Besluit tot vaststelling van nadere regels voor de interoperabiliteit tussen goedgekeurde systemen voor het afleveren van digitale opleidingsattesten en tot vaststelling van de standaardprocedure met betrekking tot een gemeenschappelijk formaat en de technische specificaties voor de digitale opleidingsattesten, hun inhoud en de uitwisseling ervan door goedgekeurde systemen voor het afleveren van digitale opleidingsattesten

Het besluit bepaalt het uniforme formaat, de inhoud en veilige uitwisseling van digitale opleidingsattesten, zodat goedgekeurde systemen vlot met elkaar kunnen samenwerken.
Samenvatting in gewone taal
Dit besluit legt vast hoe digitale opleidingsattesten in Vlaanderen op dezelfde manier worden aangemaakt, bewaard, gedeeld en gecontroleerd. Zo kunnen verschillende goedgekeurde systemen vlot met elkaar samenwerken en elkaars attesten lezen en controleren. Het bepaalt een gemeenschappelijk formaat, welke gegevens minimaal in een attest staan, hoe systemen gegevens uitwisselen en welke veiligheidsmaatregelen gelden om betrouwbaarheid, hergebruik en privacy te waarborgen. Wie heeft er baat bij? Cursisten krijgen attesten die overal herkenbaar zijn. Opleidingsaanbieders en leveranciers van goedgekeurde systemen weten precies aan welke technische eisen zij moeten voldoen. Werkgevers en andere controleurs kunnen attesten eenvoudig nakijken. Het besluit is van toepassing op alle goedgekeurde systemen die in Vlaanderen digitale opleidingsattesten uitgeven, beheren, intrekken of controleren. Afwijken kan alleen na voorafgaande, schriftelijke toestemming van de bevoegde administratie, op basis van een gemotiveerde aanvraag met uitleg over de noodzaak, wat precies afwijkt en voor hoelang. De aanvraag gebeurt via een elektronisch formulier en wordt ondertekend met een sterke elektronische handtekening die voldoet aan de Europese regels voor digitale handtekeningen. Inwerkingtreding: 1 september 2025.
Documenttype
Besluit
Publicatiedatum
25 juni 2026
Status
Geldig
Trefwoorden
Digitale opleidingsattesten Interoperabiliteit Technische specificaties Gegevensuitwisseling Informatiebeveiliging Persoonsgegevens

De Vlaamse minister van Werk en Sociale Economie,

Gelet op het decreet van 12 juni 2024 betreffende het digitaal opleidingsdossier en de erkenning van opleidingsaanbieders, inzonderheid op artikel 24, §2, dat de Vlaamse Regering en de bevoegde minister machtigt om nadere regels vast te stellen inzake interoperabiliteit en technische specificaties voor digitale opleidingsattesten; Gelet op het besluit van de Vlaamse Regering van 3 februari 2025 betreffende de goedkeuring van systemen voor het afleveren van digitale opleidingsattesten, inzonderheid op artikel 9, §1, dat de interoperabiliteit tussen goedgekeurde systemen waarborgt; Gelet op het advies van de Vlaamse Toezichtscommissie voor de verwerking van persoonsgegevens, gegeven op 15 mei 2025, adviesnummer 2025/042; Overwegende dat de betrouwbaarheid, herbruikbaarheid en controleerbaarheid van digitale opleidingsattesten een uniforme gegevensstructuur, gestandaardiseerde uitwisselingsprotocollen en passende informatiebeveiliging vereisen; Besluit:

Hoofdstuk 1. Algemene bepalingen

Artikel 1. ( 01/09/2025 - inwerkingtreding )

Dit besluit stelt nadere regels vast voor de interoperabiliteit tussen goedgekeurde systemen voor het afleveren van digitale opleidingsattesten en bepaalt de standaardprocedure met betrekking tot een gemeenschappelijk formaat en de technische specificaties voor de digitale opleidingsattesten, hun inhoud en de uitwisseling ervan door goedgekeurde systemen; het is van toepassing op alle rechtspersonen en entiteiten die, overeenkomstig het besluit van de Vlaamse Regering van 3 februari 2025 betreffende de goedkeuring van systemen voor het afleveren van digitale opleidingsattesten, als goedgekeurd systeem zijn geregistreerd en attesten uitgeven, beheren, intrekken of verifiëren binnen het Vlaams Gewest; afwijkingen op dit besluit zijn slechts toegestaan indien zij uitdrukkelijk en schriftelijk worden toegestaan door de administratie die bevoegd is voor het digitaal opleidingsdossier, na een gemotiveerd verzoek dat de noodzaak, de scope en de duur van de afwijking preciseert, en wordt ingediend via het door de bevoegde administratie beschikbaar gestelde elektronische formulier, ondertekend met een gekwalificeerde elektronische handtekening conform Verordening (EU) nr. 910/2014 (eIDAS).

