EIDAS 2014/0910 NL

1. „elektronische identificatie”: het proces van het gebruiken van persoonsidentificatiegegevens in elektronische vorm die op unieke wijze een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, aanduiden;

2. „elektronisch identificatiemiddel”: een materiële en/of immateriële eenheid die persoonsidentificatiegegevens bevat en die gebruikt wordt voor authenticatie bij een onlinedienst;

3. „persoonsidentificatiegegevens”: een reeks gegevens aan de hand waarvan de identiteit van een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, kan worden vastgesteld;

4. „stelsel voor elektronische identificatie”: een stelsel voor elektronische identificatie waarbinnen elektronische identificatiemiddelen worden uitgegeven aan natuurlijke personen, rechtspersonen of natuurlijke personen die rechtspersonen vertegenwoordigen;

5. „authenticatie”: een elektronisch proces dat de bevestiging van de elektronische identificatie van een natuurlijke persoon of rechtspersoon, of van de oorsprong en integriteit van gegevens in elektronische vorm mogelijk maakt;

6. „vertrouwende partij”: een natuurlijke persoon of een rechtspersoon die vertrouwt op een elektronische identificatie of een vertrouwensdienst;

7. „openbare instantie”: een staat, regionale of lokale overheden, publiekrechtelijke instellingen en samenwerkingsverbanden bestaand uit één of meer van deze overheidsinstanties of een of meer van deze publiekrechtelijke instellingen, of een private entiteit die door ten minste een van deze autoriteiten, publiekrechtelijke instellingen of verenigingen is gemachtigd tot het verlenen van openbare diensten, wanneer zij in die hoedanigheid optreden;

8. „publiekrechtelijke instelling”: een instelling volgens de definitie in punt 4 van artikel 2, lid 1, van Richtlijn 2014/24/EU van het Europees Parlement en de Raad (15);

9. „ondertekenaar”: een natuurlijke persoon die een elektronische handtekening aanmaakt;

10. „elektronische handtekening”: gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen;

11. „geavanceerde elektronische handtekening”: een elektronische handtekening die voldoet aan de eisen in artikel 26;

12. „gekwalificeerde elektronische handtekening”: een geavanceerde elektronische handtekening die is aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen;

13. „gegevens voor het aanmaken van elektronische handtekeningen”: unieke gegevens die door de ondertekenaar worden gebruikt om een elektronische handtekening aan te maken;

14. „certificaat voor elektronische handtekeningen”: een elektronische attestering die valideringsgegevens voor elektronische handtekeningen aan een natuurlijke persoon koppelt en ten minste de naam of het pseudoniem van die persoon bevestigt;

15. „gekwalificeerd certificaat voor elektronische handtekeningen”: een certificaat voor elektronische handtekeningen, dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage I;

16. „vertrouwensdienst”: een elektronische dienst die gewoonlijk tegen betaling wordt verricht en het onderstaande inhoudt:

a)	het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging en op deze diensten betrekking hebbende certificaten of

b)	het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites, of

c)	het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben;

17. „gekwalificeerde vertrouwensdienst”: een vertrouwensdienst die voldoet aan de toepasselijke eisen zoals vastgelegd in deze verordening;

18. „conformiteitsbeoordelingsinstantie”: een instantie omschreven in artikel 2, punt 13, van Verordening (EG) nr. 765/2008, die in overeenstemming met die verordening geaccrediteerd is om een conformiteitsbeoordeling te verrichten van een gekwalificeerde verlener van vertrouwensdiensten en van de door hem verleende vertrouwensdiensten;

19. „verlener van vertrouwensdiensten”: een natuurlijke persoon of rechtspersoon die een of meer vertrouwensdiensten verleent als een gekwalificeerde of als een niet-gekwalificeerde verlener van vertrouwensdiensten;

20. „gekwalificeerde verlener van vertrouwensdiensten”: een verlener van vertrouwensdiensten die één of meerdere gekwalificeerde vertrouwensdiensten verleent en van het toezichthoudende orgaan de status van gekwalificeerde heeft gekregen;

21. „product”: software of hardware, of relevante componenten van hardware of software, die bedoeld zijn om te worden gebruikt voor de verlening van vertrouwensdiensten;

22. „middel voor het aanmaken van elektronische handtekeningen”: geconfigureerde software of hardware die wordt gebruikt om een elektronische handtekening aan te maken;

