Conformiteit AVG onder eIDAS

Qualified Trust Service Providers zoals Vidua¹ staan onder continu toezicht van Rijksinspectie Digitale Infrastructuur (RDI) en worden jaarlijks door een externe auditor getoetst op conformiteit aan een ruime set aan wet- en regelgeving, waaronder de AVG. Daarbij wordt vastgesteld of Vidua voldoet aan de AVG en wordt tevens een gedegen onderbouwing vereist. In dit memo wordt dit verder toegelicht, inclusief een aantal voorbeelden.

Vidua is een QTSP en voldoet aan de vereisten uit eIDAS

Cleverbase, handelend onder de naam Vidua, opereert als QTSP zoals omschreven in de eIDAS verordening². Deze verordening is opgezet om grensoverschrijdende elektronische transacties gemakkelijk en veilig mogelijk te maken binnen de lidstaten van de Europese Unie. Een belangrijke rol binnen de eIDAS verordening is weggelegd voor de verleners van gekwalificeerde vertrouwensdiensten (ook wel QTSP’s; Qualified Trust Service Providers); leveranciers die vertrouwensdiensten leveren die voldoen aan de hoogste betrouwbaarheidseisen, zoals het uitgeven van gekwalificeerde certificaten voor gekwalificeerde elektronische handtekeningen. Vidua is momenteel gecertificeerd als QTSP.

De betrouwbaarheid van gekwalificeerde vertrouwensdiensten wordt onder andere gewaarborgd doordat QTSP’s aan een ruime set aan wet- en regelgeving, waaronder de AVG, moeten voldoen. QTSP’s tonen conformiteit aan die wet- en regelgeving aan door middel van een jaarlijkse toets die zij laten uitvoeren door een, door de Raad voor Accreditatie aangewezen, extern conformiteitsbeoordelingsorgaan. De door deze externe, onafhankelijke auditor opgeleverde rapportage wordt beoordeeld door de Rijksinspectie Digitale Infrastructuur; de toezichthouder voor de in Nederland gevestigde QTSP’s, conform artikel 20 van eIDAS. Na akkoord van de Rijksinspectie Digitale Infrastructuur plaatsen zij de QTSP op de Nederlandse Trustlist. Hiermee kunnen vertrouwende partijen valideren dat de vertrouwensdiensten door een gecertificeerde partij zijn geleverd.

eIDAS vereist expliciet conformiteit aan AVG

De ruime set aan wet- en regelgeving waar QTSP’s aan moeten voldoen, bevat onder andere strenge eisen op het gebied van bescherming van persoonsgegevens. Daartoe vereist eIDAS expliciet conformiteit aan de AVG (artikel 20, lid 2 en artikel 20 lid 3(ter)³). In de overwegingen van 2024/1183 is daarnaast de volgende tekst opgenomen:

Een gekwalificeerde verlener van vertrouwensdiensten die gekwalificeerde vertrouwensdiensten verleent, stelt het toezichthoudend orgaan, de identificeerbare getroffen personen, andere relevante bevoegde organen indien van toepassing en, op verzoek van het toezichthoudend orgaan, het publiek indien dit van algemeen belang is, onverwijld en in elk geval binnen 24 uur na het incident in kennis van beveiligingsinbreuken of verstoringen in de verlening van de dienst of de uitvoering van de maatregelen bedoeld in punt f bis, i), ii) of iii), die een aanzienlijk effect hebben op de verleende vertrouwensdienst of op de daarin bijgehouden persoonsgegevens.

Toezicht en meldingsplicht security breaches/datalekken

In de eIDAS verordening is een meldingsplicht opgenomen om in het geval van een eventuele security breach of datalek direct, maar uiterlijk binnen 24 uur, een melding te maken bij de relevante toezichthouders.

Artikel 24, lid 2(f)(ter) meldingsplicht toezichthouders:

Een gekwalificeerde verlener van vertrouwensdiensten die gekwalificeerde vertrouwensdiensten verleent, stelt het toezichthoudend orgaan, de identificeerbare getroffen personen, andere relevante bevoegde organen indien van toepassing en, op verzoek van het toezichthoudend orgaan, het publiek indien dit van algemeen belang is, onverwijld en in elk geval binnen 24 uur na het incident in kennis van beveiligingsinbreuken of verstoringen in de verlening van de dienst of de uitvoering van de maatregelen bedoeld in punt f bis, i), ii) of iii), die een aanzienlijk effect hebben op de verleende vertrouwensdienst of op de daarin bijgehouden persoonsgegevens.

Om te kunnen voldoen aan deze voorwaarden is er een gestandaardiseerd proces ingericht waarbij de toezichthouder voor QTSP’s in Nederland (Rijksinspectie Digitale Infrastructuur) de melding zo nodig direct door kan zetten aan de Autoriteit Persoonsgegevens en het Nationaal Cyber Security Center. De rechten en plichten van Rijksinspectie Digitale Infrastructuur zijn tevens bij wet vastgelegd in de eIDAS verordening onder artikel 20. Meer specifiek wordt hierin geregeld dat de toezichthouder zowel Ex ante als Ex post moet onderzoeken of de onder hun verantwoordelijkheid vallende QTSP’s voldoen aan de privacy vereisten. Tot slot hebben de toezichthouders in Europa hierover een meldingsplicht naar elkaar.

Jaarlijkse ETSI audits

Om aan te tonen dat een partij voldoet aan eIDAS, en dus een QTSP is, dient zij getoetst te worden tegen ETSI-standaarden. De standaard ‘General Policy Requirements for Trust Service Providers’ is ETSI EN 319 401. Vidua is gecertificeerd tegen v2.3.1⁴ van deze standaard, waarin de volgende eis is opgenomen:

Appropriate technical and organizational measures shall be taken against unauthorized or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data. TSPs operating in Europe are required to ensure that personal data is processed in accordance with Directive 95/46/EC until 25 May 2018, and from 25 May 2018 in accordance with Regulation (EU) 2016/679 that repeals the Directive 95/46/EC. In this respect, authentication for a service online concerns processing of only those identification data which are adequate, relevant and not excessive to grant access to that service online.

Op https://www.vidua.com⁵ staan Vidua’s meest recente ETSI-certificeringen. ETSI EN 319 401 is in scope van ETSI EN 319 411-1 alsmede ETSI EN 319 411-2.