – de laatste soort handtekening is een 'gekwalificeerde elektronische handtekening'. Dit is de gouden standaard en biedt het hoogste niveau van rechtsgeldigheid in de EU. In essentie is het een 'gekwalificeerde elektronische handtekening' met een 'gekwalificeerd certificaat' dat is uitgegeven door een vertrouwensdienstverlener die op de vertrouwenslijst van de EU staat. De vertrouwensdienstverlener moet de identiteit van de ondertekenaar verifiëren en het gekwalificeerde certificaat afgeven als waarborg dat de ondertekenaar is wie hij beweert te zijn.

De overgrote meerderheid van de zakelijke en consumententransacties in de EU kan worden geverifieerd aan de hand van een eenvoudige elektronische handtekening. Desalniettemin zijn er enkele transacties waarvoor – op grond van nationaal recht – mogelijk een geavanceerde of gekwalificeerde elektronische handtekening vereist is, ofwel de partijen kunnen voor dergelijke handtekeningen kiezen omdat deze meer veiligheid en een hoger verificatieniveau bieden. Deze drie elektronische handtekeningen bieden een steeds hoger niveau van rechtsbescherming en naarmate het zekerheidsniveau toeneemt, worden ook de implementatie-eisen strenger. eIDAS schrijft niet voor welke handtekening voor welk scenario moet worden gebruikt. Het handtekeningniveau dat organisaties kiezen, is gebaseerd op lokale gebruiken, industrienormen, specifieke wetten en de risico's die de organisatie bereid is te nemen.

De verschillen tussen een eenvoudige, een geavanceerde en een gekwalificeerde elektronische handtekening houden met name verband met het ID-verificatieproces. Als er zich een geschil voordoet met betrekking tot een transactie, dient het certificaat van voltooiing van DocuSign (dat bij elke ondertekening wordt gegenereerd) als audittrail en bewijs van de transactie, ongeacht het gebruikte soort handtekening.

In hoeverre is eIDAS gunstig voor het bedrijfsleven?

De verordening biedt een voorspelbaar regelgevingskader voor elektronische transacties. Dit stimuleert grensoverschrijdende e-commerce en de digitale economie. Bedrijven hebben vertrouwde diensten en veilige platforms voor elektronische handtekeningen zoals DocuSign nodig. De verordening heeft het voor aanbieders van vertrouwensdiensten mogelijk gemaakt om cloudtechnologie te gebruiken, zodat klanten elektronische en digitale handtekeningen kunnen genereren en valideren met hun smartphone of tablet. DocuSign verwacht dat dit een belangrijke aanjager zal blijven voor de digitale transformatie van bedrijven, in zowel het VK als de EU.

Betekent eIDAS dat organisaties al hun transacties elektronisch kunnen uitvoeren?

Nee, de verordening standaardiseert niet de EU-wetgeving met betrekking tot welk soort handtekening nodig is voor een geldige totstandkoming van elektronische contracten. De verordening bepaalt dat een gekwalificeerde elektronische handtekening hetzelfde effect heeft als een met pen gezette handtekening, maar laat het verder aan de nationale wetgevers over om het rechtsgevolg van elektronische handtekeningen te definiëren. Dit betekent dat een EU-lidstaat (of de rechtbanken van een staat) het gebruik van elektronische contracten voor bepaalde transacties kan verbieden en in plaats daarvan een papierafhankelijk proces kan eisen. In het burgerlijk recht moeten sommige documenten in landen als Duitsland en Italië formeel worden gelegaliseerd in aanwezigheid van een notaris. Dergelijke uitzonderingen zijn echter zeldzaam en elektronische handtekeningen zijn rechtsgeldig voor de meeste zakelijke, commerciële, consumptieve, financiële en HR-gerelateerde transacties in de EU. 

Elektronische handtekeningen als katalysator voor het internationale bedrijfsleven

DocuSign eSignature biedt een soepele ondertekenervaring voor organisaties die op mondiaal niveau moeten voldoen aan eIDAS en andere soortgelijke regelgeving. Meer over de rechtsgeldigheid van elektronische handtekeningen vind je in onze landspecifieke gidsen, die zijn opgesteld door lokale advocaten uit de EU-lidstaten en andere belangrijke rechtsgebieden, waaronder de VS, China, India en Australië. Probeer DocuSign eSignature gratis en ervaar het zelf.