Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

Gekwalificeerde vertrouwensdiensten onder eIDAS

Vastgesteld 2026-06-29 · ≈ 2 min lezen · Dirk Baaijen

De eIDAS-verordening legt vast welke vertrouwensdiensten als "gekwalificeerd" gelden, welke eisen daarvoor gelden, en hoe het toezicht is georganiseerd — inclusief de precieze termijnen voor conformiteitsbeoordelingsrapportage.

Kort antwoord: Een gekwalificeerde vertrouwensdienst is een vertrouwensdienst die voldoet aan de strenge eisen van de eIDAS-verordening en is opgenomen in de nationale vertrouwenslijst. Alleen aanbieders met de formele gekwalificeerde status — verleend door het nationale toezichthoudend orgaan — mogen het EU-vertrouwensmerk voeren. In Nederland houdt de Rijksinspectie Digitale Infrastructuur (RDI) toezicht.

Wat zijn gekwalificeerde vertrouwensdiensten?

De eIDAS-verordening (Verordening (EU) 910/2014, gewijzigd door Verordening (EU) 2024/1183) onderscheidt gewone vertrouwensdiensten van gekwalificeerde. Gekwalificeerde diensten dragen specifieke rechtsgevolgen: een gekwalificeerde elektronische handtekening heeft dezelfde rechtskracht als een handgeschreven handtekening (art. 25), een gekwalificeerd elektronisch zegel geniet het vermoeden van integriteit en herkomst (art. 35), en een gekwalificeerd elektronisch tijdstempel geniet het vermoeden van juistheid van datum en tijdstip (art. 41).

De volgende categorieën kunnen worden aangeboden als gekwalificeerde vertrouwensdienst: gekwalificeerde elektronische handtekeningen en bijbehorende certificaten, gekwalificeerde elektronische zegels, certificaten voor websiteauthenticatie (QWAC), gekwalificeerde elektronische tijdstempels, gekwalificeerde elektronische aangetekende bezorgdiensten, elektronische archiveringsdiensten, beheer van gekwalificeerde aanmaakvoorzieningen voor handtekeningen en zegels op afstand, gekwalificeerde elektronische attesteringen van attributen, en gekwalificeerde elektronische grootboeken.

Verkrijgen van de gekwalificeerde status (art. 21)

Een aanbieder die gekwalificeerde status wil verkrijgen, stelt het toezichthoudend orgaan hiervan in kennis en voegt een conformiteitsbeoordelingsrapport bij van een geaccrediteerde conformiteitsbeoordelingsinstantie. Het toezichthoudend orgaan verleent de gekwalificeerde status uiterlijk drie maanden na de kennisgeving. Pas nadat de status op de nationale vertrouwenslijst is opgenomen, mag de aanbieder gekwalificeerde diensten verlenen.

Doorlopend toezicht (art. 20)

Gekwalificeerde aanbieders worden minstens eens in de 24 maanden op eigen kosten geauditeerd door een conformiteitsbeoordelingsinstantie. De aanbieder stelt het toezichthoudend orgaan minstens één maand voor een geplande audit hiervan in kennis. Het conformiteitsbeoordelingsrapport moet de aanbieder binnen drie werkdagen na ontvangst aan het toezichthoudend orgaan voorleggen — de termijn loopt dus vanaf het moment dat de aanbieder het rapport van de beoordelingsinstantie ontvangt, niet vanaf de opstelling ervan. Het toezichthoudend orgaan kan op elk moment een aanvullende beoordeling opvragen.

Nationale vertrouwenslijsten en het EU-vertrouwensmerk (art. 22-23)

Elke lidstaat stelt een vertrouwenslijst op, onderhoudt deze en publiceert haar in elektronisch ondertekende vorm die geschikt is voor geautomatiseerde verwerking (art. 22). Zodra de gekwalificeerde status op de lijst is opgenomen, mag de aanbieder het EU-vertrouwensmerk voeren (art. 23). Diensten zijn uitsluitend als gekwalificeerd te beschouwen indien zij als zodanig op de geldige nationale vertrouwenslijst staan. Het Europese portaal biedt toegang tot alle nationale lijsten via de EU Trusted List Browser.

Verplichtingen voor gekwalificeerde aanbieders (art. 24)

Naast de auditverplichting moeten gekwalificeerde aanbieders onder meer beschikken over voldoende financiële middelen of aansprakelijkheidsverzekering, personeel met de vereiste deskundigheid en betrouwbaarheid inzetten, het toezichthoudend orgaan minstens één maand voor elke geplande wijziging (en drie maanden voor het beëindigen van activiteiten) informeren, en certificaten op verzoek binnen 24 uur intrekken.

Bronnen

  1. https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:02014R0910-20241018
    Geconsolideerde tekst Verordening (EU) 910/2014, artikelen 17-24 (bijgewerkt t/m 18-10-2024)
  2. https://eur-lex.europa.eu/eli/reg/2014/910/oj/eng
    Originele publicatie Verordening (EU) 910/2014
  3. https://digital-strategy.ec.europa.eu/en/faqs/questions-answers-trust-services-under-european-digital-identity-regulation
    Europese Commissie Q&A over vertrouwensdiensten onder de EUDI-verordening
  4. https://www.rdi.nl/onderwerpen/elektronische-vertrouwensdiensten
    RDI — toezicht op elektronische vertrouwensdiensten in Nederland

Deel op LinkedIn

Lees ook

W

Digitale identiteit: de wegwijzer voor eIDAS 2 en de EU-wallet

De herziene eIDAS-verordening verplicht lidstaten een Europese digitale-identiteitswallet aan te bieden en vernieuwt de vertrouwensdiensten (handtekeningen, zegels). Deze wegwijzer bundelt wat de wallet betekent voor burgers en bedrijven, de tijdlijn en de raakvlakken met transport.

A

MDR en de AI Act: samenloop voor medische software

Medische software met AI-componenten valt tegelijkertijd onder de MDR en de AI Act; de hoog-risico-classificatie via de MDR-route (artikel 6, lid 1 AI Act) geldt pas vanaf 2 augustus 2027.

W

Bestuurlijke AI Act-briefing: sjabloon voor directie en MT

Een beknopt sjabloon om de AI Act en het AI-gebruik op de bestuurstafel te krijgen: wat speelt er, welke risico's en deadlines, welke besluiten zijn nodig, en welke toezichtvragen het bestuur moet stellen. Neem het over voor je eerstvolgende MT/RvC.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.