top of page
Oud gebouw

Elektronische attestatie van attributen (QEAA)

Ontdek hier hoe jij met elektronische attestatie van attributen individuen en organisaties in staat stelt hun attributen, zoals naam, geboortedatum, adres, opleiding etc. elektronisch aan andere vertrouwende partijen te bewijzen op een veilige en betrouwbare manier.​

Wat is een elektronische attestatie van attributen (EAA)?

Een attestatie van een attribuut is een soort verklaring, afgegeven door een vertrouwde partij, die bevestigt dat een bepaald attribuut correct is.

  • Voorbeeld #1: de Kamer van Koophandel verklaart dat een persoon bestuurder is van de besloten vennootschap XYZ.​​

  • Voorbeeld #2: Een arts logt in op een overheidsportaal om medische dossiers op te vragen. Het systeem moet niet alleen weten wie die persoon is (identiteit), maar ook of die persoon bevoegd is om medische dossiers in te zien (attribuut). Een EAA kan dit attribuut (“is erkend arts”) op een juridisch bindende en digitale manier bevestigen.

​

Een attribuut is een eigenschap of kenmerk van een persoon of organisatie, bijvoorbeeld:

  • Naam;

  • Geboortedatum;

  • BSN nummer;

  • Adres;

  • Lidmaatschap van een beroepsgroep (bv. arts, advocaat);

  • Rol of bevoegdheid binnen een organisatie.

 

Elektronische attestatie van attributen is de elektronische versie van de afgifte van een verklaring ook wel attestatie genoemd, welke onder de eIDAS-verordening (nr. 910/214) verder is uitgewerkt als zogenaamde elektronische vertrouwensdienst. Er is dan sprake van een juridisch erkende en beveiligde manier om kenmerken van een persoon of organisatie elektronisch te bevestigen, afgegeven door een erkende partij. Het speelt een belangrijke rol in digitale identiteit en toegangscontrole, vooral in sectoren waar betrouwbaarheid en veiligheid cruciaal zijn (zoals gezondheidszorg, overheid, rechtspraak, enz.).

elektronische handtekening is een digitale manier om een document (zoals een contract of overeenkomst) te ondertekenen of een transactie te bevestigen. Het heeft dezelfde juridische waarde als een handgeschreven handtekening, mits aan bepaalde voorwaarden wordt voldaan. Het doel is om de identiteit van de ondertekenaar te verifiëren en de integriteit van het document te waarborgen.

​​

Welke categorieën elektronische attribuut attestaties bestaan onder eIDAS 2.0?

Artikel 3, lid 16(g), van eIDAS 2.0 definieert de uitgifte van elektronische attestaties van attributen als een elektronische vertrouwensdienst, waarbij vier juridische categorieën van attestaties worden onderscheiden:

  • Persoonsidentificatiegegevens (PID): Een verzameling gegevens die wordt verstrekt op basis van nationaal recht en die dient om de identiteit vast te stellen van een natuurlijke persoon, een rechtspersoon, of een natuurlijke persoon die optreedt namens een andere natuurlijke of rechtspersoon.

  • Gekwalificeerde elektronische attestatie van attributen (QEAA): Een elektronische attestatie van attributen die wordt afgegeven door een gekwalificeerde verlener van vertrouwensdiensten (QTSP).

  • Elektronische attestatie van attributen afgegeven door of namens een bevoegde overheidsinstantie (PuB-EAA): Een elektronische attestatie van attributen die wordt afgegeven door een overheidsinstantie die verantwoordelijk is voor een authentieke bron, of door een door de lidstaat aangewezen instantie die namens dergelijke overheidsinstanties optreedt.

  • Niet-gekwalificeerde EAA: Een elektronische attestatie van attributen die geen QEAA of PuB-EAA is.

​​​​​​​

Wanneer is sprake van een gekwalificeerde elektronische attestatie van attributen (QEAA)?

De belangrijkste verschillen tussen niet-gekwalificeerde elektronische attestatie van attributen (EAA) en gekwalificeerde elektronische attestatie van attributen (QEAA) zijn de volgende:

  • Een QEAA mag uitsluitend worden afgegeven door een gekwalificeerde vertrouwensdienstverlener (QTSP), die erkend is door een lidstaat van de EU;

  • Een QEAA dient te voldoen aan strengere eisen dan een EAA, welke worden toegelicht in de toepasselijke ETSI standaarden (zie ook verderop in dit artikel);

  • De QEAA dient te worden ondertekend met een gekwalificeerde handtekening (QES) of gekwalificeerde zegel (QESeal) door de vertrouwensdienstverlener.

