keyboard_tab EIDAS 2014/0910 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Artikel 10 Inbreuk op de beveiliging
- 2 Artikel 17 Toezichthoudend orgaan
- 6 Artikel 19 Veiligheidseisen die van toepassing zijn op verleners van vertrouwensdiensten
- 2 Artikel 20 Toezicht op gekwalificeerde verleners van vertrouwensdiensten
- 1 Artikel 21 Aanvang voor het aanbieden van een gekwalificeerde vertrouwensdienst
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
ELEKTRONISCHE IDENTIFICATIE
HOOFDSTUK III
VERTROUWENSDIENSTEN
AFDELING 1
Algemene bepalingen
AFDELING 2
Toezicht
AFDELING 3
Vertrouwensdiensten
AFDELING 4
Elektronische handtekeningen
AFDELING 5
Elektronische zegels
AFDELING 6
Elektronisch tijdstempel
AFDELING 7
Diensten voor elektronisch aangetekende bezorging
AFDELING 8
Authenticatie van websites
HOOFDSTUK IV
ELEKTRONISCHE DOCUMENTEN
HOOFDSTUK V
BEVOEGDHEIDSDELEGATIES EN UITVOERINGSBEPALINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- vertrouwensdiensten 42
- orgaan 30
- gekwalificeerde 29
- artikel 26
- verleners 23
- deze 21
- voor 20
- toezichthoudend 19
- door 19
- zijn 18
- bedoelde 17
- hoogte 14
- toezichthoudende 13
- worden 12
- overeenkomstig 12
- commissie 12
- indien 12
- verlener 11
- status 9
- andere 9
- verleende 9
- de 9
- lidstaten 9
- niet 8
- lidstaat 8
- organen 7
- uitvoeringshandelingen 7
- eisen 7
- stelt 7
- verordening 7
- integriteitsverlies 7
- binnen 6
- bijzonder 6
- middel 5
- gevolgen 5
- inbreuk 5
- over 5
- veiligheidsinbreuk 5
- vertrouwensdienst 5
- vastgestelde 4
- overeenstemming 4
- bedoeld 4
- vastgesteld 4
- onderzoeksprocedure 4
- voldoen 4
- toepassing 4
- gekwalificeerde 4
- maanden 4
- gevestigd 4
- drie 4
Artikel 10
Inbreuk op de beveiliging
1. Wanneer er inbreuk wordt gepleegd op het overeenkomstig artikel 9, lid 1, aangemelde stelsel voor elektronische identificatie of op de in artikel 7, onder f), bedoelde authenticatie of wanneer de integriteit ervan deels wordt geschonden zodat de betrouwbaarheid van de grensoverschrijdende authenticatie van dat stelsel in gevaar komt, moet de aanmeldende lidstaat onverwijld de grensoverschrijdende authenticatie of de delen waarvan de integriteit geschonden is, opschorten of intrekken, en de andere lidstaten en de Commissie hiervan op de hoogte stellen.
2. Wanneer de in lid 1 bedoelde inbreuk of schending hersteld is, herstelt de aanmeldende lidstaat de grensoverschrijdende authenticatie en stelt hij de andere lidstaten en de Commissie daarvan onverwijld op de hoogte.
3. Indien de in lid 1 bedoelde inbreuk of schending niet binnen drie maanden na de opschorting of intrekking is verholpen, stelt de aanmeldende lidstaat de andere lidstaten en de Commissie op de hoogte van de intrekking van het stelsel voor elektronische identificatie.
De Commissie maakt de overeenkomstige wijzigingen aan de in artikel 9, lid 2, bedoelde lijst zonder onnodige vertraging bekend in het Publicatieblad van de Europese Unie.
Artikel 17
Toezichthoudend orgaan
1. De lidstaten wijzen een toezichthoudend orgaan aan dat gevestigd is op hun grondgebied of, in overeenstemming met een andere lidstaat, een in die andere lidstaat gevestigd toezichthoudend orgaan. Dat orgaanis verantwoordelijk voor toezichthoudende taken in de aanwijzende lidstaat.
