EIDAS 2014/0910 NL

Met het oog op het goede functioneren van de interne markt, en daarbij strevend naar een adequaat niveau van veiligheid van elektronische identificatiemiddelen en vertrouwensdiensten, worden bij deze verordening:

a)	de voorwaarden vastgesteld waaronder lidstaten elektronische identificatiemiddelen van natuurlijke personen en rechtspersonen erkennen die onder een aangemeld stelsel voor elektronische identificatie van een andere lidstaat vallen,

b)	regels vastgesteld voor vertrouwensdiensten, met name voor elektronische transacties, en

c)	een juridisch kader vastgesteld voor elektronische handtekeningen, elektronische zegels, elektronische tijdstempels, elektronische documenten, diensten voor elektronisch aangetekende bezorging en certificatendiensten voor websiteauthenticatie.

Artikel 2

Toepassingsgebied

1. Deze verordening is van toepassing op stelsels voor elektronische identificatie die zijn aangemeld door een lidstaat en op verleners van vertrouwensdiensten die in de Unie zijn gevestigd.

2. Deze verordening is niet van toepassing op de verlening van vertrouwensdiensten die uitsluitend in systemen die gesloten zijn als gevolg van nationaal recht of overeenkomsten tussen een welbepaalde groep deelnemers.

3. Deze verordening doet geen afbreuk aan nationaal of Unierecht dat betrekking heeft op de totstandkoming en geldigheid van contracten of andere wettelijke of procedurele verplichtingen inzake vormvereisten.

Artikel 4

Internemarktbeginsel

1. Aan de verlening van vertrouwensdiensten op het grondgebied van een lidstaat door een verlener van vertrouwensdiensten die in een andere lidstaat gevestigd is mogen geen beperkingen worden opgelegd om redenen die behoren tot de gebieden waarop deze verordening betrekking heeft.

2. Producten en vertrouwensdiensten die aan deze verordening voldoen, kunnen in de interne markt in het vrije verkeer worden gebracht.

Artikel 6

Wederzijdse erkenning

1. Wanneer een elektronische identificatie met gebruikmaking van een elektronisch identificatiemiddel en authenticatie vereist is op grond van nationaal recht of door gangbare bestuursrechtelijke praktijk om toegang te krijgen tot een onlinedienst aangeboden door een openbare instantie in een lidstaat, moet het elektronisch identificatiemiddel dat uitgegeven is in een andere lidstaat worden erkend in de eerste lidstaat ten behoeve van de grensoverschrijdende onlineauthenticatie van die dienst, mits aan de volgende voorwaarden is voldaan:

a)	het elektronisch identificatiemiddel is uitgegeven op grond van een stelsel voor elektronische identificatie dat is opgenomen in de lijst die de Commissie uit hoofde van artikel 9 heeft bekendgemaakt;

het betrouwbaarheidsniveau van het elektronisch identificatiemiddel is gelijk aan of hoger dan het betrouwbaarheidsniveau dat de bevoegde openbare instantie als voorwaarde stelt voor onlinetoegang tot die dienst in de eerste lidstaat, mits het betrouwbaarheidsniveau van dat elektronisch identificatiemiddel in overeenstemming is met het betrouwbaarheidsniveau substantieel of hoog;

c)	de openbare instantie in kwestie gebruikt het betrouwbaarheidsniveau substantieel of hoog voor de toegang tot die onlinedienst.

Die erkenning vindt plaats uiterlijk twaalf maanden nadat de Commissie de lijst als bedoeld in de eerste alinea, onder a), heeft bekendgemaakt.

2. Een elektronisch identificatiemiddel dat is uitgegeven op grond van een stelsel voor elektronische identificatie opgenomen in de lijst die op grond van artikel 9 door de Commissie is gepubliceerd en het betrouwbaarheidsniveau laag heeft, kan door openbare instanties worden erkend ten behoeve van de grensoverschrijdende authenticatie voor de onlinediensten die door die instanties worden geleverd.

Artikel 7

Voorwaarden voor het in aanmerking komen voor de aanmelding van stelsels voor elektronische identificatie

Een stelsel voor elektronische identificatie komt in aanmerking voor aanmelding overeenkomstig artikel 9, lid 1, indien aan alle onderstaande voorwaarden is voldaan:

het elektronische identificatiemiddel dat onder het stelsel voor elektronische identificatie valt wordt uitgegeven:

i)	door de aanmeldende lidstaat;

ii)	op grond van een mandaat van de aanmeldende lidstaat; of

iii)	onafhankelijk van de aanmeldende lidstaat, en wordt door die lidstaat erkend;

b)	de elektronische identificatiemiddelen uit hoofde van het stelsel voor elektronische identificatie kunnen worden gebruikt om toegang te verkrijgen tot ten minste één door een openbare instantie geleverde dienst waarvoor elektronische identificatie vereist is in de aanmeldende lidstaat;

c)	het stelsel voor elektronische identificatie en de uit hoofde ervan uitgegeven elektronische identificatiemiddelen voldoen aan de eisen van op zijn minst één van de betrouwbaarheidsniveaus, opgenomen in de in artikel 8, lid 3, vermelde uitvoeringshandeling;

