EIDAS 2014/0910 NL

Met het oog op het goede functioneren van de interne markt, en daarbij strevend naar een adequaat niveau van veiligheid van elektronische identificatiemiddelen en vertrouwensdiensten, worden bij deze verordening:

a)	de voorwaarden vastgesteld waaronder lidstaten elektronische identificatiemiddelen van natuurlijke personen en rechtspersonen erkennen die onder een aangemeld stelsel voor elektronische identificatie van een andere lidstaat vallen,

b)	regels vastgesteld voor vertrouwensdiensten, met name voor elektronische transacties, en

c)	een juridisch kader vastgesteld voor elektronische handtekeningen, elektronische zegels, elektronische tijdstempels, elektronische documenten, diensten voor elektronisch aangetekende bezorging en certificatendiensten voor websiteauthenticatie.

Artikel 3

Definities

Voor de doelstellingen van deze verordening, zijn de volgende definities van toepassing:

1. „elektronische identificatie”: het proces van het gebruiken van persoonsidentificatiegegevens in elektronische vorm die op unieke wijze een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, aanduiden;

2. „elektronisch identificatiemiddel”: een materiële en/of immateriële eenheid die persoonsidentificatiegegevens bevat en die gebruikt wordt voor authenticatie bij een onlinedienst;

3. „persoonsidentificatiegegevens”: een reeks gegevens aan de hand waarvan de identiteit van een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, kan worden vastgesteld;

4. „stelsel voor elektronische identificatie”: een stelsel voor elektronische identificatie waarbinnen elektronische identificatiemiddelen worden uitgegeven aan natuurlijke personen, rechtspersonen of natuurlijke personen die rechtspersonen vertegenwoordigen;

5. „authenticatie”: een elektronisch proces dat de bevestiging van de elektronische identificatie van een natuurlijke persoon of rechtspersoon, of van de oorsprong en integriteit van gegevens in elektronische vorm mogelijk maakt;

6. „vertrouwende partij”: een natuurlijke persoon of een rechtspersoon die vertrouwt op een elektronische identificatie of een vertrouwensdienst;

7. „openbare instantie”: een staat, regionale of lokale overheden, publiekrechtelijke instellingen en samenwerkingsverbanden bestaand uit één of meer van deze overheidsinstanties of een of meer van deze publiekrechtelijke instellingen, of een private entiteit die door ten minste een van deze autoriteiten, publiekrechtelijke instellingen of verenigingen is gemachtigd tot het verlenen van openbare diensten, wanneer zij in die hoedanigheid optreden;

8. „publiekrechtelijke instelling”: een instelling volgens de definitie in punt 4 van artikel 2, lid 1, van Richtlijn 2014/24/EU van het Europees Parlement en de Raad (15);

9. „ondertekenaar”: een natuurlijke persoon die een elektronische handtekening aanmaakt;

10. „elektronische handtekening”: gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen;

11. „geavanceerde elektronische handtekening”: een elektronische handtekening die voldoet aan de eisen in artikel 26;

12. „gekwalificeerde elektronische handtekening”: een geavanceerde elektronische handtekening die is aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen;

13. „gegevens voor het aanmaken van elektronische handtekeningen”: unieke gegevens die door de ondertekenaar worden gebruikt om een elektronische handtekening aan te maken;

14. „certificaat voor elektronische handtekeningen”: een elektronische attestering die valideringsgegevens voor elektronische handtekeningen aan een natuurlijke persoon koppelt en ten minste de naam of het pseudoniem van die persoon bevestigt;

15. „gekwalificeerd certificaat voor elektronische handtekeningen”: een certificaat voor elektronische handtekeningen, dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage I;

16. „vertrouwensdienst”: een elektronische dienst die gewoonlijk tegen betaling wordt verricht en het onderstaande inhoudt:

a)	het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging en op deze diensten betrekking hebbende certificaten of

b)	het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites, of

c)	het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben;

17. „gekwalificeerde vertrouwensdienst”: een vertrouwensdienst die voldoet aan de toepasselijke eisen zoals vastgelegd in deze verordening;

18. „conformiteitsbeoordelingsinstantie”: een instantie omschreven in artikel 2, punt 13, van Verordening (EG) nr. 765/2008, die in overeenstemming met die verordening geaccrediteerd is om een conformiteitsbeoordeling te verrichten van een gekwalificeerde verlener van vertrouwensdiensten en van de door hem verleende vertrouwensdiensten;

19. „verlener van vertrouwensdiensten”: een natuurlijke persoon of rechtspersoon die een of meer vertrouwensdiensten verleent als een gekwalificeerde of als een niet-gekwalificeerde verlener van vertrouwensdiensten;

20. „gekwalificeerde verlener van vertrouwensdiensten”: een verlener van vertrouwensdiensten die één of meerdere gekwalificeerde vertrouwensdiensten verleent en van het toezichthoudende orgaan de status van gekwalificeerde heeft gekregen;

21. „product”: software of hardware, of relevante componenten van hardware of software, die bedoeld zijn om te worden gebruikt voor de verlening van vertrouwensdiensten;

22. „middel voor het aanmaken van elektronische handtekeningen”: geconfigureerde software of hardware die wordt gebruikt om een elektronische handtekening aan te maken;

23. „gekwalificeerd middel voor het aanmaken van elektronische handtekeningen”: een middel voor het aanmaken van elektronische handtekeningen dat voldoet aan de eisen van bijlage II;

24. „aanmaker van een zegel”: een rechtspersoon die een elektronisch zegel aanmaakt;