23. „gekwalificeerd middel voor het aanmaken van elektronische handtekeningen”: een middel voor het aanmaken van elektronische handtekeningen dat voldoet aan de eisen van bijlage II;

24. „aanmaker van een zegel”: een rechtspersoon die een elektronisch zegel aanmaakt;

25. „elektronisch zegel”: gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die worden gebruikt om de oorsprong en integriteit daarvan te waarborgen;

26. „geavanceerd elektronisch zegel”: een elektronisch zegel dat voldoet aan de eisen in artikel 36;

27. „gekwalificeerd elektronisch zegel”: een geavanceerd elektronisch zegel dat aangemaakt is door een gekwalificeerd middel voor het aanmaken van elektronische zegels en dat gebaseerd is op een gekwalificeerd certificaat voor elektronische zegels;

28. „gegevens voor het aanmaken van elektronische zegels”: unieke gegevens die door de aanmaker van het elektronische zegel worden gebruikt om een elektronisch zegel aan te maken;

29. „certificaat voor elektronische zegels”: een elektronische attestering die valideringsgegevens van elektronische zegels aan een rechtspersoon verbindt en de naam van die rechtspersoon bevestigt;

30. „gekwalificeerd certificaat voor elektronische zegels”: een certificaat voor een elektronische zegel dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage III;

31. „middel voor het aanmaken van elektronische zegels”: geconfigureerde software of hardware die wordt gebruikt om een elektronisch zegel aan te maken;

32. „gekwalificeerd middel voor het aanmaken van elektronische zegels”: een middel voor het aanmaken van elektronische zegels dat mutatis mutandis voldoet aan de eisen van bijlage II;

33. „elektronische tijdstempel”: gegevens in elektronische vorm die andere gegevens in elektronische vorm verbinden aan een bepaald tijdstip en die bewijzen dat die laatstgenoemde gegevens op dat tijdstip bestonden;

34. „gekwalificeerde elektronische tijdstempel”: een elektronische tijdstempel die voldoet aan de in artikel 42 vastgelegde eisen;

35. „elektronisch document”: elke inhoud die is opgeslagen in elektronische vorm, in het bijzonder tekst of geluid, beeld of audiovisuele opname;

36. „dienst voor elektronisch aangetekende bezorging”: een dienst die het mogelijk maakt gegevens via elektronische middelen tussen derden te verzenden en die bewijs verschaft ten aanzien van het hanteren van de verzonden gegevens, met inbegrip van bewijs van het verzenden en ontvangen van de gegevens, en die de verzonden gegevens beschermt tegen het risico van verlies, diefstal, beschadiging of onbevoegde wijzigingen;

37. „gekwalificeerde dienst voor elektronisch aangetekende bezorging”: een dienst voor elektronisch aangetekende bezorging die voldoet aan de in artikel 44 vastgestelde eisen;

38. „certificaat voor websiteauthenticatie”: attestering die het mogelijk maakt de authenticiteit van een website vast te stellen en die de website verbindt aan de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven;

39. „gekwalificeerd certificaat voor websiteauthenticatie”: certificaat voor websiteauthenticatie dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage IV;

40. „valideringsgegevens”: gegevens die worden gebruikt om een elektronische handtekening of elektronisch zegel te valideren;

41. „validering”: proces waarmee wordt nagegaan of en bevestigd dat een elektronische handtekening of een elektronisch zegel geldig is.

Artikel 26

Eisen voor geavanceerde elektronische handtekeningen

Een geavanceerde elektronische handtekening voldoet aan de volgende eisen:

a)	zij is op unieke wijze aan de ondertekenaar verbonden;

b)	zij maakt het mogelijk de ondertekenaar te identificeren;

c)	zij komt tot stand met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken, en

d)	zij is op zodanige wijze aan de daarmee ondertekende gegevens verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.

Artikel 29

Eisen voor gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen

1. Gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen dienen te voldoen aan de in bijlage II vastgestelde eisen.

2. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor normen inzake gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen. Indien een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen aan dergelijke normen voldoet, wordt aangenomen dat er overeenstemming is met de in bijlage II vastgestelde eisen. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

Artikel 30

Certificering van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen

1. De overeenstemming van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen met de in bijlage II vastgestelde eisen wordt gecertificeerd door geschikte, daartoe door de lidstaten aangewezen openbare of private organen.

