EIDAS 2014/0910 NL

Een stelsel voor elektronische identificatie komt in aanmerking voor aanmelding overeenkomstig artikel 9, lid 1, indien aan alle onderstaande voorwaarden is voldaan:

het elektronische identificatiemiddel dat onder het stelsel voor elektronische identificatie valt wordt uitgegeven:

i)	door de aanmeldende lidstaat;

ii)	op grond van een mandaat van de aanmeldende lidstaat; of

iii)	onafhankelijk van de aanmeldende lidstaat, en wordt door die lidstaat erkend;

b)	de elektronische identificatiemiddelen uit hoofde van het stelsel voor elektronische identificatie kunnen worden gebruikt om toegang te verkrijgen tot ten minste één door een openbare instantie geleverde dienst waarvoor elektronische identificatie vereist is in de aanmeldende lidstaat;

c)	het stelsel voor elektronische identificatie en de uit hoofde ervan uitgegeven elektronische identificatiemiddelen voldoen aan de eisen van op zijn minst één van de betrouwbaarheidsniveaus, opgenomen in de in artikel 8, lid 3, vermelde uitvoeringshandeling;

de aanmeldende lidstaat waarborgt dat de persoonsidentificatiegegevens die de persoon in kwestie op unieke wijze kenmerken op het moment van uitgifte van het elektronische identificatiemiddel op grond van dat stelsel, conform de technische specificaties, normen en procedures voor het respectieve betrouwbaarheidsniveau zoals neergelegd in de uitvoeringshandeling bedoeld in artikel 8, lid 3, worden gekoppeld aan de natuurlijke persoon of rechtspersoon als bedoeld in artikel 3, punt 1;

de partij die het elektronische identificatiemiddel uitgeeft op grond van dat stelsel, zorgt ervoor dat het elektronische identificatiemiddel wordt gekoppeld aan de persoon bedoeld in punt d) van dat artikel, in overeenstemming met de technische specificaties, normen en procedures voor het respectieve betrouwbaarheidsniveau zoals neergelegd in de uitvoeringshandeling bedoeld in artikel 8, lid 3;

de aanmeldende lidstaat zorgt voor de beschikbaarheid van onlineauthenticatie, zodat iedere vertrouwende partij die op het grondgebied van een andere lidstaat gevestigd is, de mogelijkheid heeft de ontvangen persoonsidentificatiegegevens in elektronische vorm te bevestigen.

Voor andere vertrouwende partijen dan openbare instanties mag de aanmeldende lidstaat voorwaarden stellen voor toegang tot die authenticatie. Grensoverschrijdende authenticatie is kosteloos wanneer zij wordt uitgevoerd voor een door een openbare instantie verleende onlinedienst.

De lidstaten leggen geen specifieke onevenredige technische eisen op aan vertrouwende partijen die voornemens zijn een dergelijke authenticatie uit te voeren indien dergelijke eisen de interoperabiliteit van de aangemelde stelsels voor elektronische identificatie tegenhouden of in aanzienlijke mate belemmeren;

ten minste zes maanden voor de aanmelding bedoeld in artikel 9, lid 1, verstrekt de aanmeldende lidstaat met het oog op de verplichting van artikel 12, lid 5, de andere lidstaten een beschrijving van dat stelsel, in overeenstemming met de procedurele voorschriften die zijn vastgesteld bij de in artikel 12, lid 7, bedoelde uitvoeringshandelingen;

h)	het stelsel voor elektronische identificatie voldoet aan de eisen van de uitvoeringshandeling bedoeld in artikel 12, lid 8.

Artikel 12

Samenwerking en interoperabiliteit

1. De krachtens artikel 9, lid 1, aangemelde nationale stelsels voor elektronische identificatie zijn interoperabel.

2. Voor de toepassing van lid 1 wordt een interoperabiliteitskader opgezet.

3. Het interoperabiliteitskader voldoet aan de volgende criteria:

a)	het is erop gericht technologieneutraal te zijn en discrimineert niet tussen specifieke nationale technische oplossingen voor elektronische identificatie binnen de lidstaat;

b)	het volgt, zo mogelijk, Europese en internationale normen;

c)	het bevordert de toepassing van het beginsel van privacy by design; en

d)	het waarborgt dat persoonsgegevens overeenkomstig Richtlijn 95/46/EG worden verwerkt.