Toezichthoudende organen krijgen de noodzakelijke bevoegdheden en toereikende middelen voor de uitvoering van hun opdrachten.
2. De lidstaten delen de Commissie de namen en adressen mee van de door hen aangewezen toezichthoudende organen.
3. De rol van het toezichthoudend orgaan is:
| a) | toezicht te houden op gekwalificeerde verleners van vertrouwensdiensten die gevestigd zijn in de aanwijzende lidstaat om door middel van toezichthoudende activiteiten vooraf en achteraf te waarborgen dat deze gekwalificeerde verleners van vertrouwensdiensten en de door hen verleende gekwalificeerde vertrouwensdiensten voldoen aan de eisen in deze verordening; |
| b) | indien nodig tegen niet-gekwalificeerde verleners van vertrouwensdiensten die gevestigd zijn in de aanwijzende lidstaat op te treden door middel van toezichthoudende activiteiten achteraf, wanneer het orgaan verneemt dat deze niet-gekwalificeerde verleners van vertrouwensdiensten of de door hen verleende vertrouwensdiensten niet zouden voldoen aan de vereisten van deze verordening. |
4. Met het oog op de doeleinden van lid 3 en behoudens de aldaar aangegeven beperkingen bestaan de taken van het toezichthoudend orgaan in het bijzonder in:
| a) | samenwerking met andere toezichthoudende organen en bijstandsverlening aan deze organen overeenkomstig artikel 18; |
| b) | analyse van de conformiteitsbeoordelingsverslagen bedoeld in artikel 20, lid 1, en artikel 21, lid 1; |
| c) | andere toezichthoudende organen en het publiek overeenkomstig artikel 19, lid 2, op de hoogte brengen van veiligheidsinbreuken of integriteitsverlies; |
| d) | aan de Commissie verslag uitbrengen over zijn hoofdactiviteiten, overeenkomstig lid 6; |
| e) | audits uitvoeren of een conformiteitsbeoordelingsinstantie verzoeken een conformiteitsbeoordeling te doen van de gekwalificeerde verleners van vertrouwensdiensten overeenkomstig artikel 20, lid 2; |
| f) | samenwerken met de gegevensbeschermingsinstanties en in het bijzonder deze instanties zonder onnodige vertraging informeren over de resultaten van de audits van gekwalificeerde verleners van vertrouwensdiensten indien er aanwijzingen zijn dat er regels inzake bescherming van persoonsgegevens zijn overtreden; |
| g) | de status van gekwalificeerde toekennen aan verleners van vertrouwensdiensten en aan de door hen verleende diensten, en deze status intrekken, overeenkomstig de artikelen 20 en 21; |
| h) | het voor de nationale vertrouwenslijst verantwoordelijke orgaan, bedoeld in artikel 22, lid 3, op de hoogte brengen van zijn besluiten om de status van gekwalificeerde toe te kennen of in te trekken, tenzij dit orgaan ook het toezichthoudend orgaan is; |
| i) | indien de gekwalificeerde verlener van vertrouwensdiensten zijn activiteiten beëindigt, nagaan of er bepalingen bestaan over beëindigingsplannen en of deze correct worden toegepast, ook inzake de vraag hoe informatie toegankelijk wordt gehouden overeenkomstig artikel 24, lid 2, onder h); |
| j) | eisen dat verleners van vertrouwensdiensten iedere niet-naleving van de in deze verordening vastgestelde voorschriften rechtzetten. |
5. De lidstaten mogen vereisen dat het toezichthoudende orgaan een vertrouwensinfrastructuur opzet, onderhoudt en geregeld aanpast in overeenstemming met de voorwaarden uit hoofde van het nationale recht.
6. Elk toezichthoudend orgaan legt de Commissie jaarlijks uiterlijk op 31 maart een verslag voor over zijn hoofdactiviteiten in het voorgaande kalenderjaar, evenals een samenvatting van inbreukmeldingen die van verleners van vertrouwensdiensten ontvangen zijn overeenkomstig artikel 19, lid 2.
