In de Nederlandse discussie over de European Business Wallet (EBW) gaat vrijwel alle aandacht naar de EU Digital Identity Wallet en digitale identiteit. Minstens zoveel gewicht gaat echter uitgaan naar de laag die digitale communicatie tussen bedrijven en overheden rechtsgeldig maakt: QERDS — Qualified Electronic Registered Delivery Service.
Voor het Peppol-netwerk roept dat een vraag op die tot nu toe nauwelijks is gesteld. Peppol vervoert al jaren rechtsgeldige berichten tussen bedrijven en overheden. QERDS introduceert een formeel, in de eIDAS-verordening verankerd alternatief voor diezelfde functie. Wat is het verschil, waar overlappen ze, en wat zou OpenPeppol daarmee moeten doen?
Wat QERDS precies is
QERDS is geen nieuw begrip: het staat al sinds 2014 in de eIDAS-verordening (Verordening (EU) nr. 910/2014), en is in 2024 aangescherpt door de eIDAS 2.0-wijziging (Verordening (EU) 2024/1183). Artikel 43 van de verordening kent aan gegevens die via een gekwalificeerde elektronische aangetekende bezorgdienst worden verzonden en ontvangen een wettelijk vermoeden toe: van integriteit van de gegevens, en van verzending en ontvangst door de geïdentificeerde afzender en geadresseerde. Artikel 44 stelt de aanvullende eisen waaraan een dienst moet voldoen om die kwalificatie te verdienen, waaronder verplichte identificatie van beide partijen en levering door een gekwalificeerde vertrouwensdienstverlener (QTSP) die op de nationale vertrouwenslijst (Trusted List) staat.
Belangrijk detail: een niet-gekwalificeerde bezorgdienst (ERDS) is daarmee niet automatisch waardeloos als bewijs. Artikel 43, lid 1 bepaalt expliciet dat een bezorgdienst zijn rechtsgevolg of toelaatbaarheid als bewijs niet mag worden ontzegd enkel omdat deze niet gekwalificeerd is. Het verschil zit in de bewijslast: bij QERDS geldt het wettelijk vermoeden automatisch; bij een gewone ERDS moet de bewijskracht per geval worden aangetoond. eIDAS 2.0 voegt daar een interoperabiliteitsverplichting aan toe: QERDS-aanbieders moeten onderling gestandaardiseerde protocollen en bewijsformaten hanteren volgens de ETSI-normen EN 319 522 en EN 319 523, zodat een QERDS-bericht van de ene aanbieder ook door een andere aanbieder als zodanig wordt herkend.
QERDS als kernfunctie van de European Business Wallet
Op 19 november 2025 publiceerde de Europese Commissie het formele wetgevingsvoorstel COM(2025) 838 voor een verordening tot instelling van European Business Wallets. Het voorstel benoemt drie kernfuncties: veilige identificatie, elektronisch ondertekenen en verzegelen, en het verzenden en ontvangen van data via een gekwalificeerde elektronische aangetekende bezorgdienst. QERDS is dus niet een terzijde in het voorstel, maar één van de drie pijlers waarop de hele Wallet rust.
De Commissie kiest er daarbij bewust voor om QERDS-diensten door marktpartijen te laten leveren, niet door een centrale overheidsoplossing. Dat maakt interoperabiliteit, governance en toezicht op die marktpartijen een thema waarover lidstaten nog stelling moeten nemen. Het wetgevingsproces is inmiddels flink gevorderd: op 9 juni 2026 nam de Raad van de Europese Unie een algemene oriëntatie aan, de ITRE-rapporteur in het Europees Parlement (Eero Heinäluoma) publiceerde op 20 maart 2026 zijn conceptverslag, en een politiek akkoord wordt voor eind 2026 verwacht, met formele vaststelling in de eerste helft van 2027. Zodra de verordening in werking treedt, krijgen overheden 24 maanden om de kernfuncties te kunnen accepteren. Voor bedrijven blijft gebruik van de EBW vrijwillig; de acceptatieplicht in het voorstel richt zich uitsluitend tot overheidsinstanties.
