keyboard_tab EIDAS 2014/0910 NL

whereas natuurlijke:

• whereas (37) 1
• whereas (60) 1
• whereas (74) 1

definitions:

Artikel 1

Onderwerp

Met het oog op het goede functioneren van de interne markt, en daarbij strevend naar een adequaat niveau van veiligheid van elektronische identificatiemiddelen en vertrouwensdiensten, worden bij deze verordening:

a)	de voorwaarden vastgesteld waaronder lidstaten elektronische identificatiemiddelen van natuurlijke personen en rechtspersonen erkennen die onder een aangemeld stelsel voor elektronische identificatie van een andere lidstaat vallen,

b)	regels vastgesteld voor vertrouwensdiensten, met name voor elektronische transacties, en

c)	een juridisch kader vastgesteld voor elektronische handtekeningen, elektronische zegels, elektronische tijdstempels, elektronische documenten, diensten voor elektronisch aangetekende bezorging en certificatendiensten voor websiteauthenticatie.

Artikel 3

Definities

Voor de doelstellingen van deze verordening, zijn de volgende definities van toepassing:

1.   „elektronische identificatie”: het proces van het gebruiken van persoonsidentificatiegegevens in elektronische vorm die op unieke wijze een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, aanduiden;

2.   „elektronisch identificatiemiddel”: een materiële en/of immateriële eenheid die persoonsidentificatiegegevens bevat en die gebruikt wordt voor authenticatie bij een onlinedienst;

3.   „persoonsidentificatiegegevens”: een reeks gegevens aan de hand waarvan de identiteit van een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, kan worden vastgesteld;

4.   „stelsel voor elektronische identificatie”: een stelsel voor elektronische identificatie waarbinnen elektronische identificatiemiddelen worden uitgegeven aan natuurlijke personen, rechtspersonen of natuurlijke personen die rechtspersonen vertegenwoordigen;

5.   „authenticatie”: een elektronisch proces dat de bevestiging van de elektronische identificatie van een natuurlijke persoon of rechtspersoon, of van de oorsprong en integriteit van gegevens in elektronische vorm mogelijk maakt;

6.   „vertrouwende partij”: een natuurlijke persoon of een rechtspersoon die vertrouwt op een elektronische identificatie of een vertrouwensdienst;

7.   „openbare instantie”: een staat, regionale of lokale overheden, publiekrechtelijke instellingen en samenwerkingsverbanden bestaand uit één of meer van deze overheidsinstanties of een of meer van deze publiekrechtelijke instellingen, of een private entiteit die door ten minste een van deze autoriteiten, publiekrechtelijke instellingen of verenigingen is gemachtigd tot het verlenen van openbare diensten, wanneer zij in die hoedanigheid optreden;

8.   „publiekrechtelijke instelling”: een instelling volgens de definitie in punt 4 van artikel 2, lid 1, van Richtlijn 2014/24/EU van het Europees Parlement en de Raad (15);

9.   „ondertekenaar”: een natuurlijke persoon die een elektronische handtekening aanmaakt;

10.   „elektronische handtekening”: gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen;

11.   „geavanceerde elektronische handtekening”: een elektronische handtekening die voldoet aan de eisen in artikel 26;

12.   „gekwalificeerde elektronische handtekening”: een geavanceerde elektronische handtekening die is aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen;

13.   „gegevens voor het aanmaken van elektronische handtekeningen”: unieke gegevens die door de ondertekenaar worden gebruikt om een elektronische handtekening aan te maken;

14.   „certificaat voor elektronische handtekeningen”: een elektronische attestering die valideringsgegevens voor elektronische handtekeningen aan een natuurlijke persoon koppelt en ten minste de naam of het pseudoniem van die persoon bevestigt;

15.   „gekwalificeerd certificaat voor elektronische handtekeningen”: een certificaat voor elektronische handtekeningen, dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage I;

16.   „vertrouwensdienst”: een elektronische dienst die gewoonlijk tegen betaling wordt verricht en het onderstaande inhoudt:

a)	het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging en op deze diensten betrekking hebbende certificaten of

b)	het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites, of

c)	het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben;

17.   „gekwalificeerde vertrouwensdienst”: een vertrouwensdienst die voldoet aan de toepasselijke eisen zoals vastgelegd in deze verordening;