Artikel 2. ( 01/09/2025 - inwerkingtreding )

Voor de toepassing van dit besluit wordt verstaan onder: 1° digitaal opleidingsattest: een door een erkende opleidingsaanbieder ondertekend elektronisch attest dat een resultaat, deelname of bekwaamheid aantoont die is behaald in het kader van een opleiding, module of examen; 2° goedgekeurd systeem: een informatiesysteem dat overeenkomstig het besluit van de Vlaamse Regering van 3 februari 2025 is erkend om digitale opleidingsattesten uit te geven, te beheren, te verifiëren of te archiveren; 3° houder: de natuurlijke persoon op wiens naam het digitale opleidingsattest is opgesteld; 4° uitgever: de entiteit die het digitale opleidingsattest ondertekent en uitgeeft; 5° verifiërende partij: de entiteit die de authenticiteit en de status van een digitaal opleidingsattest controleert; 6° gemeenschappelijk formaat: de in artikel 4 beschreven en in dit besluit vastgelegde uniforme gegevensstructuur en serialisatie; 7° unieke leeridentificator (ULI): een door de bevoegde administratie toegekend, niet-herleidbaar en persistent identificatienummer van de houder, dat niet samenvalt met het rijksregisternummer; 8° register: het door de bevoegde administratie beheerde adresboek waarin goedgekeurde systemen, hun eindpunten en publieke sleutels worden gepubliceerd; 9° status: de actuele toestand van een digitaal opleidingsattest, zijnde “actief”, “ingetrokken” of “vervallen”.

Artikel 3. ( 01/09/2025 - inwerkingtreding )

Elk goedgekeurd systeem conformeert zich aan dit besluit en beschikt over een systeemidentificator, een publicatie in het register met vermelding van minimaal de organisatiegegevens, de contactpersoon voor incidenten, de publieke verificatiesleutels en de metagegevens van de aangeboden eindpunten, waarbij wijzigingen in het register uiterlijk vijf werkdagen vóór inwerkingstelling worden aangebracht en waarbij de beschikbaarheid van de gepubliceerde eindpunten permanent wordt gegarandeerd, behoudens vooraf aangekondigd onderhoud.

Hoofdstuk 2. Gemeenschappelijk formaat en inhoud

Artikel 4. ( 01/09/2025 - inwerkingtreding )

Het gemeenschappelijk formaat voor digitale opleidingsattesten is een geserialiseerd gegevensobject met de verplichte velden: versie; attestidentificator (globaal unieke UUIDv4); uitgeversidentificator; houderidentificator (ULI); opleidingreferentie (code uit het Vlaams Opleidingsregister of een door de bevoegde administratie toegekende normcode); resultaatcategorie (geslaagd, niet geslaagd, deelname, bekwaam, met onderscheiding); uitgiftedatum; geldigheidsaanvang; geldigheids einde indien van toepassing; taalcode van het attest; status; cryptografische handtekening; optionele velden omvatten maar zijn niet beperkt tot: behaalde score en beoordelingsschaal, leeruitkomsten, leerduur, niveau-indicatie volgens een door de bevoegde administratie bekendgemaakte niveaustandaard, plaats van uitreiking en aanvullende opmerkingen, met dien verstande dat optionele velden niet mogen afwijken van de in artikel 5 vastgelegde serialisatie en dat de semantiek van elk veld wordt bepaald in de technische specificatie die door de bevoegde administratie wordt gepubliceerd.

Artikel 5. ( 01/09/2025 - inwerkingtreding )

De serialisatie van het gemeenschappelijk formaat gebeurt primair in JSON-LD 1.1 met UTF-8-codering en met verwijzing naar een door de bevoegde administratie beheerde context-URL waarin begrippen en relaties worden gedefinieerd, waarbij de media type aanduiding “application/vloatt+json” wordt gebruikt en waarbij de structuur valideert tegen een door de bevoegde administratie gepubliceerde schema-definitie; een XML-binding is toegestaan als aanvullende representatie mits volledige equivalentie met de semantiek van het JSON-LD-model en met gebruik van de media type aanduiding “application/vloatt+xml”; bij discrepantie tussen representaties is de JSON-LD-representatie leidend. Voor de vorming van de cryptografische handtekening wordt het JSON-object vooraf gecanonicaliseerd volgens het JSON Canonicalization Scheme (RFC 8785), zonder insluitsels van niet-significante witruimte.

