Wat is een Qualified Trust Service Provider (QTSP)?
Qualified Trust Service Providers (QTSP’s) zijn officiële aanbieders, die zich houden aan de eIDAS-verordening (Nr. 910/2014). Deze diensten garanderen veilige en onweerlegbare transacties en communicaties binnen de EU.
Rol van QTSP’s in de digitale economie
Omdat QTSP’s vertrouwensdiensten leveren, zoals elektronische handtekeningen, zijn ze ook verantwoordelijk voor het verifiëren van de gegevens. Ze moeten elektronische handtekeningen, zegels[2] en websites authenticeren, om rechtsgeldige elektronische transacties te garanderen voor het opbouwen van vertrouwen en het garanderen van hun rechtsgeldigheid.
Hierdoor hebben QTSP’s een cruciale rol in meerdere sectoren, van e-commerce tot financiële diensten. Bijvoorbeeld voor het verzorgen van digitale contracten en een veilige online communicatie.
Verplichtingen van een QTSP
Volgens de eIDAS-verordening heeft een QTSP de volgende verplichtingen:
- Verificatie van de identiteit en speciale kenmerken van de ontvangende partij
- Het toezichthoudend orgaan op de hoogte stellen van wijzigingen en bij het beëindigen van de dienstverlening
- Het voldoen aan de financiële vereisten volgens de nationale wetgeving
- Gebruikers van gekwalificeerde vertrouwensdiensten informeren over de voorwaarden en beperkingen, voordat contracten worden aangegaan
- Het gebruiken van beveiligde systemen voor het opslaan, opvragen en wijzigen van gegevens
- Het bijhouden van registraties van uitgegeven en ontvangen gegevens voor wettelijk bewijs en de continuïteit van de dienstverlening, zelfs na beëindiging
- Een actueel beëindigingsplan bijhouden om de voortzetting van de service te waarborgen
- Zorgen voor het legaal verwerken van persoonsgegevens
- De up-to-date certificaat database bijhouden
Diensten die QTSP’s aanbieden
De diensten die een QTSP aanbieden moeten zich houden aan strenge regels. In de eIDAS-verordening staat dat ze de verantwoordelijkheid zijn voor het creëren, verifiëren, valideren en behouden van onderstaande diensten:
Qualified Electronic Signatures (QES)
QTSP’s zijn verantwoordelijk voor het uitgeven van een QES — de elektronische variant van de handgeschreven handtekening, met dezelfde mate van rechtsgeldigheid in de EU. Deze handtekeningen zijn gebaseerd op gekwalificeerde certificaten, door middel van Electronic Signature Creation Devices.
Qualified Electronic Seals (QESeal)
QESeals zijn de digitale variant van zegels, die de echtheid van digitale gegevens garanderen. Ze worden aangemaakt met behulp van speciale apparatuur, namelijk Qualified Electronic Seal Creation Devices.
Qualified Time Stamping (QTS)
QTSP’s hebben tevens de taak om te kunnen terugzien of gegevens zijn geopend en/of aangepast door middel van QTS.
Qualified Electronic Registered Delivery Services (QERDS)
QTSP’s dragen bij aan het maken van een traceerbaar systeem via QERDS. Deze diensten zorgen voor een veilige overdracht van geregistreerde gegevens door middel van tijdstempels.
Qualified Website Authentication Certificate (QWAC)
QTSP’s bieden certificaten aan voor het authentiseren van websites en voor het garanderen van een veilige online communicatie.
Regelgevend kader voor een QTSP
QTSP's werken binnen de eIDAS-verordening, waardoor het naleven van de wettelijke en veiligheidsnormen wordt gegarandeerd. De verordening zorgt ervoor dat het toezicht en de vereisten van elektronische transacties binnen de EU op een bepaalde manier verlopen, voor een optimale interoperabiliteit en veiligheid.
Om de QTSP-status te bereiken, moet een aanbieder van deze vertrouwensdiensten een rigoureus certificeringsproces ondergaan. Dit wordt uitgevoerd door een toezichthoudend orgaan, inclusief regelmatige audits met betrekking tot de naleving van de strenge beveiligings- en operationele normen. De eIDAS-verordening schrijft voor dat QTSP's robuuste beveiligingsmaatregelen moeten treffen, zoals hardware beveiligingsmodules (HSM's), om digitale certificaten en privésleutels te beschermen die worden gebruikt bij elektronische handtekeningen.
Wat is het verschil tussen een QTSP en een TSP?
Een Qualified Trust Service Provider (QTSP) en een Trust Service Provider (TSP) bieden beide vertrouwensdiensten aan, zoals elektronische handtekeningen en zegels. Wat wel verschilt is de mate van certificering en wettelijke erkenning:
Kenmerk | Trust Service Provider (TSP) | Qualified Trust Service Provider (QTSP) |
Omschrijving | Dienstverlening voor het creëren, verifiëren en valideren van elektronische handtekeningen, zegels en tijdstempels. | Een TSP is gecertificeerd en handelt volgens de eIDAS-Verordening. |
Naleving van de regelgeving | Handelt onder verschillende regelgevingen, maar voldoet niet per se aan de eIDAS. | Voldoet aan de strenge regels van de eIDAS-verordening. |
Certificaat | Dient geen eIDAS-certificering te ondergaan. | Ondergaat rigoureuze controles, inclusief audits om er zeker van te zijn dat de regelgeving wordt nageleefd. |
Wettelijke status | Geleverde diensten worden niet altijd universeel erkend in alle jurisdicties. | Geleverde diensten hebben dezelfde status als handgeschreven handtekeningen in heel Europa en zijn dus ook bindend. |
Gebruik | Geschikt voor elektronische transacties waarvoor de hoogste mate van wettelijke erkenning niet noodzakelijk is. | Onmisbaar voor elektronische transacties die de hoogste mate van zekerheid vereisen. Denk aan de financiële sector, overheden en de gezondheidszorg. |
Veiligheid en garantie | De veiligheidsmaatregelen variëren. | De veiligheidsmaatregelen zijn van het hoogste niveau, inclusief het gebruik van Hardware Security Modules (HSM’s). |
*Disclaimer: Deze content is geen juridisch advies. De geschiktheid, afdwingbaarheid of toelaatbaarheid van elektronische documenten zal waarschijnlijk afhangen van vele factoren, zoals het land of de staat waar u opereert, het land of de staat waar het elektronische document zal worden verspreid, en het type elektronisch document in kwestie. Raadpleeg een passende juridische adviseur om mogelijke juridische implicaties en vragen met betrekking tot het gebruik van elektronische documenten te analyseren.