18.   „conformiteitsbeoordelingsinstantie”: een instantie omschreven in artikel 2, punt 13, van Verordening (EG) nr. 765/2008, die in overeenstemming met die verordening geaccrediteerd is om een conformiteitsbeoordeling te verrichten van een gekwalificeerde verlener van vertrouwensdiensten en van de door hem verleende vertrouwensdiensten;

19.   „verlener van vertrouwensdiensten”: een natuurlijke persoon of rechtspersoon die een of meer vertrouwensdiensten verleent als een gekwalificeerde of als een niet-gekwalificeerde verlener van vertrouwensdiensten;

20.   „gekwalificeerde verlener van vertrouwensdiensten”: een verlener van vertrouwensdiensten die één of meerdere gekwalificeerde vertrouwensdiensten verleent en van het toezichthoudende orgaan de status van gekwalificeerde heeft gekregen;

21.   „product”: software of hardware, of relevante componenten van hardware of software, die bedoeld zijn om te worden gebruikt voor de verlening van vertrouwensdiensten;

22.   „middel voor het aanmaken van elektronische handtekeningen”: geconfigureerde software of hardware die wordt gebruikt om een elektronische handtekening aan te maken;

23.   „gekwalificeerd middel voor het aanmaken van elektronische handtekeningen”: een middel voor het aanmaken van elektronische handtekeningen dat voldoet aan de eisen van bijlage II;

24.   „aanmaker van een zegel”: een rechtspersoon die een elektronisch zegel aanmaakt;

25.   „elektronisch zegel”: gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die worden gebruikt om de oorsprong en integriteit daarvan te waarborgen;

26.   „geavanceerd elektronisch zegel”: een elektronisch zegel dat voldoet aan de eisen in artikel 36;

27.   „gekwalificeerd elektronisch zegel”: een geavanceerd elektronisch zegel dat aangemaakt is door een gekwalificeerd middel voor het aanmaken van elektronische zegels en dat gebaseerd is op een gekwalificeerd certificaat voor elektronische zegels;

28.   „gegevens voor het aanmaken van elektronische zegels”: unieke gegevens die door de aanmaker van het elektronische zegel worden gebruikt om een elektronisch zegel aan te maken;

29.   „certificaat voor elektronische zegels”: een elektronische attestering die valideringsgegevens van elektronische zegels aan een rechtspersoon verbindt en de naam van die rechtspersoon bevestigt;

30.   „gekwalificeerd certificaat voor elektronische zegels”: een certificaat voor een elektronische zegel dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage III;

31.   „middel voor het aanmaken van elektronische zegels”: geconfigureerde software of hardware die wordt gebruikt om een elektronisch zegel aan te maken;

32.   „gekwalificeerd middel voor het aanmaken van elektronische zegels”: een middel voor het aanmaken van elektronische zegels dat mutatis mutandis voldoet aan de eisen van bijlage II;

33.   „elektronische tijdstempel”: gegevens in elektronische vorm die andere gegevens in elektronische vorm verbinden aan een bepaald tijdstip en die bewijzen dat die laatstgenoemde gegevens op dat tijdstip bestonden;

34.   „gekwalificeerde elektronische tijdstempel”: een elektronische tijdstempel die voldoet aan de in artikel 42 vastgelegde eisen;

35.   „elektronisch document”: elke inhoud die is opgeslagen in elektronische vorm, in het bijzonder tekst of geluid, beeld of audiovisuele opname;

36.   „dienst voor elektronisch aangetekende bezorging”: een dienst die het mogelijk maakt gegevens via elektronische middelen tussen derden te verzenden en die bewijs verschaft ten aanzien van het hanteren van de verzonden gegevens, met inbegrip van bewijs van het verzenden en ontvangen van de gegevens, en die de verzonden gegevens beschermt tegen het risico van verlies, diefstal, beschadiging of onbevoegde wijzigingen;

37.   „gekwalificeerde dienst voor elektronisch aangetekende bezorging”: een dienst voor elektronisch aangetekende bezorging die voldoet aan de in artikel 44 vastgestelde eisen;

38.   „certificaat voor websiteauthenticatie”: attestering die het mogelijk maakt de authenticiteit van een website vast te stellen en die de website verbindt aan de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven;

39.   „gekwalificeerd certificaat voor websiteauthenticatie”: certificaat voor websiteauthenticatie dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage IV;

40.   „valideringsgegevens”: gegevens die worden gebruikt om een elektronische handtekening of elektronisch zegel te valideren;

41.   „validering”: proces waarmee wordt nagegaan of en bevestigd dat een elektronische handtekening of een elektronisch zegel geldig is.

