EIDAS 2014/0910 NL

1. Gekwalificeerde en niet gekwalificeerde verleners van vertrouwensdiensten treffen passende technische en organisatorische maatregelen om de risico’s te beheren in verband met de veiligheid van de door hen verleende vertrouwensdiensten. Deze maatregelen waarborgen, rekening houdend met de meest recente technologische ontwikkelingen, een veiligheidsniveau dat in verhouding staat tot de mate van risico. In het bijzonder worden maatregelen getroffen om de gevolgen van veiligheidsincidenten te voorkomen en tot een minimum te beperken alsmede om belanghebbenden op de hoogte te stellen van de negatieve gevolgen van dergelijke incidenten.

2. Gekwalificeerde en niet gekwalificeerde verleners van vertrouwensdiensten stellen, zonder onnodige vertragingen maar in ieder geval binnen 24 uur nadat zij hiervan op de hoogte zijn geraakt, het toezichthoudende orgaan, en, waar passend, andere relevante organen zoals het bevoegde nationale orgaan voor informatieveiligheid of de gegevensbeschermingsautoriteit op de hoogte van iedere veiligheidsinbreuk of ieder integriteitsverlies met aanzienlijke gevolgen voor de verleende vertrouwensdienst of voor de persoonsgegevens die daarmee worden beheerd.

Indien de veiligheidsinbreuk of het integriteitsverlies naar verwachting negatieve gevolgen zal hebben voor een natuurlijke persoon of een rechtspersoon aan wie een vertrouwensdienst is verleend, stelt de verlener van de vertrouwensdienst ook de natuurlijke persoon of de rechtspersoon onmiddellijk in kennis van de veiligheidsinbreuk of het integriteitsverlies.

Indien van toepassing, in het bijzonder indien een veiligheidsinbreuk of integriteitsverlies twee of meer lidstaten treft, stelt het op de hoogte gestelde toezichthoudende orgaan de toezichthoudende organen in andere betrokken lidstaten en Enisa op de hoogte.

Het op de hoogte gestelde toezichthoudende orgaan informeert het publiek, of eist dat de verlener van vertrouwensdiensten dat doet, indien het van oordeel is dat bekendmaking van de veiligheidsinbreuk of het integriteitsverlies in het algemene belang is.

3. Het toezichthoudende orgaan bezorgt het Enisa eenmaal per jaar een samenvatting van meldingen van inbreuken op beveiliging en integriteitsverlies die zijn ontvangen van verleners van vertrouwensdiensten.

4. De Commissie kan middels uitvoeringshandelingen:

a)	de in lid 1 bedoelde maatregelen nader specificeren, en

b)	de formaten en procedures, met inbegrip van termijnen, definiëren die van toepassing zijn voor de doeleinden van lid 2.

Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

AFDELING 3

Vertrouwensdiensten

Artikel 24

Eisen aan gekwalificeerde verleners van vertrouwensdiensten

1. Wanneer een gekwalificeerde verlener van vertrouwensdiensten een gekwalificeerd certificaat voor een vertrouwensdienst afgeeft, moet hij met daartoe geschikte middelen en overeenkomstig de nationale wetgeving de identiteit en in voorkomend geval de specifieke attributen verifiëren van de natuurlijke persoon of de rechtspersoon aan wie het gekwalificeerde certificaat wordt afgegeven.

De in de eerste alinea bedoelde informatie wordt door de gekwalificeerde verlener van vertrouwensdiensten geverifieerd, hetzij rechtstreeks, hetzij door een beroep te doen op een derde partij, overeenkomstig de nationale wetgeving:

a)	door de fysieke aanwezigheid van de natuurlijke persoon of een gemachtigde afgevaardigde van de rechtspersoon, of

op afstand, door middel van elektronische identificatiemiddelen, waarbij voorafgaand aan de afgifte van het gekwalificeerd certificaat de fysieke aanwezigheid van de natuurlijke persoon of de gemachtigde afgevaardigde van de rechtspersoon werd gewaarborgd, en die voldoen aan de vereisten van artikel 8 wat betreft de betrouwbaarheidsniveaus „substantieel” of „hoog”, of