​

Wat is een Pub-EAA?

Naast QTSPs mogen overheidsorganen, zoals bijvoorbeeld zelfstandige bestuursorganen (ZBO), ook elektronisch attributen attesteren en deze uitgeven aan bijvoorbeeld EUDI-wallets. Dit noemen wij niet (Q)EEA maar Pub-EEA. Deze overheidsorganen mogen alleen Pub-EAAs uitgeven als ze in bezit zijn van een goedgekeurde Conformity Assessment Report (CAR) die is verstrekt door een geaccrediteerde Certification Assessment Body (CAB). De juridische geldigheid of status van een Pub-EAA is gelijk aan die van een QEAA.

Wat zijn de belangrijkste voordelen van elektronische attestatie van attributen?

De elektronische attestatie van attributen, en zeker de gekwalificeerde variant QEAA, biedt een aantal belangrijke voordelen in de context van digitale dienstverlening, identiteitsbeheer en vertrouwensrelaties ten opzichte van papieren attestaties en andere attestatie procedures:

 

1. Hoge betrouwbaarheid en juridische waarde

  • Door de strikte vereisten uit de eIDAS-verordening en de betrokkenheid van gekwalificeerde vertrouwensdienstverleners, is een QEAA juridisch gelijkwaardig aan een papieren attestatie.

  • Dit biedt rechtszekerheid bij het gebruik in formele procedures (bv. toegang tot overheidsdiensten, contractsluitingen)

​​

2. Snelle en geautomatiseerde verificatie

  • Attributen kunnen automatisch en real-time worden geverifieerd zonder handmatige tussenkomst.

  • Dit versnelt processen zoals:

    • Toegang verlenen tot gevoelige systemen of informatie

    • Digitale inschrijving bij instanties

    • Rollen/gebruiksrechten toekennen op basis van functie of bevoegdheid

 

3. Verhoogde veiligheid

  • Afgifte en gebruik van attributen gebeurt via cryptografisch beveiligde mechanismen.

  • Beperkt het risico op fraude, identiteitsmisbruik of vervalste documenten.

 

4. EU-brede interoperabiliteit

  • QEAA’s vallen onder de eIDAS-verordening en zijn dus erkend in alle EU-lidstaten.

  • Maakt grensoverschrijdende digitale dienstverlening mogelijk, bv. een Franse arts die toegang nodig heeft tot een Belgisch gezondheidsplatform.

 

5. Bescherming van persoonsgegevens (privacy-by-design)

  • Gebruikers kunnen selectief attributen delen, bijvoorbeeld alleen "is ouder dan 18 jaar" zonder geboortedatum te tonen.

  • Beter in lijn met AVG (GDPR)-principes zoals dataminimalisatie.

 

6. Efficiëntie en kostenbesparing

  • Minder administratieve last (geen papieren attesten, geen manuele controles).

  • Lagere kosten op termijn voor organisaties die attributen moeten controleren (zoals overheden, banken, zorginstellingen).

 

7. Betere gebruikerservaring

  • Gebruikers hoeven minder documenten op te zoeken of in te dienen.

  • Na authenticatie kunnen attributen automatisch meegestuurd worden in één klik.

 

Samengevat combineert  de elektronische attestatie van attributen juridische zekerheid, efficiëntie, gebruiksgemak en veiligheid in digitale processen. Het is een cruciaal onderdeel van een toekomstgerichte digitale identiteit en toegangsbeheer, vooral in sectoren zoals overheid, zorg, financiën en onderwijs.

Hoe ziet de eIDAS vertrouwensdienst QEAA eruit?

De eIDAS-vertrouwensdienst QEAA (gekwalificeerde elektronische attestatie van attributen) is ontworpen om veilige en juridisch bindende verklaringen elektronisch op te vragen, ontvangen en door de aanvrager beschikbaar te stellen aan zogenaamde vertrouwende partijen. Deze dienst voldoet aan strikte eisen die in de eIDAS-verordening zijn vastgelegd en omvat de volgende componenten:

  1. Registration service:

    • Request initiation attribute attestation: Ontvangt een verzoek van de subscriber voor de uitgifte van een nieuwe EAA.