Artikel 7

Voorwaarden voor het in aanmerking komen voor de aanmelding van stelsels voor elektronische identificatie

Een stelsel voor elektronische identificatie komt in aanmerking voor aanmelding overeenkomstig artikel 9, lid 1, indien aan alle onderstaande voorwaarden is voldaan:

a)	het elektronische identificatiemiddel dat onder het stelsel voor elektronische identificatie valt wordt uitgegeven: i) door de aanmeldende lidstaat; ii) op grond van een mandaat van de aanmeldende lidstaat; of iii) onafhankelijk van de aanmeldende lidstaat, en wordt door die lidstaat erkend;

b)	de elektronische identificatiemiddelen uit hoofde van het stelsel voor elektronische identificatie kunnen worden gebruikt om toegang te verkrijgen tot ten minste één door een openbare instantie geleverde dienst waarvoor elektronische identificatie vereist is in de aanmeldende lidstaat;

c)	het stelsel voor elektronische identificatie en de uit hoofde ervan uitgegeven elektronische identificatiemiddelen voldoen aan de eisen van op zijn minst één van de betrouwbaarheidsniveaus, opgenomen in de in artikel 8, lid 3, vermelde uitvoeringshandeling;

d)

de aanmeldende lidstaat waarborgt dat de persoonsidentificatiegegevens die de persoon in kwestie op unieke wijze kenmerken op het moment van uitgifte van het elektronische identificatiemiddel op grond van dat stelsel, conform de technische specificaties, normen en procedures voor het respectieve betrouwbaarheidsniveau zoals neergelegd in de uitvoeringshandeling bedoeld in artikel 8, lid 3, worden gekoppeld aan de natuurlijke persoon of rechtspersoon als bedoeld in artikel 3, punt 1;

e)

de partij die het elektronische identificatiemiddel uitgeeft op grond van dat stelsel, zorgt ervoor dat het elektronische identificatiemiddel wordt gekoppeld aan de persoon bedoeld in punt d) van dat artikel, in overeenstemming met de technische specificaties, normen en procedures voor het respectieve betrouwbaarheidsniveau zoals neergelegd in de uitvoeringshandeling bedoeld in artikel 8, lid 3;

f)

de aanmeldende lidstaat zorgt voor de beschikbaarheid van onlineauthenticatie, zodat iedere vertrouwende partij die op het grondgebied van een andere lidstaat gevestigd is, de mogelijkheid heeft de ontvangen persoonsidentificatiegegevens in elektronische vorm te bevestigen. Voor andere vertrouwende partijen dan openbare instanties mag de aanmeldende lidstaat voorwaarden stellen voor toegang tot die authenticatie. Grensoverschrijdende authenticatie is kosteloos wanneer zij wordt uitgevoerd voor een door een openbare instantie verleende onlinedienst. De lidstaten leggen geen specifieke onevenredige technische eisen op aan vertrouwende partijen die voornemens zijn een dergelijke authenticatie uit te voeren indien dergelijke eisen de interoperabiliteit van de aangemelde stelsels voor elektronische identificatie tegenhouden of in aanzienlijke mate belemmeren;

g)

ten minste zes maanden voor de aanmelding bedoeld in artikel 9, lid 1, verstrekt de aanmeldende lidstaat met het oog op de verplichting van artikel 12, lid 5, de andere lidstaten een beschrijving van dat stelsel, in overeenstemming met de procedurele voorschriften die zijn vastgesteld bij de in artikel 12, lid 7, bedoelde uitvoeringshandelingen;

h)	het stelsel voor elektronische identificatie voldoet aan de eisen van de uitvoeringshandeling bedoeld in artikel 12, lid 8.

Artikel 8

Betrouwbaarheidsniveaus van stelsels voor elektronische identificatie

1.   Een stelsel voor elektronische identificatie dat is aangemeld krachtens artikel 9, lid 1, omschrijft betrouwbaarheidsniveaus laag, substantieel en/of hoog voor op grond van dat stelsel uitgegeven elektronische identificatiemiddelen.

2.   De betrouwbaarheidsniveaus laag, substantieel en hoog voldoen respectievelijk aan de volgende criteria:

a)

het betrouwbaarheidsniveau laag betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een beperkte mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen;

b)

het betrouwbaarheidsniveau substantieel betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een substantiële mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen;

c)

het betrouwbaarheidsniveau hoog betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een hogere mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt dan een elektronisch identificatiemiddel met betrouwbaarheidsniveau substantieel, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te voorkomen.

