EIDAS 2014/0910 NL

Met het oog op het goede functioneren van de interne markt, en daarbij strevend naar een adequaat niveau van veiligheid van elektronische identificatiemiddelen en vertrouwensdiensten, worden bij deze verordening:

a)	de voorwaarden vastgesteld waaronder lidstaten elektronische identificatiemiddelen van natuurlijke personen en rechtspersonen erkennen die onder een aangemeld stelsel voor elektronische identificatie van een andere lidstaat vallen,

b)	regels vastgesteld voor vertrouwensdiensten, met name voor elektronische transacties, en

c)	een juridisch kader vastgesteld voor elektronische handtekeningen, elektronische zegels, elektronische tijdstempels, elektronische documenten, diensten voor elektronisch aangetekende bezorging en certificatendiensten voor websiteauthenticatie.

Artikel 2

Toepassingsgebied

1. Deze verordening is van toepassing op stelsels voor elektronische identificatie die zijn aangemeld door een lidstaat en op verleners van vertrouwensdiensten die in de Unie zijn gevestigd.

2. Deze verordening is niet van toepassing op de verlening van vertrouwensdiensten die uitsluitend in systemen die gesloten zijn als gevolg van nationaal recht of overeenkomsten tussen een welbepaalde groep deelnemers.

3. Deze verordening doet geen afbreuk aan nationaal of Unierecht dat betrekking heeft op de totstandkoming en geldigheid van contracten of andere wettelijke of procedurele verplichtingen inzake vormvereisten.

Artikel 3

Definities

Voor de doelstellingen van deze verordening, zijn de volgende definities van toepassing:

1. „elektronische identificatie”: het proces van het gebruiken van persoonsidentificatiegegevens in elektronische vorm die op unieke wijze een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, aanduiden;

2. „elektronisch identificatiemiddel”: een materiële en/of immateriële eenheid die persoonsidentificatiegegevens bevat en die gebruikt wordt voor authenticatie bij een onlinedienst;

3. „persoonsidentificatiegegevens”: een reeks gegevens aan de hand waarvan de identiteit van een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, kan worden vastgesteld;

4. „stelsel voor elektronische identificatie”: een stelsel voor elektronische identificatie waarbinnen elektronische identificatiemiddelen worden uitgegeven aan natuurlijke personen, rechtspersonen of natuurlijke personen die rechtspersonen vertegenwoordigen;

5. „authenticatie”: een elektronisch proces dat de bevestiging van de elektronische identificatie van een natuurlijke persoon of rechtspersoon, of van de oorsprong en integriteit van gegevens in elektronische vorm mogelijk maakt;

6. „vertrouwende partij”: een natuurlijke persoon of een rechtspersoon die vertrouwt op een elektronische identificatie of een vertrouwensdienst;

7. „openbare instantie”: een staat, regionale of lokale overheden, publiekrechtelijke instellingen en samenwerkingsverbanden bestaand uit één of meer van deze overheidsinstanties of een of meer van deze publiekrechtelijke instellingen, of een private entiteit die door ten minste een van deze autoriteiten, publiekrechtelijke instellingen of verenigingen is gemachtigd tot het verlenen van openbare diensten, wanneer zij in die hoedanigheid optreden;

8. „publiekrechtelijke instelling”: een instelling volgens de definitie in punt 4 van artikel 2, lid 1, van Richtlijn 2014/24/EU van het Europees Parlement en de Raad (15);

9. „ondertekenaar”: een natuurlijke persoon die een elektronische handtekening aanmaakt;

10. „elektronische handtekening”: gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen;

11. „geavanceerde elektronische handtekening”: een elektronische handtekening die voldoet aan de eisen in artikel 26;

12. „gekwalificeerde elektronische handtekening”: een geavanceerde elektronische handtekening die is aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen;

13. „gegevens voor het aanmaken van elektronische handtekeningen”: unieke gegevens die door de ondertekenaar worden gebruikt om een elektronische handtekening aan te maken;

14. „certificaat voor elektronische handtekeningen”: een elektronische attestering die valideringsgegevens voor elektronische handtekeningen aan een natuurlijke persoon koppelt en ten minste de naam of het pseudoniem van die persoon bevestigt;

15. „gekwalificeerd certificaat voor elektronische handtekeningen”: een certificaat voor elektronische handtekeningen, dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage I;

16. „vertrouwensdienst”: een elektronische dienst die gewoonlijk tegen betaling wordt verricht en het onderstaande inhoudt:

a)	het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging en op deze diensten betrekking hebbende certificaten of

b)	het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites, of

c)	het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben;

17. „gekwalificeerde vertrouwensdienst”: een vertrouwensdienst die voldoet aan de toepasselijke eisen zoals vastgelegd in deze verordening;

18. „conformiteitsbeoordelingsinstantie”: een instantie omschreven in artikel 2, punt 13, van verordening (EG) nr. 765/2008, die in overeenstemming met die verordening geaccrediteerd is om een conformiteitsbeoordeling te verrichten van een gekwalificeerde verlener van vertrouwensdiensten en van de door hem verleende vertrouwensdiensten;

19. „verlener van vertrouwensdiensten”: een natuurlijke persoon of rechtspersoon die een of meer vertrouwensdiensten verleent als een gekwalificeerde of als een niet-gekwalificeerde verlener van vertrouwensdiensten;

20. „gekwalificeerde verlener van vertrouwensdiensten”: een verlener van vertrouwensdiensten die één of meerdere gekwalificeerde vertrouwensdiensten verleent en van het toezichthoudende orgaan de status van gekwalificeerde heeft gekregen;

21. „product”: software of hardware, of relevante componenten van hardware of software, die bedoeld zijn om te worden gebruikt voor de verlening van vertrouwensdiensten;

22. „middel voor het aanmaken van elektronische handtekeningen”: geconfigureerde software of hardware die wordt gebruikt om een elektronische handtekening aan te maken;

23. „gekwalificeerd middel voor het aanmaken van elektronische handtekeningen”: een middel voor het aanmaken van elektronische handtekeningen dat voldoet aan de eisen van bijlage II;

24. „aanmaker van een zegel”: een rechtspersoon die een elektronisch zegel aanmaakt;

25. „elektronisch zegel”: gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die worden gebruikt om de oorsprong en integriteit daarvan te waarborgen;

26. „geavanceerd elektronisch zegel”: een elektronisch zegel dat voldoet aan de eisen in artikel 36;

27. „gekwalificeerd elektronisch zegel”: een geavanceerd elektronisch zegel dat aangemaakt is door een gekwalificeerd middel voor het aanmaken van elektronische zegels en dat gebaseerd is op een gekwalificeerd certificaat voor elektronische zegels;

28. „gegevens voor het aanmaken van elektronische zegels”: unieke gegevens die door de aanmaker van het elektronische zegel worden gebruikt om een elektronisch zegel aan te maken;

29. „certificaat voor elektronische zegels”: een elektronische attestering die valideringsgegevens van elektronische zegels aan een rechtspersoon verbindt en de naam van die rechtspersoon bevestigt;

30. „gekwalificeerd certificaat voor elektronische zegels”: een certificaat voor een elektronische zegel dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage III;

31. „middel voor het aanmaken van elektronische zegels”: geconfigureerde software of hardware die wordt gebruikt om een elektronisch zegel aan te maken;

32. „gekwalificeerd middel voor het aanmaken van elektronische zegels”: een middel voor het aanmaken van elektronische zegels dat mutatis mutandis voldoet aan de eisen van bijlage II;

33. „elektronische tijdstempel”: gegevens in elektronische vorm die andere gegevens in elektronische vorm verbinden aan een bepaald tijdstip en die bewijzen dat die laatstgenoemde gegevens op dat tijdstip bestonden;

34. „gekwalificeerde elektronische tijdstempel”: een elektronische tijdstempel die voldoet aan de in artikel 42 vastgelegde eisen;

35. „elektronisch document”: elke inhoud die is opgeslagen in elektronische vorm, in het bijzonder tekst of geluid, beeld of audiovisuele opname;