2. De lidstaten verstrekken aan de Commissie de namen en adressen van de in lid 1 bedoelde openbare of private organen. De Commissie stelt deze informatie beschikbaar aan de lidstaten.

3. De in lid 1 bedoelde certificering is gebaseerd op een van de volgende elementen:

a)	een veiligheidsbeoordeling uitgevoerd in overeenstemming met een van de normen inzake de veiligheidsbeoordeling van producten op het gebied van informatietechnologie die zijn opgenomen in de overeenkomstig de tweede alinea vastgestelde lijst, of

een ander proces dan het in punt a) vermelde, op voorwaarde dat dit proces vergelijkbare beveiligingsniveaus hanteert, en dat het in lid 1 bedoelde openbare of private orgaan de Commissie van het proces in kennis stelt. Dat proces mag alleen worden gebruikt als er geen in punt a) bedoelde normen zijn of wanneer een in punt a) bedoelde veiligheidsbeoordeling gaande is.

De Commissie stelt door middel van uitvoeringshandelingen een lijst vast voor de veiligheidsbeoordeling van producten op het gebied van onder a) bedoelde informatietechnologie. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

4. De Commissie is bevoegd overeenkomstig artikel 47 gedelegeerde handelingen vast te stellen met betrekking tot het opstellen van specifieke criteria waaraan de aangewezen organen zoals bedoeld in lid 1 van dit artikel moeten voldoen.

Artikel 31

Publicatie van een lijst van gecertificeerde gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen

1. De lidstaten verstrekken de Commissie onverwijld, en uiterlijk één maand na het voltooien van de certificering, informatie over gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen die zijn gecertificeerd door de organen zoals bedoeld in artikel 30, lid 1. Zij bezorgen de Commissie ook onverwijld, en uiterlijk één maand na het annuleren van de certificering, informatie over middelen voor het aanmaken van elektronische handtekeningen die niet meer gecertificeerd zijn.

2. De Commissie stelt op basis van de ontvangen informatie een lijst op van gecertificeerde gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen, publiceert deze lijst en houdt haar bij.

3. De Commissie kan door middel van uitvoeringshandelingen formaten en procedures omschrijven die gelden voor de toepassing van lid 1. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 32

Eisen voor de validering van gekwalificeerde elektronische handtekeningen

1. Het valideringsproces voor een gekwalificeerde elektronische handtekening bevestigt de geldigheid van een gekwalificeerde elektronische handtekening, op voorwaarde dat:

a)	het certificaat dat de handtekening ondersteunt op het tijdstip van ondertekening een gekwalificeerd certificaat voor elektronische handtekeningen was overeenkomstig bijlage I;

b)	het gekwalificeerd certificaat werd afgegeven door een gekwalificeerd verlener van vertrouwensdiensten en op het tijdstip van ondertekening geldig was;

c)	de gegevens voor het valideren van de handtekening overeenstemmen met de gegevens die aan de vertrouwende partij zijn verstrekt;

d)	de unieke reeks gegevens die in het certificaat verwijst naar de ondertekenaar, correct wordt doorgegeven aan de vertrouwende partij;

e)	de vertrouwende partij duidelijk wordt gewezen op het eventuele gebruik van een pseudoniem op het tijdstip van ondertekening;

f)	de elektronische handtekening werd aangemaakt met behulp van een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen;

g)	de integriteit van de ondertekende gegevens niet is aangetast;

h)	op het tijdstip van ondertekening voldaan was aan de in artikel 26, bedoelde eisen.

2. Het systeem dat is gebruikt voor het valideren van de gekwalificeerde elektronische handtekening verstrekt het juiste resultaat van het valideringsproces aan de vertrouwende partij en stelt deze in de gelegenheid om veiligheidsproblemen te identificeren.

3. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor normen inzake de validering van gekwalificeerde elektronische handtekeningen. Indien de validering van gekwalificeerde elektronische handtekeningen aan dergelijke normen voldoet, wordt aangenomen dat er overeenstemming is met de in lid 1 vastgestelde eisen. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 36

Eisen voor geavanceerde elektronische zegels

Een geavanceerd elektronisch zegel voldoet aan de volgende eisen:

a)	het is op unieke wijze aan de aanmaker van het zegel verbonden;

b)	het maakt het mogelijk de aanmaker van het zegel te identificeren;

c)	het komt tot stand met gebruikmaking van gegevens voor het aanmaken van elektronische zegels die de aanmaker van het zegel met een hoog vertrouwensniveau onder zijn controle kan gebruiken voor het aanmaken van elektronische zegels;

d)	het is op zodanige wijze aan de gegevens waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.