25. „elektronisch zegel”: gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die worden gebruikt om de oorsprong en integriteit daarvan te waarborgen;

26. „geavanceerd elektronisch zegel”: een elektronisch zegel dat voldoet aan de eisen in artikel 36;

27. „gekwalificeerd elektronisch zegel”: een geavanceerd elektronisch zegel dat aangemaakt is door een gekwalificeerd middel voor het aanmaken van elektronische zegels en dat gebaseerd is op een gekwalificeerd certificaat voor elektronische zegels;

28. „gegevens voor het aanmaken van elektronische zegels”: unieke gegevens die door de aanmaker van het elektronische zegel worden gebruikt om een elektronisch zegel aan te maken;

29. „certificaat voor elektronische zegels”: een elektronische attestering die valideringsgegevens van elektronische zegels aan een rechtspersoon verbindt en de naam van die rechtspersoon bevestigt;

30. „gekwalificeerd certificaat voor elektronische zegels”: een certificaat voor een elektronische zegel dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage III;

31. „middel voor het aanmaken van elektronische zegels”: geconfigureerde software of hardware die wordt gebruikt om een elektronisch zegel aan te maken;

32. „gekwalificeerd middel voor het aanmaken van elektronische zegels”: een middel voor het aanmaken van elektronische zegels dat mutatis mutandis voldoet aan de eisen van bijlage II;

33. „elektronische tijdstempel”: gegevens in elektronische vorm die andere gegevens in elektronische vorm verbinden aan een bepaald tijdstip en die bewijzen dat die laatstgenoemde gegevens op dat tijdstip bestonden;

34. „gekwalificeerde elektronische tijdstempel”: een elektronische tijdstempel die voldoet aan de in artikel 42 vastgelegde eisen;

35. „elektronisch document”: elke inhoud die is opgeslagen in elektronische vorm, in het bijzonder tekst of geluid, beeld of audiovisuele opname;

36. „dienst voor elektronisch aangetekende bezorging”: een dienst die het mogelijk maakt gegevens via elektronische middelen tussen derden te verzenden en die bewijs verschaft ten aanzien van het hanteren van de verzonden gegevens, met inbegrip van bewijs van het verzenden en ontvangen van de gegevens, en die de verzonden gegevens beschermt tegen het risico van verlies, diefstal, beschadiging of onbevoegde wijzigingen;

37. „gekwalificeerde dienst voor elektronisch aangetekende bezorging”: een dienst voor elektronisch aangetekende bezorging die voldoet aan de in artikel 44 vastgestelde eisen;

38. „certificaat voor websiteauthenticatie”: attestering die het mogelijk maakt de authenticiteit van een website vast te stellen en die de website verbindt aan de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven;

39. „gekwalificeerd certificaat voor websiteauthenticatie”: certificaat voor websiteauthenticatie dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage IV;

40. „valideringsgegevens”: gegevens die worden gebruikt om een elektronische handtekening of elektronisch zegel te valideren;

41. „validering”: proces waarmee wordt nagegaan of en bevestigd dat een elektronische handtekening of een elektronisch zegel geldig is.

Artikel 6

Wederzijdse erkenning

1. Wanneer een elektronische identificatie met gebruikmaking van een elektronisch identificatiemiddel en authenticatie vereist is op grond van nationaal recht of door gangbare bestuursrechtelijke praktijk om toegang te krijgen tot een onlinedienst aangeboden door een openbare instantie in een lidstaat, moet het elektronisch identificatiemiddel dat uitgegeven is in een andere lidstaat worden erkend in de eerste lidstaat ten behoeve van de grensoverschrijdende onlineauthenticatie van die dienst, mits aan de volgende voorwaarden is voldaan:

a)	het elektronisch identificatiemiddel is uitgegeven op grond van een stelsel voor elektronische identificatie dat is opgenomen in de lijst die de Commissie uit hoofde van artikel 9 heeft bekendgemaakt;

het betrouwbaarheidsniveau van het elektronisch identificatiemiddel is gelijk aan of hoger dan het betrouwbaarheidsniveau dat de bevoegde openbare instantie als voorwaarde stelt voor onlinetoegang tot die dienst in de eerste lidstaat, mits het betrouwbaarheidsniveau van dat elektronisch identificatiemiddel in overeenstemming is met het betrouwbaarheidsniveau substantieel of hoog;

c)	de openbare instantie in kwestie gebruikt het betrouwbaarheidsniveau substantieel of hoog voor de toegang tot die onlinedienst.

Die erkenning vindt plaats uiterlijk twaalf maanden nadat de Commissie de lijst als bedoeld in de eerste alinea, onder a), heeft bekendgemaakt.

2. Een elektronisch identificatiemiddel dat is uitgegeven op grond van een stelsel voor elektronische identificatie opgenomen in de lijst die op grond van artikel 9 door de Commissie is gepubliceerd en het betrouwbaarheidsniveau laag heeft, kan door openbare instanties worden erkend ten behoeve van de grensoverschrijdende authenticatie voor de onlinediensten die door die instanties worden geleverd.