    • Verification procedure: Voert alle noodzakelijke verificaties uit in overeenstemming met het toepasselijke EAA-policy, waaronder o.a. de authenticatie van de subscriber / EUDI-wallet houder, bevestiging autorisatie van de subscriber om EAA aan te vragen, initiatie van het identiteitsbewijsproces etc.

  2. Identity proofing & binding service:

    • Identificatie: Verificatie van de identiteit van een aanvrager door middel van bewijsmateriaal dat de vereiste identiteitskenmerken bevestigt.

    • Wallet binding: Om een EAA correct en veilig op te slaan in de wallet die hoort bij de geïdentificeerde subscriber, moet deze wallet eerst aan de subscriber worden gekoppeld via wallet binding. Dit proces houdt in dat de EAA-service de identiteit van de wallethouder verifieert en, indien nodig, informatie over een publieke attestatiesleutel van de wallet of de bijbehorende identificatie opneemt in de EAA.

  3. Verification service:

    • Attribuutbronnen: verschillende attributen worden geverifieerd op basis van authentieke bronnen die aangesteld zijn door de EU lidstaat of zogenaamde gezaghebbende bronnen. Een authentieke bron (bijv. Handelsregister beheerd door KvK) wordt hier gedefinieerd als een overheidsinstantie of particuliere entiteit die de authentieke bron beheerd en kenmerken bevat van natuurlijke- en/of rechtspersonen en door de lidstaat als primaire bron van die informatie wordt erkend. Andere gezaghebbende bronnen (bijv. Digitale kluis met notariële akten), kan elke bron zijn waarop men kan vertrouwen om gegevens te verstrekken en verifiëren over de identiteit of kenmerken van een natuurlijke- en/of rechtspersoon.

    • Validatie van attributen: Op basis van het attribuut attestatie verzoek worden de gevraagde attributen geverifieerd door de (Q)EAA service provider tegen de authentieke of gezaghebbende bron(nen).

  4. Issuance service:

    • Genereren van een EAA: waarbij een (Q)EAA minimaal de volgende verplichte elementen moet bevatten:

      • Identiteit van de betrokkene (natuurlijk persoon of rechtspersoon);

      • De geattesteerde attributen;

      • De identiteit van de QTSP;

      • Geldigheidsduur van de attributen;

      • Referentie naar de bron van het attribuut;

      • Digitale handtekening van de QTSP.

    • Elektronische handtekening (of zegel): Om de juridische geldigheid en veiligheid van gekwalificeerde attestaties van attributen te waarborgen, is een gekwalificeerde elektronische handtekening (QES) of gekwalificeerde elektronische zegel (QESeal) essentieel. De QES / QESeal is nodig om de authenticiteit van de afzender te garanderen en de integriteit van de attestatie te waarborgen. Zonder een QES / QESeal kan een QEAA niet de volledige juridische garanties bieden die vereist zijn voor veilige en verifieerbare attestatie. Voor meer informatie over QES / QESeal, verwijzen we u naar onze specifieke pagina over gekwalificeerde elektronische handtekeningen en gekwalificeerde elektronische zegels.

  5. Dissemination service: De uitgifte door bijv. een QTSP of Pub-EAAp van attestaties aan geautoriseerde natuurlijke- en/of rechtspersonen. De uitgifte kan plaatsvinden naar bijv. een EUDI-wallet, maar ook via andere beveiligde kanalen in de vorm van een elektronisch bestand waarbij de integriteit is gewaarborgd.

  6. Revocation management service: De EAA service provider dient de procedures, processen en activiteiten rondom de revocatie van de EEA geïmplementeerd te hebben, in geval van bijvoorbeeld fraude of fouten.

  7. Validation status service: De EAA service provider dient continue (24x7) de juiste EAA revocatie status informatie moeten kunnen geven en tevens de integriteit en authenticiteit van deze status informatie borgen.

Waarom zijn ETSI-standaarden van belang voor QEAA?