Artikel 39

Gekwalificeerde middelen voor het aanmaken van elektronische zegels

1. Artikel 29 is van overeenkomstige toepassing op eisen voor gekwalificeerde middelen voor het aanmaken van elektronische zegels.

2. Artikel 30 is van overeenkomstige toepassing op de certificatie van gekwalificeerde middelen voor het aanmaken van elektronische zegels.

3. Artikel 31 is van overeenkomstige toepassing op de publicatie van een lijst van gecertificeerde gekwalificeerde middelen voor het aanmaken van elektronische zegels.

Artikel 51

Overgangsmaatregelen

1. Veilige middelen voor het aanmaken van handtekeningen waarvan de overeenstemming bepaald is overeenkomstig artikel 3, lid 4, van Richtlijn 1999/93/EG, worden beschouwd als gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen in de zin van de onderhavige verordening.

2. Gekwalificeerde certificaten voor natuurlijke personen in de zin van Richtlijn 1999/93/EG worden, totdat zij verlopen, beschouwd als gekwalificeerde certificaten voor elektronische handtekeningen in de zin van onderhavige verordening.

3. Een certificatiedienstverlener die gekwalificeerde certificaten overeenkomstig Richtlijn 1999/93/EG afgeeft, dient zo spoedig mogelijk, maar niet later dan 1 juli 2017, een conformiteitsbeoordelingsverslag in bij het toezichthoudend orgaan. Tot de indiening van dat conformiteitsbeoordelingsverslag en de voltooiing van de beoordeling ervan door het toezichthoudend orgaan wordt die certificatiedienstverlener beschouwd als een gekwalificeerde verlener van vertrouwensdiensten in de zin van deze verordening.

4. Indien een certificatiedienstverlener die gekwalificeerde certificaten overeenkomstig Richtlijn 1999/93/EG afgeeft, niet binnen de in lid 3 bedoelde termijn een conformiteitsbeoordelingsverslag indient bij het toezichthoudend orgaan, wordt die certificatiedienstverlener vanaf 2 juli 2017 niet beschouwd als gekwalificeerde verlener van vertrouwensdiensten in de zin van deze verordening.

Artikel 52

Inwerkingtreding

1. Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

2. Deze verordening is van toepassing vanaf 1 juli 2016, met uitzondering van onderstaande:

artikel 8, lid 3, artikel 9, lid 5, artikel 12, lid 2 tot en met 9, artikel 17, lid 8, artikel 19, lid 4, artikel 20, lid 4, artikel 21, lid 4, artikel 22, lid 5, artikel 23, lid 3, artikel 24, lid 5, artikel 27, lid 4 en lid 5, artikel 28, lid 6, artikel 29, lid 2, artikel 30, lid 3 en lid 4, artikel 31, lid 3, artikel 32, lid 3, artikel 33, lid 2, artikel 34, lid 2, artikel 37, lid 4 en lid 5, artikel 38, lid 6, artikel 42, lid 2, artikel 44, lid 2, artikel 45, lid 2, en artikelen 47 en 48 zijn van toepassing met ingang van 17 september 2014;

b)	artikel 7, artikel 8, leden 1 en 2, de artikelen 9, 10, 11 en artikel 12, lid 1, zijn van toepassing vanaf de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen;

c)	artikel 6 is van toepassing vanaf drie jaar na de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen.

3. Indien het aangemelde stelsel voor elektronische identificatie voorkomt in de lijst die de Commissie krachtens artikel 9 bekendmaakt, en wel vóór de datum in lid 2, onder c), van dit artikel, wordt het elektronische identificatiemiddel in het kader van dat stelsel krachtens artikel 6 erkend binnen twaalf maanden na de bekendmaking van dat stelsel, maar niet vóór de datum in lid 2, onder c), van dit artikel.

4. Niettegenstaande lid 2, onder c), van dit artikel kan een lidstaat besluiten dat elektronische identificatiemiddelen in het kader van een stelsel voor elektronische identificatie, krachtens artikel 9, lid 1, door een andere lidstaat aangemeld, in de eerste lidstaat worden erkend met ingang van de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen. De betrokken lidstaten stellen de Commissie daarvan in kennis. De Commissie maakt deze informatie openbaar.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel, 23 juli 2014.