36. „dienst voor elektronisch aangetekende bezorging”: een dienst die het mogelijk maakt gegevens via elektronische middelen tussen derden te verzenden en die bewijs verschaft ten aanzien van het hanteren van de verzonden gegevens, met inbegrip van bewijs van het verzenden en ontvangen van de gegevens, en die de verzonden gegevens beschermt tegen het risico van verlies, diefstal, beschadiging of onbevoegde wijzigingen;

37. „gekwalificeerde dienst voor elektronisch aangetekende bezorging”: een dienst voor elektronisch aangetekende bezorging die voldoet aan de in artikel 44 vastgestelde eisen;

38. „certificaat voor websiteauthenticatie”: attestering die het mogelijk maakt de authenticiteit van een website vast te stellen en die de website verbindt aan de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven;

39. „gekwalificeerd certificaat voor websiteauthenticatie”: certificaat voor websiteauthenticatie dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage IV;

40. „valideringsgegevens”: gegevens die worden gebruikt om een elektronische handtekening of elektronisch zegel te valideren;

41. „validering”: proces waarmee wordt nagegaan of en bevestigd dat een elektronische handtekening of een elektronisch zegel geldig is.

Artikel 4

Internemarktbeginsel

1. Aan de verlening van vertrouwensdiensten op het grondgebied van een lidstaat door een verlener van vertrouwensdiensten die in een andere lidstaat gevestigd is mogen geen beperkingen worden opgelegd om redenen die behoren tot de gebieden waarop deze verordening betrekking heeft.

2. Producten en vertrouwensdiensten die aan deze verordening voldoen, kunnen in de interne markt in het vrije verkeer worden gebracht.

Artikel 12

Samenwerking en interoperabiliteit

1. De krachtens artikel 9, lid 1, aangemelde nationale stelsels voor elektronische identificatie zijn interoperabel.

2. Voor de toepassing van lid 1 wordt een interoperabiliteitskader opgezet.

3. Het interoperabiliteitskader voldoet aan de volgende criteria:

a)	het is erop gericht technologieneutraal te zijn en discrimineert niet tussen specifieke nationale technische oplossingen voor elektronische identificatie binnen de lidstaat;

b)	het volgt, zo mogelijk, Europese en internationale normen;

c)	het bevordert de toepassing van het beginsel van privacy by design; en

d)	het waarborgt dat persoonsgegevens overeenkomstig Richtlijn 95/46/EG worden verwerkt.

4. Het interoperabiliteitskader bestaat uit:

a)	een vermelding van de technische minimumeisen met betrekking tot de betrouwbaarheidsniveaus van artikel 8;

b)	het relateren van nationale betrouwbaarheidsniveaus van aangemelde stelsels voor elektronische identificatie aan de betrouwbaarheidsniveaus volgens artikel 8;

c)	een verwijzing naar technische minimumeisen voor interoperabiliteit;

d)	een verwijzing naar een minimaal pakket persoonsidentificatiegegevens die een natuurlijke of rechtspersoon op unieke wijze vertegenwoordigen, beschikbaar vanaf stelsels voor elektronische identificatie;

e)	procedureregels;

f)	regelingen voor geschillenbeslechting; en

g)	gemeenschappelijke operationele veiligheidsnormen.

5. De lidstaten werken op onderstaande gebieden samen:

a)	de interoperabiliteit van de uit hoofde van artikel 9, lid 1, aangemelde stelsels voor elektronische identificatie en de stelsels voor elektronische identificatie die de lidstaten voornemens zijn aan te melden; en

b)	de veiligheid van de stelsels voor elektronische identificatie.

6. De samenwerking tussen de lidstaten bestaat uit:

a)	de uitwisseling van informatie, ervaring en goede werkwijzen wat betreft stelsels voor elektronische identificatie en in het bijzonder wat betreft de technische vereisten inzake het niveau van interoperabiliteit en betrouwbaarheid;

b)	de uitwisseling van informatie, ervaring en goede werkwijzen wat betreft het werken met betrouwbaarheidsniveaus van stelsels voor elektronische identificatie volgens artikel 8;

c)	onderlinge evaluatie van stelsels voor elektronische identificatie die onder deze verordening vallen; en

d)	onderzoek naar ontwikkelingen ter zake in de sector van de elektronische identificatie.

7. De Commissie stelt uiterlijk op 18 maart 2015, door middel van uitvoeringshandelingen, de nodige procedurele voorschriften vast om de in lid 5 en lid 6 bedoelde samenwerking tussen de lidstaten te vergemakkelijken teneinde een hoog op het risiconiveau afgestemde niveau van vertrouwen en veiligheid te waarborgen.

8. De Commissie stelt uiterlijk op 18 september 2015, volgens de criteria in lid 3 en met inachtneming van de resultaten van de samenwerking tussen de lidstaten, uitvoeringshandelingen vast aangaande het lid 4 uitgewerkte interoperabiliteitskader ten behoeve van de vaststelling van eenduidige voorwaarden ter uitvoering van de in lid 1 bedoelde verplichting.

9. De in de leden 7 en 8 van dit artikel bedoelde uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

HOOFDSTUK III

VERTROUWENSDIENSTEN

AFDELING 1

Algemene bepalingen

Artikel 13

Aansprakelijkheid en bewijslast

1. Onverminderd lid 2 zijn verleners van vertrouwensdiensten aansprakelijk voor opzettelijk of uit onachtzaamheid toegebrachte schade aan een natuurlijke persoon of rechtspersoon die is te wijten aan een verzuim de verplichtingen uit hoofde van deze verordening na te leven.

De bewijslast voor het aantonen van opzet of nalatigheid van een niet gekwalificeerde verlener van vertrouwensdiensten ligt bij de natuurlijke persoon of de rechtspersoon die zich op de in de eerste alinea 1 bedoelde schade beroept.

De opzet of nalatigheid van een gekwalificeerde verlener van vertrouwensdiensten wordt vermoed tenzij die gekwalificeerde verlener van vertrouwensdiensten bewijst dat in de eerste alinea bedoelde schade is ontstaan zonder dat er sprake was van opzet of nalatigheid van die gekwalificeerde verlener van vertrouwensdiensten.

2. Indien verleners van vertrouwensdiensten hun klanten van te voren goed informeren over de beperkingen bij het gebruik van de aangeboden diensten en als deze beperkingen voor derden herkenbaar zijn, zijn verleners van vertrouwensdiensten niet aansprakelijk voor schade die ontstaat door gebruikmaking van diensten die de aangegeven beperkingen overschrijden.

3. De leden 1 en 2 worden toegepast volgens de nationale voorschriften inzake aansprakelijkheid.

Artikel 16

Sancties

De lidstaten stellen de voorschriften vast inzake de sancties die van toepassing zijn op inbreuken op deze verordening. De vastgestelde sancties moeten doeltreffend, evenredig en afschrikkend zijn.

AFDELING 2

Toezicht

Artikel 17

Toezichthoudend orgaan

1. De lidstaten wijzen een toezichthoudend orgaan aan dat gevestigd is op hun grondgebied of, in overeenstemming met een andere lidstaat, een in die andere lidstaat gevestigd toezichthoudend orgaan. Dat orgaanis verantwoordelijk voor toezichthoudende taken in de aanwijzende lidstaat.

Toezichthoudende organen krijgen de noodzakelijke bevoegdheden en toereikende middelen voor de uitvoering van hun opdrachten.

2. De lidstaten delen de Commissie de namen en adressen mee van de door hen aangewezen toezichthoudende organen.

3. De rol van het toezichthoudend orgaan is:

toezicht te houden op gekwalificeerde verleners van vertrouwensdiensten die gevestigd zijn in de aanwijzende lidstaat om door middel van toezichthoudende activiteiten vooraf en achteraf te waarborgen dat deze gekwalificeerde verleners van vertrouwensdiensten en de door hen verleende gekwalificeerde vertrouwensdiensten voldoen aan de eisen in deze verordening;

indien nodig tegen niet-gekwalificeerde verleners van vertrouwensdiensten die gevestigd zijn in de aanwijzende lidstaat op te treden door middel van toezichthoudende activiteiten achteraf, wanneer het orgaan verneemt dat deze niet-gekwalificeerde verleners van vertrouwensdiensten of de door hen verleende vertrouwensdiensten niet zouden voldoen aan de vereisten van deze verordening.