Artikel 6. ( 01/09/2025 - inwerkingtreding )

Identificatoren voor attesten, uitgevers en opleidingen volgen een door de bevoegde administratie gepubliceerde naamruimteconventie en aannemen de vorm “urn:vla:att:[domein]:[entiteit]:[identifier]”, waarbij de identifier een niet-betekende, onveranderlijke en wereldwijd unieke sleutel is; datumnotaties volgen ISO 8601 in UTC (“Z”); taalwaarden volgen ISO 639-1; numerieke waarden maken gebruik van de puntnotatie voor decimalen; tekstvelden gebruiken Unicode normalisatie NFC; elk attest bevat een veldaanduiding voor de gebruikte naamruimteversie en de contextversie, zodat compatibiliteit tussen versies kan worden vastgesteld door verifiërende partijen, en de tijdsynchronisatie tussen systemen gebeurt via NTP met een stratum-2 of beter, met een maximaal toegelaten klokafwijking van ±90 seconden bij de interpretatie van ISO 8601-tijdstippen.

Artikel 7. ( 01/09/2025 - inwerkingtreding )

Het digitale opleidingsattest bevat geen rechtstreeks identificeerbare persoonsgegevens buiten de ULI en de strikt noodzakelijke inhoudelijke elementen, waarbij naam- en contactgegevens van de houder niet in het attestobject zelf worden opgenomen maar via toegangsbeperkte koppelvlakken kunnen worden opgevraagd door de houder of door hem gemachtigde verifiërende partijen, en waarbij alle optionele persoonsgegevens worden geminimaliseerd, gepseudonimiseerd of geaggregeerd in overeenstemming met de principes van gegevensbescherming door ontwerp en door standaardinstellingen.

Hoofdstuk 3. Uitwisseling en interoperabiliteit

Artikel 8. ( 01/09/2025 - inwerkingtreding )

Goedkeurde systemen implementeren een uitwisselingsprotocol op basis van RESTful API’s over HTTPS met de volgende minimumeindpunten: een discovery-eindpunt “/.well-known/vloatt” met beschrijving van versies, scopes en sleutelmaterialen; een uitgiftedienst voor het creëren en opvragen van attesten; een statusdienst voor het controleren van de status en geldigheid; een intrekkingsdienst voor het signaleren of herroepen van attesten, en een validatiedienst voor offline verificatie, waarbij verzoeken en antwoorden de in artikel 5 vastgelegde media types gebruiken, idempotentie wordt gegarandeerd voor herhalingsverzoeken via een clientgegenereerde idempotency-sleutel, versies expliciet worden onderhandeld via een versieheader en pagina’s worden ondersteund voor bulkopvragingen met een maximum van 500 records per pagina; de idempotency-sleutel is een UUIDv4 die door de server gedurende 24 uur wordt bewaard, en de versieonderhandeling gebeurt via de HTTP-header “X-VLOATT-Version”.

Artikel 9. ( 01/09/2025 - inwerkingtreding )

Authenticatie en autorisatie tussen goedgekeurde systemen gebeuren via OAuth 2.1 met wederzijdse TLS (mTLS) en het “client_credentials”-mechanisme, waarbij toegangstokens JSON Web Tokens zijn die minimaal de claims “iss”, “sub”, “aud”, “exp” en “scope” bevatten, tokens worden uitgegeven door een in het register gepubliceerde en door de bevoegde administratie erkende autorisatieserver, scopes fijnmazig zijn en minimaal “issue:certificates”, “read:certificates” en “revoke:certificates” omvatten, en waarbij certificaten voor mTLS voldoen aan de door de bevoegde administratie gepubliceerde trustlijst; sleutelrotatie wordt ten minste halfjaarlijks doorgevoerd en aangekondigd via het register.

Artikel 10. ( 01/09/2025 - inwerkingtreding )

Digitale opleidingsattesten worden cryptografisch ondertekend met JWS met een verplicht gebruik van ES256 of EdDSA, waarbij de publieke verificatiesleutel in het register is gepubliceerd, de ondertekening wordt voorzien van een tijdstempel van een door de bevoegde administratie erkende tijdstempeldienst, en intrekkingen worden gepubliceerd via een statuslijst die ten minste elke 15 minuten wordt bijgewerkt; bij offline verificatie moet de geldigheid kunnen worden aangetoond tot maximaal 24 uur na de laatst gepubliceerde statuslijst, waarna een online statuscontrole verplicht is.

Hoofdstuk 4. Beveiliging, kwaliteit en procedures

Artikel 11. ( 01/09/2025 - inwerkingtreding )

De netwerkbeveiliging past minimaal TLS 1.3 toe met sterke ciphersuites, certificaatvalidatie volgens de geldende best practices, DNSSEC voor domeinnamen van eindpunten en HSTS; gegevens in rust worden versleuteld met een industrieel gangbare standaard met minimaal 256-bits sleutelsterkte; toegangscontrole binnen het goedgekeurde systeem is gebaseerd op het principe van minimale privileges en scheiding der taken; een beleid voor kwetsbaarhedenbeheer met maximaal 30 dagen voor het herstellen van hoog-risico kwetsbaarheden is verplicht; elk systeem voert jaarlijks een penetratietest uit door een onafhankelijke derde partij en bezorgt het samenvattend rapport aan de bevoegde administratie binnen 30 dagen na oplevering.