7. De Commissie stelt het in lid 6 bedoelde jaarverslag voor de lidstaten beschikbaar.
8. De Commissie kan door middel van uitvoeringshandelingen de formaten en procedures voor het in lid 6 bedoelde verslag definiëren. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.
Artikel 19
Veiligheidseisen die van toepassing zijn op verleners van vertrouwensdiensten
1. Gekwalificeerde en niet gekwalificeerde verleners van vertrouwensdiensten treffen passende technische en organisatorische maatregelen om de risico’s te beheren in verband met de veiligheid van de door hen verleende vertrouwensdiensten. Deze maatregelen waarborgen, rekening houdend met de meest recente technologische ontwikkelingen, een veiligheidsniveau dat in verhouding staat tot de mate van risico. In het bijzonder worden maatregelen getroffen om de gevolgen van veiligheidsincidenten te voorkomen en tot een minimum te beperken alsmede om belanghebbenden op de hoogte te stellen van de negatieve gevolgen van dergelijke incidenten.
2. Gekwalificeerde en niet gekwalificeerde verleners van vertrouwensdiensten stellen, zonder onnodige vertragingen maar in ieder geval binnen 24 uur nadat zij hiervan op de hoogte zijn geraakt, het toezichthoudende orgaan, en, waar passend, andere relevante organen zoals het bevoegde nationale orgaan voor informatieveiligheid of de gegevensbeschermingsautoriteit op de hoogte van iedere veiligheidsinbreuk of ieder integriteitsverlies met aanzienlijke gevolgen voor de verleende vertrouwensdienst of voor de persoonsgegevens die daarmee worden beheerd.
Indien de veiligheidsinbreuk of het integriteitsverlies naar verwachting negatieve gevolgen zal hebben voor een natuurlijke persoon of een rechtspersoon aan wie een vertrouwensdienst is verleend, stelt de verlener van de vertrouwensdienst ook de natuurlijke persoon of de rechtspersoon onmiddellijk in kennis van de veiligheidsinbreuk of het integriteitsverlies.
Indien van toepassing, in het bijzonder indien een veiligheidsinbreuk of integriteitsverlies twee of meer lidstaten treft, stelt het op de hoogte gestelde toezichthoudende orgaan de toezichthoudende organen in andere betrokken lidstaten en Enisa op de hoogte.
Het op de hoogte gestelde toezichthoudende orgaan informeert het publiek, of eist dat de verlener van vertrouwensdiensten dat doet, indien het van oordeel is dat bekendmaking van de veiligheidsinbreuk of het integriteitsverlies in het algemene belang is.
3. Het toezichthoudende orgaan bezorgt het Enisa eenmaal per jaar een samenvatting van meldingen van inbreuken op beveiliging en integriteitsverlies die zijn ontvangen van verleners van vertrouwensdiensten.
4. De Commissie kan middels uitvoeringshandelingen:
| a) | de in lid 1 bedoelde maatregelen nader specificeren, en |
| b) | de formaten en procedures, met inbegrip van termijnen, definiëren die van toepassing zijn voor de doeleinden van lid 2. |
Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.
AFDELING 3
Vertrouwensdiensten
Artikel 20
Toezicht op gekwalificeerde verleners van vertrouwensdiensten
1. Gekwalificeerde verleners van vertrouwensdiensten worden minstens eens in de 24 maanden op hun kosten onderworpen aan een audit door een conformiteitsbeoordelingsorgaan. Het doel van deze audit is te bevestigen dat de gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die door hen worden verleend, voldoen aan de in deze verordening vastgestelde eisen. De gekwalificeerde verleners van vertrouwensdiensten dienen het conformiteitsbeoordelingsverslag binnen de termijn van drie werkdagen na ontvangst in bij het toezichthoudend orgaan.