3.   Uiterlijk op 18 september 2015, rekening houdend met de geldende internationale normen en behoudens lid 2, stelt de Commissie bij uitvoeringshandeling minimale technische specificaties, normen en procedures vast aan de hand waarvan de betrouwbaarheidsniveaus laag, substantieel en hoog worden bepaald voor de elektronische identificatiemiddelen als bedoeld in lid 1.

Deze minimale technische specificaties, normen en procedures worden vastgesteld onder verwijzing naar de betrouwbaarheid en kwaliteit van de volgende elementen:

a)	de procedure om de identiteit van de natuurlijke of rechtspersoon die om uitgifte van het elektronisch identificatiemiddel verzoekt, te bewijzen en te verifiëren;

b)	de procedure voor de uitgifte van het aangevraagde elektronische identificatiemiddel;

c)	het authenticatiemechanisme, door middel waarvan de natuurlijke of rechtspersoon het elektronische identificatiemiddel gebruikt om zijn identiteit te bevestigen tegenover een vertrouwende partij;

d)	de entiteit die het elektronische identificatiemiddel uitgeeft;

e)	ieder ander orgaan dat betrokken is bij de uitgifte van het elektronische identificatiemiddel en

f)	de technische en veiligheidsspecificaties van het uitgegeven elektronische identificatiemiddel.

Die uitvoeringsbesluiten worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 11

Aansprakelijkheid

1.   De aanmeldende lidstaat is aansprakelijk voor aan een natuurlijke persoon of rechtspersoon met opzet of door nalatigheid toegebrachte schade die is te wijten aan een verzuim zijn verplichtingen uit hoofde van artikel 7, onder d) en f), in een grensoverschrijdende transactie na te leven.

2.   De partij die de elektronische identificatiemiddelen verstrekt, is aansprakelijk voor aan een natuurlijke persoon of rechtspersoon met opzet of door nalatigheid toegebrachte schade die te wijten is aan een verzuim de verplichting bedoeld in artikel 7, onder e), in een grensoverschrijdende transactie na te leven.

3.   De partij die de authenticatieprocedure uitvoert, is aansprakelijk voor aan een natuurlijke persoon of een rechtspersoon met opzet of door nalatigheid toegebrachte schade die te wijten is aan een verzuim de verplichting bedoeld in artikel 7, onder f), in een grensoverschrijdende transactie na te leven.

4.   De leden 1, 2 en 3 worden toegepast in overeenstemming met de nationale rechtsregels aangaande aansprakelijkheid.

5.   De leden 1, 2 en 3 doen niet af aan de aansprakelijkheid uit hoofde van nationale wetgeving van partijen bij een transactie waarin elektronische identificatiemiddelen worden gebruikt die onder het krachtens artikel 9, lid 1, aangemelde stelsel voor elektronische identificatie vallen.

Artikel 12

Samenwerking en interoperabiliteit

1.   De krachtens artikel 9, lid 1, aangemelde nationale stelsels voor elektronische identificatie zijn interoperabel.

2.   Voor de toepassing van lid 1 wordt een interoperabiliteitskader opgezet.

3.   Het interoperabiliteitskader voldoet aan de volgende criteria:

a)	het is erop gericht technologieneutraal te zijn en discrimineert niet tussen specifieke nationale technische oplossingen voor elektronische identificatie binnen de lidstaat;

b)	het volgt, zo mogelijk, Europese en internationale normen;

c)	het bevordert de toepassing van het beginsel van privacy by design; en

d)	het waarborgt dat persoonsgegevens overeenkomstig Richtlijn 95/46/EG worden verwerkt.

4.   Het interoperabiliteitskader bestaat uit:

a)	een vermelding van de technische minimumeisen met betrekking tot de betrouwbaarheidsniveaus van artikel 8;

b)	het relateren van nationale betrouwbaarheidsniveaus van aangemelde stelsels voor elektronische identificatie aan de betrouwbaarheidsniveaus volgens artikel 8;

c)	een verwijzing naar technische minimumeisen voor interoperabiliteit;

d)	een verwijzing naar een minimaal pakket persoonsidentificatiegegevens die een natuurlijke of rechtspersoon op unieke wijze vertegenwoordigen, beschikbaar vanaf stelsels voor elektronische identificatie;

e)	procedureregels;

f)	regelingen voor geschillenbeslechting; en

g)	gemeenschappelijke operationele veiligheidsnormen.