de aanmeldende lidstaat waarborgt dat de persoonsidentificatiegegevens die de persoon in kwestie op unieke wijze kenmerken op het moment van uitgifte van het elektronische identificatiemiddel op grond van dat stelsel, conform de technische specificaties, normen en procedures voor het respectieve betrouwbaarheidsniveau zoals neergelegd in de uitvoeringshandeling bedoeld in artikel 8, lid 3, worden gekoppeld aan de natuurlijke persoon of rechtspersoon als bedoeld in artikel 3, punt 1;

de partij die het elektronische identificatiemiddel uitgeeft op grond van dat stelsel, zorgt ervoor dat het elektronische identificatiemiddel wordt gekoppeld aan de persoon bedoeld in punt d) van dat artikel, in overeenstemming met de technische specificaties, normen en procedures voor het respectieve betrouwbaarheidsniveau zoals neergelegd in de uitvoeringshandeling bedoeld in artikel 8, lid 3;

de aanmeldende lidstaat zorgt voor de beschikbaarheid van onlineauthenticatie, zodat iedere vertrouwende partij die op het grondgebied van een andere lidstaat gevestigd is, de mogelijkheid heeft de ontvangen persoonsidentificatiegegevens in elektronische vorm te bevestigen.

Voor andere vertrouwende partijen dan openbare instanties mag de aanmeldende lidstaat voorwaarden stellen voor toegang tot die authenticatie. Grensoverschrijdende authenticatie is kosteloos wanneer zij wordt uitgevoerd voor een door een openbare instantie verleende onlinedienst.

De lidstaten leggen geen specifieke onevenredige technische eisen op aan vertrouwende partijen die voornemens zijn een dergelijke authenticatie uit te voeren indien dergelijke eisen de interoperabiliteit van de aangemelde stelsels voor elektronische identificatie tegenhouden of in aanzienlijke mate belemmeren;

ten minste zes maanden voor de aanmelding bedoeld in artikel 9, lid 1, verstrekt de aanmeldende lidstaat met het oog op de verplichting van artikel 12, lid 5, de andere lidstaten een beschrijving van dat stelsel, in overeenstemming met de procedurele voorschriften die zijn vastgesteld bij de in artikel 12, lid 7, bedoelde uitvoeringshandelingen;

h)	het stelsel voor elektronische identificatie voldoet aan de eisen van de uitvoeringshandeling bedoeld in artikel 12, lid 8.

Artikel 9

Aanmelding

1. De aanmeldende lidstaat geeft de Commissie onverwijld kennis van de volgende informatie en van eventuele latere wijzigingen daarvan:

a)	een beschrijving van het stelsel voor elektronische identificatie, met inbegrip van de betrouwbaarheidsniveaus daarvan en de uitgever of de uitgevers van elektronische identificatiemiddelen in het kader van het stelsel;

de toepasselijke toezichtregeling en informatie over de aansprakelijkheidsregeling met betrekking tot onderstaande:

i)	de partij die het elektronische identificatiemiddel uitgeeft, en

ii)	de partij die de authenticatieprocedure uitvoert;

c)	de autoriteit of autoriteiten die verantwoordelijk is/zijn voor het stelsel voor elektronische identificatie;

d)	informatie over de entiteit of entiteiten die de registratie van de unieke persoonsidentificatiegegevens beheert/beheren;

e)	een beschrijving van de manier waarop aan de vereisten van de in artikel 12, lid 8, bedoelde uitvoeringshandelingen wordt voldaan;

f)	een beschrijving van de authenticatie bedoeld in artikel 7, onder f);

g)	regelingen voor de opschorting of intrekking van het aangemelde stelsel voor elektronische identificatie of de authenticatie of de delen waarvan de integriteit is geschonden.

2. Eén jaar na de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen maakt de Commissie in het Publicatieblad van de Europese Unie een lijst bekend van de stelsels voor elektronische identificatie die zijn aangemeld overeenkomstig lid 1 van dit artikel alsmede de basisinformatie in verband hiermee.

3. Indien de Commissie een aanmelding ontvangt nadat de periode als bedoeld in lid 2 verstreken is, maakt zij binnen twee maanden na de datum van ontvangst van die aanmelding in het Publicatieblad van de Europese Unie de wijzigingen van de in lid 2 bedoelde lijst bekend.

4. Een lidstaat kan bij de Commissie een verzoek indienen om een door die lidstaat aangemelde stelsel voor elektronische identificatie van de in lid 2 bedoelde lijst te verwijderen. De Commissie zal de desbetreffende wijzigingen binnen een maand na de datum van ontvangst van het verzoek van de lidstaat in het Publicatieblad van de Europese Unie bekendmaken.

5. De Commissie kan door middel van uitvoeringshandelingen de omstandigheden, formaten en procedures voor aanmeldingen in het kader van lid 1 definiëren. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 10

Inbreuk op de beveiliging

1. Wanneer er inbreuk wordt gepleegd op het overeenkomstig artikel 9, lid 1, aangemelde stelsel voor elektronische identificatie of op de in artikel 7, onder f), bedoelde authenticatie of wanneer de integriteit ervan deels wordt geschonden zodat de betrouwbaarheid van de grensoverschrijdende authenticatie van dat stelsel in gevaar komt, moet de aanmeldende lidstaat onverwijld de grensoverschrijdende authenticatie of de delen waarvan de integriteit geschonden is, opschorten of intrekken, en de andere lidstaten en de Commissie hiervan op de hoogte stellen.

2. Wanneer de in lid 1 bedoelde inbreuk of schending hersteld is, herstelt de aanmeldende lidstaat de grensoverschrijdende authenticatie en stelt hij de andere lidstaten en de Commissie daarvan onverwijld op de hoogte.