Voor het Parlement

De voorzitter

M. SCHULZ

Voor de Raad

De voorzitter

S. GOZI

(1) PB C 351 van 15.11.2012, blz. 73.

(2) Standpunt van het Europees Parlement van 3 april 2014 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 23 juli 2014.

(3) Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (PB L 13 van 19.1.2000, blz. 12).

(4) PB C 50 E van 21.2.2012, blz. 1.

(5) Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt (PB L 376 van 27.12.2006, blz. 36).

(6) Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB L 88 van 4.4.2011, blz. 45).

(7) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31).

(8) Besluit 2010/48/EG van de Raad van 26 november 2009 betreffende de sluiting door de Europese Gemeenschap van het Verdrag van de Verenigde Naties inzake de rechten van personen met een handicap (PB L 23 van 27.1.2010, blz. 35).

(9) Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30).

(10) Beschikking 2009/767/EG van de Commissie van 16 oktober 2009 inzake maatregelen voor een gemakkelijker gebruik van elektronische procedures via het „één-loket” in het kader van Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PB L 274 van 20.10.2009, blz. 36).

(11) Besluit 2011/130/EU van de Commissie van 25 februari 2011 tot vaststelling van minimumvoorschriften voor de grensoverschrijdende verwerking van documenten die door de bevoegde autoriteiten elektronisch zijn ondertekend krachtens Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PB L 53 van 26.2.2011, blz. 66).

(12) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(13) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

(14) PB C 28 van 30.1.2013, blz. 6.

(15) Richtlijn 2014/24/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende het plaatsen van overheidsopdrachten en tot intrekking van Richtlijn 2004/18/EG (PB L 94 van 28.3.2014, blz. 65).

BIJLAGE I

EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR ELEKTRONISCHE HANDTEKENINGEN

Gekwalificeerde certificaten voor elektronische handtekeningen bevatten:

a)	een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat afgegeven is als een gekwalificeerd certificaat voor elektronische handtekeningen;

een reeks gegevens die ondubbelzinnig verwijzen naar de gekwalificeerde verlener van vertrouwensdiensten die de gekwalificeerde certificaten afgeeft, met inbegrip van ten minste de lidstaat waarin de verlener is gevestigd en

—	voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,

—	voor een natuurlijke persoon: de naam van de persoon;

c)	op zijn minst de naam van de ondertekenaar of een pseudoniem; als er een pseudoniem wordt gebruikt, wordt dat duidelijk aangegeven;

d)	gegevens voor de validering van elektronische handtekeningen, die overeenkomen met de gegevens voor het aanmaken van de elektronische handtekening;

e)	informatie over begin en einde van de geldigheidsduur van het certificaat;

f)	de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;

g)	de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;

h)	de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder g) gratis beschikbaar is;

i)	de locatie van de diensten waar informatie kan worden opgevraagd over de geldigheidsstatus van het gekwalificeerde certificaat;

indien de gegevens voor het aanmaken van een elektronische handtekening die gekoppeld zijn aan de gegevens voor de validering van de elektronische handtekening zich bevinden in een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen, een passende vermelding hiervan, ten minste in een vorm die geschikt is voor automatische verwerking.

BIJLAGE II

EISEN VOOR GEKWALIFICEERDE MIDDELEN VOOR HET aanmaken VAN ELEKTRONISCHE HANDTEKENINGEN

Gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen waarborgen via passende technieken en procedures dat ten minste:

a)	de vertrouwelijkheid van de gegevens die worden gebruikt om elektronische handtekeningen aan te maken redelijkerwijs gewaarborgd is;

b)	de gegevens voor het aanmaken van elektronische handtekeningen in de praktijk slechts één keer kunnen voorkomen;

c)	de gegevens voor het aanmaken van elektronische handtekeningen met redelijke zekerheid niet kunnen worden afgeleid en dat de elektronische handtekening op betrouwbare wijze beschermd is tegen vervalsing met de thans beschikbare technologie;

d)	de gegevens voor het aanmaken van elektronische handtekeningen door de legitieme ondertekenaar op betrouwbare wijze kunnen worden beschermd tegen gebruik door anderen.

Gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen laten de te ondertekenen gegevens ongewijzigd en beletten niet dat die gegevens vóór ondertekening aan de ondertekenaar worden voorgelegd.

Het genereren of beheren van de gegevens voor het aanmaken van elektronische handtekeningen namens de ondertekenaar kan alleen worden uitgevoerd door een gekwalificeerde verlener van vertrouwensdiensten.

Onverminderd punt 1, onder d), mogen gekwalificeerde verleners van vertrouwensdiensten die namens de ondertekenaar gegevens voor het aanmaken van elektronische handtekeningen beheren, de gegevens voor het aanmaken van elektronische handtekeningen alleen dupliceren voor back-updoeleinden, op voorwaarde dat aan de volgende eisen wordt voldaan:

a)	de beveiliging van de gedupliceerde gegevensverzamelingen moet van hetzelfde niveau zijn als de beveiliging van de originele gegevensverzamelingen;

b)	het aantal gedupliceerde gegevensverzamelingen mag niet hoger zijn dan het minimum dat nodig is om de continuïteit van de dienst te waarborgen.

BIJLAGE III

EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR ELEKTRONISCHE ZEGELS

Gekwalificeerde certificaten voor elektronische zegels bevatten:

a)	een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat is afgegeven als een gekwalificeerd certificaat voor elektronische zegels;

—	voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,

—	voor een natuurlijke persoon: de naam van de persoon;

c)	ten minste de naam van de aanmaker van het zegel en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers;

d)	gegevens voor de validering van elektronische zegels, die overeenkomen met de gegevens voor het aanmaken van elektronische zegels;

e)	informatie over begin en einde van de geldigheidsduur van het certificaat;

f)	de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;

g)	de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;

h)	de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder g) gratis beschikbaar is;

i)	de locatie van de diensten waar informatie kan worden opgevraagd over de geldigheidsstatus van het gekwalificeerde certificaat;

indien de gegevens voor het aanmaken van elektronische zegels die gekoppeld zijn aan de gegevens voor de validering voor elektronische zegels zich bevinden in een gekwalificeerd middel voor het aanmaken van elektronische zegels, een passende vermelding hiervan, ten minste in een vorm die geschikt is voor automatische verwerking.

BIJLAGE IV

EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR WEBSITE-AUTHENTICATIE

Gekwalificeerde certificaten voor websiteauthenticatie moeten het volgende bevatten:

a)	een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat afgegeven is als een gekwalificeerd certificaat voor websiteauthenticatie;

—	voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,

—	voor een natuurlijke persoon: de naam van de persoon;

voor natuurlijke personen: op zijn minst de naam van de persoon aan wie het certificaat is afgegeven, of een pseudoniem. Indien een pseudoniem wordt gebruikt, wordt dat duidelijk aangegeven;

voor rechtspersonen: ten minste de naam van de rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers;

d)	elementen van het adres, met inbegrip van ten minste de plaats en de staat, van de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, zoals vermeld in de officiële registers;

e)	de domeinnaam/-namen die wordt/worden geëxploiteerd door de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven;

f)	informatie over begin en einde van de geldigheidsduur van het certificaat;

g)	de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;

h)	de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;

i)	de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder h) gratis beschikbaar is;

j)	de locatie van de valideringsstatusdiensten voor certificaten die gebruikt kunnen worden om informatie over de geldigheidsstatus van het gekwalificeerde certificaat te raadplegen.

whereas

(51) Het zou voor de ondertekenaar mogelijk moeten zijn om middelen voor het aanmaken van een gekwalificeerde elektronische handtekening toe te vertrouwen aan een derde, mits passende mechanismen en procedures worden toegepast om te waarborgen dat uitsluitend de ondertekenaar controle heeft over het gebruik van de aanmaakgegevens van zijn elektronische handtekening, en mits door gebruik te maken van dit middel de vereisten inzake gekwalificeerde elektronische handtekeningen worden nageleefd.