4. Het interoperabiliteitskader bestaat uit:

a)	een vermelding van de technische minimumeisen met betrekking tot de betrouwbaarheidsniveaus van artikel 8;

b)	het relateren van nationale betrouwbaarheidsniveaus van aangemelde stelsels voor elektronische identificatie aan de betrouwbaarheidsniveaus volgens artikel 8;

c)	een verwijzing naar technische minimumeisen voor interoperabiliteit;

d)	een verwijzing naar een minimaal pakket persoonsidentificatiegegevens die een natuurlijke of rechtspersoon op unieke wijze vertegenwoordigen, beschikbaar vanaf stelsels voor elektronische identificatie;

e)	procedureregels;

f)	regelingen voor geschillenbeslechting; en

g)	gemeenschappelijke operationele veiligheidsnormen.

5. De lidstaten werken op onderstaande gebieden samen:

a)	de interoperabiliteit van de uit hoofde van artikel 9, lid 1, aangemelde stelsels voor elektronische identificatie en de stelsels voor elektronische identificatie die de lidstaten voornemens zijn aan te melden; en

b)	de veiligheid van de stelsels voor elektronische identificatie.

6. De samenwerking tussen de lidstaten bestaat uit:

a)	de uitwisseling van informatie, ervaring en goede werkwijzen wat betreft stelsels voor elektronische identificatie en in het bijzonder wat betreft de technische vereisten inzake het niveau van interoperabiliteit en betrouwbaarheid;

b)	de uitwisseling van informatie, ervaring en goede werkwijzen wat betreft het werken met betrouwbaarheidsniveaus van stelsels voor elektronische identificatie volgens artikel 8;

c)	onderlinge evaluatie van stelsels voor elektronische identificatie die onder deze verordening vallen; en

d)	onderzoek naar ontwikkelingen ter zake in de sector van de elektronische identificatie.

7. De Commissie stelt uiterlijk op 18 maart 2015, door middel van uitvoeringshandelingen, de nodige procedurele voorschriften vast om de in lid 5 en lid 6 bedoelde samenwerking tussen de lidstaten te vergemakkelijken teneinde een hoog op het risiconiveau afgestemde niveau van vertrouwen en veiligheid te waarborgen.

8. De Commissie stelt uiterlijk op 18 september 2015, volgens de criteria in lid 3 en met inachtneming van de resultaten van de samenwerking tussen de lidstaten, uitvoeringshandelingen vast aangaande het lid 4 uitgewerkte interoperabiliteitskader ten behoeve van de vaststelling van eenduidige voorwaarden ter uitvoering van de in lid 1 bedoelde verplichting.

9. De in de leden 7 en 8 van dit artikel bedoelde uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

HOOFDSTUK III

VERTROUWENSDIENSTEN

AFDELING 1

Algemene bepalingen

Artikel 24

Eisen aan gekwalificeerde verleners van vertrouwensdiensten

1. Wanneer een gekwalificeerde verlener van vertrouwensdiensten een gekwalificeerd certificaat voor een vertrouwensdienst afgeeft, moet hij met daartoe geschikte middelen en overeenkomstig de nationale wetgeving de identiteit en in voorkomend geval de specifieke attributen verifiëren van de natuurlijke persoon of de rechtspersoon aan wie het gekwalificeerde certificaat wordt afgegeven.