De vraag die nog niet gesteld is: hoe verhoudt Peppol-transport zich tot QERDS?
Het Peppol-netwerk lost met het AS4-profiel al een vergelijkbaar probleem op: berichten worden ondertekend, versleuteld en voorzien van kwitanties die non-repudiatie tussen Access Points garanderen. Dat vertrouwen is echter overwegend institutioneel en contractueel opgebouwd — via de Peppol Interoperability Framework, verplichte overeenkomsten tussen Access Points en Peppol Authorities en conformiteitstests via de OpenPeppol Testbed, eventueel aangevuld met periodieke audits of certificering zoals ISO 27001 (afhankelijk van de eisen van de betreffende Peppol Authority) — en niet via een formeel als “gekwalificeerd” aangemerkte eIDAS-vertrouwensdienst. Een Peppol-bericht heeft in de praktijk een sterke bewijspositie, maar geniet niet automatisch het wettelijk vermoeden dat artikel 43 aan QERDS toekent. Bij een factuur, verstuurd binnen een verplicht kader zoals ViDA, is dat verschil doorgaans van beperkt praktisch belang. Bij documenttypen die de Commissie in het EBW-voorstel expliciet aan QERDS koppelt — mandaten en volmachten, vergunningen en certificaten, compliance-documenten, contractuele verklaringen — ligt dat anders: precies de documenten waarbij een geschil het meest waarschijnlijk is, zijn de documenten waarvoor de wetgever nu een apart, zwaarder bewijsregime optuigt.
Dat creëert een reëel risico op twee naast elkaar bestaande Europese vertrouwensinfrastructuren: Peppol voor facturen en aanbestedingsgerelateerde documentstromen, en QERDS/EBW voor mandaten, vergunningen en compliance-verkeer. Beide netwerken zullen in de praktijk door dezelfde organisaties gebruikt worden, vaak voor documentstromen die inhoudelijk met elkaar samenhangen — denk aan een volmacht die nodig is om namens een bedrijf een factuur te autoriseren, of een vergunning die als bijlage bij een aanbesteding via Peppol wordt uitgewisseld. Zonder afstemming ontstaat dubbele infrastructuur, dubbele governance en dubbele integratiekosten voor exact dezelfde eindgebruikers.
Dit is een andere vraag dan de identiteits- en adresseringsproblematiek die in een eerder Peppol.nu-artikel over de architecturale relatie tussen de EBW en e-facturatie is behandeld. Die analyse gaat over wie de ontvanger is en waar een bericht naartoe moet worden gerouteerd. QERDS gaat over iets anders: welk juridisch bewijsregime geldt er zodra het bericht onderweg is. Het is de laag ná adressering, vóór archivering — en die laag is nog vrijwel onbesproken vanuit Peppol-perspectief.
Nederland loopt al vooruit: RDI start gesprek met Peppol-serviceproviders
Deze vraag is inmiddels niet meer alleen theoretisch. Op 3 juni 2026 maakte de Rijksinspectie Digitale Infrastructuur (RDI) — de Nederlandse toezichthouder op eIDAS en de Cyberbeveiligingswet, de Nederlandse implementatie van de NIS2-richtlijn — bekend dat zij, na eigen onderzoek, aanbieders van eDelivery-diensten aanmerkt als vertrouwensdienstverleners. Dat betekent dat deze aanbieders onder eIDAS vallen én onder de Cyberbeveiligingswet, met verplichtingen op het gebied van risicomanagement, zorgplicht en meldplicht bij ernstige incidenten.
Veelzeggend is waarmee de RDI begint: de toezichthouder gaat in 2026 als eerste in gesprek met Peppol-serviceproviders om te verkennen wat deze wetgeving in de praktijk voor hen betekent. De RDI omschrijft eDelivery zelf treffend als “digitale aangetekende post”: berichten die beveiligd worden verstuurd met bewijs van aankomst — exact de kwalificatie waar dit artikel QERDS mee vergelijkt.