5.   De lidstaten werken op onderstaande gebieden samen:

a)	de interoperabiliteit van de uit hoofde van artikel 9, lid 1, aangemelde stelsels voor elektronische identificatie en de stelsels voor elektronische identificatie die de lidstaten voornemens zijn aan te melden; en

b)	de veiligheid van de stelsels voor elektronische identificatie.

6.   De samenwerking tussen de lidstaten bestaat uit:

a)	de uitwisseling van informatie, ervaring en goede werkwijzen wat betreft stelsels voor elektronische identificatie en in het bijzonder wat betreft de technische vereisten inzake het niveau van interoperabiliteit en betrouwbaarheid;

b)	de uitwisseling van informatie, ervaring en goede werkwijzen wat betreft het werken met betrouwbaarheidsniveaus van stelsels voor elektronische identificatie volgens artikel 8;

c)	onderlinge evaluatie van stelsels voor elektronische identificatie die onder deze verordening vallen; en

d)	onderzoek naar ontwikkelingen ter zake in de sector van de elektronische identificatie.

7.   De Commissie stelt uiterlijk op 18 maart 2015, door middel van uitvoeringshandelingen, de nodige procedurele voorschriften vast om de in lid 5 en lid 6 bedoelde samenwerking tussen de lidstaten te vergemakkelijken teneinde een hoog op het risiconiveau afgestemde niveau van vertrouwen en veiligheid te waarborgen.

8.   De Commissie stelt uiterlijk op 18 september 2015, volgens de criteria in lid 3 en met inachtneming van de resultaten van de samenwerking tussen de lidstaten, uitvoeringshandelingen vast aangaande het lid 4 uitgewerkte interoperabiliteitskader ten behoeve van de vaststelling van eenduidige voorwaarden ter uitvoering van de in lid 1 bedoelde verplichting.

9.   De in de leden 7 en 8 van dit artikel bedoelde uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

HOOFDSTUK III

VERTROUWENSDIENSTEN

AFDELING 1

Algemene bepalingen

Artikel 13

Aansprakelijkheid en bewijslast

1.   Onverminderd lid 2 zijn verleners van vertrouwensdiensten aansprakelijk voor opzettelijk of uit onachtzaamheid toegebrachte schade aan een natuurlijke persoon of rechtspersoon die is te wijten aan een verzuim de verplichtingen uit hoofde van deze verordening na te leven.

De bewijslast voor het aantonen van opzet of nalatigheid van een niet gekwalificeerde verlener van vertrouwensdiensten ligt bij de natuurlijke persoon of de rechtspersoon die zich op de in de eerste alinea 1 bedoelde schade beroept.

De opzet of nalatigheid van een gekwalificeerde verlener van vertrouwensdiensten wordt vermoed tenzij die gekwalificeerde verlener van vertrouwensdiensten bewijst dat in de eerste alinea bedoelde schade is ontstaan zonder dat er sprake was van opzet of nalatigheid van die gekwalificeerde verlener van vertrouwensdiensten.

2.   Indien verleners van vertrouwensdiensten hun klanten van te voren goed informeren over de beperkingen bij het gebruik van de aangeboden diensten en als deze beperkingen voor derden herkenbaar zijn, zijn verleners van vertrouwensdiensten niet aansprakelijk voor schade die ontstaat door gebruikmaking van diensten die de aangegeven beperkingen overschrijden.

3.   De leden 1 en 2 worden toegepast volgens de nationale voorschriften inzake aansprakelijkheid.

Artikel 19

Veiligheidseisen die van toepassing zijn op verleners van vertrouwensdiensten

1.   Gekwalificeerde en niet gekwalificeerde verleners van vertrouwensdiensten treffen passende technische en organisatorische maatregelen om de risico’s te beheren in verband met de veiligheid van de door hen verleende vertrouwensdiensten. Deze maatregelen waarborgen, rekening houdend met de meest recente technologische ontwikkelingen, een veiligheidsniveau dat in verhouding staat tot de mate van risico. In het bijzonder worden maatregelen getroffen om de gevolgen van veiligheidsincidenten te voorkomen en tot een minimum te beperken alsmede om belanghebbenden op de hoogte te stellen van de negatieve gevolgen van dergelijke incidenten.