Artikel 12. ( 01/09/2025 - inwerkingtreding )

Beschikbaarheidseisen bepalen dat de uitwisselingsdiensten minstens 99,5% maandelijkse uptime behalen, met een maximale geplande onderhoudsduur van 8 uur per maand die minstens 48 uur op voorhand wordt aangekondigd via het register; prestatie-eisen bepalen dat de p95-responstijd voor status- en validatieverzoeken maximaal 800 milliseconden bedraagt en voor bulkopvragingen maximaal 2 seconden; herstel- en back-upvereisten bepalen een RTO van 4 uur en een RPO van 30 minuten; incidenten met impact op de integriteit, vertrouwelijkheid of beschikbaarheid worden binnen 2 uur na detectie gemeld aan de bevoegde administratie en betrokken partners via de in het register opgenomen contactpunten, gevolgd door een eindrapport binnen 10 werkdagen. Het eindrapport bevat minimaal een oorzaak-analyse volgens de 5-why-methode en een gedetailleerde tijdslijn met tijdstippen in UTC.

Artikel 13. ( 01/09/2025 - inwerkingtreding )

Voor de kwaliteitsbewaking voorziet de bevoegde administratie in een referentie-omgeving en een conformiteitstestpakket waarmee goedgekeurde systemen voorafgaand aan productiegebruik slagen voor inhoudsvalidatie, handtekeningverificatie, statusbeheer en foutafhandeling, waarna een conformiteitsverklaring wordt afgeleverd; wijzigingen aan het gemeenschappelijk formaat of de eindpunten worden beheerd via een versiebeleid met semantische versies, een minimale parallelle ondersteuning van een uitgefaseerde versie gedurende 9 maanden en een migratiebericht dat minstens 3 maanden vóór de inwerkingtreding van een nieuwe minderheidsbrekende versie via het register wordt gepubliceerd; niet-conforme implementaties worden na schriftelijke ingebrekestelling en een hersteltermijn van 30 dagen gemarkeerd als beperkt betrouwbaar in het register.

Artikel 14. ( 01/09/2025 - inwerkingtreding )

De verwerking van persoonsgegevens in het kader van dit besluit geschiedt met inachtneming van de toepasselijke regelgeving inzake gegevensbescherming, waarbij de uitgever optreedt als verwerkingsverantwoordelijke voor de inhoud van het attest en het goedgekeurde systeem als verwerker of gezamenlijke verwerkingsverantwoordelijke naargelang de feitelijke rol; gegevensminimalisatie is verplicht; opslag en verwerking vinden plaats binnen de Europese Economische Ruimte; bewaartermijnen worden beperkt tot wat noodzakelijk is voor controleerbaarheid en wettelijke verplichtingen, met een maximale operationele bewaartermijn van 7 jaar voor attesten en 18 maanden voor technische logs, tenzij een langere termijn uitdrukkelijk wettelijk is vereist; rechten van betrokkenen worden gewaarborgd via toegankelijke procedures voor inzage, rectificatie en bezwaar, en elke doorgifte aan derden vereist een rechtsgrond en wordt gedocumenteerd in een verwerkingsregister.

Hoofdstuk 5. Overgangs- en slotbepalingen

Artikel 15. ( 01/09/2025 - inwerkingtreding )

Attesten die vóór 01/09/2025 zijn uitgegeven in een ander formaat blijven geldig gedurende hun oorspronkelijke geldigheidsduur; zij worden uiterlijk op 31/03/2026 door de uitgever kosteloos geconverteerd naar het gemeenschappelijk formaat overeenkomstig artikel 4 en 5, met behoud van uitgiftedatum en status; gedurende de overgangsperiode ondersteunen goedgekeurde systemen zowel het oude als het gemeenschappelijk formaat voor verificatie, met de verplichting voor de uitgever om discrepanties tussen beide binnen 10 werkdagen na vaststelling te corrigeren; na 31/03/2026 worden attesten uitsluitend in het gemeenschappelijk formaat uitgewisseld.

Artikel 16. ( 01/09/2025 - inwerkingtreding )

Dit besluit treedt in werking op 01/09/2025; afwijkend daarvan is de verplichting tot conversie vermeld in artikel 15 pas volledig afdwingbaar vanaf 01/04/2026; de bevoegde administratie kan technische specificaties, context-URL’s, schema’s, trustlijsten en testprocedures operationeel actualiseren en publiceren, voor zover die actualiseringen de kerninhoud van dit besluit niet wijzigen en mits publicatie in het register en kennisgeving aan de betrokkenen minstens 30 dagen vóór de inwerkingstelling van de actualisering.