keyboard_tab EIDAS 2014/0910 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artikel 19 Veiligheidseisen die van toepassing zijn op verleners van vertrouwensdiensten
- 1 Artikel 20 Toezicht op gekwalificeerde verleners van vertrouwensdiensten
- 1 Artikel 21 Aanvang voor het aanbieden van een gekwalificeerde vertrouwensdienst
- 3 Artikel 47 Uitoefening van de bevoegdheidsdelegatie
- 1 Artikel 51 Overgangsmaatregelen
- Artikel 52 Inwerkingtreding
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
ELEKTRONISCHE IDENTIFICATIE
HOOFDSTUK III
VERTROUWENSDIENSTEN
AFDELING 1
Algemene bepalingen
AFDELING 2
Toezicht
AFDELING 3
Vertrouwensdiensten
AFDELING 4
Elektronische handtekeningen
AFDELING 5
Elektronische zegels
AFDELING 6
Elektronisch tijdstempel
AFDELING 7
Diensten voor elektronisch aangetekende bezorging
AFDELING 8
Authenticatie van websites
HOOFDSTUK IV
ELEKTRONISCHE DOCUMENTEN
HOOFDSTUK V
BEVOEGDHEIDSDELEGATIES EN UITVOERINGSBEPALINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- vertrouwensdiensten 32
- gekwalificeerde 27
- orgaan 22
- artikel 19
- voor 18
- toezichthoudend 15
- verleners 14
- deze 13
- door 13
- bedoelde 13
- worden 12
- verlener 12
- indien 11
- hoogte 9
- niet 9
- zijn 9
- verordening 8
- overeenkomstig 7
- commissie 7
- binnen 7
- conformiteitsbeoordelingsverslag 6
- wordt 6
- integriteitsverlies 6
- europees 6
- termijn 6
- parlement 6
- raad 6
- status 6
- verleende 6
- vertrouwensdienst 5
- uitvoeringshandelingen 5
- veiligheidsinbreuk 5
- gevolgen 5
- de 5
- kennisgeving 5
- maanden 5
- eisen 5
- toezichthoudende 5
- gekwalificeerde 5
- gedelegeerde 5
- maatregelen 4
- vastgestelde 4
- toepassing 4
- stellen 4
- certificaten 4
- bijzonder 4
- stelt 4
- beschouwd 4
- richtlijn 4
- certificatiedienstverlener 4
Artikel 19
Veiligheidseisen die van toepassing zijn op verleners van vertrouwensdiensten
1. Gekwalificeerde en niet gekwalificeerde verleners van vertrouwensdiensten treffen passende technische en organisatorische maatregelen om de risico’s te beheren in verband met de veiligheid van de door hen verleende vertrouwensdiensten. Deze maatregelen waarborgen, rekening houdend met de meest recente technologische ontwikkelingen, een veiligheidsniveau dat in verhouding staat tot de mate van risico. In het bijzonder worden maatregelen getroffen om de gevolgen van veiligheidsincidenten te voorkomen en tot een minimum te beperken alsmede om belanghebbenden op de hoogte te stellen van de negatieve gevolgen van dergelijke incidenten.
2. Gekwalificeerde en niet gekwalificeerde verleners van vertrouwensdiensten stellen, zonder onnodige vertragingen maar in ieder geval binnen 24 uur nadat zij hiervan op de hoogte zijn geraakt, het toezichthoudende orgaan, en, waar passend, andere relevante organen zoals het bevoegde nationale orgaan voor informatieveiligheid of de gegevensbeschermingsautoriteit op de hoogte van iedere veiligheidsinbreuk of ieder integriteitsverlies met aanzienlijke gevolgen voor de verleende vertrouwensdienst of voor de persoonsgegevens die daarmee worden beheerd.
Indien de veiligheidsinbreuk of het integriteitsverlies naar verwachting negatieve gevolgen zal hebben voor een natuurlijke persoon of een rechtspersoon aan wie een vertrouwensdienst is verleend, stelt de verlener van de vertrouwensdienst ook de natuurlijke persoon of de rechtspersoon onmiddellijk in kennis van de veiligheidsinbreuk of het integriteitsverlies.