2.   Gekwalificeerde en niet gekwalificeerde verleners van vertrouwensdiensten stellen, zonder onnodige vertragingen maar in ieder geval binnen 24 uur nadat zij hiervan op de hoogte zijn geraakt, het toezichthoudende orgaan, en, waar passend, andere relevante organen zoals het bevoegde nationale orgaan voor informatieveiligheid of de gegevensbeschermingsautoriteit op de hoogte van iedere veiligheidsinbreuk of ieder integriteitsverlies met aanzienlijke gevolgen voor de verleende vertrouwensdienst of voor de persoonsgegevens die daarmee worden beheerd.

Indien de veiligheidsinbreuk of het integriteitsverlies naar verwachting negatieve gevolgen zal hebben voor een natuurlijke persoon of een rechtspersoon aan wie een vertrouwensdienst is verleend, stelt de verlener van de vertrouwensdienst ook de natuurlijke persoon of de rechtspersoon onmiddellijk in kennis van de veiligheidsinbreuk of het integriteitsverlies.

Indien van toepassing, in het bijzonder indien een veiligheidsinbreuk of integriteitsverlies twee of meer lidstaten treft, stelt het op de hoogte gestelde toezichthoudende orgaan de toezichthoudende organen in andere betrokken lidstaten en Enisa op de hoogte.

Het op de hoogte gestelde toezichthoudende orgaan informeert het publiek, of eist dat de verlener van vertrouwensdiensten dat doet, indien het van oordeel is dat bekendmaking van de veiligheidsinbreuk of het integriteitsverlies in het algemene belang is.

3.   Het toezichthoudende orgaan bezorgt het Enisa eenmaal per jaar een samenvatting van meldingen van inbreuken op beveiliging en integriteitsverlies die zijn ontvangen van verleners van vertrouwensdiensten.

4.   De Commissie kan middels uitvoeringshandelingen:

a)	de in lid 1 bedoelde maatregelen nader specificeren, en

b)	de formaten en procedures, met inbegrip van termijnen, definiëren die van toepassing zijn voor de doeleinden van lid 2.

Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

AFDELING 3

Vertrouwensdiensten

Artikel 24

Eisen aan gekwalificeerde verleners van vertrouwensdiensten

1.   Wanneer een gekwalificeerde verlener van vertrouwensdiensten een gekwalificeerd certificaat voor een vertrouwensdienst afgeeft, moet hij met daartoe geschikte middelen en overeenkomstig de nationale wetgeving de identiteit en in voorkomend geval de specifieke attributen verifiëren van de natuurlijke persoon of de rechtspersoon aan wie het gekwalificeerde certificaat wordt afgegeven.

De in de eerste alinea bedoelde informatie wordt door de gekwalificeerde verlener van vertrouwensdiensten geverifieerd, hetzij rechtstreeks, hetzij door een beroep te doen op een derde partij, overeenkomstig de nationale wetgeving:

a)	door de fysieke aanwezigheid van de natuurlijke persoon of een gemachtigde afgevaardigde van de rechtspersoon, of

b)

op afstand, door middel van elektronische identificatiemiddelen, waarbij voorafgaand aan de afgifte van het gekwalificeerd certificaat de fysieke aanwezigheid van de natuurlijke persoon of de gemachtigde afgevaardigde van de rechtspersoon werd gewaarborgd, en die voldoen aan de vereisten van artikel 8 wat betreft de betrouwbaarheidsniveaus „substantieel” of „hoog”, of

c)	door middel van een certificaat van een gekwalificeerde elektronische handtekening of van een gekwalificeerd elektronisch zegel afgegeven overeenkomstig punt a) of b), of

d)	door middel van andere op nationaal niveau erkende identificatiemethoden die een mate van betrouwbaarheid verschaffen die gelijkwaardig is als fysieke aanwezigheid. Dat gelijkwaardige betrouwbaarheidsniveau wordt bevestigd door een conformiteitsbeoordelingsinstantie.

2.   Een gekwalificeerde verlener van vertrouwensdiensten die gekwalificeerde vertrouwensdiensten verleent:

a)	stelt het toezichthoudende orgaan in kennis van veranderingen in de verlening van gekwalificeerde vertrouwensdiensten en een intentie om deze activiteiten te staken;

b)

neemt personeelsleden, en, waar van toepassing, onderaannemers in dienst die over de noodzakelijke deskundigheid, betrouwbaarheid, ervaring, en kwalificaties beschikken, en die een passende opleiding hebben genoten met betrekking tot regels inzake beveiliging en bescherming van persoonsgegevens, en past administratieve en managementprocedures toe die voldoen aan Europese of internationale normen;