3. Indien de in lid 1 bedoelde inbreuk of schending niet binnen drie maanden na de opschorting of intrekking is verholpen, stelt de aanmeldende lidstaat de andere lidstaten en de Commissie op de hoogte van de intrekking van het stelsel voor elektronische identificatie.

De Commissie maakt de overeenkomstige wijzigingen aan de in artikel 9, lid 2, bedoelde lijst zonder onnodige vertraging bekend in het Publicatieblad van de Europese Unie.

Artikel 11

Aansprakelijkheid

1. De aanmeldende lidstaat is aansprakelijk voor aan een natuurlijke persoon of rechtspersoon met opzet of door nalatigheid toegebrachte schade die is te wijten aan een verzuim zijn verplichtingen uit hoofde van artikel 7, onder d) en f), in een grensoverschrijdende transactie na te leven.

2. De partij die de elektronische identificatiemiddelen verstrekt, is aansprakelijk voor aan een natuurlijke persoon of rechtspersoon met opzet of door nalatigheid toegebrachte schade die te wijten is aan een verzuim de verplichting bedoeld in artikel 7, onder e), in een grensoverschrijdende transactie na te leven.

3. De partij die de authenticatieprocedure uitvoert, is aansprakelijk voor aan een natuurlijke persoon of een rechtspersoon met opzet of door nalatigheid toegebrachte schade die te wijten is aan een verzuim de verplichting bedoeld in artikel 7, onder f), in een grensoverschrijdende transactie na te leven.

4. De leden 1, 2 en 3 worden toegepast in overeenstemming met de nationale rechtsregels aangaande aansprakelijkheid.

5. De leden 1, 2 en 3 doen niet af aan de aansprakelijkheid uit hoofde van nationale wetgeving van partijen bij een transactie waarin elektronische identificatiemiddelen worden gebruikt die onder het krachtens artikel 9, lid 1, aangemelde stelsel voor elektronische identificatie vallen.

Artikel 12

Samenwerking en interoperabiliteit

1. De krachtens artikel 9, lid 1, aangemelde nationale stelsels voor elektronische identificatie zijn interoperabel.

2. Voor de toepassing van lid 1 wordt een interoperabiliteitskader opgezet.

3. Het interoperabiliteitskader voldoet aan de volgende criteria:

a)	het is erop gericht technologieneutraal te zijn en discrimineert niet tussen specifieke nationale technische oplossingen voor elektronische identificatie binnen de lidstaat;

b)	het volgt, zo mogelijk, Europese en internationale normen;

c)	het bevordert de toepassing van het beginsel van privacy by design; en

d)	het waarborgt dat persoonsgegevens overeenkomstig Richtlijn 95/46/EG worden verwerkt.

4. Het interoperabiliteitskader bestaat uit:

a)	een vermelding van de technische minimumeisen met betrekking tot de betrouwbaarheidsniveaus van artikel 8;

b)	het relateren van nationale betrouwbaarheidsniveaus van aangemelde stelsels voor elektronische identificatie aan de betrouwbaarheidsniveaus volgens artikel 8;

c)	een verwijzing naar technische minimumeisen voor interoperabiliteit;

d)	een verwijzing naar een minimaal pakket persoonsidentificatiegegevens die een natuurlijke of rechtspersoon op unieke wijze vertegenwoordigen, beschikbaar vanaf stelsels voor elektronische identificatie;

e)	procedureregels;

f)	regelingen voor geschillenbeslechting; en

g)	gemeenschappelijke operationele veiligheidsnormen.

5. De lidstaten werken op onderstaande gebieden samen:

a)	de interoperabiliteit van de uit hoofde van artikel 9, lid 1, aangemelde stelsels voor elektronische identificatie en de stelsels voor elektronische identificatie die de lidstaten voornemens zijn aan te melden; en

b)	de veiligheid van de stelsels voor elektronische identificatie.

6. De samenwerking tussen de lidstaten bestaat uit:

a)	de uitwisseling van informatie, ervaring en goede werkwijzen wat betreft stelsels voor elektronische identificatie en in het bijzonder wat betreft de technische vereisten inzake het niveau van interoperabiliteit en betrouwbaarheid;

b)	de uitwisseling van informatie, ervaring en goede werkwijzen wat betreft het werken met betrouwbaarheidsniveaus van stelsels voor elektronische identificatie volgens artikel 8;

c)	onderlinge evaluatie van stelsels voor elektronische identificatie die onder deze verordening vallen; en

d)	onderzoek naar ontwikkelingen ter zake in de sector van de elektronische identificatie.

7. De Commissie stelt uiterlijk op 18 maart 2015, door middel van uitvoeringshandelingen, de nodige procedurele voorschriften vast om de in lid 5 en lid 6 bedoelde samenwerking tussen de lidstaten te vergemakkelijken teneinde een hoog op het risiconiveau afgestemde niveau van vertrouwen en veiligheid te waarborgen.

8. De Commissie stelt uiterlijk op 18 september 2015, volgens de criteria in lid 3 en met inachtneming van de resultaten van de samenwerking tussen de lidstaten, uitvoeringshandelingen vast aangaande het lid 4 uitgewerkte interoperabiliteitskader ten behoeve van de vaststelling van eenduidige voorwaarden ter uitvoering van de in lid 1 bedoelde verplichting.