4. Met het oog op de doeleinden van lid 3 en behoudens de aldaar aangegeven beperkingen bestaan de taken van het toezichthoudend orgaan in het bijzonder in:

a)	samenwerking met andere toezichthoudende organen en bijstandsverlening aan deze organen overeenkomstig artikel 18;

b)	analyse van de conformiteitsbeoordelingsverslagen bedoeld in artikel 20, lid 1, en artikel 21, lid 1;

c)	andere toezichthoudende organen en het publiek overeenkomstig artikel 19, lid 2, op de hoogte brengen van veiligheidsinbreuken of integriteitsverlies;

d)	aan de Commissie verslag uitbrengen over zijn hoofdactiviteiten, overeenkomstig lid 6;

e)	audits uitvoeren of een conformiteitsbeoordelingsinstantie verzoeken een conformiteitsbeoordeling te doen van de gekwalificeerde verleners van vertrouwensdiensten overeenkomstig artikel 20, lid 2;

samenwerken met de gegevensbeschermingsinstanties en in het bijzonder deze instanties zonder onnodige vertraging informeren over de resultaten van de audits van gekwalificeerde verleners van vertrouwensdiensten indien er aanwijzingen zijn dat er regels inzake bescherming van persoonsgegevens zijn overtreden;

g)	de status van gekwalificeerde toekennen aan verleners van vertrouwensdiensten en aan de door hen verleende diensten, en deze status intrekken, overeenkomstig de artikelen 20 en 21;

h)	het voor de nationale vertrouwenslijst verantwoordelijke orgaan, bedoeld in artikel 22, lid 3, op de hoogte brengen van zijn besluiten om de status van gekwalificeerde toe te kennen of in te trekken, tenzij dit orgaan ook het toezichthoudend orgaan is;

i)	indien de gekwalificeerde verlener van vertrouwensdiensten zijn activiteiten beëindigt, nagaan of er bepalingen bestaan over beëindigingsplannen en of deze correct worden toegepast, ook inzake de vraag hoe informatie toegankelijk wordt gehouden overeenkomstig artikel 24, lid 2, onder h);

j)	eisen dat verleners van vertrouwensdiensten iedere niet-naleving van de in deze verordening vastgestelde voorschriften rechtzetten.

5. De lidstaten mogen vereisen dat het toezichthoudende orgaan een vertrouwensinfrastructuur opzet, onderhoudt en geregeld aanpast in overeenstemming met de voorwaarden uit hoofde van het nationale recht.

6. Elk toezichthoudend orgaan legt de Commissie jaarlijks uiterlijk op 31 maart een verslag voor over zijn hoofdactiviteiten in het voorgaande kalenderjaar, evenals een samenvatting van inbreukmeldingen die van verleners van vertrouwensdiensten ontvangen zijn overeenkomstig artikel 19, lid 2.

7. De Commissie stelt het in lid 6 bedoelde jaarverslag voor de lidstaten beschikbaar.

8. De Commissie kan door middel van uitvoeringshandelingen de formaten en procedures voor het in lid 6 bedoelde verslag definiëren. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

Artikel 18

Wederzijdse bijstand

1. Toezichthoudende organen moeten samenwerken met het oog op de uitwisseling van goede praktijken.

Een toezichthoudend orgaan verleent een ander toezichthoudend orgaan bij ontvangst van diens gemotiveerd verzoek bijstand, zodat de activiteiten van toezichthoudende organen op consistente wijze kunnen worden uitgevoerd. Wederzijdse bijstand kan in het bijzonder betrekking hebben op informatieverzoeken en toezichthoudende maatregelen, zoals verzoeken om inspecties uit te voeren in verband met de conformiteitsbeoordelingsverslagen bedoeld in de artikelen 20 en 21.

2. Een toezichthoudend orgaan tot welk een verzoek om bijstand wordt gericht, mag dat verzoek om alle onderstaande redenen weigeren:

a)	het toezichthoudend orgaan is niet bevoegd om de gevraagde bijstand te leveren;

b)	de gevraagde bijstand staat niet in verhouding tot de toezichthoudende activiteiten van het toezichthoudend orgaan, uitgevoerd overeenkomstig artikel 17;

c)	het aanbieden van de gevraagde bijstand zou onverenigbaar zijn met deze verordening.

3. Indien van toepassing kunnen lidstaten hun toezichthoudende organen toestaan gezamenlijke onderzoeken uit te voeren waarbij personeelsleden van toezichthoudende organen van andere lidstaten betrokken zijn. De regelingen en procedures voor dergelijke gezamenlijke acties worden door de betrokken lidstaten overeenkomstig hun wetgeving overeengekomen en vastgelegd.

Artikel 20

Toezicht op gekwalificeerde verleners van vertrouwensdiensten

1. Gekwalificeerde verleners van vertrouwensdiensten worden minstens eens in de 24 maanden op hun kosten onderworpen aan een audit door een conformiteitsbeoordelingsorgaan. Het doel van deze audit is te bevestigen dat de gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die door hen worden verleend, voldoen aan de in deze verordening vastgestelde eisen. De gekwalificeerde verleners van vertrouwensdiensten dienen het conformiteitsbeoordelingsverslag binnen de termijn van drie werkdagen na ontvangst in bij het toezichthoudend orgaan.

2. Onverminderd het bepaalde in lid 1 kan het toezichthoudend orgaan op elk tijdstip een audit houden van, of een conformiteitsbeoordelingsorgaan verzoeken een conformiteitsbeoordeling uit te voeren ten aanzien van de gekwalificeerde verleners van vertrouwensdiensten, en wel op kosten van deze verleners van vertrouwensdiensten, om te bevestigen dat zij en de gekwalificeerde vertrouwensdiensten die door hen verleend worden, voldoen aan de in deze verordening vastgestelde vereisten. Indien er sprake blijkt te zijn van een inbreuk op de regels voor de bescherming van persoonsgegevens brengt het toezichthoudend orgaan de instanties voor gegevensbescherming op de hoogte van de resultaten van de audits.

3. Indien het toezichthoudend orgaan van de gekwalificeerde verlener van vertrouwensdiensten vereist dat deze het niet naleven van de eisen uit hoofde van deze verordening rechtzet en indien deze verlener niet aan dat verzoek tegemoet komt, en indien van toepassing binnen een door het toezichthoudend orgaan bepaalde tijdspanne, kan het toezichthoudend orgaan, gelet op in het bijzonder de mate, de duur en de gevolgen van die niet-naleving, de status van gekwalificeerde van die verlener of van de door hem verleende betrokken dienst intrekken en het in artikel 22, lid 3, bedoelde orgaan daarvan op de hoogte brengen met als doel de actualisering van de in artikel 22, lid 1, bedoelde vertrouwenslijsten. Het toezichthoudend orgaan stelt de gekwalificeerde verlener van vertrouwensdiensten in kennis van het feit dat zijn status van gekwalificeerde of de status van gekwalificeerde van de betrokken dienst is ingetrokken.

4. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor onderstaande normen:

a)	accreditering van de conformiteitsbeoordelingsinstanties en voor het conformiteitsbeoordelingsverslag bedoeld in lid 1;

b)	auditregels volgens welke conformiteitsbeoordelingsinstanties hun conformiteitsbeoordeling van de gekwalificeerde verleners van vertrouwensdiensten, bedoeld in lid 1, uitvoeren.

Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

Artikel 21

Aanvang voor het aanbieden van een gekwalificeerde vertrouwensdienst

1. Indien verleners van vertrouwensdiensten die niet over de status gekwalificeerd beschikken de intentie hebben gekwalificeerde vertrouwensdiensten te gaan leveren, dienen zij bij het toezichthoudend orgaan een kennisgeving van hun voornemen in, evenals een door een conformiteitsbeoordelingsorgaan afgegeven conformiteitsbeoordelingsverslag.