c)	zorgt ervoor dat hij, in verband met het risico op de in artikel 13 bedoelde aansprakelijkheid voor schade, voldoende financiële middelen ter beschikking heeft en/of sluit, overeenkomstig het nationale recht, een toereikende aansprakelijkheidsverzekering af;

d)

verstrekt aan personen die gebruik wensen te maken van een gekwalificeerde vertrouwensdienst duidelijke en volledige informatie over de precieze voorwaarden betreffende het gebruik van die dienst, met inbegrip van eventuele beperkingen op het gebruik ervan, alvorens een contractuele verbintenis aan te gaan;

e)	maakt gebruik van betrouwbare systemen en producten die beschermd zijn tegen wijziging en die de technische veiligheid en betrouwbaarheid waarborgen van de processen die zij ondersteunen;

f)

maakt gebruik van betrouwbare systemen voor de opslag van aan hem verstrekte gegevens in verifieerbare vorm, zodat: i) de gegevens uitsluitend publiek beschikbaar zijn indien de persoon op wie de gegevens betrekking hebben, hiervoor toestemming heeft gegeven, ii) alleen bevoegde personen de opgeslagen gegevens kunnen invoeren en wijzigen, iii) de authenticiteit van de gegevens kan worden gecontroleerd;

g)	neemt passende maatregelen tegen vervalsing en diefstal van gegevens;

h)

legt gedurende een passende periode, ook nadat de gekwalificeerde verlener van vertrouwensdiensten zijn activiteiten heeft gestaakt, alle relevante informatie vast met betrekking tot de gegevens die de gekwalificeerde verlener van vertrouwensdiensten heeft afgegeven en ontvangen, en houdt deze informatie toegankelijk, met name om ten behoeve van gerechtelijke procedures bewijzen te kunnen leveren en om de continuïteit van de dienst te waarborgen. Dit vastleggen mag elektronisch plaatsvinden;

i)	heeft een geactualiseerd beëindigingsplan om de continuïteit van de dienst te verzekeren in overeenstemming met de door het toezichthoudende orgaan op grond van artikel 17, lid 4, onder i), geverifieerde bepalingen;

j)	zorgt voor wettelijke verwerking van persoonsgegevens in overeenstemming met Richtlijn 95/46/EG;

k)	legt, indien het gaat om gekwalificeerde verleners van vertrouwensdiensten die gekwalificeerde certificaten afgeven, een certificatendatabank aan en houdt deze actueel.

3.   Indien een gekwalificeerde verlener van vertrouwensdiensten die gekwalificeerde certificaten afgeeft, beslist een certificaat in te trekken, dan registreert hij deze intrekking in zijn certificatendatabank en maakt hij de ingetrokken status van het certificaat tijdig, en in elk geval binnen 24 uur na ontvangst van het verzoek, bekend. De intrekking wordt onmiddellijk na de bekendmaking ervan van kracht.

4.   Wat lid 3 betreft, verstrekken gekwalificeerde verleners van vertrouwensdiensten die gekwalificeerde certificaten afgeven, aan elke vertrouwende partij informatie over de geldigheid of ingetrokken status van door hen afgegeven gekwalificeerde certificaten. Deze informatie is op elk moment, en ook na de geldigheidsduur van het certificaat, in ieder geval per certificaat beschikbaar in een geautomatiseerde vorm die betrouwbaar, kosteloos en efficiënt is.

5.   De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor normen inzake betrouwbare systemen en producten, die voldoen aan de vereisten uit hoofde van lid 2, onder e) en f). Indien betrouwbare systemen en producten aan dergelijke normen voldoen, wordt aangenomen dat er overeenstemming is met de in dit artikel bepaalde eisen. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

AFDELING 4

Elektronische handtekeningen

Artikel 51

Overgangsmaatregelen

1.   Veilige middelen voor het aanmaken van handtekeningen waarvan de overeenstemming bepaald is overeenkomstig artikel 3, lid 4, van Richtlijn 1999/93/EG, worden beschouwd als gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen in de zin van de onderhavige verordening.

2.   Gekwalificeerde certificaten voor natuurlijke personen in de zin van Richtlijn 1999/93/EG worden, totdat zij verlopen, beschouwd als gekwalificeerde certificaten voor elektronische handtekeningen in de zin van onderhavige verordening.