Artikel 7

Voorwaarden voor het in aanmerking komen voor de aanmelding van stelsels voor elektronische identificatie

Een stelsel voor elektronische identificatie komt in aanmerking voor aanmelding overeenkomstig artikel 9, lid 1, indien aan alle onderstaande voorwaarden is voldaan:

het elektronische identificatiemiddel dat onder het stelsel voor elektronische identificatie valt wordt uitgegeven:

i)	door de aanmeldende lidstaat;

ii)	op grond van een mandaat van de aanmeldende lidstaat; of

iii)	onafhankelijk van de aanmeldende lidstaat, en wordt door die lidstaat erkend;

b)	de elektronische identificatiemiddelen uit hoofde van het stelsel voor elektronische identificatie kunnen worden gebruikt om toegang te verkrijgen tot ten minste één door een openbare instantie geleverde dienst waarvoor elektronische identificatie vereist is in de aanmeldende lidstaat;

c)	het stelsel voor elektronische identificatie en de uit hoofde ervan uitgegeven elektronische identificatiemiddelen voldoen aan de eisen van op zijn minst één van de betrouwbaarheidsniveaus, opgenomen in de in artikel 8, lid 3, vermelde uitvoeringshandeling;

de aanmeldende lidstaat waarborgt dat de persoonsidentificatiegegevens die de persoon in kwestie op unieke wijze kenmerken op het moment van uitgifte van het elektronische identificatiemiddel op grond van dat stelsel, conform de technische specificaties, normen en procedures voor het respectieve betrouwbaarheidsniveau zoals neergelegd in de uitvoeringshandeling bedoeld in artikel 8, lid 3, worden gekoppeld aan de natuurlijke persoon of rechtspersoon als bedoeld in artikel 3, punt 1;

de partij die het elektronische identificatiemiddel uitgeeft op grond van dat stelsel, zorgt ervoor dat het elektronische identificatiemiddel wordt gekoppeld aan de persoon bedoeld in punt d) van dat artikel, in overeenstemming met de technische specificaties, normen en procedures voor het respectieve betrouwbaarheidsniveau zoals neergelegd in de uitvoeringshandeling bedoeld in artikel 8, lid 3;

de aanmeldende lidstaat zorgt voor de beschikbaarheid van onlineauthenticatie, zodat iedere vertrouwende partij die op het grondgebied van een andere lidstaat gevestigd is, de mogelijkheid heeft de ontvangen persoonsidentificatiegegevens in elektronische vorm te bevestigen.

Voor andere vertrouwende partijen dan openbare instanties mag de aanmeldende lidstaat voorwaarden stellen voor toegang tot die authenticatie. Grensoverschrijdende authenticatie is kosteloos wanneer zij wordt uitgevoerd voor een door een openbare instantie verleende onlinedienst.

De lidstaten leggen geen specifieke onevenredige technische eisen op aan vertrouwende partijen die voornemens zijn een dergelijke authenticatie uit te voeren indien dergelijke eisen de interoperabiliteit van de aangemelde stelsels voor elektronische identificatie tegenhouden of in aanzienlijke mate belemmeren;

ten minste zes maanden voor de aanmelding bedoeld in artikel 9, lid 1, verstrekt de aanmeldende lidstaat met het oog op de verplichting van artikel 12, lid 5, de andere lidstaten een beschrijving van dat stelsel, in overeenstemming met de procedurele voorschriften die zijn vastgesteld bij de in artikel 12, lid 7, bedoelde uitvoeringshandelingen;

h)	het stelsel voor elektronische identificatie voldoet aan de eisen van de uitvoeringshandeling bedoeld in artikel 12, lid 8.

Artikel 8

Betrouwbaarheidsniveaus van stelsels voor elektronische identificatie

1. Een stelsel voor elektronische identificatie dat is aangemeld krachtens artikel 9, lid 1, omschrijft betrouwbaarheidsniveaus laag, substantieel en/of hoog voor op grond van dat stelsel uitgegeven elektronische identificatiemiddelen.

2. De betrouwbaarheidsniveaus laag, substantieel en hoog voldoen respectievelijk aan de volgende criteria:

het betrouwbaarheidsniveau laag betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een beperkte mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen;

het betrouwbaarheidsniveau substantieel betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een substantiële mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen;

het betrouwbaarheidsniveau hoog betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een hogere mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt dan een elektronisch identificatiemiddel met betrouwbaarheidsniveau substantieel, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te voorkomen.

3. Uiterlijk op 18 september 2015, rekening houdend met de geldende internationale normen en behoudens lid 2, stelt de Commissie bij uitvoeringshandeling minimale technische specificaties, normen en procedures vast aan de hand waarvan de betrouwbaarheidsniveaus laag, substantieel en hoog worden bepaald voor de elektronische identificatiemiddelen als bedoeld in lid 1.

Deze minimale technische specificaties, normen en procedures worden vastgesteld onder verwijzing naar de betrouwbaarheid en kwaliteit van de volgende elementen:

a)	de procedure om de identiteit van de natuurlijke of rechtspersoon die om uitgifte van het elektronisch identificatiemiddel verzoekt, te bewijzen en te verifiëren;

b)	de procedure voor de uitgifte van het aangevraagde elektronische identificatiemiddel;

c)	het authenticatiemechanisme, door middel waarvan de natuurlijke of rechtspersoon het elektronische identificatiemiddel gebruikt om zijn identiteit te bevestigen tegenover een vertrouwende partij;

d)	de entiteit die het elektronische identificatiemiddel uitgeeft;

e)	ieder ander orgaan dat betrokken is bij de uitgifte van het elektronische identificatiemiddel en

f)	de technische en veiligheidsspecificaties van het uitgegeven elektronische identificatiemiddel.