Belangrijk om te onderscheiden: “vertrouwensdienstverlener” onder eIDAS is een bredere, niet per se gekwalificeerde categorie dan de QTSP-status die nodig is om QERDS te mogen leveren, met lichtere eisen dan artikel 44 stelt. Maar het is wel de trede waarlangs toezicht het netwerk binnenkomt. Voor Peppol-serviceproviders in Nederland betekent dit dat de vraag “wat is de juridische status van een Peppol-bericht?” niet langer een kwestie is die op de lange baan kan worden geschoven: de toezichthouder stelt die vraag dit jaar al, in de praktijk, aan individuele partijen — en doet dat zonder dat er vanuit het netwerk een gezamenlijk antwoord klaarligt.
Adviezen voor OpenPeppol
- Bepaal en publiceer op korte termijn een formeel standpunt over de bewijspositie van Peppol AS4-transport ten opzichte van QERDS. Dit is met de aangekondigde RDI-gesprekken geen vraag meer voor de lange termijn: zonder gezamenlijk standpunt gaat elke Nederlandse Peppol Serviceprovider dit najaar los het gesprek met de toezichthouder aan, met het risico op uiteenlopende interpretaties van dezelfde vraag binnen hetzelfde netwerk. Een heldere, gezaghebbende duiding — bij voorkeur samen met de nationale Peppol Authorities afgestemd — voorkomt dat elke organisatie deze vraag afzonderlijk beantwoordt.
- Sluit actief aan bij de RDI-gesprekken via de Nederlandse Peppolautoriteit, en behandel de uitkomst als template voor andere lidstaten. Nederland is met de RDI het eerste land waar een nationale toezichthouder eDelivery-aanbieders concreet als vertrouwensdienstverleners aanmerkt en daarover het gesprek met Peppol-serviceproviders aangaat, maar eIDAS en de onderliggende NIS2-richtlijn gelden EU-breed. Andere nationale toezichthouders — op eIDAS en op hun eigen NIS2-transpositie — komen vrijwel zeker tot dezelfde conclusie. Door de Nederlandse Peppolautoriteit (NPa) nu te ondersteunen bij het gesprek met de RDI en de uitkomst gestructureerd vast te leggen, voorkomt OpenPeppol dat elke Peppol Authority dit traject afzonderlijk en zonder onderlinge afstemming moet doorlopen zodra hun eigen toezichthouder dezelfde vraag stelt.
- Onderzoek een optionele QERDS-brug voor documenttypen die dat rechtvaardigen. Niet elk bericht over het Peppol-netwerk heeft QERDS-niveau nodig — een reguliere factuur onder EN 16931 vermoedelijk niet, een volmacht of vergunning mogelijk wel. Een samenwerkingsmodel waarbij Access Points, in samenwerking met QTSP’s, optioneel een QERDS-conform bezorgbewijs kunnen toevoegen aan specifieke berichttypen, voorkomt dat gebruikers voor die documenten een compleet ander netwerk moeten aanspreken.
- Volg de ETSI-interoperabiliteitsnormen EN 319 522 en EN 319 523 actief en toets waar het Peppol eDelivery/AS4-profiel technisch kan aansluiten. Als beide werelden onafhankelijk van elkaar evolueren, wordt aansluiting achteraf aanzienlijk duurder dan wanneer nu al gezamenlijke technische aanknopingspunten worden geïdentificeerd.