3.   Een certificatiedienstverlener die gekwalificeerde certificaten overeenkomstig Richtlijn 1999/93/EG afgeeft, dient zo spoedig mogelijk, maar niet later dan 1 juli 2017, een conformiteitsbeoordelingsverslag in bij het toezichthoudend orgaan. Tot de indiening van dat conformiteitsbeoordelingsverslag en de voltooiing van de beoordeling ervan door het toezichthoudend orgaan wordt die certificatiedienstverlener beschouwd als een gekwalificeerde verlener van vertrouwensdiensten in de zin van deze verordening.

4.   Indien een certificatiedienstverlener die gekwalificeerde certificaten overeenkomstig Richtlijn 1999/93/EG afgeeft, niet binnen de in lid 3 bedoelde termijn een conformiteitsbeoordelingsverslag indient bij het toezichthoudend orgaan, wordt die certificatiedienstverlener vanaf 2 juli 2017 niet beschouwd als gekwalificeerde verlener van vertrouwensdiensten in de zin van deze verordening.

Artikel 52

Inwerkingtreding

1.   Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

2.   Deze verordening is van toepassing vanaf 1 juli 2016, met uitzondering van onderstaande:

a)

artikel 8, lid 3, artikel 9, lid 5, artikel 12, lid 2 tot en met 9, artikel 17, lid 8, artikel 19, lid 4, artikel 20, lid 4, artikel 21, lid 4, artikel 22, lid 5, artikel 23, lid 3, artikel 24, lid 5, artikel 27, lid 4 en lid 5, artikel 28, lid 6, artikel 29, lid 2, artikel 30, lid 3 en lid 4, artikel 31, lid 3, artikel 32, lid 3, artikel 33, lid 2, artikel 34, lid 2, artikel 37, lid 4 en lid 5, artikel 38, lid 6, artikel 42, lid 2, artikel 44, lid 2, artikel 45, lid 2, en artikelen 47 en 48 zijn van toepassing met ingang van 17 september 2014;

b)	artikel 7, artikel 8, leden 1 en 2, de artikelen 9, 10, 11 en artikel 12, lid 1, zijn van toepassing vanaf de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen;

c)	artikel 6 is van toepassing vanaf drie jaar na de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen.

3.   Indien het aangemelde stelsel voor elektronische identificatie voorkomt in de lijst die de Commissie krachtens artikel 9 bekendmaakt, en wel vóór de datum in lid 2, onder c), van dit artikel, wordt het elektronische identificatiemiddel in het kader van dat stelsel krachtens artikel 6 erkend binnen twaalf maanden na de bekendmaking van dat stelsel, maar niet vóór de datum in lid 2, onder c), van dit artikel.

4.   Niettegenstaande lid 2, onder c), van dit artikel kan een lidstaat besluiten dat elektronische identificatiemiddelen in het kader van een stelsel voor elektronische identificatie, krachtens artikel 9, lid 1, door een andere lidstaat aangemeld, in de eerste lidstaat worden erkend met ingang van de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen. De betrokken lidstaten stellen de Commissie daarvan in kennis. De Commissie maakt deze informatie openbaar.

---

(1)  PB C 351 van 15.11.2012, blz. 73.

(2)  Standpunt van het Europees Parlement van 3 april 2014 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 23 juli 2014.

(3)  Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (PB L 13 van 19.1.2000, blz. 12).

(4)  PB C 50 E van 21.2.2012, blz. 1.

(5)  Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt (PB L 376 van 27.12.2006, blz. 36).

(6)  Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB L 88 van 4.4.2011, blz. 45).

(7)  Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31).

(8)  Besluit 2010/48/EG van de Raad van 26 november 2009 betreffende de sluiting door de Europese Gemeenschap van het Verdrag van de Verenigde Naties inzake de rechten van personen met een handicap (PB L 23 van 27.1.2010, blz. 35).

(9)  Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30).

(10)  Beschikking 2009/767/EG van de Commissie van 16 oktober 2009 inzake maatregelen voor een gemakkelijker gebruik van elektronische procedures via het „één-loket” in het kader van Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PB L 274 van 20.10.2009, blz. 36).

(11)  Besluit 2011/130/EU van de Commissie van 25 februari 2011 tot vaststelling van minimumvoorschriften voor de grensoverschrijdende verwerking van documenten die door de bevoegde autoriteiten elektronisch zijn ondertekend krachtens Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PB L 53 van 26.2.2011, blz. 66).

(12)  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(13)  Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

(14)  PB C 28 van 30.1.2013, blz. 6.

(15)  Richtlijn 2014/24/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende het plaatsen van overheidsopdrachten en tot intrekking van Richtlijn 2004/18/EG (PB L 94 van 28.3.2014, blz. 65).

---

---

---

---