9. De in de leden 7 en 8 van dit artikel bedoelde uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

HOOFDSTUK III

VERTROUWENSDIENSTEN

AFDELING 1

Algemene bepalingen

Artikel 17

Toezichthoudend orgaan

1. De lidstaten wijzen een toezichthoudend orgaan aan dat gevestigd is op hun grondgebied of, in overeenstemming met een andere lidstaat, een in die andere lidstaat gevestigd toezichthoudend orgaan. Dat orgaanis verantwoordelijk voor toezichthoudende taken in de aanwijzende lidstaat.

Toezichthoudende organen krijgen de noodzakelijke bevoegdheden en toereikende middelen voor de uitvoering van hun opdrachten.

2. De lidstaten delen de Commissie de namen en adressen mee van de door hen aangewezen toezichthoudende organen.

3. De rol van het toezichthoudend orgaan is:

toezicht te houden op gekwalificeerde verleners van vertrouwensdiensten die gevestigd zijn in de aanwijzende lidstaat om door middel van toezichthoudende activiteiten vooraf en achteraf te waarborgen dat deze gekwalificeerde verleners van vertrouwensdiensten en de door hen verleende gekwalificeerde vertrouwensdiensten voldoen aan de eisen in deze verordening;

indien nodig tegen niet-gekwalificeerde verleners van vertrouwensdiensten die gevestigd zijn in de aanwijzende lidstaat op te treden door middel van toezichthoudende activiteiten achteraf, wanneer het orgaan verneemt dat deze niet-gekwalificeerde verleners van vertrouwensdiensten of de door hen verleende vertrouwensdiensten niet zouden voldoen aan de vereisten van deze verordening.

4. Met het oog op de doeleinden van lid 3 en behoudens de aldaar aangegeven beperkingen bestaan de taken van het toezichthoudend orgaan in het bijzonder in:

a)	samenwerking met andere toezichthoudende organen en bijstandsverlening aan deze organen overeenkomstig artikel 18;

b)	analyse van de conformiteitsbeoordelingsverslagen bedoeld in artikel 20, lid 1, en artikel 21, lid 1;

c)	andere toezichthoudende organen en het publiek overeenkomstig artikel 19, lid 2, op de hoogte brengen van veiligheidsinbreuken of integriteitsverlies;

d)	aan de Commissie verslag uitbrengen over zijn hoofdactiviteiten, overeenkomstig lid 6;

e)	audits uitvoeren of een conformiteitsbeoordelingsinstantie verzoeken een conformiteitsbeoordeling te doen van de gekwalificeerde verleners van vertrouwensdiensten overeenkomstig artikel 20, lid 2;

samenwerken met de gegevensbeschermingsinstanties en in het bijzonder deze instanties zonder onnodige vertraging informeren over de resultaten van de audits van gekwalificeerde verleners van vertrouwensdiensten indien er aanwijzingen zijn dat er regels inzake bescherming van persoonsgegevens zijn overtreden;

g)	de status van gekwalificeerde toekennen aan verleners van vertrouwensdiensten en aan de door hen verleende diensten, en deze status intrekken, overeenkomstig de artikelen 20 en 21;

h)	het voor de nationale vertrouwenslijst verantwoordelijke orgaan, bedoeld in artikel 22, lid 3, op de hoogte brengen van zijn besluiten om de status van gekwalificeerde toe te kennen of in te trekken, tenzij dit orgaan ook het toezichthoudend orgaan is;

i)	indien de gekwalificeerde verlener van vertrouwensdiensten zijn activiteiten beëindigt, nagaan of er bepalingen bestaan over beëindigingsplannen en of deze correct worden toegepast, ook inzake de vraag hoe informatie toegankelijk wordt gehouden overeenkomstig artikel 24, lid 2, onder h);

j)	eisen dat verleners van vertrouwensdiensten iedere niet-naleving van de in deze verordening vastgestelde voorschriften rechtzetten.

5. De lidstaten mogen vereisen dat het toezichthoudende orgaan een vertrouwensinfrastructuur opzet, onderhoudt en geregeld aanpast in overeenstemming met de voorwaarden uit hoofde van het nationale recht.

6. Elk toezichthoudend orgaan legt de Commissie jaarlijks uiterlijk op 31 maart een verslag voor over zijn hoofdactiviteiten in het voorgaande kalenderjaar, evenals een samenvatting van inbreukmeldingen die van verleners van vertrouwensdiensten ontvangen zijn overeenkomstig artikel 19, lid 2.

7. De Commissie stelt het in lid 6 bedoelde jaarverslag voor de lidstaten beschikbaar.

8. De Commissie kan door middel van uitvoeringshandelingen de formaten en procedures voor het in lid 6 bedoelde verslag definiëren. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

Artikel 22

Vertrouwenslijsten

1. Elke lidstaat stelt vertrouwenslijsten op met onder meer informatie over de gekwalificeerde verleners van vertrouwensdiensten waarvoor hij verantwoordelijk is, samen met informatie over de gekwalificeerde vertrouwensdiensten die door hen verleend worden, en hij houdt deze lijsten bij en maakt deze bekend.

2. De lidstaten dragen zorg voor het op een veilige manier opstellen, bijhouden en publiceren van elektronisch ondertekende of verzegelde vertrouwenslijsten, als bedoeld in lid 1, in een vorm die geschikt is voor automatische verwerking.