2. Het toezichthoudend orgaan verifieert of de verlener van vertrouwensdiensten en de door hem verleende vertrouwensdiensten in overeenstemming met de in deze verordening vastgestelde eisen zijn, en in het bijzonder met de eisen die worden gesteld aan gekwalificeerde verleners van vertrouwensdiensten en aan de gekwalificeerde vertrouwensdiensten die zij verlenen.

Indien het toezichthoudend orgaan tot het oordeel komt dat de verlener van vertrouwensdiensten en de door hem verleende vertrouwensdiensten in overeenstemming met de in de eerste alinea bedoelde eisen zijn, kent het toezichthoudend orgaan de status van gekwalificeerde toe aan de verlener van vertrouwensdiensten en aan de door hem verleende vertrouwensdiensten en stelt het het in artikel 22, lid 3, bedoelde orgaan in kennis zodatde in artikel 22, lid 1, bedoelde vertrouwenslijsten bijgewerkt worden, en wel binnen drie maanden na kennisgeving overeenkomstig lid 1 van dit artikel.

Indien de verificatie niet binnen drie maanden na de kennisgeving is afgerond, brengt het toezichthoudend orgaan de verlener van vertrouwensdiensten op de hoogte van de redenen voor de vertraging en van de termijn waarbinnen de verificatie zal zijn afgerond.

3. Gekwalificeerde verleners van vertrouwensdiensten mogen beginnen met het verlenen van de gekwalificeerde vertrouwensdienst nadat de status van gekwalificeerde is opgenomen in de in artikel 22, lid 1, bedoelde vertrouwenslijsten.

4. De Commissie kan door middel van uitvoeringshandelingen de formaten en procedures omschrijven voor de doeleinden van de leden 1 en 2. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

Artikel 48

Comitéprocedure

1. De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van verordening (EU) nr. 182/2011.

2. Wanneer naar dit lid wordt verwezen, is artikel 5 van verordening (EU) nr. 182/2011 van toepassing.

HOOFDSTUK VI

SLOTBEPALINGEN

Artikel 49

Evaluatie

De Commissie evalueert de toepassing van deze verordening en brengt daarover uiterlijk op 1 juli 2020 verslag uit bij het Europees Parlement en de Raad. De Commissie evalueert met name of het gepast is het toepassingsgebied van deze verordening dan wel de specifieke bepalingen ervan, met inbegrip van artikel 6, artikel 7, onder f), en de artikelen 34, 43, 44 en 45 te wijzigen, rekening houdend met de ervaring met de toepassing van deze verordening, alsook met technologische, marktgebonden en juridische ontwikkelingen.

Het in de eerste alinea bedoelde verslag gaat, in voorkomend geval, vergezeld van wetgevingsvoorstellen.

Daarnaast dient de Commissie elke vier jaar na het in de eerste alinea bedoelde verslag een verslag over de vooruitgang bij de verwezenlijking van de doelstellingen van deze verordening in bij het Europees Parlement en de Raad.

Artikel 50

Intrekking

1. Richtlijn 1999/93/EG wordt ingetrokken met ingang van 1 juli 2016.

2. Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar de onderhavige verordening.

Artikel 51

Overgangsmaatregelen

1. Veilige middelen voor het aanmaken van handtekeningen waarvan de overeenstemming bepaald is overeenkomstig artikel 3, lid 4, van Richtlijn 1999/93/EG, worden beschouwd als gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen in de zin van de onderhavige verordening.

2. Gekwalificeerde certificaten voor natuurlijke personen in de zin van Richtlijn 1999/93/EG worden, totdat zij verlopen, beschouwd als gekwalificeerde certificaten voor elektronische handtekeningen in de zin van onderhavige verordening.

3. Een certificatiedienstverlener die gekwalificeerde certificaten overeenkomstig Richtlijn 1999/93/EG afgeeft, dient zo spoedig mogelijk, maar niet later dan 1 juli 2017, een conformiteitsbeoordelingsverslag in bij het toezichthoudend orgaan. Tot de indiening van dat conformiteitsbeoordelingsverslag en de voltooiing van de beoordeling ervan door het toezichthoudend orgaan wordt die certificatiedienstverlener beschouwd als een gekwalificeerde verlener van vertrouwensdiensten in de zin van deze verordening.

4. Indien een certificatiedienstverlener die gekwalificeerde certificaten overeenkomstig Richtlijn 1999/93/EG afgeeft, niet binnen de in lid 3 bedoelde termijn een conformiteitsbeoordelingsverslag indient bij het toezichthoudend orgaan, wordt die certificatiedienstverlener vanaf 2 juli 2017 niet beschouwd als gekwalificeerde verlener van vertrouwensdiensten in de zin van deze verordening.

Artikel 52

Inwerkingtreding

1. Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

2. Deze verordening is van toepassing vanaf 1 juli 2016, met uitzondering van onderstaande:

artikel 8, lid 3, artikel 9, lid 5, artikel 12, lid 2 tot en met 9, artikel 17, lid 8, artikel 19, lid 4, artikel 20, lid 4, artikel 21, lid 4, artikel 22, lid 5, artikel 23, lid 3, artikel 24, lid 5, artikel 27, lid 4 en lid 5, artikel 28, lid 6, artikel 29, lid 2, artikel 30, lid 3 en lid 4, artikel 31, lid 3, artikel 32, lid 3, artikel 33, lid 2, artikel 34, lid 2, artikel 37, lid 4 en lid 5, artikel 38, lid 6, artikel 42, lid 2, artikel 44, lid 2, artikel 45, lid 2, en artikelen 47 en 48 zijn van toepassing met ingang van 17 september 2014;

b)	artikel 7, artikel 8, leden 1 en 2, de artikelen 9, 10, 11 en artikel 12, lid 1, zijn van toepassing vanaf de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen;

c)	artikel 6 is van toepassing vanaf drie jaar na de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen.

3. Indien het aangemelde stelsel voor elektronische identificatie voorkomt in de lijst die de Commissie krachtens artikel 9 bekendmaakt, en wel vóór de datum in lid 2, onder c), van dit artikel, wordt het elektronische identificatiemiddel in het kader van dat stelsel krachtens artikel 6 erkend binnen twaalf maanden na de bekendmaking van dat stelsel, maar niet vóór de datum in lid 2, onder c), van dit artikel.

4. Niettegenstaande lid 2, onder c), van dit artikel kan een lidstaat besluiten dat elektronische identificatiemiddelen in het kader van een stelsel voor elektronische identificatie, krachtens artikel 9, lid 1, door een andere lidstaat aangemeld, in de eerste lidstaat worden erkend met ingang van de datum van toepassing van de in artikel 8, lid 3, en artikel 12, lid 8, bedoelde uitvoeringshandelingen. De betrokken lidstaten stellen de Commissie daarvan in kennis. De Commissie maakt deze informatie openbaar.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel, 23 juli 2014.

Voor het Parlement

De voorzitter

M. SCHULZ

Voor de Raad

De voorzitter

S. GOZI

(1) PB C 351 van 15.11.2012, blz. 73.

(2) Standpunt van het Europees Parlement van 3 april 2014 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 23 juli 2014.

(3) Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (PB L 13 van 19.1.2000, blz. 12).

(4) PB C 50 E van 21.2.2012, blz. 1.

(5) Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt (PB L 376 van 27.12.2006, blz. 36).

(6) Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB L 88 van 4.4.2011, blz. 45).

(7) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31).

(8) Besluit 2010/48/EG van de Raad van 26 november 2009 betreffende de sluiting door de Europese Gemeenschap van het Verdrag van de Verenigde Naties inzake de rechten van personen met een handicap (PB L 23 van 27.1.2010, blz. 35).

(9) verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30).