- = -

(52) Het aanmaken van elektronische handtekeningen op afstand, waarbij de omgeving waarin de elektronische handtekening wordt aangemaakt, door een verlener van vertrouwensdiensten namens de ondertekenaar wordt beheerd, zal wellicht toenemen gezien de talrijke economische voordelen ervan.
Om er evenwel voor te zorgen dat die elektronische handtekeningen dezelfde juridische erkenning krijgen als elektronische handtekeningen die zijn aangemaakt in een volledig door de gebruiker beheerde omgeving, dienen de verleners van diensten voor elektronische handtekeningen op afstand specifieke veiligheidsprocedures toe te passen wat betreft beheer en administratie, en gebruik te maken van betrouwbare systemen en producten, met inbegrip van beveiligde elektronische communicatiekanalen, om te waarborgen dat de omgeving waarin de elektronische handtekening wordt aangemaakt betrouwbaar is en dat uitsluitend de ondertekenaar controle heeft over het gebruik ervan.
Indien een gekwalificeerde elektronische handtekening is aangemaakt door gebruik te maken van een middel voor het aanmaken van elektronische handtekeningen op afstand, dienen de in deze verordening vastgelegde vereisten voor gekwalificeerde verleners van vertrouwensdiensten van toepassing te zijn.

- = -

(55) Een op internationale normen gebaseerde IT-veiligheidscertificering, zoals ISO 15408 en verwante evaluatiemethoden en regelingen voor wederzijdse erkenning, is een belangrijk instrument voor de verificatie van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen, en dient te worden gestimuleerd.
Innovatieve oplossingen en diensten zoals mobiel ondertekenen en ondertekenen in de cloud berusten echter op technische en organisatorische oplossingen voor gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen waarvoor nog geen beveiligingsstandaarden voorhanden zijn of waarvoor de eerste IT-veiligheidscertificeringsprocedure nog loopt.
Het beveiligingsniveau van dergelijke gekwalificeerde apparatuur voor het aanmaken van elektronische handtekeningen kan worden geëvalueerd door gebruik te maken van alternatieve processen, maar enkel indien dergelijke veiligheidsnormen niet beschikbaar zijn of indien de eerste IT-veiligheidsbeoordeling aan de gang is.
Deze processen dienen vergelijkbaar te zijn met de standaarden voor IT-veiligheidscertificering, voor zover het om gelijke beveiligingsniveaus gaat.
Deze processen zouden baat kunnen hebben bij onderlinge evaluatie.

- = -

(56) In deze verordening moeten vereisten worden vastgesteld voor gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen vastgelegd om de functionaliteit van geavanceerde elektronische handtekeningen te waarborgen.
Deze verordening hoeft niet de hele systeemomgeving waarbinnen dergelijke middelen functioneren te bestrijken.
De werkingssfeer van de certificering van gekwalificeerde middelen voor het aanmaken van handtekeningen dient derhalve te worden beperkt tot de hardware en de systeemprogrammatuur die worden gebruikt voor het beheer en de bescherming van de voor het aanmaken van de handtekening in dat middel aangemaakte, opgeslagen of verwerkte gegevens.
Als aangegeven in de toepasselijke standaarden moeten toepassingen voor het aanmaken van handtekeningen buiten de werkingssfeer van de verplichte certificering vallen.

- = -

(70) Om bepaalde uitvoerige technische aspecten van deze verordening op een flexibele en snelle manier aan te vullen, moet de bevoegdheid om handelingen vast te stellen overeenkomstig artikel 290 VWEU aan de Commissie worden overgedragen wat betreft de criteria waaraan de organen die verantwoordelijk zijn voor de certificering van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen moeten voldoen.
Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadpleging overgaat, onder meer op deskundigenniveau.
De Commissie moet er bij de voorbereiding en opstelling van gedelegeerde handelingen voor zorgen dat de desbetreffende documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het Europees Parlement en de Raad.

- = -

(74) Om rechtszekerheid te waarborgen voor marktdeelnemers die reeds van aan natuurlijke personen afgegeven gekwalificeerde certificaten gebruikmaken in overeenstemming met Richtlijn 1999/93/EG, moet een voldoende ruime overgangsperiode worden vastgesteld.
Ook moeten overgangsmaatregelen worden vastgesteld voor middelen voor het veilig aanmaken van handtekeningen waarvan de overeenstemming overeenkomstig Richtlijn 1999/93/EG is vastgesteld, evenals voor certificatiedienstverleners die voor 1 juli 2016 gekwalificeerde certificaten afgeven.
Ook moet de Commissie tot slot voorzien worden van de middelen die nodig zijn om de uitvoeringshandelingen en gedelegeerde handelingen vóór die datum vast te stellen.

- = -

keyboard_tab EIDAS 2014/0910 NL

EIDAS 2014/0910 NL