De in de eerste alinea bedoelde informatie wordt door de gekwalificeerde verlener van vertrouwensdiensten geverifieerd, hetzij rechtstreeks, hetzij door een beroep te doen op een derde partij, overeenkomstig de nationale wetgeving:

a)	door de fysieke aanwezigheid van de natuurlijke persoon of een gemachtigde afgevaardigde van de rechtspersoon, of

op afstand, door middel van elektronische identificatiemiddelen, waarbij voorafgaand aan de afgifte van het gekwalificeerd certificaat de fysieke aanwezigheid van de natuurlijke persoon of de gemachtigde afgevaardigde van de rechtspersoon werd gewaarborgd, en die voldoen aan de vereisten van artikel 8 wat betreft de betrouwbaarheidsniveaus „substantieel” of „hoog”, of

c)	door middel van een certificaat van een gekwalificeerde elektronische handtekening of van een gekwalificeerd elektronisch zegel afgegeven overeenkomstig punt a) of b), of

d)	door middel van andere op nationaal niveau erkende identificatiemethoden die een mate van betrouwbaarheid verschaffen die gelijkwaardig is als fysieke aanwezigheid. Dat gelijkwaardige betrouwbaarheidsniveau wordt bevestigd door een conformiteitsbeoordelingsinstantie.

2. Een gekwalificeerde verlener van vertrouwensdiensten die gekwalificeerde vertrouwensdiensten verleent:

a)	stelt het toezichthoudende orgaan in kennis van veranderingen in de verlening van gekwalificeerde vertrouwensdiensten en een intentie om deze activiteiten te staken;

neemt personeelsleden, en, waar van toepassing, onderaannemers in dienst die over de noodzakelijke deskundigheid, betrouwbaarheid, ervaring, en kwalificaties beschikken, en die een passende opleiding hebben genoten met betrekking tot regels inzake beveiliging en bescherming van persoonsgegevens, en past administratieve en managementprocedures toe die voldoen aan Europese of internationale normen;

c)	zorgt ervoor dat hij, in verband met het risico op de in artikel 13 bedoelde aansprakelijkheid voor schade, voldoende financiële middelen ter beschikking heeft en/of sluit, overeenkomstig het nationale recht, een toereikende aansprakelijkheidsverzekering af;

verstrekt aan personen die gebruik wensen te maken van een gekwalificeerde vertrouwensdienst duidelijke en volledige informatie over de precieze voorwaarden betreffende het gebruik van die dienst, met inbegrip van eventuele beperkingen op het gebruik ervan, alvorens een contractuele verbintenis aan te gaan;

e)	maakt gebruik van betrouwbare systemen en producten die beschermd zijn tegen wijziging en die de technische veiligheid en betrouwbaarheid waarborgen van de processen die zij ondersteunen;

maakt gebruik van betrouwbare systemen voor de opslag van aan hem verstrekte gegevens in verifieerbare vorm, zodat:

i)	de gegevens uitsluitend publiek beschikbaar zijn indien de persoon op wie de gegevens betrekking hebben, hiervoor toestemming heeft gegeven,

ii)	alleen bevoegde personen de opgeslagen gegevens kunnen invoeren en wijzigen,

iii)	de authenticiteit van de gegevens kan worden gecontroleerd;

g)	neemt passende maatregelen tegen vervalsing en diefstal van gegevens;

legt gedurende een passende periode, ook nadat de gekwalificeerde verlener van vertrouwensdiensten zijn activiteiten heeft gestaakt, alle relevante informatie vast met betrekking tot de gegevens die de gekwalificeerde verlener van vertrouwensdiensten heeft afgegeven en ontvangen, en houdt deze informatie toegankelijk, met name om ten behoeve van gerechtelijke procedures bewijzen te kunnen leveren en om de continuïteit van de dienst te waarborgen. Dit vastleggen mag elektronisch plaatsvinden;

i)	heeft een geactualiseerd beëindigingsplan om de continuïteit van de dienst te verzekeren in overeenstemming met de door het toezichthoudende orgaan op grond van artikel 17, lid 4, onder i), geverifieerde bepalingen;

j)	zorgt voor wettelijke verwerking van persoonsgegevens in overeenstemming met Richtlijn 95/46/EG;

k)	legt, indien het gaat om gekwalificeerde verleners van vertrouwensdiensten die gekwalificeerde certificaten afgeven, een certificatendatabank aan en houdt deze actueel.