3. De lidstaten verschaffen de Commissie onverwijld informatie over het orgaan dat verantwoordelijk is voor het opstellen, onderhouden en publiceren van nationale vertrouwenslijsten en gegevens over waar deze lijsten gepubliceerd zijn, over het certificaat dat gebruikt wordt om de vertrouwenslijsten te ondertekenen of te verzegelen, en over alle wijzigingen daarin.

4. De Commissie maakt via een beveiligd kanaal de in lid 3 bedoelde informatie in elektronisch ondertekende of verzegelde en voor automatische verwerking geschikte vorm publiek beschikbaar.

5. Uiterlijk op 18 september 2015 specificeert de Commissie door middel van uitvoeringshandelingen de in lid 1 bedoelde informatie en omschrijft zij de technische specificaties en formaten van vertrouwenslijsten die gelden voor de toepassing van lid 1 tot en met 4. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

Artikel 25

Rechtsgevolgen van elektronische handtekeningen

1. Het rechtsgevolg van een elektronische handtekening en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet.

2. Een gekwalificeerde elektronische handtekening heeft hetzelfde rechtsgevolg als een handgeschreven handtekening.

3. Een gekwalificeerde elektronische handtekening die op een in een lidstaat afgegeven gekwalificeerd certificaat is gebaseerd, wordt in alle andere lidstaten als een gekwalificeerde elektronische handtekening erkend.

Artikel 27

Elektronische handtekeningen in openbare diensten

1. Indien een lidstaat een geavanceerde elektronische handtekening vereist voor het gebruik van een door of namens een openbare instantie aangeboden onlinedienst, erkent die lidstaat geavanceerde elektronische handtekeningen, geavanceerde elektronische handtekeningen gebaseerd op een gekwalificeerd certificaat voor elektronische handtekeningen, en gekwalificeerde elektronische handtekeningen, op zijn minst in de formaten of gebruikmakend van methoden die zijn gedefinieerd in de in lid 5 bedoelde uitvoeringshandelingen.

2. Indien een lidstaat een op een gekwalificeerd certificaat gebaseerde geavanceerde elektronische handtekening vereist voor het gebruik van een door of namens een openbare instantie aangeboden onlinedienst, erkent die lidstaat geavanceerde elektronische handtekeningen gebaseerd op een gekwalificeerd certificaat en gekwalificeerde elektronische handtekeningen, op zijn minst in de formaten of gebruikmakend van de methoden die zijn gedefinieerd in de in lid 5 bedoelde uitvoeringshandelingen.

3. De lidstaten vereisen voor grensoverschrijdend gebruik bij een door een openbare instantie aangeboden onlinedienst geen elektronische handtekening van een hoger betrouwbaarheidsniveau dan een gekwalificeerde elektronische handtekening.

4. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor normen inzake geavanceerde elektronische handtekeningen. Indien een geavanceerde elektronische handtekening aan die normen voldoet, wordt zij geacht in overeenstemming te zijn met de in de leden 1 en 2 van dit artikel en in artikel 26, bedoelde vereisten voor geavanceerde elektronische handtekeningen. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

5. Uiterlijk op 18 september 2015, rekening houdend met bestaande praktijken, normen en rechtshandelingen van de Unie, definieert de Commissie door middel van uitvoeringshandelingen referentieformaten van geavanceerde elektronische handtekeningen of referentiemethoden wanneer alternatieve formaten worden gebruikt. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 35

Rechtsgevolgen van elektronische zegels

1. Het rechtsgevolg van een elektronisch zegel en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat het zegel elektronisch is of niet aan de eisen voor gekwalificeerde elektronische zegels voldoet.

2. Voor een gekwalificeerd elektronisch zegel geldt het vermoeden van integriteit van de gegevens en van juistheid van de oorsprong van de gegevens waaraan het gekwalificeerd elektronisch zegel is verbonden.

3. Een gekwalificeerd elektronisch zegel dat op een in een lidstaat afgegeven gekwalificeerd certificaat is gebaseerd, wordt in alle andere lidstaten als een gekwalificeerd elektronisch zegel erkend.

Artikel 37

Elektronische zegels in openbare diensten

1. Indien een lidstaat een geavanceerd elektronisch zegel vereist voor het gebruik van een door of namens een openbare instantie aangeboden onlinedienst, erkent die lidstaat geavanceerde elektronische zegels, geavanceerde elektronische zegels gebaseerd op een gekwalificeerd certificaat voor elektronische zegels en gekwalificeerde elektronische zegels, op zijn minst in de formaten of gebruikmakend van methoden die zijn gedefinieerd in de in lid 5 bedoelde uitvoeringshandelingen.

2. Indien een lidstaat een op een gekwalificeerd certificaat gebaseerd geavanceerd elektronisch zegel vereist voor het gebruik van een door of namens een openbare instantie aangeboden onlinedienst, erkent die lidstaat geavanceerde elektronische zegels gebaseerd op een gekwalificeerd certificaat en gekwalificeerde elektronische zegels, op zijn minst in de formaten of gebruikmakend van methoden die zijn gedefinieerd in de in lid 5 bedoelde uitvoeringshandelingen.

3. De lidstaten vragen voor grensoverschrijdend gebruik bij een door een openbare instantie aangeboden onlinedienst geen elektronisch zegel van een hoger betrouwbaarheidsniveau dan het gekwalificeerde elektronische zegel.

4. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor normen inzake geavanceerde elektronische zegels. Indien een geavanceerd elektronisch zegel aan die normen voldoet, wordt het geacht in overeenstemming te zijn met de in de leden 1 en 2 van dit artikel, en in artikel 36, bedoelde vereisten voor geavanceerde elektronische zegels. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

5. Uiterlijk op 18 september 2015, en rekening houdend met bestaande praktijken, normen en rechtshandelingen van de Unie, definieert de Commissie door middel van uitvoeringshandelingen referentieformaten van geavanceerde elektronische zegels of referentiemethoden indien alternatieve formaten worden gebruikt. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 41

Rechtsgevolg van elektronische tijdstempels

1. Het rechtsgevolg van een elektronisch tijdstempel en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat het stempel elektronisch is of niet aan de eisen voor gekwalificeerde elektronische tijdstempels voldoet.

2. Voor een gekwalificeerd elektronisch tijdstempel geldt het vermoeden van de juistheid van de aangegeven datum en het aangegeven tijdstip, en van de integriteit van de gegevens waaraan de datum en het tijdstip zijn gekoppeld.

3. Een gekwalificeerd elektronisch tijdstempel, afgegeven in een lidstaat, wordt in alle lidstaten als een gekwalificeerd elektronisch tijdstempel erkend.

Artikel 52

Inwerkingtreding

1. Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

2. Deze verordening is van toepassing vanaf 1 juli 2016, met uitzondering van onderstaande:

artikel 8, lid 3, artikel 9, lid 5, artikel 12, lid 2 tot en met 9, artikel 17, lid 8, artikel 19, lid 4, artikel 20, lid 4, artikel 21, lid 4, artikel 22, lid 5, artikel 23, lid 3, artikel 24, lid 5, artikel 27, lid 4 en lid 5, artikel 28, lid 6, artikel 29, lid 2, artikel 30, lid 3 en lid 4, artikel 31, lid 3, artikel 32, lid 3, artikel 33, lid 2, artikel 34, lid 2, artikel 37, lid 4 en lid 5, artikel 38, lid 6, artikel 42, lid 2, artikel 44, lid 2, artikel 45, lid 2, en artikelen 47 en 48 zijn van toepassing met ingang van 17 september 2014;

b)	artikel 7, artikel 8, leden 1 en 2, de artikelen 9, 10, 11 en artikel 12, lid 1, zijn van toepassing vanaf de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen;

c)	artikel 6 is van toepassing vanaf drie jaar na de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen.

3. Indien het aangemelde stelsel voor elektronische identificatie voorkomt in de lijst die de Commissie krachtens artikel 9 bekendmaakt, en wel vóór de datum in lid 2, onder c), van dit artikel, wordt het elektronische identificatiemiddel in het kader van dat stelsel krachtens artikel 6 erkend binnen twaalf maanden na de bekendmaking van dat stelsel, maar niet vóór de datum in lid 2, onder c), van dit artikel.

4. Niettegenstaande lid 2, onder c), van dit artikel kan een lidstaat besluiten dat elektronische identificatiemiddelen in het kader van een stelsel voor elektronische identificatie, krachtens artikel 9, lid 1, door een andere lidstaat aangemeld, in de eerste lidstaat worden erkend met ingang van de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen. De betrokken lidstaten stellen de Commissie daarvan in kennis. De Commissie maakt deze informatie openbaar.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel, 23 juli 2014.

Voor het Parlement

De voorzitter

M. SCHULZ

Voor de Raad

De voorzitter

S. GOZI

(1) PB C 351 van 15.11.2012, blz. 73.

(2) Standpunt van het Europees Parlement van 3 april 2014 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 23 juli 2014.

(3) Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (PB L 13 van 19.1.2000, blz. 12).

(4) PB C 50 E van 21.2.2012, blz. 1.

(5) Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt (PB L 376 van 27.12.2006, blz. 36).

(6) Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB L 88 van 4.4.2011, blz. 45).

(7) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31).

(8) Besluit 2010/48/EG van de Raad van 26 november 2009 betreffende de sluiting door de Europese Gemeenschap van het Verdrag van de Verenigde Naties inzake de rechten van personen met een handicap (PB L 23 van 27.1.2010, blz. 35).

(9) Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30).

(10) Beschikking 2009/767/EG van de Commissie van 16 oktober 2009 inzake maatregelen voor een gemakkelijker gebruik van elektronische procedures via het „één-loket” in het kader van Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PB L 274 van 20.10.2009, blz. 36).

(11) Besluit 2011/130/EU van de Commissie van 25 februari 2011 tot vaststelling van minimumvoorschriften voor de grensoverschrijdende verwerking van documenten die door de bevoegde autoriteiten elektronisch zijn ondertekend krachtens Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PB L 53 van 26.2.2011, blz. 66).

(12) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(13) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

(14) PB C 28 van 30.1.2013, blz. 6.

(15) Richtlijn 2014/24/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende het plaatsen van overheidsopdrachten en tot intrekking van Richtlijn 2004/18/EG (PB L 94 van 28.3.2014, blz. 65).