(10) Beschikking 2009/767/EG van de Commissie van 16 oktober 2009 inzake maatregelen voor een gemakkelijker gebruik van elektronische procedures via het „één-loket” in het kader van Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PB L 274 van 20.10.2009, blz. 36).

(11) Besluit 2011/130/EU van de Commissie van 25 februari 2011 tot vaststelling van minimumvoorschriften voor de grensoverschrijdende verwerking van documenten die door de bevoegde autoriteiten elektronisch zijn ondertekend krachtens Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PB L 53 van 26.2.2011, blz. 66).

(12) verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(13) verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

(14) PB C 28 van 30.1.2013, blz. 6.

(15) Richtlijn 2014/24/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende het plaatsen van overheidsopdrachten en tot intrekking van Richtlijn 2004/18/EG (PB L 94 van 28.3.2014, blz. 65).

BIJLAGE I

EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR ELEKTRONISCHE HANDTEKENINGEN

Gekwalificeerde certificaten voor elektronische handtekeningen bevatten:

a)	een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat afgegeven is als een gekwalificeerd certificaat voor elektronische handtekeningen;

een reeks gegevens die ondubbelzinnig verwijzen naar de gekwalificeerde verlener van vertrouwensdiensten die de gekwalificeerde certificaten afgeeft, met inbegrip van ten minste de lidstaat waarin de verlener is gevestigd en

—	voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,

—	voor een natuurlijke persoon: de naam van de persoon;

c)	op zijn minst de naam van de ondertekenaar of een pseudoniem; als er een pseudoniem wordt gebruikt, wordt dat duidelijk aangegeven;

d)	gegevens voor de validering van elektronische handtekeningen, die overeenkomen met de gegevens voor het aanmaken van de elektronische handtekening;

e)	informatie over begin en einde van de geldigheidsduur van het certificaat;

f)	de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;

g)	de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;

h)	de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder g) gratis beschikbaar is;

i)	de locatie van de diensten waar informatie kan worden opgevraagd over de geldigheidsstatus van het gekwalificeerde certificaat;

indien de gegevens voor het aanmaken van een elektronische handtekening die gekoppeld zijn aan de gegevens voor de validering van de elektronische handtekening zich bevinden in een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen, een passende vermelding hiervan, ten minste in een vorm die geschikt is voor automatische verwerking.

BIJLAGE II

EISEN VOOR GEKWALIFICEERDE MIDDELEN VOOR HET AANMAKEN VAN ELEKTRONISCHE HANDTEKENINGEN

Gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen waarborgen via passende technieken en procedures dat ten minste:

a)	de vertrouwelijkheid van de gegevens die worden gebruikt om elektronische handtekeningen aan te maken redelijkerwijs gewaarborgd is;

b)	de gegevens voor het aanmaken van elektronische handtekeningen in de praktijk slechts één keer kunnen voorkomen;

c)	de gegevens voor het aanmaken van elektronische handtekeningen met redelijke zekerheid niet kunnen worden afgeleid en dat de elektronische handtekening op betrouwbare wijze beschermd is tegen vervalsing met de thans beschikbare technologie;

d)	de gegevens voor het aanmaken van elektronische handtekeningen door de legitieme ondertekenaar op betrouwbare wijze kunnen worden beschermd tegen gebruik door anderen.

Gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen laten de te ondertekenen gegevens ongewijzigd en beletten niet dat die gegevens vóór ondertekening aan de ondertekenaar worden voorgelegd.

Het genereren of beheren van de gegevens voor het aanmaken van elektronische handtekeningen namens de ondertekenaar kan alleen worden uitgevoerd door een gekwalificeerde verlener van vertrouwensdiensten.

Onverminderd punt 1, onder d), mogen gekwalificeerde verleners van vertrouwensdiensten die namens de ondertekenaar gegevens voor het aanmaken van elektronische handtekeningen beheren, de gegevens voor het aanmaken van elektronische handtekeningen alleen dupliceren voor back-updoeleinden, op voorwaarde dat aan de volgende eisen wordt voldaan:

a)	de beveiliging van de gedupliceerde gegevensverzamelingen moet van hetzelfde niveau zijn als de beveiliging van de originele gegevensverzamelingen;

b)	het aantal gedupliceerde gegevensverzamelingen mag niet hoger zijn dan het minimum dat nodig is om de continuïteit van de dienst te waarborgen.

BIJLAGE III

EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR ELEKTRONISCHE ZEGELS

Gekwalificeerde certificaten voor elektronische zegels bevatten:

a)	een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat is afgegeven als een gekwalificeerd certificaat voor elektronische zegels;

—	voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,

—	voor een natuurlijke persoon: de naam van de persoon;

c)	ten minste de naam van de aanmaker van het zegel en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers;

d)	gegevens voor de validering van elektronische zegels, die overeenkomen met de gegevens voor het aanmaken van elektronische zegels;

e)	informatie over begin en einde van de geldigheidsduur van het certificaat;

f)	de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;

g)	de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;

h)	de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder g) gratis beschikbaar is;

i)	de locatie van de diensten waar informatie kan worden opgevraagd over de geldigheidsstatus van het gekwalificeerde certificaat;

indien de gegevens voor het aanmaken van elektronische zegels die gekoppeld zijn aan de gegevens voor de validering voor elektronische zegels zich bevinden in een gekwalificeerd middel voor het aanmaken van elektronische zegels, een passende vermelding hiervan, ten minste in een vorm die geschikt is voor automatische verwerking.

BIJLAGE IV

EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR WEBSITE-AUTHENTICATIE

Gekwalificeerde certificaten voor websiteauthenticatie moeten het volgende bevatten:

a)	een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat afgegeven is als een gekwalificeerd certificaat voor websiteauthenticatie;

—	voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,

—	voor een natuurlijke persoon: de naam van de persoon;

voor natuurlijke personen: op zijn minst de naam van de persoon aan wie het certificaat is afgegeven, of een pseudoniem. Indien een pseudoniem wordt gebruikt, wordt dat duidelijk aangegeven;

voor rechtspersonen: ten minste de naam van de rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers;

d)	elementen van het adres, met inbegrip van ten minste de plaats en de staat, van de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, zoals vermeld in de officiële registers;

e)	de domeinnaam/-namen die wordt/worden geëxploiteerd door de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven;

f)	informatie over begin en einde van de geldigheidsduur van het certificaat;

g)	de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;

h)	de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;

i)	de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder h) gratis beschikbaar is;

j)	de locatie van de valideringsstatusdiensten voor certificaten die gebruikt kunnen worden om informatie over de geldigheidsstatus van het gekwalificeerde certificaat te raadplegen.

whereas

(2) Deze verordening heeft tot doel het vertrouwen in elektronische transacties in de interne markt te vergroten door te voorzien in een gemeenschappelijke grondslag voor veilige elektronische interactie tussen burgers, bedrijven en overheden, en bijgevolg ook de doeltreffendheid van publieke en private onlinediensten, e-business en elektronische handel in de Unie te verhogen.

- = -

(3) Richtlijn 1999/93/EG van het Europees Parlement en de Raad (3) had betrekking op elektronische handtekeningen zonder een uitgebreid grens- en sectoroverschrijdend kader te bieden voor veilige, betrouwbare en gebruiksvriendelijke elektronische transacties.
Deze verordening voorziet in een versterking en uitbreiding van de verworvenheden van die richtlijn.

- = -

(11) Deze verordening dient te worden toegepast in volledige overeenstemming met de beginselen inzake de bescherming van persoonsgegevens overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad (7).
In dit verband en met inachtneming van het bij deze verordening vastgelegde beginsel inzake wederzijdse erkenning, mag authenticatie voor een onlinedienst alleen betrekking hebben op de verwerking van die identificatiegegevens die toereikend, ter zake dienend en niet bovenmatig zijn om toegang tot die onlinedienst te verlenen.
Voorts moeten de in Richtlijn 95/46/EG gestelde eisen inzake vertrouwelijkheid en beveiliging van de verwerking worden geëerbiedigd door de verleners van vertrouwensdiensten en het toezichthoudend orgaan.