c)	door middel van een certificaat van een gekwalificeerde elektronische handtekening of van een gekwalificeerd elektronisch zegel afgegeven overeenkomstig punt a) of b), of

d)	door middel van andere op nationaal niveau erkende identificatiemethoden die een mate van betrouwbaarheid verschaffen die gelijkwaardig is als fysieke aanwezigheid. Dat gelijkwaardige betrouwbaarheidsniveau wordt bevestigd door een conformiteitsbeoordelingsinstantie.

2. Een gekwalificeerde verlener van vertrouwensdiensten die gekwalificeerde vertrouwensdiensten verleent:

a)	stelt het toezichthoudende orgaan in kennis van veranderingen in de verlening van gekwalificeerde vertrouwensdiensten en een intentie om deze activiteiten te staken;

neemt personeelsleden, en, waar van toepassing, onderaannemers in dienst die over de noodzakelijke deskundigheid, betrouwbaarheid, ervaring, en kwalificaties beschikken, en die een passende opleiding hebben genoten met betrekking tot regels inzake beveiliging en bescherming van persoonsgegevens, en past administratieve en managementprocedures toe die voldoen aan Europese of internationale normen;

c)	zorgt ervoor dat hij, in verband met het risico op de in artikel 13 bedoelde aansprakelijkheid voor schade, voldoende financiële middelen ter beschikking heeft en/of sluit, overeenkomstig het nationale recht, een toereikende aansprakelijkheidsverzekering af;

verstrekt aan personen die gebruik wensen te maken van een gekwalificeerde vertrouwensdienst duidelijke en volledige informatie over de precieze voorwaarden betreffende het gebruik van die dienst, met inbegrip van eventuele beperkingen op het gebruik ervan, alvorens een contractuele verbintenis aan te gaan;

e)	maakt gebruik van betrouwbare systemen en producten die beschermd zijn tegen wijziging en die de technische veiligheid en betrouwbaarheid waarborgen van de processen die zij ondersteunen;

maakt gebruik van betrouwbare systemen voor de opslag van aan hem verstrekte gegevens in verifieerbare vorm, zodat:

i)	de gegevens uitsluitend publiek beschikbaar zijn indien de persoon op wie de gegevens betrekking hebben, hiervoor toestemming heeft gegeven,

ii)	alleen bevoegde personen de opgeslagen gegevens kunnen invoeren en wijzigen,

iii)	de authenticiteit van de gegevens kan worden gecontroleerd;

g)	neemt passende maatregelen tegen vervalsing en diefstal van gegevens;

legt gedurende een passende periode, ook nadat de gekwalificeerde verlener van vertrouwensdiensten zijn activiteiten heeft gestaakt, alle relevante informatie vast met betrekking tot de gegevens die de gekwalificeerde verlener van vertrouwensdiensten heeft afgegeven en ontvangen, en houdt deze informatie toegankelijk, met name om ten behoeve van gerechtelijke procedures bewijzen te kunnen leveren en om de continuïteit van de dienst te waarborgen. Dit vastleggen mag elektronisch plaatsvinden;

i)	heeft een geactualiseerd beëindigingsplan om de continuïteit van de dienst te verzekeren in overeenstemming met de door het toezichthoudende orgaan op grond van artikel 17, lid 4, onder i), geverifieerde bepalingen;

j)	zorgt voor wettelijke verwerking van persoonsgegevens in overeenstemming met Richtlijn 95/46/EG;

k)	legt, indien het gaat om gekwalificeerde verleners van vertrouwensdiensten die gekwalificeerde certificaten afgeven, een certificatendatabank aan en houdt deze actueel.