BIJLAGE I

EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR ELEKTRONISCHE HANDTEKENINGEN

Gekwalificeerde certificaten voor elektronische handtekeningen bevatten:

a)	een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat afgegeven is als een gekwalificeerd certificaat voor elektronische handtekeningen;

een reeks gegevens die ondubbelzinnig verwijzen naar de gekwalificeerde verlener van vertrouwensdiensten die de gekwalificeerde certificaten afgeeft, met inbegrip van ten minste de lidstaat waarin de verlener is gevestigd en

—	voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,

—	voor een natuurlijke persoon: de naam van de persoon;

c)	op zijn minst de naam van de ondertekenaar of een pseudoniem; als er een pseudoniem wordt gebruikt, wordt dat duidelijk aangegeven;

d)	gegevens voor de validering van elektronische handtekeningen, die overeenkomen met de gegevens voor het aanmaken van de elektronische handtekening;

e)	informatie over begin en einde van de geldigheidsduur van het certificaat;

f)	de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;

g)	de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;

h)	de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder g) gratis beschikbaar is;

i)	de locatie van de diensten waar informatie kan worden opgevraagd over de geldigheidsstatus van het gekwalificeerde certificaat;

indien de gegevens voor het aanmaken van een elektronische handtekening die gekoppeld zijn aan de gegevens voor de validering van de elektronische handtekening zich bevinden in een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen, een passende vermelding hiervan, ten minste in een vorm die geschikt is voor automatische verwerking.

BIJLAGE II

EISEN VOOR GEKWALIFICEERDE MIDDELEN VOOR HET AANMAKEN VAN ELEKTRONISCHE HANDTEKENINGEN

Gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen waarborgen via passende technieken en procedures dat ten minste:

a)	de vertrouwelijkheid van de gegevens die worden gebruikt om elektronische handtekeningen aan te maken redelijkerwijs gewaarborgd is;

b)	de gegevens voor het aanmaken van elektronische handtekeningen in de praktijk slechts één keer kunnen voorkomen;

c)	de gegevens voor het aanmaken van elektronische handtekeningen met redelijke zekerheid niet kunnen worden afgeleid en dat de elektronische handtekening op betrouwbare wijze beschermd is tegen vervalsing met de thans beschikbare technologie;

d)	de gegevens voor het aanmaken van elektronische handtekeningen door de legitieme ondertekenaar op betrouwbare wijze kunnen worden beschermd tegen gebruik door anderen.

Gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen laten de te ondertekenen gegevens ongewijzigd en beletten niet dat die gegevens vóór ondertekening aan de ondertekenaar worden voorgelegd.

Het genereren of beheren van de gegevens voor het aanmaken van elektronische handtekeningen namens de ondertekenaar kan alleen worden uitgevoerd door een gekwalificeerde verlener van vertrouwensdiensten.

Onverminderd punt 1, onder d), mogen gekwalificeerde verleners van vertrouwensdiensten die namens de ondertekenaar gegevens voor het aanmaken van elektronische handtekeningen beheren, de gegevens voor het aanmaken van elektronische handtekeningen alleen dupliceren voor back-updoeleinden, op voorwaarde dat aan de volgende eisen wordt voldaan:

a)	de beveiliging van de gedupliceerde gegevensverzamelingen moet van hetzelfde niveau zijn als de beveiliging van de originele gegevensverzamelingen;

b)	het aantal gedupliceerde gegevensverzamelingen mag niet hoger zijn dan het minimum dat nodig is om de continuïteit van de dienst te waarborgen.

BIJLAGE III

EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR ELEKTRONISCHE ZEGELS

Gekwalificeerde certificaten voor elektronische zegels bevatten:

a)	een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat is afgegeven als een gekwalificeerd certificaat voor elektronische zegels;

—	voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,

—	voor een natuurlijke persoon: de naam van de persoon;

c)	ten minste de naam van de aanmaker van het zegel en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers;

d)	gegevens voor de validering van elektronische zegels, die overeenkomen met de gegevens voor het aanmaken van elektronische zegels;

e)	informatie over begin en einde van de geldigheidsduur van het certificaat;

f)	de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;

g)	de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;

h)	de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder g) gratis beschikbaar is;

i)	de locatie van de diensten waar informatie kan worden opgevraagd over de geldigheidsstatus van het gekwalificeerde certificaat;

indien de gegevens voor het aanmaken van elektronische zegels die gekoppeld zijn aan de gegevens voor de validering voor elektronische zegels zich bevinden in een gekwalificeerd middel voor het aanmaken van elektronische zegels, een passende vermelding hiervan, ten minste in een vorm die geschikt is voor automatische verwerking.

BIJLAGE IV

EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR WEBSITE-AUTHENTICATIE

Gekwalificeerde certificaten voor websiteauthenticatie moeten het volgende bevatten:

a)	een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat afgegeven is als een gekwalificeerd certificaat voor websiteauthenticatie;

—	voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,

—	voor een natuurlijke persoon: de naam van de persoon;

voor natuurlijke personen: op zijn minst de naam van de persoon aan wie het certificaat is afgegeven, of een pseudoniem. Indien een pseudoniem wordt gebruikt, wordt dat duidelijk aangegeven;

voor rechtspersonen: ten minste de naam van de rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers;

d)	elementen van het adres, met inbegrip van ten minste de plaats en de staat, van de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, zoals vermeld in de officiële registers;

e)	de domeinnaam/-namen die wordt/worden geëxploiteerd door de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven;

f)	informatie over begin en einde van de geldigheidsduur van het certificaat;

g)	de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;

h)	de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;

i)	de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder h) gratis beschikbaar is;

j)	de locatie van de valideringsstatusdiensten voor certificaten die gebruikt kunnen worden om informatie over de geldigheidsstatus van het gekwalificeerde certificaat te raadplegen.

whereas

(9) In de meeste gevallen kunnen burgers hun elektronische identificatie niet gebruiken om zich te authenticeren in een andere lidstaat omdat de nationale stelsels voor elektronische identificatie van hun land niet erkend worden in andere lidstaten.
Door deze elektronische belemmering kunnen dienstverleners de voordelen van de interne markt niet ten volle benutten.
Wederzijds erkende elektronische identificatiemiddelen zullen het grensoverschrijdend verlenen van talrijke diensten op de interne markt faciliteren en bedrijven in staat stellen op een grensoverschrijdende basis activiteiten te ondernemen zonder daarbij veel belemmeringen te ondervinden in hun contacten met overheidsinstanties.