3. Indien een gekwalificeerde verlener van vertrouwensdiensten die gekwalificeerde certificaten afgeeft, beslist een certificaat in te trekken, dan registreert hij deze intrekking in zijn certificatendatabank en maakt hij de ingetrokken status van het certificaat tijdig, en in elk geval binnen 24 uur na ontvangst van het verzoek, bekend. De intrekking wordt onmiddellijk na de bekendmaking ervan van kracht.

4. Wat lid 3 betreft, verstrekken gekwalificeerde verleners van vertrouwensdiensten die gekwalificeerde certificaten afgeven, aan elke vertrouwende partij informatie over de geldigheid of ingetrokken status van door hen afgegeven gekwalificeerde certificaten. Deze informatie is op elk moment, en ook na de geldigheidsduur van het certificaat, in ieder geval per certificaat beschikbaar in een geautomatiseerde vorm die betrouwbaar, kosteloos en efficiënt is.

5. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor normen inzake betrouwbare systemen en producten, die voldoen aan de vereisten uit hoofde van lid 2, onder e) en f). Indien betrouwbare systemen en producten aan dergelijke normen voldoen, wordt aangenomen dat er overeenstemming is met de in dit artikel bepaalde eisen. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

AFDELING 4

Elektronische handtekeningen

Artikel 28

Gekwalificeerde certificaten voor elektronische handtekeningen

1. Gekwalificeerde certificaten voor elektronische handtekeningen voldoen aan de in bijlage I vastgestelde eisen.

2. Voor gekwalificeerde certificaten voor elektronische handtekeningen gelden geen dwingende eisen die strenger zijn dan de in bijlage I vastgestelde eisen.

3. Gekwalificeerde certificaten voor elektronische handtekeningen kunnen facultatieve aanvullende specifieke attributen hebben. Die attributen hebben geen invloed op de interoperabiliteit en de erkenning van gekwalificeerde elektronische handtekeningen.

4. Indien een gekwalificeerd certificaat voor elektronische handtekeningen na initiële activering wordt ingetrokken, verliest het zijn geldigheid vanaf het moment van de intrekking en kan de status ervan in geen geval worden hersteld.

5. Behoudens de hierna volgende voorwaarden kunnen lidstaten nationale regels vaststellen inzake de tijdelijke schorsing van een gekwalificeerd certificaat voor elektronische handtekeningen:

a)	indien een gekwalificeerd certificaat voor elektronische handtekeningen tijdelijk is geschorst, verliest dit certificaat gedurende de periode van de schorsing zijn geldigheid;

b)	de periode van schorsing wordt duidelijk aangegeven in de certificatendatabank en de schorsingsstatus is, gedurende de schorsingsperiode, zichtbaar vanuit de dienst die informatie over de status van het certificaat geeft.

6. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor normen inzake gekwalificeerde certificaten voor elektronische handtekeningen. Indien een gekwalificeerd certificaat voor elektronische handtekeningen aan dergelijke normen voldoet, wordt aangenomen dat er overeenstemming is met de in bijlage I vastgestelde eisen. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

Artikel 30

Certificering van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen

1. De overeenstemming van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen met de in bijlage II vastgestelde eisen wordt gecertificeerd door geschikte, daartoe door de lidstaten aangewezen openbare of private organen.

2. De lidstaten verstrekken aan de Commissie de namen en adressen van de in lid 1 bedoelde openbare of private organen. De Commissie stelt deze informatie beschikbaar aan de lidstaten.

