Gevolgen eIDAS verordening

Onze eIDAS-specialist, Wouter van den Brink, aan het woord over de gevolgen van de eIDAS-verordening voor Aangetekend Mailen/ Registered Email.

Europees gecertificeerde vertrouwensdienstleverancier

eIDAS

Het opbouwen van vertrouwen in de online-omgeving is essentieel voor economische en sociale ontwikkeling. Een gebrek aan vertrouwen, met name ten gevolge van een ogenschijnlijk gebrek aan rechtszekerheid, leidt ertoe dat consumenten, bedrijven en overheden aarzelen om transacties elektronisch uit te voeren en van nieuwe diensten gebruik te maken.

Deze eIDAS verordening (VERORDENING (EU) Nr. 910/2014 VAN HET EUROPEES PARLEMENT EN DE RAAD van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG) heeft tot doel het vertrouwen in elektronische transacties in de interne markt te vergroten door te voorzien in een gemeenschappelijke grondslag voor veilige elektronische interactie tussen burgers, bedrijven en overheden, en bijgevolg ook de doeltreffendheid van publieke en private onlinediensten, e-business en elektronische handel in de Unie te verhogen.

Alle verleners van vertrouwensdiensten moeten zich houden aan de vereisten van deze verordening, in het bijzonder wat betreft veiligheid en betrouwbaarheid, zodat de zorgvuldigheid, transparantie en verantwoording van hun activiteiten worden gewaarborgd. Gelet op de soort diensten die verleners van vertrouwensdiensten verlenen, dient echter met betrekking tot deze vereisten onderscheid te worden gemaakt tussen gekwalificeerde en niet- gekwalificeerde verleners van vertrouwensdiensten.

Juridische waarde via een
gekwalificeerde vertrouwensdienstverlener

Aangetekend heeft een notering op de EU Trust List als gekwalificeerde vertrouwensdienstverlener die een gekwalificeerde vertrouwensdienst, digitaal aangetekende zending (qualified Electronic Registered Delivery Service (qERDS), verleent en van het toezichthoudende orgaan, Rijksinspectie Digitale Infrastructuur, de status gekwalificeerde heeft gekregen conform de eIDAS-Verordening. Aangetekend heeft in NL een qERDS notering op de EU Trusted list en IPEX heeft in BE een qERDS notering op de EU Trusted List.

Aangetekend is een qTSP

IPEX is een qTSP

Aangetekend Mailen (art. 43.1 eIDAS)

„dienst voor elektronisch aangetekende bezorging”: een dienst die het mogelijk maakt gegevens via elektronische middelen tussen derden te verzenden en die bewijs verschaft ten aanzien van het hanteren van de verzonden gegevens, met inbegrip van bewijs van het verzenden en ontvangen van de gegevens, en die de verzonden gegevens beschermt tegen het risico van verlies, diefstal, beschadiging of onbevoegde wijzigingen

Aangetekend Mailen Plus (art. 43.2 en 44 eIDAS)

Een „gekwalificeerde dienst voor elektronisch aangetekende bezorging”: een dienst voor elektronisch aangetekende bezorging die voldoet aan de in artikel 44 vastgestelde eisen.

Wat is dan het onderscheid tussen Aangetekend Mailen en Aangetekend Mailen Plus? Deze vraag kan worden beantwoord door het verschil in artikel 43.1 enerzijds 43.2 en 44 anderzijds van de eIDAS Verordening te begrijpen.

Artikel 43

Rechtsgevolg van een dienst voor elektronisch aangetekende bezorging

Het rechtsgevolg en toelaatbaarheid als bewijsmiddel in gerechtelijke procedures van gegevens die via een dienst voor elektronisch aangetekende bezorging verstuurd en ontvangen worden, mogen niet worden ontkend louter op grond van het feit dat de dienst elektronisch is of niet aan de eisen voor de gekwalificeerde dienst voor elektronisch aangetekende bezorging voldoet.
Voor gegevens die via een gekwalificeerde dienst voor elektronisch aangetekende bezorging worden verstuurd en ontvangen, geldt het vermoeden van integriteit van de gegevens, van de verzending van die gegevens door de geïdentificeerde afzender, van de ontvangst daarvan door de geïdentificeerde geadresseerde, en van de nauwkeurigheid van de datum en het tijdstip van verzending en van ontvangst, zoals aangegeven door de gekwalificeerde dienst voor elektronisch aangetekende bezorging.