Die uitvoeringsbesluiten worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 9

Aanmelding

1. De aanmeldende lidstaat geeft de Commissie onverwijld kennis van de volgende informatie en van eventuele latere wijzigingen daarvan:

a)	een beschrijving van het stelsel voor elektronische identificatie, met inbegrip van de betrouwbaarheidsniveaus daarvan en de uitgever of de uitgevers van elektronische identificatiemiddelen in het kader van het stelsel;

de toepasselijke toezichtregeling en informatie over de aansprakelijkheidsregeling met betrekking tot onderstaande:

i)	de partij die het elektronische identificatiemiddel uitgeeft, en

ii)	de partij die de authenticatieprocedure uitvoert;

c)	de autoriteit of autoriteiten die verantwoordelijk is/zijn voor het stelsel voor elektronische identificatie;

d)	informatie over de entiteit of entiteiten die de registratie van de unieke persoonsidentificatiegegevens beheert/beheren;

e)	een beschrijving van de manier waarop aan de vereisten van de in artikel 12, lid 8, bedoelde uitvoeringshandelingen wordt voldaan;

f)	een beschrijving van de authenticatie bedoeld in artikel 7, onder f);

g)	regelingen voor de opschorting of intrekking van het aangemelde stelsel voor elektronische identificatie of de authenticatie of de delen waarvan de integriteit is geschonden.

2. Eén jaar na de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen maakt de Commissie in het Publicatieblad van de Europese Unie een lijst bekend van de stelsels voor elektronische identificatie die zijn aangemeld overeenkomstig lid 1 van dit artikel alsmede de basisinformatie in verband hiermee.

3. Indien de Commissie een aanmelding ontvangt nadat de periode als bedoeld in lid 2 verstreken is, maakt zij binnen twee maanden na de datum van ontvangst van die aanmelding in het Publicatieblad van de Europese Unie de wijzigingen van de in lid 2 bedoelde lijst bekend.

4. Een lidstaat kan bij de Commissie een verzoek indienen om een door die lidstaat aangemelde stelsel voor elektronische identificatie van de in lid 2 bedoelde lijst te verwijderen. De Commissie zal de desbetreffende wijzigingen binnen een maand na de datum van ontvangst van het verzoek van de lidstaat in het Publicatieblad van de Europese Unie bekendmaken.

5. De Commissie kan door middel van uitvoeringshandelingen de omstandigheden, formaten en procedures voor aanmeldingen in het kader van lid 1 definiëren. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 10

Inbreuk op de beveiliging

1. Wanneer er inbreuk wordt gepleegd op het overeenkomstig artikel 9, lid 1, aangemelde stelsel voor elektronische identificatie of op de in artikel 7, onder f), bedoelde authenticatie of wanneer de integriteit ervan deels wordt geschonden zodat de betrouwbaarheid van de grensoverschrijdende authenticatie van dat stelsel in gevaar komt, moet de aanmeldende lidstaat onverwijld de grensoverschrijdende authenticatie of de delen waarvan de integriteit geschonden is, opschorten of intrekken, en de andere lidstaten en de Commissie hiervan op de hoogte stellen.

2. Wanneer de in lid 1 bedoelde inbreuk of schending hersteld is, herstelt de aanmeldende lidstaat de grensoverschrijdende authenticatie en stelt hij de andere lidstaten en de Commissie daarvan onverwijld op de hoogte.

3. Indien de in lid 1 bedoelde inbreuk of schending niet binnen drie maanden na de opschorting of intrekking is verholpen, stelt de aanmeldende lidstaat de andere lidstaten en de Commissie op de hoogte van de intrekking van het stelsel voor elektronische identificatie.

De Commissie maakt de overeenkomstige wijzigingen aan de in artikel 9, lid 2, bedoelde lijst zonder onnodige vertraging bekend in het Publicatieblad van de Europese Unie.

Artikel 11

Aansprakelijkheid

1. De aanmeldende lidstaat is aansprakelijk voor aan een natuurlijke persoon of rechtspersoon met opzet of door nalatigheid toegebrachte schade die is te wijten aan een verzuim zijn verplichtingen uit hoofde van artikel 7, onder d) en f), in een grensoverschrijdende transactie na te leven.

2. De partij die de elektronische identificatiemiddelen verstrekt, is aansprakelijk voor aan een natuurlijke persoon of rechtspersoon met opzet of door nalatigheid toegebrachte schade die te wijten is aan een verzuim de verplichting bedoeld in artikel 7, onder e), in een grensoverschrijdende transactie na te leven.

3. De partij die de authenticatieprocedure uitvoert, is aansprakelijk voor aan een natuurlijke persoon of een rechtspersoon met opzet of door nalatigheid toegebrachte schade die te wijten is aan een verzuim de verplichting bedoeld in artikel 7, onder f), in een grensoverschrijdende transactie na te leven.

4. De leden 1, 2 en 3 worden toegepast in overeenstemming met de nationale rechtsregels aangaande aansprakelijkheid.

5. De leden 1, 2 en 3 doen niet af aan de aansprakelijkheid uit hoofde van nationale wetgeving van partijen bij een transactie waarin elektronische identificatiemiddelen worden gebruikt die onder het krachtens artikel 9, lid 1, aangemelde stelsel voor elektronische identificatie vallen.