3. De in lid 1 bedoelde certificering is gebaseerd op een van de volgende elementen:

a)	een veiligheidsbeoordeling uitgevoerd in overeenstemming met een van de normen inzake de veiligheidsbeoordeling van producten op het gebied van informatietechnologie die zijn opgenomen in de overeenkomstig de tweede alinea vastgestelde lijst, of

een ander proces dan het in punt a) vermelde, op voorwaarde dat dit proces vergelijkbare beveiligingsniveaus hanteert, en dat het in lid 1 bedoelde openbare of private orgaan de Commissie van het proces in kennis stelt. Dat proces mag alleen worden gebruikt als er geen in punt a) bedoelde normen zijn of wanneer een in punt a) bedoelde veiligheidsbeoordeling gaande is.

De Commissie stelt door middel van uitvoeringshandelingen een lijst vast voor de veiligheidsbeoordeling van producten op het gebied van onder a) bedoelde informatietechnologie. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

4. De Commissie is bevoegd overeenkomstig artikel 47 gedelegeerde handelingen vast te stellen met betrekking tot het opstellen van specifieke criteria waaraan de aangewezen organen zoals bedoeld in lid 1 van dit artikel moeten voldoen.

Artikel 38

Gekwalificeerde certificaten voor elektronische zegels

1. Gekwalificeerde certificaten voor elektronische zegels voldoen aan de in bijlage III vastgestelde eisen.

2. Voor gekwalificeerde certificaten voor elektronische zegels gelden geen dwingende eisen die strenger zijn dan de in bijlage III vastgestelde eisen.

3. Gekwalificeerde certificaten voor elektronische zegels kunnen facultatieve aanvullende specifieke attributen hebben. Die attributen hebben geen invloed op de interoperabiliteit en de erkenning van gekwalificeerde elektronische zegels.

4. Indien een gekwalificeerd certificaat voor elektronische zegels na initiële activering wordt ingetrokken, verliest het zijn geldigheid vanaf het moment van de intrekking en kan de status ervan in geen geval worden hersteld.

5. Behoudens de hierna volgende voorwaarden kunnen lidstaten nationale regels vaststellen inzake de tijdelijke schorsing van gekwalificeerde certificaten voor elektronische zegels:

a)	indien een gekwalificeerd certificaat voor elektronische zegels tijdelijk is geschorst, verliest dit certificaat gedurende de periode van de schorsing zijn geldigheid;

b)	de periode van schorsing wordt duidelijk aangegeven in de certificatendatabank en de schorsingsstatus is, gedurende de schorsingsperiode, zichtbaar vanuit de dienst die informatie geeft over de status van het certificaat.

6. De Commissie kan door middel van uitvoeringshandelingen referentienummers opstellen voor normen inzake gekwalificeerde certificaten voor elektronische zegels. Indien een gekwalificeerd certificaat voor elektronisch zegels aan dergelijke normen voldoet, wordt aangenomen dat er overeenstemming is met de in bijlage III vastgestelde eisen. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 49

Evaluatie

De Commissie evalueert de toepassing van deze verordening en brengt daarover uiterlijk op 1 juli 2020 verslag uit bij het Europees Parlement en de Raad. De Commissie evalueert met name of het gepast is het toepassingsgebied van deze verordening dan wel de specifieke bepalingen ervan, met inbegrip van artikel 6, artikel 7, onder f), en de artikelen 34, 43, 44 en 45 te wijzigen, rekening houdend met de ervaring met de toepassing van deze verordening, alsook met technologische, marktgebonden en juridische ontwikkelingen.

Het in de eerste alinea bedoelde verslag gaat, in voorkomend geval, vergezeld van wetgevingsvoorstellen.

Daarnaast dient de Commissie elke vier jaar na het in de eerste alinea bedoelde verslag een verslag over de vooruitgang bij de verwezenlijking van de doelstellingen van deze verordening in bij het Europees Parlement en de Raad.

whereas

(13) De lidstaten moeten de vrijheid behouden om ten behoeve van elektronische identificatie middelen voor toegang tot onlinediensten te gebruiken of in te voeren.
De lidstaten moeten ook kunnen beslissen of zij de private sector bij het aanbieden van deze middelen wensen te betrekken.
De lidstaten dienen niet te worden verplicht hun stelsels voor elektronische identificatie aan de Commissie te melden.
Het staat de lidstaten vrij om alle, sommige dan wel geen van de stelsels voor elektronische identificatie die op nationaal niveau worden gebruikt om ten minste toegang te krijgen tot publieke onlinediensten of specifieke diensten, aan de Commissie te melden.