Artikel 44

Eisen voor gekwalificeerde diensten voor elektronisch aangetekende bezorging. Gekwalificeerde diensten voor elektronisch aangetekende bezorging voldoen aan de volgende eisen:

zij worden verleend door een of meer gekwalificeerde verleners van vertrouwensdiensten;
zij bevestigen op een hoog vertrouwensniveau de identiteit van de zender;
zij bevestigen de identiteit van de geadresseerde, alvorens de gegevens te bezorgen;
het verzenden en ontvangen van gegevens wordt beveiligd door een geavanceerde elektronische handtekening of een geavanceerd elektronisch zegel van een gekwalificeerde verlener van vertrouwensdiensten, en wel op zodanige wijze dat onmerkbare wijziging van gegevens kan worden uitgesloten;
de verzender en de geadresseerde van de gegevens worden op duidelijke wijze in kennis gesteld van eventuele wijzigingen van de gegevens die nodig zijn voor het verzenden of ontvangen van de gegevens;
de datum en het tijdstip van verzenden, ontvangen en wijzigen van gegevens worden aangegeven met een gekwalificeerd elektronisch tijdstempel.

Gekwalificeerde verlener van vertrouwensdiensten

Een eIDAS gekwalificeerde verlener van vertrouwensdiensten is een verlener van vertrouwensdiensten die één of meerdere gekwalificeerde vertrouwensdiensten verleent en van het toezichthoudende orgaan, in Nederland Rijksinspectie Digitale Infrastructuur en in België FOD Economie, de status van gekwalificeerde heeft gekregen.

Toezicht op gekwalificeerde verleners van vertrouwensdiensten

Gekwalificeerde verleners van vertrouwensdiensten worden minstens eens in de 24 maanden op hun kosten onderworpen aan een audit door een conformiteitsbeoordelingsorgaan. Het doel van deze audit is te bevestigen dat de gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die door hen worden verleend, voldoen aan de in deze verordening vastgestelde eisen. De eIDAS gekwalificeerde verleners van vertrouwensdiensten dienen het conformiteitsbeoordelingsverslag binnen de termijn van drie werkdagen na ontvangst in bij het toezichthoudend orgaan.

Bevestigen identiteit van zender en geadresseerde

Om Aangetekend Mailen/ Registered Email geschikt te maken voor eIDAS kwalificatie zal de dienst de indentiteit van de zender uitgebreider bevestigen (betrouwbaarheidsniveau ‘substantial’) middels een procedure en interface met een gekwalificeerde ‘identity provider’. De Aangetekende Mail zal pas worden bezorgd nadat ook de identiteit van de geadresseerde uitgebreider wordt bevestigd (betrouwbaarheidsniveau ‘laag’ of ‘substantial’) middels een 2FA met SMS of een procedure en interface met een gekwalificeerde ‘identity provider’ zoals eID of itsme.

Betrouwbaarheidsniveaus van stelsels voor elektronische identificatie

Het betrouwbaarheidsniveau laag betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een beperkte mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen. Het betrouwbaarheidsniveau substantieel betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een substantiële mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen.

Het verzenden en ontvangen van gegevens beveiligen

Het verzenden en ontvangen van gegevens wordt beveiligd door een geavanceerd elektronisch zegel van een eIDAS gekwalificeerde verlener van vertrouwensdiensten. Elektronische zegels moeten dienen als bewijs dat een elektronisch document door een rechtspersoon is afgegeven, door zekerheid omtrent de oorsprong en integriteit van het document te garanderen.

Eisen voor eIDAS geavanceerde elektronische zegels

Een geavanceerd elektronisch zegel voldoet aan de volgende eisen:

het is op unieke wijze aan de aanmaker van het zegel verbonden;
het maakt het mogelijk de aanmaker van het zegel te identificeren;
het komt tot stand met gebruikmaking van gegevens voor het aanmaken van elektronische zegels die de aanmaker van het zegel met een hoog vertrouwensniveau onder zijn controle kan gebruiken voor het aanmaken van elektronische zegels;
het is op zodanige wijze aan de gegevens waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.

Rechtsgevolgen van elektronische zegels

Voor een eIDAS gekwalificeerd elektronisch zegel geldt het vermoeden van integriteit van de gegevens en van juistheid van de oorsprong van de gegevens waaraan het gekwalificeerd elektronisch zegel is verbonden. Een gekwalificeerd elektronisch zegel dat op een in een lidstaat afgegeven gekwalificeerd certificaat is gebaseerd, wordt in alle andere lidstaten als een gekwalificeerd elektronisch zegel erkend.