Artikel 44

Eisen voor gekwalificeerde diensten voor elektronisch aangetekende bezorging

1. Gekwalificeerde diensten voor elektronisch aangetekende bezorging voldoen aan de volgende eisen:

a)	zij worden verleend door een of meer gekwalificeerde verleners van vertrouwensdiensten;

b)	zij bevestigen op een hoog vertrouwensniveau de identiteit van de zender;

c)	zij bevestigen de identiteit van de geadresseerde, alvorens de gegevens te bezorgen;

d)	het verzenden en ontvangen van gegevens wordt beveiligd door een geavanceerde elektronische handtekening of een geavanceerd elektronisch zegel van een gekwalificeerde verlener van vertrouwensdiensten, en wel op zodanige wijze dat onmerkbare wijziging van gegevens kan worden uitgesloten;

e)	de verzender en de geadresseerde van de gegevens worden op duidelijke wijze in kennis gesteld van eventuele wijzigingen van de gegevens die nodig zijn voor het verzenden of ontvangen van de gegevens;

f)	de datum en het tijdstip van verzenden, ontvangen en wijzigen van gegevens worden aangegeven met een gekwalificeerd elektronisch tijdstempel.

Wanneer gegevens overgedragen worden tussen twee of meer gekwalificeerde verleners van vertrouwensdiensten, zijn de eisen onder a) tot en met f) van toepassing op alle gekwalificeerde verleners van vertrouwensdiensten.

2. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor normen inzake processen voor het verzenden en ontvangen van gegevens. Indien het proces voor het verzenden en ontvangen van gegevens aan dergelijke normen voldoet, wordt aangenomen dat er overeenstemming is met de in lid 1 vastgestelde eisen. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

AFDELING 8

authenticatie van websites

Artikel 45

Eisen voor gekwalificeerde certificaten voor websiteauthenticatie

1. Gekwalificeerde certificaten voor authenticatie van websites voldoen aan de in bijlage IV vastgestelde eisen.

2. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor normen inzake gekwalificeerde certificaten voor de authenticatie van websites. Indien een gekwalificeerd certificaat voor de authenticatie van websites aan dergelijke normen voldoet, wordt aangenomen dat er overeenstemming is met de in bijlage IV vastgestelde eisen. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

HOOFDSTUK IV

ELEKTRONISCHE DOCUMENTEN

Artikel 52

Inwerkingtreding

1. Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

2. Deze verordening is van toepassing vanaf 1 juli 2016, met uitzondering van onderstaande:

artikel 8, lid 3, artikel 9, lid 5, artikel 12, lid 2 tot en met 9, artikel 17, lid 8, artikel 19, lid 4, artikel 20, lid 4, artikel 21, lid 4, artikel 22, lid 5, artikel 23, lid 3, artikel 24, lid 5, artikel 27, lid 4 en lid 5, artikel 28, lid 6, artikel 29, lid 2, artikel 30, lid 3 en lid 4, artikel 31, lid 3, artikel 32, lid 3, artikel 33, lid 2, artikel 34, lid 2, artikel 37, lid 4 en lid 5, artikel 38, lid 6, artikel 42, lid 2, artikel 44, lid 2, artikel 45, lid 2, en artikelen 47 en 48 zijn van toepassing met ingang van 17 september 2014;

b)	artikel 7, artikel 8, leden 1 en 2, de artikelen 9, 10, 11 en artikel 12, lid 1, zijn van toepassing vanaf de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen;

c)	artikel 6 is van toepassing vanaf drie jaar na de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen.

3. Indien het aangemelde stelsel voor elektronische identificatie voorkomt in de lijst die de Commissie krachtens artikel 9 bekendmaakt, en wel vóór de datum in lid 2, onder c), van dit artikel, wordt het elektronische identificatiemiddel in het kader van dat stelsel krachtens artikel 6 erkend binnen twaalf maanden na de bekendmaking van dat stelsel, maar niet vóór de datum in lid 2, onder c), van dit artikel.

4. Niettegenstaande lid 2, onder c), van dit artikel kan een lidstaat besluiten dat elektronische identificatiemiddelen in het kader van een stelsel voor elektronische identificatie, krachtens artikel 9, lid 1, door een andere lidstaat aangemeld, in de eerste lidstaat worden erkend met ingang van de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen. De betrokken lidstaten stellen de Commissie daarvan in kennis. De Commissie maakt deze informatie openbaar.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel, 23 juli 2014.

Voor het Parlement

De voorzitter

M. SCHULZ

Voor de Raad

De voorzitter

S. GOZI

(1) PB C 351 van 15.11.2012, blz. 73.

(2) Standpunt van het Europees Parlement van 3 april 2014 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 23 juli 2014.

(3) Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (PB L 13 van 19.1.2000, blz. 12).

(4) PB C 50 E van 21.2.2012, blz. 1.

(5) Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt (PB L 376 van 27.12.2006, blz. 36).

(6) Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB L 88 van 4.4.2011, blz. 45).

(7) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31).

(8) Besluit 2010/48/EG van de Raad van 26 november 2009 betreffende de sluiting door de Europese Gemeenschap van het Verdrag van de Verenigde Naties inzake de rechten van personen met een handicap (PB L 23 van 27.1.2010, blz. 35).

(9) Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30).

(10) Beschikking 2009/767/EG van de Commissie van 16 oktober 2009 inzake maatregelen voor een gemakkelijker gebruik van elektronische procedures via het „één-loket” in het kader van Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PB L 274 van 20.10.2009, blz. 36).

(11) Besluit 2011/130/EU van de Commissie van 25 februari 2011 tot vaststelling van minimumvoorschriften voor de grensoverschrijdende verwerking van documenten die door de bevoegde autoriteiten elektronisch zijn ondertekend krachtens Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PB L 53 van 26.2.2011, blz. 66).

(12) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(13) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

(14) PB C 28 van 30.1.2013, blz. 6.