3. Indien een gekwalificeerde verlener van vertrouwensdiensten die gekwalificeerde certificaten afgeeft, beslist een certificaat in te trekken, dan registreert hij deze intrekking in zijn certificatendatabank en maakt hij de ingetrokken status van het certificaat tijdig, en in elk geval binnen 24 uur na ontvangst van het verzoek, bekend. De intrekking wordt onmiddellijk na de bekendmaking ervan van kracht.

4. Wat lid 3 betreft, verstrekken gekwalificeerde verleners van vertrouwensdiensten die gekwalificeerde certificaten afgeven, aan elke vertrouwende partij informatie over de geldigheid of ingetrokken status van door hen afgegeven gekwalificeerde certificaten. Deze informatie is op elk moment, en ook na de geldigheidsduur van het certificaat, in ieder geval per certificaat beschikbaar in een geautomatiseerde vorm die betrouwbaar, kosteloos en efficiënt is.

5. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor normen inzake betrouwbare systemen en producten, die voldoen aan de vereisten uit hoofde van lid 2, onder e) en f). Indien betrouwbare systemen en producten aan dergelijke normen voldoen, wordt aangenomen dat er overeenstemming is met de in dit artikel bepaalde eisen. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

AFDELING 4

Elektronische handtekeningen

Artikel 28

Gekwalificeerde certificaten voor elektronische handtekeningen

1. Gekwalificeerde certificaten voor elektronische handtekeningen voldoen aan de in bijlage I vastgestelde eisen.

2. Voor gekwalificeerde certificaten voor elektronische handtekeningen gelden geen dwingende eisen die strenger zijn dan de in bijlage I vastgestelde eisen.

3. Gekwalificeerde certificaten voor elektronische handtekeningen kunnen facultatieve aanvullende specifieke attributen hebben. Die attributen hebben geen invloed op de interoperabiliteit en de erkenning van gekwalificeerde elektronische handtekeningen.

4. Indien een gekwalificeerd certificaat voor elektronische handtekeningen na initiële activering wordt ingetrokken, verliest het zijn geldigheid vanaf het moment van de intrekking en kan de status ervan in geen geval worden hersteld.

5. Behoudens de hierna volgende voorwaarden kunnen lidstaten nationale regels vaststellen inzake de tijdelijke schorsing van een gekwalificeerd certificaat voor elektronische handtekeningen:

a)	indien een gekwalificeerd certificaat voor elektronische handtekeningen tijdelijk is geschorst, verliest dit certificaat gedurende de periode van de schorsing zijn geldigheid;

b)	de periode van schorsing wordt duidelijk aangegeven in de certificatendatabank en de schorsingsstatus is, gedurende de schorsingsperiode, zichtbaar vanuit de dienst die informatie over de status van het certificaat geeft.

6. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor normen inzake gekwalificeerde certificaten voor elektronische handtekeningen. Indien een gekwalificeerd certificaat voor elektronische handtekeningen aan dergelijke normen voldoet, wordt aangenomen dat er overeenstemming is met de in bijlage I vastgestelde eisen. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

Artikel 38

Gekwalificeerde certificaten voor elektronische zegels

1. Gekwalificeerde certificaten voor elektronische zegels voldoen aan de in bijlage III vastgestelde eisen.

2. Voor gekwalificeerde certificaten voor elektronische zegels gelden geen dwingende eisen die strenger zijn dan de in bijlage III vastgestelde eisen.

3. Gekwalificeerde certificaten voor elektronische zegels kunnen facultatieve aanvullende specifieke attributen hebben. Die attributen hebben geen invloed op de interoperabiliteit en de erkenning van gekwalificeerde elektronische zegels.

4. Indien een gekwalificeerd certificaat voor elektronische zegels na initiële activering wordt ingetrokken, verliest het zijn geldigheid vanaf het moment van de intrekking en kan de status ervan in geen geval worden hersteld.

