De eIDAS-verordening biedt een wettelijk en technisch kader met betrekking tot elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt. Ze heeft als doel veilige en naadloze elektronische interacties tussen bedrijven, burgers en overheden mogelijk te maken. Deze bepalingen bieden organisaties en eindgebruikers enorme voordelen. De eIDAS-verordening is sinds 2014 van kracht in de EU en wordt sindsdien steeds verder uitgedacht. Onlangs organiseerde de Europese Commissie nog een openbare raadpleging. Van 24 juli tot 2 oktober 2020 werd feedback verzameld over de bevorderende en belemmerende factoren voor de ontwikkeling en invoering van elektronische identificatiemiddelen en vertrouwensdiensten in Europa. Daarnaast werd gevraagd naar de meningen over de lancering van een Europese digitale identiteit. Voor dit artikel interviewden we drie eIDAS-experts: Wim Coulier, Jérôme Bordier en Guillaume Forget. Ontdek wat zij hierover te vertellen hebben.
“We vinden eIDAS fantastisch. De verordening is een schot in de roos, in het bijzonder voor aanbieders van vertrouwensdiensten. Het is vandaag essentieel dat ze gekwalificeerd zijn, en nu kunnen we eindelijk twee aanbieders met elkaar vergelijken. De digitalisering gaat steeds verder en de verordening moet gewoonweg mee-evolueren.”
– Jérôme Bordier, directeur van SEALWeb
Op basis van de interviews kunnen we 3 belangrijke knelpunten signaleren in de verordening:
1. Wat met de privésector?
De eIDAS-verordening heeft een grote impact op de harmonisatie, de interoperabiliteit, en de onderlinge erkenning van diensten voor elektronische identificatie (eID) tussen de EU-lidstaten. En hoewel de meningen sterk verdeeld zijn, zal de overheid allicht nog een hele tijd als enige instantie onze identiteit officieel bepalen (eID). Die reglementering is dus een goede zaak.
In veel landen zien we echter een opvallende verschuiving, en worden meer en meer nationale diensten voor elektronische identificatie uitgerold door de privésector (bv. SPID in Italië, itsme® in België …). Dit toont aan dat niet alleen de openbare sector, maar ook privébedrijven een sleutelrol spelen bij de ontwikkeling van nationale diensten voor elektronische identificatie die in Europa over de grenzen heen worden erkend. En dit is misschien wel een van de hiaten in eIDAS: de verordening biedt geen bepalingen voor privéaanbieders van identificatiediensten.
Wim Coulier, eIDAS-expert voor itsme®, legt uit:
“De eIDAS-verordening omvat wel bepalingen rond certificering en verschillende betrouwbaarheidsniveaus (laag, gemiddeld en hoog) van identificatiediensten van de publieke sector, maar voor de privésector ontbreken deze richtlijnen.” Privébedrijven kunnen ook perfect erkend worden als aanbieder van toepassingen om je identiteit aan te tonen, net zoals ze een certificering kunnen krijgen voor andere vertrouwensdiensten.”
2. Geen consistente controles
Het probleem schuilt niet in een gebrek aan knowhow, maar is terug te voeren op de controleprocedures. Zo kan de audit van een aanbieder van vertrouwensdiensten in Nederland bijvoorbeeld op een andere manier gebeuren dan in Italië of een ander land. De controle van twee aanbieders van vertrouwensdiensten kan dus op totaal verschillende wijze uitgevoerd worden, maar wél hetzelfde resultaat opleveren. Dat strookt niet met de reden waarom de verordening in het leven geroepen werd, namelijk harmonisatie, transparantie en interoperabiliteit tot stand brengen. De experts zijn het erover eens dat voor de hele Europese Unie één controle- en kwalificatieprocedure uitgewerkt moet worden. Dat systeem is in alle lidstaten op dezelfde transparante en eenduidige manier toe te passen.
“Zo zou de bevoegdheid van de lokale controle-instantie beperkt kunnen worden, om meer verantwoordelijkheid te geven aan een algemene taskforce bij de Europese Commissie. De regels die op centraal niveau bepaald zijn, zouden dan in alle EU-lidstaten op dezelfde wijze gehanteerd worden. Dat gebeurt immers ook in andere sectoren, zoals de farma-industrie.”
Voegt Guillaume Forget, algemeen directeur bij Cryptomathic, toe.
3. Behoefte aan certificering van systemen voor elektronische handtekeningen
Vandaag kunnen bedrijven erkend worden als gekwalificeerde aanbieder van vertrouwensdiensten – meer bepaald valideringsdiensten, het aanmaken van elektronische handtekeningen en certificaten voor de authenticatie van websites, elektronische tijdstempels, bewaringsdiensten, en elektronisch aangetekende bezorging.
Opdat iedereen vol overtuiging de overstap naar digitale handtekeningen kan maken, moeten we aantonen dat een digitale handtekening betrouwbaar is. Om die reden moeten officiële diensten voor het aanmaken van elektronische handtekeningen opgenomen worden in de eIDAS-verordening.
Jérôme Bordier:
“In het overzicht van diensten waarop de verordening specifiek betrekking heeft, zou duidelijk moeten staan dat een elektronische handtekening gekwalificeerd kan zijn.”
Conclusie
Voorlopig kunnen we alleen maar afwachten hoe de Europese Commissie zal inspelen op de aanbevelingen. De experts zijn het er unaniem over eens dat in de toekomst een nieuwe versie van de eIDAS-verordening zal verschijnen. De hamvraag is wanneer. Connective ziet daar halsreikend naar uit!
Over de experts
Wim Coulier
Wim is eIDAS-expert bij Belgian Mobile ID, het bedrijf achter de innovatieve Belgische app voor digitale identificatie itsme®. Hij heeft heel wat ervaring met de uitvoering van grootschalige projecten en programma’s. Wim weet precies hoe hij IT moet inzetten om bedrijfsdoelstellingen te realiseren, kan als geen ander technische kennis op globale schaal benutten, en heeft een uitgebreide knowhow op het gebied van vertrouwensdiensten (PKI-certificaten, elektronische handtekeningen, eID, de eIDAS-verordening …).
Jérôme Bordier:
Jérôme BORDIER is directeur en oprichter van SEALweb. Hij is een gerenommeerde expert in digitale identiteit, elektronische handtekeningen, digitaal contractbeheer en digitale vertrouwensdiensten. Jérôme is tevens algemeen secretaris van ClubPSCo (www.clubpsco.fr), de overkoepelende organisatie voor ruim 30 Franse aanbieders van eIDAS-gekwalificeerde vertrouwensdiensten, en deskundige op het vlak van vertrouwensdiensten bij ENISA (het Agentschap van de Europese Unie voor cyberbeveiliging).
Guillaume Forget
Guillaume is algemeen directeur bij Cryptomathic GmbH, de Duitse dochtermaatschappij van Cryptomathic. Hij is een vurige voorstander van elektronische handtekeningen, en staat in voor de uitbouw van Cryptomathics initiatieven rond ondertekenen op afstand volgens de eIDAS-verordening en het what you see is what you sign-concept. Guillaume heeft meer dan 15 jaar ervaring in de toepassing en integratie van technologie en diensten met betrekking tot elektronisch ondertekenen van het hoogste betrouwbaarheidsniveau.