- = -

(12) Een van de doelstellingen van deze verordening is het wegnemen van bestaande belemmeringen voor het grensoverschrijdende gebruik van elektronische identificatiemiddelen die in de lidstaten worden gebruikt om daarmee ten minste ten behoeve van publieke diensten te authenticeren.
Deze verordening heeft niet tot doel systemen voor elektronisch identiteitsbeheer en bijbehorende infrastructuren in de lidstaten te beïnvloeden.
Het doel van deze verordening is te waarborgen dat veilige elektronische identificatie en authenticatie voor de toegang tot grensoverschrijdende onlinediensten van de lidstaten mogelijk is.

- = -

(14) In deze verordening moet een aantal voorwaarden worden vastgesteld om te bepalen welke elektronische identificatiemiddelen moeten worden erkend en hoe de stelsels voor elektronische identificatie moeten worden aangemeld.
Deze voorwaarden moeten de lidstaten helpen het noodzakelijke vertrouwen in elkaars stelsels voor elektronische identificatie op te bouwen en elektronische identificatiemiddelen die onder hun aangemelde stelsels vallen, wederzijds te erkennen.
Het beginsel van wederzijdse erkenning moet worden toegepast als het stelsel voor elektronische identificatie van de aanmeldende lidstaat voldoet aan de voorwaarden voor aanmelding en de aanmelding is bekendgemaakt in het Publicatieblad van de Europese Unie.
Het beginsel van wederzijdse erkenning dient echter alleen op authenticatie voor een onlinedienst betrekking te hebben.
De toegang tot deze onlinediensten en de daadwerkelijke verlening ervan aan de aanvrager moeten nauw verbonden zijn aan het recht om dergelijke diensten af te nemen onder de in de nationale wetgeving gestelde voorwaarden.

- = -

(16) Het betrouwbaarheidsniveau moet de mate van vertrouwen weergeven die in een elektronisch identificatiemiddel kan worden gesteld voor het vaststellen van de identiteit van een persoon, en moet zodoende zekerheid geven dat de persoon die beweert een bepaalde identiteit te hebben ook daadwerkelijk degene is aan wie deze identiteit is toegekend.
Het betrouwbaarheidsniveau hangt af van de mate van vertrouwen die elektronische identificatiemiddelen bieden voor de opgegeven of beweerde identiteit van een persoon, rekening houdend met processen (bijvoorbeeld het bewijzen van de identiteit,verificatie, en authenticatie), beheersactiviteiten (bijvoorbeeld de entiteit die elektronische identificatiemiddelen uitgeeft en de procedure voor uitgifte van dergelijke middelen) en geïmplementeerde technische beheersmaatregelen.
Diverse technische definities en beschrijvingen van betrouwbaarheidsniveaus danken hun bestaan aan door de Unie gefinancierde Grootschalige Proefprojecten, standaardisering en internationale activiteiten.
In het bijzonder refereren het Grootschalige Proefproject STORK en ISO 29115 aan, onder meer, de niveaus 2, 3 en 4, met welke niveaus ten zeerste rekening moet worden gehouden bij het vaststellen van minimale technische vereisten, standaarden en procedures voor de betrouwbaarheidsniveaus laag, substantieel en hoog in de zin van deze verordening, terwijl gezorgd moet worden voor een consequente toepassing van deze verordening, met name wat betreft betrouwbaarheidniveau hoog voor het bewijzen van de identiteit voor het afgeven van gekwalificeerde certificaten.
De vereisten moeten technologieneutraal zijn.
Het moet mogelijk zijn aan de noodzakelijke veiligheidsvereisten te voldoen door middel van verschillende technologieën.

- = -

(18) Deze verordening dient te voorzien in de aansprakelijkheid van de aanmeldende lidstaat, de partij die de elektronische identificatiemiddelen verstrekt en de partij die de authenticatieprocedure uitvoert, wanneer zij niet voldoen aan de verplichtingen ter zake in deze verordening.
Deze verordening moet echter worden uitgevoerd volgens de nationale voorschriften inzake aansprakelijkheid.
De verordening beïnvloedt derhalve niet deze nationale voorschriften inzake, bijvoorbeeld, de definitie van schade of het bepalen van de toepasselijke procedureregels, waaronder inzake de bewijslast.

- = -

(21) Deze verordening dient ook te voorzien in een algemeen wetgevingskader voor het gebruik van vertrouwensdiensten.
Zij mag echter geen algemene verplichting scheppen om elektronische vertrouwensdiensten te gebruiken of om een toegangspunt voor alle bestaande vertrouwensdiensten te installeren.
De verordening mag met name niet voorzien in de verlening van diensten die uitsluitend binnen gesloten systemen gebruikt worden tussen een welbepaalde groep deelnemers, en die geen gevolgen hebben voor derden.
Systemen die zijn opgezet bij bedrijven of overheden voor het beheer van interne procedures waarbij gebruik wordt gemaakt van vertrouwensdiensten, behoren bijvoorbeeld niet onder deze verordening te vallen.
Alleen vertrouwensdiensten die aan het publiek verleend worden en gevolgen hebben voor derden moeten voldoen aan de vereisten van deze verordening.
Ook mag deze verordening geen betrekking hebben op aspecten die verband houden met de totstandkoming en geldigheid van contracten of andere juridische verbintenissen waaraan in het nationale recht of het Unierecht vormvereisten worden gesteld.
Daarenboven dient zij de nationale vormvereisten voor openbare registers, met name handelsregisters en kadasters onverlet te laten.

- = -

(22) Teneinde bij te dragen tot het algemene grensoverschrijdende gebruik van vertrouwensdiensten, moet het mogelijk zijn deze in alle lidstaten in gerechtelijke procedures als bewijsmiddel te gebruiken.
De rechtsgevolgen van vertrouwensdiensten moeten worden vastgesteld door het nationale recht, tenzij in deze verordening anders wordt bepaald.

- = -

(23) Voor zover deze verordening een verplichting schept om een vertrouwensdienst te erkennen, is het alleen mogelijk een dergelijke vertrouwensdienst niet te erkennen als de geadresseerde van de verplichting deze om technische redenen, waarop hij geen rechtstreekse invloed kan uitoefenen, niet kan lezen of verifiëren.
Die verplichting hoeft evenwel op zich niet te betekenen dat een openbare instantie de voor de technische leesbaarheid van alle bestaande vertrouwensdiensten benodigde hardware en software moet verwerven.

- = -

(24) De lidstaten mogen in overeenstemming met het Unierecht nationale bepalingen in verband met vertrouwensdiensten invoeren of handhaven, voor zover die diensten niet volledig worden geharmoniseerd door deze verordening.
Het vrije verkeer in de interne markt van vertrouwensdiensten die aan deze verordening voldoen, moet evenwel gewaarborgd worden.

- = -

(25) De lidstaten moeten de vrijheid behouden om naast de vertrouwensdiensten die deel uitmaken van de gesloten lijst waarin deze verordening voorziet, andere soorten vertrouwensdiensten te definiëren om deze op nationaal niveau als gekwalificeerde vertrouwensdienst te erkennen.

- = -

(26) Vanwege het hoge tempo van de technologische veranderingen dient deze verordening te voorzien in een aanpak die open staat voor innovatie.

- = -

(27) De verordening moet technologieneutraal zijn.
De rechtsgevolgen waarin de verordening voorziet, moeten bereikt kunnen worden met om het even welk technologisch middel, op voorwaarde dat voldaan is aan de vereisten van deze verordening.

- = -

(30) De lidstaten dienen een of meer toezichthoudende organen aan te wijzen voor het verrichten van de toezichtactiviteiten uit hoofde van deze verordening.
De lidstaten moeten eveneens kunnen besluiten om, in onderlinge overeenstemming met een andere lidstaat, een toezichthoudend orgaan aan te wijzen op het grondgebied van die andere lidstaat.