Indien van toepassing, in het bijzonder indien een veiligheidsinbreuk of integriteitsverlies twee of meer lidstaten treft, stelt het op de hoogte gestelde toezichthoudende orgaan de toezichthoudende organen in andere betrokken lidstaten en Enisa op de hoogte.
Het op de hoogte gestelde toezichthoudende orgaan informeert het publiek, of eist dat de verlener van vertrouwensdiensten dat doet, indien het van oordeel is dat bekendmaking van de veiligheidsinbreuk of het integriteitsverlies in het algemene belang is.
3. Het toezichthoudende orgaan bezorgt het Enisa eenmaal per jaar een samenvatting van meldingen van inbreuken op beveiliging en integriteitsverlies die zijn ontvangen van verleners van vertrouwensdiensten.
4. De Commissie kan middels uitvoeringshandelingen:
| a) | de in lid 1 bedoelde maatregelen nader specificeren, en |
| b) | de formaten en procedures, met inbegrip van termijnen, definiëren die van toepassing zijn voor de doeleinden van lid 2. |
Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.
AFDELING 3
Vertrouwensdiensten
Artikel 20
Toezicht op gekwalificeerde verleners van vertrouwensdiensten
1. Gekwalificeerde verleners van vertrouwensdiensten worden minstens eens in de 24 maanden op hun kosten onderworpen aan een audit door een conformiteitsbeoordelingsorgaan. Het doel van deze audit is te bevestigen dat de gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die door hen worden verleend, voldoen aan de in deze verordening vastgestelde eisen. De gekwalificeerde verleners van vertrouwensdiensten dienen het conformiteitsbeoordelingsverslag binnen de termijn van drie werkdagen na ontvangst in bij het toezichthoudend orgaan.
2. Onverminderd het bepaalde in lid 1 kan het toezichthoudend orgaan op elk tijdstip een audit houden van, of een conformiteitsbeoordelingsorgaan verzoeken een conformiteitsbeoordeling uit te voeren ten aanzien van de gekwalificeerde verleners van vertrouwensdiensten, en wel op kosten van deze verleners van vertrouwensdiensten, om te bevestigen dat zij en de gekwalificeerde vertrouwensdiensten die door hen verleend worden, voldoen aan de in deze verordening vastgestelde vereisten. Indien er sprake blijkt te zijn van een inbreuk op de regels voor de bescherming van persoonsgegevens brengt het toezichthoudend orgaan de instanties voor gegevensbescherming op de hoogte van de resultaten van de audits.
3. Indien het toezichthoudend orgaan van de gekwalificeerde verlener van vertrouwensdiensten vereist dat deze het niet naleven van de eisen uit hoofde van deze verordening rechtzet en indien deze verlener niet aan dat verzoek tegemoet komt, en indien van toepassing binnen een door het toezichthoudend orgaan bepaalde tijdspanne, kan het toezichthoudend orgaan, gelet op in het bijzonder de mate, de duur en de gevolgen van die niet-naleving, de status van gekwalificeerde van die verlener of van de door hem verleende betrokken dienst intrekken en het in artikel 22, lid 3, bedoelde orgaan daarvan op de hoogte brengen met als doel de actualisering van de in artikel 22, lid 1, bedoelde vertrouwenslijsten. Het toezichthoudend orgaan stelt de gekwalificeerde verlener van vertrouwensdiensten in kennis van het feit dat zijn status van gekwalificeerde of de status van gekwalificeerde van de betrokken dienst is ingetrokken.
4. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor onderstaande normen:
| a) | accreditering van de conformiteitsbeoordelingsinstanties en voor het conformiteitsbeoordelingsverslag bedoeld in lid 1; |
| b) | auditregels volgens welke conformiteitsbeoordelingsinstanties hun conformiteitsbeoordeling van de gekwalificeerde verleners van vertrouwensdiensten, bedoeld in lid 1, uitvoeren. |
Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.