Verzender en de geadresseerde van de gegevens worden op duidelijke wijze in kennis gesteld van eventuele wijzigingen

Mochten ‘onderweg’ gegevens wijzigen dan wordt zowel de verzender als de geadresseerde daarvan op de hoogte gebracht middels een duidelijke signalering.

Datum en tijdstip

De datum en het tijdstip van verzenden, ontvangen en wijzigen van gegevens worden aangegeven met een eIDAS gekwalificeerd elektronisch tijdstempel. Een elektronische tijdstempel zijn gegevens in elektronische vorm die andere gegevens in elektronische vorm verbinden aan een bepaald tijdstip en die bewijzen dat die laatstgenoemde gegevens op dat tijdstip bestonden. Een gekwalificeerde elektronische tijdstempel is een elektronische tijdstempel die voldoet aan vastgelegde eisen.

Eisen voor gekwalificeerde elektronische tijdstempels

Een gekwalificeerd elektronisch tijdstempel voldoet aan de volgende eisen:

Datum en tijdstip

het tijdstempel koppelt de datum en het tijdstip op zodanige wijze aan gegevens dat onmerkbare wijziging van de gegevens redelijkerwijs kan worden uitgesloten

Nauwkeurige tijdsbron

het stempel is gebaseerd op een nauwkeurige tijdsbron die aan de gecoördineerde universele tijd gekoppeld is

Geavanceerde ondertekening

het stempel wordt ondertekend met behulp van een geavanceerde elektronische handtekening of verzegeld met een geavanceerd elektronisch zegel van de gekwalificeerde verlener van vertrouwensdiensten, of met behulp van een andere gelijkwaardige methode.

Rechtsgevolg van elektronische tijdstempels

Voor een eIDAS gekwalificeerd elektronisch tijdstempel geldt het vermoeden van de juistheid van de aangegeven datum en het aangegeven tijdstip, en van de integriteit van de gegevens waaraan de datum en het tijdstip zijn gekoppeld. Een gekwalificeerd elektronisch tijdstempel, afgegeven in een lidstaat, wordt in alle lidstaten als een gekwalificeerd elektronisch tijdstempel erkend.

Conclusie

Terug naar het onderscheid tussen „dienst voor elektronisch aangetekende bezorging” en „eIDAS gekwalificeerde dienst voor elektronisch aangetekende bezorging” is de reguliere dienst Aangetekend Mailen/ Registered Email een dienst voor elektronische bezorging en voldoet aan de schriftelijkheidsvereiste en kan kort worden omschreven als:

Inhoud raadpleegbaar door partijen
Authenticiteit inhoud gewaarborgd
Moment van totstandkoming vastgesteld
Identiteit van partijen voldoende vastgesteld

Wanneer men naar de eIDAS verordening kijkt is het rechtsgevolg en toelaatbaarheid als bewijsmiddel in gerechtelijke procedures van gegevens die via een dienst voor elektronisch aangetekende bezorging verstuurd en ontvangen worden, mogen niet worden ontkend louter op grond van het feit dat de dienst elektronisch is of niet aan de eisen voor de gekwalificeerde dienst voor elektronisch aangetekende bezorging voldoet. “Met behulp van Aangetekend Mailen kan bewijs worden geleverd dat een e-mail met een vast te stellen inhoud op een door een onafhankelijke derde vastgesteld moment is verzonden door een geverifieerde verzender en vervolgens is opgehaald door de ontvanger. Aangetekend Mailen levert onder de besproken omstandigheden voldoende bewijs om te voldoen aan de bewijsopdracht die op een verzender van een e-mail zal rusten in geval van betwisting door een wederpartij” (ICTRecht).

Aangetekend Mailen Plus/ Registered Email Plus is een “gekwalificeerde dienst voor elektronische bezorging”. Deze variant van de dienst Aangetekend Mailen/ Registered Email bevestigt de identiteit van zender en geadresseerde uitgebreider en de authenticiteit van het bericht wordt uitgebreider gewaarborgd middels het gebruik van gekwalificeerde zegels en elektronische tijdstempels, het een en ander zoals eerder beschreven.

Afhankelijk van de toepassing, de mate van zekerheid versus gebruiksvriendelijkheid kan de eindgebruiker van de dienst straks een keuze maken welke variant gewenst is, zowel voor de zender als de geadresseerde.

Ontvang onze brochure

Plan een adviesgesprek