- = -

(19) De veiligheid van stelsels voor elektronische identificatie is van cruciaal belang voor een betrouwbare grensoverschrijdende wederzijdse erkenning van elektronische identificatiemiddelen.
In dit verband moeten de lidstaten samenwerken op het gebied van de veiligheid en interoperabiliteit van de stelsels voor elektronische identificatie op Unieniveau.
Wanneer in stelsels voor elektronische identificatie wordt geëist dat de vertrouwende partijen specifieke hardware of software gebruiken op nationaal niveau, dan wordt de betrokken lidstaten in het kader van de grensoverschrijdende interoperabiliteit verzocht dergelijke vereisten en daarmee verband houdende kosten niet op te leggen aan vertrouwende partijen die buiten hun grondgebied gevestigd zijn.
In dat geval moeten binnen de grenzen van het interoperabiliteitskader passende oplossingen worden besproken en ontwikkeld.
Niettemin zijn technische vereisten die voortvloeien uit de inherente specificaties van nationale elektronische identificatiemiddelen en die waarschijnlijk gevolgen zullen hebben voor de houders van dergelijke elektronische middelen (bv.
smartcards), onvermijdelijk.

- = -

(48) Hoewel een hoog beveiligingsniveau nodig is om de wederzijdse erkenning van elektronische handtekeningen te waarborgen, moeten in specifieke gevallen, zoals in het kader van Beschikking 2009/767/EG van de Commissie (10), elektronische handtekeningen met een lagere veiligheidsgarantie ook aanvaard worden.

- = -

(52) Het aanmaken van elektronische handtekeningen op afstand, waarbij de omgeving waarin de elektronische handtekening wordt aangemaakt, door een verlener van vertrouwensdiensten namens de ondertekenaar wordt beheerd, zal wellicht toenemen gezien de talrijke economische voordelen ervan.
Om er evenwel voor te zorgen dat die elektronische handtekeningen dezelfde juridische erkenning krijgen als elektronische handtekeningen die zijn aangemaakt in een volledig door de gebruiker beheerde omgeving, dienen de verleners van diensten voor elektronische handtekeningen op afstand specifieke veiligheidsprocedures toe te passen wat betreft beheer en administratie, en gebruik te maken van betrouwbare systemen en producten, met inbegrip van beveiligde elektronische communicatiekanalen, om te waarborgen dat de omgeving waarin de elektronische handtekening wordt aangemaakt betrouwbaar is en dat uitsluitend de ondertekenaar controle heeft over het gebruik ervan.
Indien een gekwalificeerde elektronische handtekening is aangemaakt door gebruik te maken van een middel voor het aanmaken van elektronische handtekeningen op afstand, dienen de in deze verordening vastgelegde vereisten voor gekwalificeerde verleners van vertrouwensdiensten van toepassing te zijn.

- = -

(54) De grensoverschrijdende interoperabiliteit en erkenning van gekwalificeerde certificaten vormt een noodzakelijke voorwaarde voor grensoverschrijdende erkenning van gekwalificeerde elektronische handtekeningen.
Derhalve dienen voor gekwalificeerde certificaten geen dwingende vereisten te gelden die strenger zijn dan de in deze verordening vastgestelde vereisten.
Op nationaal niveau moet het evenwel mogelijk zijn specifieke kenmerken, zoals unieke identificatiegegevens, in gekwalificeerde certificaten te doen opnemen, mits die specifieke kenmerken de grensoverschrijdende interoperabiliteit en erkenning van gekwalificeerde certificaten en elektronische handtekeningen niet hinderen.

- = -

keyboard_tab EIDAS 2014/0910 NL

EIDAS 2014/0910 NL