- = -

(35) Alle verleners van vertrouwensdiensten moeten zich houden aan de vereisten van deze verordening, in het bijzonder wat betreft veiligheid en betrouwbaarheid, zodat de zorgvuldigheid, transparantie en verantwoording van hun activiteiten worden gewaarborgd.
Gelet op de soort diensten die verleners van vertrouwensdiensten verlenen, dient echter met betrekking tot deze vereisten onderscheid te worden gemaakt tussen gekwalificeerde en niet-gekwalificeerde verleners van vertrouwensdiensten.

- = -

(36) De instelling van een toezichtregeling voor alle verleners van vertrouwensdiensten moet zorgen voor een gelijk speelveld met betrekking tot de veiligheid en verantwoording van hun activiteiten en diensten, hetgeen bijdraagt aan de bescherming van de gebruikers en aan de werking van de interne markt.
Niet-gekwalificeerde verleners van vertrouwensdiensten moeten worden onderworpen aan eenvoudige en reactieve toezichtactiviteiten achteraf die worden gerechtvaardigd door de aard van hun diensten en activiteiten.
Het toezichthoudend orgaan mag daarom geen algemene verplichting hebben om toezicht te houden op niet-gekwalificeerde dienstverleners.
Het toezichthoudend orgaan dient alleen op te treden wanneer het ervan in kennis wordt gesteld (bijvoorbeeld door de niet-gekwalificeerde verlener van vertrouwensdiensten zelf, door een ander toezichthoudend orgaan, door een kennisgeving van een gebruiker of een zakenpartner of op basis van zijn eigen onderzoek) dat een niet-gekwalificeerde verlener van vertrouwensdiensten niet voldoet aan de vereisten van deze verordening.

- = -

(37) Deze verordening moet voorzien in de aansprakelijkheid van alle verleners van vertrouwensdiensten.
De verordening voorziet meer bepaald in de aansprakelijkheidsregeling in het kader waarvan alle verleners van vertrouwensdiensten aansprakelijk moeten zijn voor schade die wordt toegebracht aan een natuurlijke persoon of rechtspersoon wegens niet-naleving van de verplichtingen uit hoofde van deze verordening.
Teneinde de beoordeling te vergemakkelijken van het financiële risico dat verleners van vertrouwensdiensten misschien moeten dragen of dat zij zouden moeten dekken met verzekeringspolissen, laat deze richtlijn toe dat verleners van vertrouwensdiensten, onder bepaalde voorwaarden, beperkingen verbinden aan het gebruik van de door hen verleende diensten en dat zij niet aansprakelijk zijn voor schade die het gevolg is van het gebruik van diensten dat deze beperkingen te buiten gaat.
De klanten moeten vooraf terdege worden geïnformeerd over de beperkingen.
Deze beperkingen moeten herkenbaar zijn voor een derde partij, bijvoorbeeld doordat er informatie over de beperkingen wordt opgenomen in de voorwaarden met betrekking tot de verleende dienst, of via andere herkenbare middelen.
Om uitvoering te geven aan deze beginselen, moet deze verordening overeenkomstig de nationale aansprakelijkheidsregels worden toegepast.
Daarom laat deze verordening die nationale regels inzake bijvoorbeeld de definitie van schade, opzet, nalatigheid, of de toepasselijke procedurele regels, onverlet.

- = -

(39) Om de Commissie en de lidstaten in staat te stellen de doeltreffendheid van het bij deze verordening ingevoerde aanmeldingsmechanisme voor inbreuken te beoordelen, moet de toezichthoudende organen worden verzocht beknopte informatie te verstrekken aan de Commissie en aan het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa).

- = -

(40) Om de Commissie en de lidstaten in staat te stellen de doeltreffendheid te beoordelen van het versterkte toezichtmechanisme waarin deze verordening voorziet, moet de toezichtorganen worden verzocht verslag uit te brengen over hun activiteiten.
Dit zou bevorderlijk zijn voor de uitwisseling van goede praktijken tussen toezichtorganen en zou de garantie bieden dat de essentiële toezichtvereisten in alle lidstaten consequent en efficiënt worden vervuld.

- = -

(43) Om te waarborgen dat de gekwalificeerde verleners van vertrouwensdiensten alsook de door hen verleende diensten voldoen aan de voorschriften van deze verordening, moet een conformiteitsbeoordeling worden verricht door een conformiteitsbeoordelingsorgaan en moeten de daaruit resulterende conformiteitsbeoordelingsrapporten door de gekwalificeerde verleners van vertrouwensdiensten aan het toezichthoudende orgaan worden voorgelegd.
Telkens wanneer het toezichthoudende orgaan verlangt dat een gekwalificeerde verlener van vertrouwensdiensten een ad-hocconformiteitsbeoordelingsrapport indient, dient het in het bijzonder het beginsel van behoorlijk bestuur te eerbiedigen, mede omvattende de verplichting tot motivering van zijn besluiten, alsook het evenredigheidsbeginsel.
Het toezichthoudende orgaan moet derhalve zijn besluit waarbij het een ad-hocconformiteitsbeoordeling vereist, naar behoren met redenen omkleden.

- = -

(44) Deze verordening heeft tot doel te zorgen voor een samenhangend kader dat met betrekking tot vertrouwensdiensten in een hoog niveau van veiligheid en rechtszekerheid voorziet.
In dit verband moet de Commissie, met betrekking tot de conformiteitsbeoordeling van producten en diensten, in voorkomend geval streven naar synergie met bestaande toepasselijke Europese en internationale systemen zoals verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (9) waarin de eisen inzake accreditatie van conformiteitsbeoordelingsorganen en markttoezicht op producten worden opgesomd.

- = -

(47) Vertrouwen in en gebruiksgemak van onlinediensten zijn voor gebruikers van wezenlijk belang om maximaal te kunnen profiteren van en bewust te vertrouwen op elektronische diensten.
Daartoe moet een EU-vertrouwensmerk worden ingevoerd ter aanduiding van de door gekwalificeerde verleners van vertrouwensdiensten verleende gekwalificeerde vertrouwensdiensten.
Dankzij dat EU-vertrouwensmerk voor gekwalificeerde vertrouwensdiensten zouden gekwalificeerde vertrouwensdiensten duidelijk kunnen worden onderscheiden van andere vertrouwensdiensten, wat tot transparantie in de markt zou bijdragen.
Het gebruik van een EU-vertrouwensmerk door gekwalificeerde verleners van vertrouwensdiensten zou vrijwillig moeten zijn en geen aanleiding mogen geven tot andere vereisten dan die welke in deze verordening vastgelegd zijn.

- = -

(49) In deze verordening moet als beginsel worden gesteld dat het rechtsgevolg van een elektronische handtekening niet moet worden ontkend op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet.
Het nationaal recht moet echter bepalen welk rechtsgevolg elektronische handtekeningen hebben, met uitzondering van de in deze verordening vastgestelde voorschriften dat een gekwalificeerde elektronische handtekening hetzelfde rechtsgevolg dient te hebben als een handgeschreven handtekening.

- = -

(52) Het aanmaken van elektronische handtekeningen op afstand, waarbij de omgeving waarin de elektronische handtekening wordt aangemaakt, door een verlener van vertrouwensdiensten namens de ondertekenaar wordt beheerd, zal wellicht toenemen gezien de talrijke economische voordelen ervan.
Om er evenwel voor te zorgen dat die elektronische handtekeningen dezelfde juridische erkenning krijgen als elektronische handtekeningen die zijn aangemaakt in een volledig door de gebruiker beheerde omgeving, dienen de verleners van diensten voor elektronische handtekeningen op afstand specifieke veiligheidsprocedures toe te passen wat betreft beheer en administratie, en gebruik te maken van betrouwbare systemen en producten, met inbegrip van beveiligde elektronische communicatiekanalen, om te waarborgen dat de omgeving waarin de elektronische handtekening wordt aangemaakt betrouwbaar is en dat uitsluitend de ondertekenaar controle heeft over het gebruik ervan.
Indien een gekwalificeerde elektronische handtekening is aangemaakt door gebruik te maken van een middel voor het aanmaken van elektronische handtekeningen op afstand, dienen de in deze verordening vastgelegde vereisten voor gekwalificeerde verleners van vertrouwensdiensten van toepassing te zijn.