2. Onverminderd het bepaalde in lid 1 kan het toezichthoudend orgaan op elk tijdstip een audit houden van, of een conformiteitsbeoordelingsorgaan verzoeken een conformiteitsbeoordeling uit te voeren ten aanzien van de gekwalificeerde verleners van vertrouwensdiensten, en wel op kosten van deze verleners van vertrouwensdiensten, om te bevestigen dat zij en de gekwalificeerde vertrouwensdiensten die door hen verleend worden, voldoen aan de in deze verordening vastgestelde vereisten. Indien er sprake blijkt te zijn van een inbreuk op de regels voor de bescherming van persoonsgegevens brengt het toezichthoudend orgaan de instanties voor gegevensbescherming op de hoogte van de resultaten van de audits.
3. Indien het toezichthoudend orgaan van de gekwalificeerde verlener van vertrouwensdiensten vereist dat deze het niet naleven van de eisen uit hoofde van deze verordening rechtzet en indien deze verlener niet aan dat verzoek tegemoet komt, en indien van toepassing binnen een door het toezichthoudend orgaan bepaalde tijdspanne, kan het toezichthoudend orgaan, gelet op in het bijzonder de mate, de duur en de gevolgen van die niet-naleving, de status van gekwalificeerde van die verlener of van de door hem verleende betrokken dienst intrekken en het in artikel 22, lid 3, bedoelde orgaan daarvan op de hoogte brengen met als doel de actualisering van de in artikel 22, lid 1, bedoelde vertrouwenslijsten. Het toezichthoudend orgaan stelt de gekwalificeerde verlener van vertrouwensdiensten in kennis van het feit dat zijn status van gekwalificeerde of de status van gekwalificeerde van de betrokken dienst is ingetrokken.
4. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor onderstaande normen:
| a) | accreditering van de conformiteitsbeoordelingsinstanties en voor het conformiteitsbeoordelingsverslag bedoeld in lid 1; |
| b) | auditregels volgens welke conformiteitsbeoordelingsinstanties hun conformiteitsbeoordeling van de gekwalificeerde verleners van vertrouwensdiensten, bedoeld in lid 1, uitvoeren. |
Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.
Artikel 21
Aanvang voor het aanbieden van een gekwalificeerde vertrouwensdienst
1. Indien verleners van vertrouwensdiensten die niet over de status gekwalificeerd beschikken de intentie hebben gekwalificeerde vertrouwensdiensten te gaan leveren, dienen zij bij het toezichthoudend orgaan een kennisgeving van hun voornemen in, evenals een door een conformiteitsbeoordelingsorgaan afgegeven conformiteitsbeoordelingsverslag.
2. Het toezichthoudend orgaan verifieert of de verlener van vertrouwensdiensten en de door hem verleende vertrouwensdiensten in overeenstemming met de in deze verordening vastgestelde eisen zijn, en in het bijzonder met de eisen die worden gesteld aan gekwalificeerde verleners van vertrouwensdiensten en aan de gekwalificeerde vertrouwensdiensten die zij verlenen.
Indien het toezichthoudend orgaan tot het oordeel komt dat de verlener van vertrouwensdiensten en de door hem verleende vertrouwensdiensten in overeenstemming met de in de eerste alinea bedoelde eisen zijn, kent het toezichthoudend orgaan de status van gekwalificeerde toe aan de verlener van vertrouwensdiensten en aan de door hem verleende vertrouwensdiensten en stelt het het in artikel 22, lid 3, bedoelde orgaan in kennis zodatde in artikel 22, lid 1, bedoelde vertrouwenslijsten bijgewerkt worden, en wel binnen drie maanden na kennisgeving overeenkomstig lid 1 van dit artikel.
Indien de verificatie niet binnen drie maanden na de kennisgeving is afgerond, brengt het toezichthoudend orgaan de verlener van vertrouwensdiensten op de hoogte van de redenen voor de vertraging en van de termijn waarbinnen de verificatie zal zijn afgerond.
3. Gekwalificeerde verleners van vertrouwensdiensten mogen beginnen met het verlenen van de gekwalificeerde vertrouwensdienst nadat de status van gekwalificeerde is opgenomen in de in artikel 22, lid 1, bedoelde vertrouwenslijsten.
4. De Commissie kan door middel van uitvoeringshandelingen de formaten en procedures omschrijven voor de doeleinden van de leden 1 en 2. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.
whereas