(15) Richtlijn 2014/24/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende het plaatsen van overheidsopdrachten en tot intrekking van Richtlijn 2004/18/EG (PB L 94 van 28.3.2014, blz. 65).

BIJLAGE I

EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR ELEKTRONISCHE HANDTEKENINGEN

Gekwalificeerde certificaten voor elektronische handtekeningen bevatten:

a)	een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat afgegeven is als een gekwalificeerd certificaat voor elektronische handtekeningen;

een reeks gegevens die ondubbelzinnig verwijzen naar de gekwalificeerde verlener van vertrouwensdiensten die de gekwalificeerde certificaten afgeeft, met inbegrip van ten minste de lidstaat waarin de verlener is gevestigd en

—	voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,

—	voor een natuurlijke persoon: de naam van de persoon;

c)	op zijn minst de naam van de ondertekenaar of een pseudoniem; als er een pseudoniem wordt gebruikt, wordt dat duidelijk aangegeven;

d)	gegevens voor de validering van elektronische handtekeningen, die overeenkomen met de gegevens voor het aanmaken van de elektronische handtekening;

e)	informatie over begin en einde van de geldigheidsduur van het certificaat;

f)	de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;

g)	de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;

h)	de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder g) gratis beschikbaar is;

i)	de locatie van de diensten waar informatie kan worden opgevraagd over de geldigheidsstatus van het gekwalificeerde certificaat;

indien de gegevens voor het aanmaken van een elektronische handtekening die gekoppeld zijn aan de gegevens voor de validering van de elektronische handtekening zich bevinden in een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen, een passende vermelding hiervan, ten minste in een vorm die geschikt is voor automatische verwerking.

BIJLAGE II

EISEN VOOR GEKWALIFICEERDE MIDDELEN VOOR HET AANMAKEN VAN ELEKTRONISCHE HANDTEKENINGEN

Gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen waarborgen via passende technieken en procedures dat ten minste:

a)	de vertrouwelijkheid van de gegevens die worden gebruikt om elektronische handtekeningen aan te maken redelijkerwijs gewaarborgd is;

b)	de gegevens voor het aanmaken van elektronische handtekeningen in de praktijk slechts één keer kunnen voorkomen;

c)	de gegevens voor het aanmaken van elektronische handtekeningen met redelijke zekerheid niet kunnen worden afgeleid en dat de elektronische handtekening op betrouwbare wijze beschermd is tegen vervalsing met de thans beschikbare technologie;

d)	de gegevens voor het aanmaken van elektronische handtekeningen door de legitieme ondertekenaar op betrouwbare wijze kunnen worden beschermd tegen gebruik door anderen.

Gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen laten de te ondertekenen gegevens ongewijzigd en beletten niet dat die gegevens vóór ondertekening aan de ondertekenaar worden voorgelegd.

Het genereren of beheren van de gegevens voor het aanmaken van elektronische handtekeningen namens de ondertekenaar kan alleen worden uitgevoerd door een gekwalificeerde verlener van vertrouwensdiensten.

Onverminderd punt 1, onder d), mogen gekwalificeerde verleners van vertrouwensdiensten die namens de ondertekenaar gegevens voor het aanmaken van elektronische handtekeningen beheren, de gegevens voor het aanmaken van elektronische handtekeningen alleen dupliceren voor back-updoeleinden, op voorwaarde dat aan de volgende eisen wordt voldaan:

a)	de beveiliging van de gedupliceerde gegevensverzamelingen moet van hetzelfde niveau zijn als de beveiliging van de originele gegevensverzamelingen;

b)	het aantal gedupliceerde gegevensverzamelingen mag niet hoger zijn dan het minimum dat nodig is om de continuïteit van de dienst te waarborgen.

BIJLAGE III

EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR ELEKTRONISCHE ZEGELS

Gekwalificeerde certificaten voor elektronische zegels bevatten:

a)	een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat is afgegeven als een gekwalificeerd certificaat voor elektronische zegels;

—	voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,

—	voor een natuurlijke persoon: de naam van de persoon;

c)	ten minste de naam van de aanmaker van het zegel en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers;

d)	gegevens voor de validering van elektronische zegels, die overeenkomen met de gegevens voor het aanmaken van elektronische zegels;

e)	informatie over begin en einde van de geldigheidsduur van het certificaat;

f)	de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;

g)	de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;

h)	de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder g) gratis beschikbaar is;

i)	de locatie van de diensten waar informatie kan worden opgevraagd over de geldigheidsstatus van het gekwalificeerde certificaat;

indien de gegevens voor het aanmaken van elektronische zegels die gekoppeld zijn aan de gegevens voor de validering voor elektronische zegels zich bevinden in een gekwalificeerd middel voor het aanmaken van elektronische zegels, een passende vermelding hiervan, ten minste in een vorm die geschikt is voor automatische verwerking.