De eIDAS-verordening verwijst naar specifieke normen die zijn ontwikkeld door het European Telecommunications Standards Institute (ETSI). Deze standaarden zijn essentieel om ervoor te zorgen dat vertrouwensdiensten – zoals de Gekwalificeerde Elektronische Attestatie van Attributen (QEAA) – binnen de Europese Unie veilig, betrouwbaar en interoperabel functioneren.

  • Interoperabiliteit: Ze zorgen ervoor dat QEAA-diensten grensoverschrijdend kunnen worden toegepast binnen de hele EU.

  • Juridische zekerheid: Ze waarborgen dat de QEAA voldoet aan de formele vereisten van de eIDAS-verordening, wat leidt tot erkenning in alle lidstaten.

  • Beveiliging: Ze stellen duidelijke technische en organisatorische eisen om de integriteit, vertrouwelijkheid en authenticiteit van de attestaties te beschermen tegen vervalsing of misbruik.

Hieronder volgt een overzicht van de belangrijkste ETSI-standaarden waaraan een QEAA-dienst moet voldoen om conform eIDAS te opereren.

 

​​​​​​​​Aan welke ETSI standaarden moet de eIDAS vertrouwensdienst QEAA voldoen?

1. Algemene standaard voor vertrouwensdiensten en TSPs

  • ETSI EN 319 401: “General Policy Requirements for Trust Service Providers”

    • Definieert de algemene eisen waaraan een Trust Service Provider (TSP) moet voldoen.

    • Inclusief eisen voor beveiligingsbeheer, operationele procedures en auditvereisten.

2. Standaarden voor validatie en uitgifte van elektronische attributen

  • ETSI TS 119 471: “Policy and Security requirements for Providers of Electronic Attestation of Attributes Services”

    • Bevat de basisvereisten waaraan de QEAA service moet voldoen.

  • ETSI TS 119 472-1: “Profiles for Electronic Attestations of Attributes; Part 1: General requirements”.

    • Specificeert aanvullende vereisten voor QEAASp en Pub-EAASp waaraan het datamodel voor de validatie en uitgifte van elektronische attributen moet voldoen.

    • Waarbij onderscheid wordt gemaakt in de volgende data modellen:

      • SD-JWT Verifiable Credentials (VC);

      • SD-JWT VC Data Model (DM);

      • ISO/IEC 18013-5:2021 also known as Mobile driving licence (mDL);

      • World Wide Web Consortium (W3C)-VC;

      • X.509 Attribute Certificates (AC);

      • Of een hybride variant bestaande uit meerdere bovenstaande data modellen.

    • Let op, als een (Q)EAA aan een EUDI-wallet wordt uitgegeven dan dient de (Q)EAA of Pub-EAAP minimaal het protocol SD-JWT Verifiable Credentials of ISO/IEC 18013-5 te ondersteunen.

  • ETSI TS 119 472-2: “Profiles for Electronic Attestations of Attributes; Part 2: Profiles for EAA/PID Presentations to Relying Party”.

    • Specificeert aanvullende vereisten voor het beschikbaar stellen van EAA en Personal Identification Data (PID) aan vertrouwende partijen.

  • ETSI TS 119 475: “Relying party attributes supporting EUDI Wallet user's authorisation decisions”.

    • Specificeert kenmerken die walletgebruikers informeren over de rollen en andere kenmerken van een wallet-afhankelijke partij. Deze kenmerken kunnen worden gebruikt bij het autoriseren van toegang tot attributen en attestaties die in de wallet worden bewaard.

​​​​​

​​​Aanvullende technische specificaties en vereisten

Afhankelijk van de opzet en inrichting van de vertrouwensdienst zal vanuit bovenstaande standaarden verwezen worden naar diverse technische specificaties en/of aanvullende veiligheidseisen. Voorbeelden hiervan zijn:

  • ETSI TS 119 461: "Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service components providing identity proofing of trust service subjects".

    • Definieert de beleids- en beveiligingseisen voor componenten van vertrouwensdiensten die identiteitsvaststelling uitvoeren. 

  • ETSI TS 119 462: “Wallet interfaces for trust services and signing”.

    • Geeft additionele requirements hoe de interface naar de wallet eruit dient te zien voor o.a. de QEAA vertrouwensdienst en elektronische ondertekening.

bottom of page