- Gebruik de voorzittersrol in de WE BUILD-werkgroep constructief en neutraal, niet uitsluitend ter verdediging van het eigen netwerk. OpenPeppol levert al de voorzitter van de use case eInvoicing (SC5) binnen het WE BUILD Consortium, het Large Scale Pilot-initiatief van de Europese Commissie voor de EUDI Wallet en de EBW. Daarmee zit OpenPeppol al aan tafel; de vraag is niet of, maar hóe die positie wordt ingezet. De invalshoek zou niet primair moeten zijn wat de EBW voor Peppol betekent, maar hoe e-facturatie als fenomeen goed kan functioneren binnen een werkwijze met de EBW — en hoe een interoperabel netwerk als Peppol daarvan kan leren én daaraan kan bijdragen. Die neutrale insteek levert op termijn meer op dan een positie die louter de belangen van het bestaande netwerk verdedigt.
- Benut de lopende SML-insourcing om de governance-implicaties van QERDS voor mandaten en volmachten nu al mee te nemen. Dit is geen hypothetische toekomstoefening: OpenPeppol is in 2026 zelf bezig de Service Metadata Locator — de DNS-gebaseerde dynamische discovery-infrastructuur van Peppol — over te nemen van de Europese Commissie, met migratiedeadlines voor SMP-registraties en Access Point-lookup in respectievelijk mei en augustus 2026. Digitaal aantoonbare autorisatie via de EBW raakt direct aan hoe diezelfde SMP-registraties en Access Point-toegang worden beheerd. Nu deze infrastructuur toch al opnieuw wordt ingericht, is dit het moment om ontwerpkeuzes die toekomstige EBW-attributen kunnen faciliteren direct mee te nemen, in plaats van dit later als aparte migratie te moeten doen.
- Houd rekening met de vestigingseis voor QERDS-aanbieders uit het conceptverslag van rapporteur Heinäluoma. Zijn voorstel dat aanbieders van QERDS, wallets en clouddiensten in de EU gevestigd moeten zijn en vrij van zeggenschap door derde landen, is relevant bij de beoordeling van niet-EU Access Point-providers die in de toekomst QERDS-achtige diensten zouden willen aanbieden binnen het Peppol-ecosysteem.
Zolang de verordening niet is vastgesteld, is er geen directe actie vereist. Maar het wetgevingsvenster staat open: de technische en juridische keuzes die nu in Raad en Parlement worden gemaakt, bepalen of Peppol en QERDS straks naast elkaar functioneren als los zand, of als op elkaar afgestemde lagen van dezelfde Europese vertrouwensinfrastructuur.
Vergelijk gecertificeerde Peppol Serviceproviders op Peppol.nu
Bronnen
- Europese Commissie, Voorstel voor een verordening tot instelling van European Business Wallets, COM(2025) 838 final, 19 november 2025
- Europese Commissie, persbericht “Simpler EU digital rules and new digital wallets to save billions for businesses and boost innovation”, IP/25/2718
- Europese Commissie, “European Business Wallets”, Shaping Europe’s digital future
- Geconsolideerde tekst Verordening (EU) nr. 910/2014 (eIDAS), zoals gewijzigd door Verordening (EU) 2024/1183 — EUR-Lex, artikelen 43 en 44
- ENISA, “Security guidelines on the appropriate use of qualified electronic registered delivery services”
- Raad van de Europese Unie, persbericht “European business wallets: Council adopts negotiating position”, 9 juni 2026
- Europees Parlement, Legislative Observatory, procedure 2025/0358(COD)
- OpenPeppol, Peppol AS4 Profile
- OpenPeppol, Peppol Interoperability Framework
- Peppol.nu, “European Business Wallet e-facturatie: de architecturale oplossing” (achtergrond over identiteit en adressering; dit artikel behandelt een ander deel van de stapel: de bewijs- en transportlaag)
- Peppol.nu, “European Business Wallet tijdlijn: van voorstel naar verordening”
- WE BUILD Consortium, gebruikscasus SC5 “eInvoicing”
- OpenPeppol, “SML Insourcing”
- Rijksinspectie Digitale Infrastructuur (RDI), “Aanbieders van veilige digitale post (eDelivery) vallen onder eIDAS en de Cyberbeveiligingswet”, 3 juni 2026