- = -

(14) In deze verordening moet een aantal voorwaarden worden vastgesteld om te bepalen welke elektronische identificatiemiddelen moeten worden erkend en hoe de stelsels voor elektronische identificatie moeten worden aangemeld.
Deze voorwaarden moeten de lidstaten helpen het noodzakelijke vertrouwen in elkaars stelsels voor elektronische identificatie op te bouwen en elektronische identificatiemiddelen die onder hun aangemelde stelsels vallen, wederzijds te erkennen.
Het beginsel van wederzijdse erkenning moet worden toegepast als het stelsel voor elektronische identificatie van de aanmeldende lidstaat voldoet aan de voorwaarden voor aanmelding en de aanmelding is bekendgemaakt in het Publicatieblad van de Europese Unie.
Het beginsel van wederzijdse erkenning dient echter alleen op authenticatie voor een onlinedienst betrekking te hebben.
De toegang tot deze onlinediensten en de daadwerkelijke verlening ervan aan de aanvrager moeten nauw verbonden zijn aan het recht om dergelijke diensten af te nemen onder de in de nationale wetgeving gestelde voorwaarden.

- = -

(17) De lidstaten dienen de private sector aan te moedigen vrijwillig gebruik te maken van elektronische identificatiemiddelen die onder een aangemeld stelsel vallen, indien identificatie bij onlinediensten of elektronische transacties nodig is.
De mogelijkheid om zulke elektronische identificatiemiddelen te gebruiken stelt de particuliere sector in staat gebruik te maken van elektronische identificatie en authenticatie, waar in diverse lidstaten in ieder geval voor publieke diensten reeds vaak gebruik van gemaakt wordt, en maakt het voor bedrijven en burgers gemakkelijker om grensoverschrijdende toegang te krijgen tot hun onlinediensten.
Om het gebruik van dergelijke elektronische identificatiemiddelen door de private sector over de grenzen heen te vergemakkelijken, moet de mogelijkheid tot authenticatie die elke lidstaat biedt, beschikbaar zijn voor buiten het grondgebied van die lidstaat gevestigde vertrouwende partijen uit de private sector, en wel onder dezelfde voorwaarden als in die lidstaat gevestigde vertrouwende partijen.
Bijgevolg mag de aanmeldende lidstaat ten aanzien van vertrouwende partijen uit de private sector voorwaarden voor toegang tot de authenticatiemiddelen bepalen.
Die voorwaarden voor toegang kunnen vermelden of de authenticatiemiddelen voor het aangemelde stelsel voor elektronische identificatie op dat moment beschikbaar zijn voor vertrouwende partijen uit de private sector.

- = -

(18) Deze verordening dient te voorzien in de aansprakelijkheid van de aanmeldende lidstaat, de partij die de elektronische identificatiemiddelen verstrekt en de partij die de authenticatieprocedure uitvoert, wanneer zij niet voldoen aan de verplichtingen ter zake in deze verordening.
Deze verordening moet echter worden uitgevoerd volgens de nationale voorschriften inzake aansprakelijkheid.
De verordening beïnvloedt derhalve niet deze nationale voorschriften inzake, bijvoorbeeld, de definitie van schade of het bepalen van de toepasselijke procedureregels, waaronder inzake de bewijslast.

- = -

(30) De lidstaten dienen een of meer toezichthoudende organen aan te wijzen voor het verrichten van de toezichtactiviteiten uit hoofde van deze verordening.
De lidstaten moeten eveneens kunnen besluiten om, in onderlinge overeenstemming met een andere lidstaat, een toezichthoudend orgaan aan te wijzen op het grondgebied van die andere lidstaat.

- = -

(42) Om het toezicht op gekwalificeerde verleners van vertrouwensdiensten te vergemakkelijken, bijvoorbeeld wanneer een verlener zijn diensten aanbiedt op het grondgebied van een andere lidstaat en daar niet aan toezicht onderworpen is, of wanneer de computers van een verlener zich bevinden op het grondgebied van een andere lidstaat dan die waar hij gevestigd is, moet een systeem voor wederzijdse bijstand tussen de toezichtorganen in de lidstaten worden opgezet.

- = -

(68) Overeenkomstig de bepalingen van het Verdrag betreffende de werking van de Europese Unie (VWEU) inzake vestiging laat het begrip „rechtspersonen” de marktdeelnemers vrij in de keuze van de rechtsvorm die zij voor hun activiteiten geschikt achten.
Bijgevolg slaat „rechtspersonen” in de zin van het VWEU op alle entiteiten die zijn opgericht naar of worden beheerst door het recht van een lidstaat, ongeacht hun rechtsvorm.

- = -

keyboard_tab EIDAS 2014/0910 NL

EIDAS 2014/0910 NL