Artikel 21
Aanvang voor het aanbieden van een gekwalificeerde vertrouwensdienst
1. Indien verleners van vertrouwensdiensten die niet over de status gekwalificeerd beschikken de intentie hebben gekwalificeerde vertrouwensdiensten te gaan leveren, dienen zij bij het toezichthoudend orgaan een kennisgeving van hun voornemen in, evenals een door een conformiteitsbeoordelingsorgaan afgegeven conformiteitsbeoordelingsverslag.
2. Het toezichthoudend orgaan verifieert of de verlener van vertrouwensdiensten en de door hem verleende vertrouwensdiensten in overeenstemming met de in deze verordening vastgestelde eisen zijn, en in het bijzonder met de eisen die worden gesteld aan gekwalificeerde verleners van vertrouwensdiensten en aan de gekwalificeerde vertrouwensdiensten die zij verlenen.
Indien het toezichthoudend orgaan tot het oordeel komt dat de verlener van vertrouwensdiensten en de door hem verleende vertrouwensdiensten in overeenstemming met de in de eerste alinea bedoelde eisen zijn, kent het toezichthoudend orgaan de status van gekwalificeerde toe aan de verlener van vertrouwensdiensten en aan de door hem verleende vertrouwensdiensten en stelt het het in artikel 22, lid 3, bedoelde orgaan in kennis zodatde in artikel 22, lid 1, bedoelde vertrouwenslijsten bijgewerkt worden, en wel binnen drie maanden na kennisgeving overeenkomstig lid 1 van dit artikel.
Indien de verificatie niet binnen drie maanden na de kennisgeving is afgerond, brengt het toezichthoudend orgaan de verlener van vertrouwensdiensten op de hoogte van de redenen voor de vertraging en van de termijn waarbinnen de verificatie zal zijn afgerond.
3. Gekwalificeerde verleners van vertrouwensdiensten mogen beginnen met het verlenen van de gekwalificeerde vertrouwensdienst nadat de status van gekwalificeerde is opgenomen in de in artikel 22, lid 1, bedoelde vertrouwenslijsten.
4. De Commissie kan door middel van uitvoeringshandelingen de formaten en procedures omschrijven voor de doeleinden van de leden 1 en 2. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.
Artikel 47
Uitoefening van de bevoegdheidsdelegatie
1. De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.
2. De in artikel 30, lid 4, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor onbepaalde duur met ingang van 17 september 2014.
3. Het Europees Parlement of de Raad kan de in artikel 30, lid 4, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.
4. Zodra de Commissie een gedelegeerde handeling vaststelt, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.
5. Een overeenkomstig artikel 30, lid 4, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad daartegen bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.
Artikel 51
Overgangsmaatregelen
1. Veilige middelen voor het aanmaken van handtekeningen waarvan de overeenstemming bepaald is overeenkomstig artikel 3, lid 4, van Richtlijn 1999/93/EG, worden beschouwd als gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen in de zin van de onderhavige verordening.
2. Gekwalificeerde certificaten voor natuurlijke personen in de zin van Richtlijn 1999/93/EG worden, totdat zij verlopen, beschouwd als gekwalificeerde certificaten voor elektronische handtekeningen in de zin van onderhavige verordening.
3. Een certificatiedienstverlener die gekwalificeerde certificaten overeenkomstig Richtlijn 1999/93/EG afgeeft, dient zo spoedig mogelijk, maar niet later dan 1 juli 2017, een conformiteitsbeoordelingsverslag in bij het toezichthoudend orgaan. Tot de indiening van dat conformiteitsbeoordelingsverslag en de voltooiing van de beoordeling ervan door het toezichthoudend orgaan wordt die certificatiedienstverlener beschouwd als een gekwalificeerde verlener van vertrouwensdiensten in de zin van deze verordening.
4. Indien een certificatiedienstverlener die gekwalificeerde certificaten overeenkomstig Richtlijn 1999/93/EG afgeeft, niet binnen de in lid 3 bedoelde termijn een conformiteitsbeoordelingsverslag indient bij het toezichthoudend orgaan, wordt die certificatiedienstverlener vanaf 2 juli 2017 niet beschouwd als gekwalificeerde verlener van vertrouwensdiensten in de zin van deze verordening.
whereas