5. Behoudens de hierna volgende voorwaarden kunnen lidstaten nationale regels vaststellen inzake de tijdelijke schorsing van gekwalificeerde certificaten voor elektronische zegels:

a)	indien een gekwalificeerd certificaat voor elektronische zegels tijdelijk is geschorst, verliest dit certificaat gedurende de periode van de schorsing zijn geldigheid;

b)	de periode van schorsing wordt duidelijk aangegeven in de certificatendatabank en de schorsingsstatus is, gedurende de schorsingsperiode, zichtbaar vanuit de dienst die informatie geeft over de status van het certificaat.

6. De Commissie kan door middel van uitvoeringshandelingen referentienummers opstellen voor normen inzake gekwalificeerde certificaten voor elektronische zegels. Indien een gekwalificeerd certificaat voor elektronisch zegels aan dergelijke normen voldoet, wordt aangenomen dat er overeenstemming is met de in bijlage III vastgestelde eisen. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 49

Evaluatie

De Commissie evalueert de toepassing van deze verordening en brengt daarover uiterlijk op 1 juli 2020 verslag uit bij het Europees Parlement en de Raad. De Commissie evalueert met name of het gepast is het toepassingsgebied van deze verordening dan wel de specifieke bepalingen ervan, met inbegrip van artikel 6, artikel 7, onder f), en de artikelen 34, 43, 44 en 45 te wijzigen, rekening houdend met de ervaring met de toepassing van deze verordening, alsook met technologische, marktgebonden en juridische ontwikkelingen.

Het in de eerste alinea bedoelde verslag gaat, in voorkomend geval, vergezeld van wetgevingsvoorstellen.

Daarnaast dient de Commissie elke vier jaar na het in de eerste alinea bedoelde verslag een verslag over de vooruitgang bij de verwezenlijking van de doelstellingen van deze verordening in bij het Europees Parlement en de Raad.

whereas

(9) In de meeste gevallen kunnen burgers hun elektronische identificatie niet gebruiken om zich te authenticeren in een andere lidstaat omdat de nationale stelsels voor elektronische identificatie van hun land niet erkend worden in andere lidstaten.
Door deze elektronische belemmering kunnen dienstverleners de voordelen van de interne markt niet ten volle benutten.
Wederzijds erkende elektronische identificatiemiddelen zullen het grensoverschrijdend verlenen van talrijke diensten op de interne markt faciliteren en bedrijven in staat stellen op een grensoverschrijdende basis activiteiten te ondernemen zonder daarbij veel belemmeringen te ondervinden in hun contacten met overheidsinstanties.

- = -

(17) De lidstaten dienen de private sector aan te moedigen vrijwillig gebruik te maken van elektronische identificatiemiddelen die onder een aangemeld stelsel vallen, indien identificatie bij onlinediensten of elektronische transacties nodig is.
De mogelijkheid om zulke elektronische identificatiemiddelen te gebruiken stelt de particuliere sector in staat gebruik te maken van elektronische identificatie en authenticatie, waar in diverse lidstaten in ieder geval voor publieke diensten reeds vaak gebruik van gemaakt wordt, en maakt het voor bedrijven en burgers gemakkelijker om grensoverschrijdende toegang te krijgen tot hun onlinediensten.
Om het gebruik van dergelijke elektronische identificatiemiddelen door de private sector over de grenzen heen te vergemakkelijken, moet de mogelijkheid tot authenticatie die elke lidstaat biedt, beschikbaar zijn voor buiten het grondgebied van die lidstaat gevestigde vertrouwende partijen uit de private sector, en wel onder dezelfde voorwaarden als in die lidstaat gevestigde vertrouwende partijen.
Bijgevolg mag de aanmeldende lidstaat ten aanzien van vertrouwende partijen uit de private sector voorwaarden voor toegang tot de authenticatiemiddelen bepalen.
Die voorwaarden voor toegang kunnen vermelden of de authenticatiemiddelen voor het aangemelde stelsel voor elektronische identificatie op dat moment beschikbaar zijn voor vertrouwende partijen uit de private sector.