BIJLAGE IV

EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR WEBSITE-authenticatie

Gekwalificeerde certificaten voor websiteauthenticatie moeten het volgende bevatten:

a)	een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat afgegeven is als een gekwalificeerd certificaat voor websiteauthenticatie;

—	voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,

—	voor een natuurlijke persoon: de naam van de persoon;

voor natuurlijke personen: op zijn minst de naam van de persoon aan wie het certificaat is afgegeven, of een pseudoniem. Indien een pseudoniem wordt gebruikt, wordt dat duidelijk aangegeven;

voor rechtspersonen: ten minste de naam van de rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers;

d)	elementen van het adres, met inbegrip van ten minste de plaats en de staat, van de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, zoals vermeld in de officiële registers;

e)	de domeinnaam/-namen die wordt/worden geëxploiteerd door de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven;

f)	informatie over begin en einde van de geldigheidsduur van het certificaat;

g)	de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;

h)	de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;

i)	de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder h) gratis beschikbaar is;

j)	de locatie van de valideringsstatusdiensten voor certificaten die gebruikt kunnen worden om informatie over de geldigheidsstatus van het gekwalificeerde certificaat te raadplegen.

whereas

(5) In zijn conclusies van 4 februari 2011 en 23 oktober 2011 heeft de Europese Raad de Commissie verzocht tegen 2015 een digitale eengemaakte markt te creëren om snelle vorderingen te maken op sleutelgebieden van de digitale economie en om een volledig geïntegreerde digitale eengemaakte markt te bevorderen door het grensoverschrijdend gebruik van onlinediensten te vergemakkelijken, met bijzondere aandacht voor de facilitering van veilige elektronische identificatie en authenticatie.

- = -

(8) Bij Richtlijn 2006/123/EG van het Europees Parlement en de Raad (5) wordt van de lidstaten vereist dat zij „één-loketten” opzetten zodat alle procedures en formaliteiten betreffende de toegang tot en de uitoefening van een dienstenactiviteit eenvoudig, op afstand en met elektronische middelen, via het juiste één-loket en met de juiste instanties kunnen worden afgewikkeld.
Veel onlinediensten die via één-loketten toegankelijk zijn, vergen elektronische identificatie, authenticatie en een elektronische handtekening.

- = -

(10) In Richtlijn 2011/24/EU van het Europees Parlement en de Raad (6) wordt een netwerk van voor e-gezondheid verantwoordelijke nationale autoriteiten opgezet.
Om de veiligheid en de continuïteit van grensoverschrijdende gezondheidszorg te verbeteren, moet het netwerk richtsnoeren opstellen voor de grensoverschrijdende toegang tot elektronische gezondheidsgegevens en -diensten, ook door het ondersteunen van „gemeenschappelijke identificatie- en authenticatiemaatregelen, teneinde de overdraagbaarheid van gegevens bij grensoverschrijdende gezondheidszorg te bevorderen”.
De wederzijdse erkenning van elektronische identificatie en authenticatie is essentieel om voor de Europese burger grensoverschrijdende gezondheidszorg realiteit te maken.
Wanneer mensen voor een behandeling naar het buitenland reizen, moeten hun medische gegevens in het land van behandeling toegankelijk zijn.
Dat vergt een degelijk, veilig en betrouwbaar kader voor elektronische identificatie.

- = -

(11) Deze verordening dient te worden toegepast in volledige overeenstemming met de beginselen inzake de bescherming van persoonsgegevens overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad (7).
In dit verband en met inachtneming van het bij deze verordening vastgelegde beginsel inzake wederzijdse erkenning, mag authenticatie voor een onlinedienst alleen betrekking hebben op de verwerking van die identificatiegegevens die toereikend, ter zake dienend en niet bovenmatig zijn om toegang tot die onlinedienst te verlenen.
Voorts moeten de in Richtlijn 95/46/EG gestelde eisen inzake vertrouwelijkheid en beveiliging van de verwerking worden geëerbiedigd door de verleners van vertrouwensdiensten en het toezichthoudend orgaan.

- = -

(12) Een van de doelstellingen van deze verordening is het wegnemen van bestaande belemmeringen voor het grensoverschrijdende gebruik van elektronische identificatiemiddelen die in de lidstaten worden gebruikt om daarmee ten minste ten behoeve van publieke diensten te authenticeren.
Deze verordening heeft niet tot doel systemen voor elektronisch identiteitsbeheer en bijbehorende infrastructuren in de lidstaten te beïnvloeden.
Het doel van deze verordening is te waarborgen dat veilige elektronische identificatie en authenticatie voor de toegang tot grensoverschrijdende onlinediensten van de lidstaten mogelijk is.

- = -

(14) In deze verordening moet een aantal voorwaarden worden vastgesteld om te bepalen welke elektronische identificatiemiddelen moeten worden erkend en hoe de stelsels voor elektronische identificatie moeten worden aangemeld.
Deze voorwaarden moeten de lidstaten helpen het noodzakelijke vertrouwen in elkaars stelsels voor elektronische identificatie op te bouwen en elektronische identificatiemiddelen die onder hun aangemelde stelsels vallen, wederzijds te erkennen.
Het beginsel van wederzijdse erkenning moet worden toegepast als het stelsel voor elektronische identificatie van de aanmeldende lidstaat voldoet aan de voorwaarden voor aanmelding en de aanmelding is bekendgemaakt in het Publicatieblad van de Europese Unie.
Het beginsel van wederzijdse erkenning dient echter alleen op authenticatie voor een onlinedienst betrekking te hebben.
De toegang tot deze onlinediensten en de daadwerkelijke verlening ervan aan de aanvrager moeten nauw verbonden zijn aan het recht om dergelijke diensten af te nemen onder de in de nationale wetgeving gestelde voorwaarden.