- = -

(53) De schorsing van gekwalificeerde certificaten is een ingeburgerde operationele praktijk van verleners van vertrouwensdiensten in een aantal lidstaten en heeft het tijdelijk verlies van geldigheid van een certificaat tot gevolg, hetgeen is te onderscheiden van de intrekking van certificaten.
Ten behoeve van de rechtszekerheid moet de geschorste status van een certificaat steeds duidelijk worden aangegeven.
Daarom moeten verleners van vertrouwensdiensten de verantwoordelijkheid hebben om de status van het certificaat en, in geval van schorsing, de precieze tijdsduur van de schorsing, duidelijk aan te geven.
Deze verordening dient het gebruik van schorsing niet aan de lidstaten of aan de verleners van vertrouwensdiensten op te leggen; de verordening dient evenwel te voorzien in transparantieregels in de gevallen waarin die praktijk gangbaar is.

- = -

(54) De grensoverschrijdende interoperabiliteit en erkenning van gekwalificeerde certificaten vormt een noodzakelijke voorwaarde voor grensoverschrijdende erkenning van gekwalificeerde elektronische handtekeningen.
Derhalve dienen voor gekwalificeerde certificaten geen dwingende vereisten te gelden die strenger zijn dan de in deze verordening vastgestelde vereisten.
Op nationaal niveau moet het evenwel mogelijk zijn specifieke kenmerken, zoals unieke identificatiegegevens, in gekwalificeerde certificaten te doen opnemen, mits die specifieke kenmerken de grensoverschrijdende interoperabiliteit en erkenning van gekwalificeerde certificaten en elektronische handtekeningen niet hinderen.

- = -

(56) In deze verordening moeten vereisten worden vastgesteld voor gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen vastgelegd om de functionaliteit van geavanceerde elektronische handtekeningen te waarborgen.
Deze verordening hoeft niet de hele systeemomgeving waarbinnen dergelijke middelen functioneren te bestrijken.
De werkingssfeer van de certificering van gekwalificeerde middelen voor het aanmaken van handtekeningen dient derhalve te worden beperkt tot de hardware en de systeemprogrammatuur die worden gebruikt voor het beheer en de bescherming van de voor het aanmaken van de handtekening in dat middel aangemaakte, opgeslagen of verwerkte gegevens.
Als aangegeven in de toepasselijke standaarden moeten toepassingen voor het aanmaken van handtekeningen buiten de werkingssfeer van de verplichte certificering vallen.

- = -

(61) Deze verordening moet ervoor zorgen dat informatie langdurig bewaard blijft teneinde zeker te stellen dat elektronische handtekeningen en elektronische zegels gedurende lange tijd rechtsgeldig blijven en te garanderen dat zij gevalideerd kunnen worden ongeacht toekomstige technologische veranderingen.

- = -

(62) Omwille van de veiligheid van gekwalificeerde elektronische tijdstempels moet deze verordening het gebruik van een geavanceerd elektronisch zegel, een geavanceerde elektronische handtekening of andere, gelijkwaardige methoden voorschrijven.
Verwacht kan worden dat door innovatie nieuwe technologieën ontstaan die een gelijkwaardig beveiligingsniveau bieden voor tijdstempels.
Telkens wanneer gebruik wordt gemaakt van een andere methode dan een geavanceerd elektronisch zegel of een geavanceerde elektronische handtekening, moet de gekwalificeerde verlener van vertrouwensdiensten in het conformiteitsbeoordelingsrapport aantonen dat die andere methode een gelijkwaardig beveiligingsniveau garandeert en voldoet aan de in deze verordening vastgestelde verplichtingen.

- = -

(63) Elektronische documenten zijn van belang voor de verdere ontwikkeling van grensoverschrijdende elektronische transacties op de interne markt.
In deze verordening moet als beginsel worden vastgelegd dat het rechtsgevolg van een elektronisch document niet moet worden ontkend op grond van het feit het elektronisch is, zodat een elektronische transactie niet zal worden geweigerd alleen omdat een document een document in elektronische vorm is.

- = -

(67) Diensten voor authenticatie van websites vormen een middel waarmee websitebezoekers er zeker van kunnen zijn dat het om de website van een werkelijk bestaande, legitieme entiteit gaat.
Die diensten dragen bij tot toenemend vertrouwen in online zaken doen, aangezien een geauthentiseerde website het vertrouwen van de gebruikers zal genieten.
Het verlenen en gebruikmaken van diensten voor authenticatie van websites gebeurt volledig op vrijwillige basis.
Echter, om van authenticatie van websites een middel te maken om het vertrouwen te bevorderen, de gebruikers betere ervaringen te bezorgen en de groei in de interne markt te bevorderen, moet deze verordening evenwel voorzien in minimumverplichtingen inzake veiligheid en aansprakelijkheid voor dienstverleners en voor de door hen verleende diensten.
Daartoe is rekening gehouden met de resultaten van bestaande initiatieven van de sector, zoals Certification Authorities/Browsers Forum — CA/B Forum.
Daarnaast dient deze verordening geen beletsel te vormen voor het gebruik van andere, niet onder deze verordening vallende middelen of methoden voor authenticatie van een website, noch te voorkomen dat verleners van diensten voor websiteauthenticatie uit derde landen hun diensten aanbieden aan afnemers in de Unie.
Door dienstverleners uit derde landen aangeboden diensten voor authenticatie van websites dienen evenwel enkel te worden erkend als overeenkomstig deze verordening gekwalificeerde diensten als de Unie en het vestigingsland van de dienverlener een internationale overeenkomst hebben gesloten.

- = -

(69) De instellingen, organen, bureaus en agentschappen van de Unie worden aangemoedigd onder deze verordening vallende elektronische identificatie en vertrouwensdiensten te erkennen met als doel administratieve samenwerking, en daarbij vooral te profiteren van bestaande goede werkwijzen en de resultaten van lopende projecten op onder deze verordening vallende gebieden.

- = -

(70) Om bepaalde uitvoerige technische aspecten van deze verordening op een flexibele en snelle manier aan te vullen, moet de bevoegdheid om handelingen vast te stellen overeenkomstig artikel 290 VWEU aan de Commissie worden overgedragen wat betreft de criteria waaraan de organen die verantwoordelijk zijn voor de certificering van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen moeten voldoen.
Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadpleging overgaat, onder meer op deskundigenniveau.
De Commissie moet er bij de voorbereiding en opstelling van gedelegeerde handelingen voor zorgen dat de desbetreffende documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het Europees Parlement en de Raad.

- = -

(71) Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening, moeten uitvoeringsbevoegdheden worden toegekend aan de Commissie, in het bijzonder voor het specificeren van referentienummers voor standaarden waarvan het gebruik aanleiding zou zijn voor een vermoeden van overeenstemming met bepaalde vereisten die zijn vastgesteld in deze verordening.
Die bevoegdheden moeten in overeenstemming met verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad worden uitgeoefend (12).

- = -

(75) De toepassingsdata in deze verordening veranderen niets aan bestaande verplichtingen die lidstaten reeds krachtens het Unierecht, en in het bijzonder Richtlijn 2006/123/EG, hebben.

- = -

(76) Daar de doelstellingen van deze verordening niet voldoende door de lidstaten kunnen worden verwezenlijkt maar, vanwege de omvang van het optreden, beter door de Unie kunnen worden verwezenlijkt, kan de Unie maatregelen vaststellen, overeenkomstig het subsidiariteitsbeginsel als bedoeld in artikel 5 van het Verdrag betreffende de Europese Unie.
Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om deze doelstellingen te verwezenlijken.

- = -

(77) De Europese Toezichthouder voor gegevensbescherming werd geraadpleegd in overeenstemming met artikel 28, lid 2, van verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (13) en heeft op 27 september 2012 advies uitgebracht (14),

- = -

keyboard_tab EIDAS 2014/0910 NL

EIDAS 2014/0910 NL