- = -

(19) De veiligheid van stelsels voor elektronische identificatie is van cruciaal belang voor een betrouwbare grensoverschrijdende wederzijdse erkenning van elektronische identificatiemiddelen.
In dit verband moeten de lidstaten samenwerken op het gebied van de veiligheid en interoperabiliteit van de stelsels voor elektronische identificatie op Unieniveau.
Wanneer in stelsels voor elektronische identificatie wordt geëist dat de vertrouwende partijen specifieke hardware of software gebruiken op nationaal niveau, dan wordt de betrokken lidstaten in het kader van de grensoverschrijdende interoperabiliteit verzocht dergelijke vereisten en daarmee verband houdende kosten niet op te leggen aan vertrouwende partijen die buiten hun grondgebied gevestigd zijn.
In dat geval moeten binnen de grenzen van het interoperabiliteitskader passende oplossingen worden besproken en ontwikkeld.
Niettemin zijn technische vereisten die voortvloeien uit de inherente specificaties van nationale elektronische identificatiemiddelen en die waarschijnlijk gevolgen zullen hebben voor de houders van dergelijke elektronische middelen (bv.
smartcards), onvermijdelijk.

- = -

(38) Het is van essentieel belang dat inbreuken op de veiligheid en beoordelingen van de veiligheidsrisico’s worden gemeld zodat in het geval van een inbreuk of verlies van integriteit de juiste informatie aan de betrokken partijen kan worden verstrekt.

- = -

(41) Om de duurzaamheid van gekwalificeerde vertrouwensdiensten te waarborgen en het vertrouwen van de gebruikers in de continuïteit van gekwalificeerde vertrouwensdiensten te stimuleren, moeten de toezichthoudende organen, voor het geval dat gekwalificeerde verleners van vertrouwensdiensten hun activiteiten beëindigen, nagaan of er maatregelen betreffende beëindigingsplannen bestaan en of die correct worden toegepast.

- = -

(44) Deze verordening heeft tot doel te zorgen voor een samenhangend kader dat met betrekking tot vertrouwensdiensten in een hoog niveau van veiligheid en rechtszekerheid voorziet.
In dit verband moet de Commissie, met betrekking tot de conformiteitsbeoordeling van producten en diensten, in voorkomend geval streven naar synergie met bestaande toepasselijke Europese en internationale systemen zoals Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (9) waarin de eisen inzake accreditatie van conformiteitsbeoordelingsorganen en markttoezicht op producten worden opgesomd.

- = -

(48) Hoewel een hoog beveiligingsniveau nodig is om de wederzijdse erkenning van elektronische handtekeningen te waarborgen, moeten in specifieke gevallen, zoals in het kader van Beschikking 2009/767/EG van de Commissie (10), elektronische handtekeningen met een lagere veiligheidsgarantie ook aanvaard worden.

- = -

(53) De schorsing van gekwalificeerde certificaten is een ingeburgerde operationele praktijk van verleners van vertrouwensdiensten in een aantal lidstaten en heeft het tijdelijk verlies van geldigheid van een certificaat tot gevolg, hetgeen is te onderscheiden van de intrekking van certificaten.
Ten behoeve van de rechtszekerheid moet de geschorste status van een certificaat steeds duidelijk worden aangegeven.
Daarom moeten verleners van vertrouwensdiensten de verantwoordelijkheid hebben om de status van het certificaat en, in geval van schorsing, de precieze tijdsduur van de schorsing, duidelijk aan te geven.
Deze verordening dient het gebruik van schorsing niet aan de lidstaten of aan de verleners van vertrouwensdiensten op te leggen; de verordening dient evenwel te voorzien in transparantieregels in de gevallen waarin die praktijk gangbaar is.

- = -

(61) Deze verordening moet ervoor zorgen dat informatie langdurig bewaard blijft teneinde zeker te stellen dat elektronische handtekeningen en elektronische zegels gedurende lange tijd rechtsgeldig blijven en te garanderen dat zij gevalideerd kunnen worden ongeacht toekomstige technologische veranderingen.

- = -

keyboard_tab EIDAS 2014/0910 NL

EIDAS 2014/0910 NL