- = -

(16) Het betrouwbaarheidsniveau moet de mate van vertrouwen weergeven die in een elektronisch identificatiemiddel kan worden gesteld voor het vaststellen van de identiteit van een persoon, en moet zodoende zekerheid geven dat de persoon die beweert een bepaalde identiteit te hebben ook daadwerkelijk degene is aan wie deze identiteit is toegekend.
Het betrouwbaarheidsniveau hangt af van de mate van vertrouwen die elektronische identificatiemiddelen bieden voor de opgegeven of beweerde identiteit van een persoon, rekening houdend met processen (bijvoorbeeld het bewijzen van de identiteit,verificatie, en authenticatie), beheersactiviteiten (bijvoorbeeld de entiteit die elektronische identificatiemiddelen uitgeeft en de procedure voor uitgifte van dergelijke middelen) en geïmplementeerde technische beheersmaatregelen.
Diverse technische definities en beschrijvingen van betrouwbaarheidsniveaus danken hun bestaan aan door de Unie gefinancierde Grootschalige Proefprojecten, standaardisering en internationale activiteiten.
In het bijzonder refereren het Grootschalige Proefproject STORK en ISO 29115 aan, onder meer, de niveaus 2, 3 en 4, met welke niveaus ten zeerste rekening moet worden gehouden bij het vaststellen van minimale technische vereisten, standaarden en procedures voor de betrouwbaarheidsniveaus laag, substantieel en hoog in de zin van deze verordening, terwijl gezorgd moet worden voor een consequente toepassing van deze verordening, met name wat betreft betrouwbaarheidniveau hoog voor het bewijzen van de identiteit voor het afgeven van gekwalificeerde certificaten.
De vereisten moeten technologieneutraal zijn.
Het moet mogelijk zijn aan de noodzakelijke veiligheidsvereisten te voldoen door middel van verschillende technologieën.

- = -

(17) De lidstaten dienen de private sector aan te moedigen vrijwillig gebruik te maken van elektronische identificatiemiddelen die onder een aangemeld stelsel vallen, indien identificatie bij onlinediensten of elektronische transacties nodig is.
De mogelijkheid om zulke elektronische identificatiemiddelen te gebruiken stelt de particuliere sector in staat gebruik te maken van elektronische identificatie en authenticatie, waar in diverse lidstaten in ieder geval voor publieke diensten reeds vaak gebruik van gemaakt wordt, en maakt het voor bedrijven en burgers gemakkelijker om grensoverschrijdende toegang te krijgen tot hun onlinediensten.
Om het gebruik van dergelijke elektronische identificatiemiddelen door de private sector over de grenzen heen te vergemakkelijken, moet de mogelijkheid tot authenticatie die elke lidstaat biedt, beschikbaar zijn voor buiten het grondgebied van die lidstaat gevestigde vertrouwende partijen uit de private sector, en wel onder dezelfde voorwaarden als in die lidstaat gevestigde vertrouwende partijen.
Bijgevolg mag de aanmeldende lidstaat ten aanzien van vertrouwende partijen uit de private sector voorwaarden voor toegang tot de authenticatiemiddelen bepalen.
Die voorwaarden voor toegang kunnen vermelden of de authenticatiemiddelen voor het aangemelde stelsel voor elektronische identificatie op dat moment beschikbaar zijn voor vertrouwende partijen uit de private sector.

- = -

(18) Deze verordening dient te voorzien in de aansprakelijkheid van de aanmeldende lidstaat, de partij die de elektronische identificatiemiddelen verstrekt en de partij die de authenticatieprocedure uitvoert, wanneer zij niet voldoen aan de verplichtingen ter zake in deze verordening.
Deze verordening moet echter worden uitgevoerd volgens de nationale voorschriften inzake aansprakelijkheid.
De verordening beïnvloedt derhalve niet deze nationale voorschriften inzake, bijvoorbeeld, de definitie van schade of het bepalen van de toepasselijke procedureregels, waaronder inzake de bewijslast.

- = -

(65) Behalve voor de authenticatie van het door de rechtspersoon afgegeven document, kunnen elektronische zegels worden gebruikt voor de authenticatie van alle digitale activa van de rechtspersoon, zoals softwarecode of servers.

- = -

(67) Diensten voor authenticatie van websites vormen een middel waarmee websitebezoekers er zeker van kunnen zijn dat het om de website van een werkelijk bestaande, legitieme entiteit gaat.
Die diensten dragen bij tot toenemend vertrouwen in online zaken doen, aangezien een geauthentiseerde website het vertrouwen van de gebruikers zal genieten.
Het verlenen en gebruikmaken van diensten voor authenticatie van websites gebeurt volledig op vrijwillige basis.
Echter, om van authenticatie van websites een middel te maken om het vertrouwen te bevorderen, de gebruikers betere ervaringen te bezorgen en de groei in de interne markt te bevorderen, moet deze verordening evenwel voorzien in minimumverplichtingen inzake veiligheid en aansprakelijkheid voor dienstverleners en voor de door hen verleende diensten.
Daartoe is rekening gehouden met de resultaten van bestaande initiatieven van de sector, zoals Certification Authorities/Browsers Forum — CA/B Forum.
Daarnaast dient deze verordening geen beletsel te vormen voor het gebruik van andere, niet onder deze verordening vallende middelen of methoden voor authenticatie van een website, noch te voorkomen dat verleners van diensten voor websiteauthenticatie uit derde landen hun diensten aanbieden aan afnemers in de Unie.
Door dienstverleners uit derde landen aangeboden diensten voor authenticatie van websites dienen evenwel enkel te worden erkend als overeenkomstig deze verordening gekwalificeerde diensten als de Unie en het vestigingsland van de dienverlener een internationale overeenkomst hebben gesloten.

- = -

keyboard_tab EIDAS 2014/0910 NL

EIDAS 2014/0910 NL