EIDAS 2014/0910 NL

1. „elektronische identificatie”: het proces van het gebruiken van persoonsidentificatiegegevens in elektronische vorm die op unieke wijze een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, aanduiden;

2. „elektronisch identificatiemiddel”: een materiële en/of immateriële eenheid die persoonsidentificatiegegevens bevat en die gebruikt wordt voor authenticatie bij een onlinedienst;

3. „persoonsidentificatiegegevens”: een reeks gegevens aan de hand waarvan de identiteit van een natuurlijke persoon of rechtspersoon, of een natuurlijke persoon die een rechtspersoon vertegenwoordigt, kan worden vastgesteld;

4. „stelsel voor elektronische identificatie”: een stelsel voor elektronische identificatie waarbinnen elektronische identificatiemiddelen worden uitgegeven aan natuurlijke personen, rechtspersonen of natuurlijke personen die rechtspersonen vertegenwoordigen;

5. „authenticatie”: een elektronisch proces dat de bevestiging van de elektronische identificatie van een natuurlijke persoon of rechtspersoon, of van de oorsprong en integriteit van gegevens in elektronische vorm mogelijk maakt;

6. „vertrouwende partij”: een natuurlijke persoon of een rechtspersoon die vertrouwt op een elektronische identificatie of een vertrouwensdienst;

7. „openbare instantie”: een staat, regionale of lokale overheden, publiekrechtelijke instellingen en samenwerkingsverbanden bestaand uit één of meer van deze overheidsinstanties of een of meer van deze publiekrechtelijke instellingen, of een private entiteit die door ten minste een van deze autoriteiten, publiekrechtelijke instellingen of verenigingen is gemachtigd tot het verlenen van openbare diensten, wanneer zij in die hoedanigheid optreden;

8. „publiekrechtelijke instelling”: een instelling volgens de definitie in punt 4 van artikel 2, lid 1, van Richtlijn 2014/24/EU van het Europees Parlement en de Raad (15);

9. „ondertekenaar”: een natuurlijke persoon die een elektronische handtekening aanmaakt;

10. „elektronische handtekening”: gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen;

11. „geavanceerde elektronische handtekening”: een elektronische handtekening die voldoet aan de eisen in artikel 26;

12. „gekwalificeerde elektronische handtekening”: een geavanceerde elektronische handtekening die is aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen;

13. „gegevens voor het aanmaken van elektronische handtekeningen”: unieke gegevens die door de ondertekenaar worden gebruikt om een elektronische handtekening aan te maken;

14. „certificaat voor elektronische handtekeningen”: een elektronische attestering die valideringsgegevens voor elektronische handtekeningen aan een natuurlijke persoon koppelt en ten minste de naam of het pseudoniem van die persoon bevestigt;

15. „gekwalificeerd certificaat voor elektronische handtekeningen”: een certificaat voor elektronische handtekeningen, dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage I;

16. „vertrouwensdienst”: een elektronische dienst die gewoonlijk tegen betaling wordt verricht en het onderstaande inhoudt:

a)	het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging en op deze diensten betrekking hebbende certificaten of

b)	het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites, of

c)	het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben;

17. „gekwalificeerde vertrouwensdienst”: een vertrouwensdienst die voldoet aan de toepasselijke eisen zoals vastgelegd in deze verordening;

18. „conformiteitsbeoordelingsinstantie”: een instantie omschreven in artikel 2, punt 13, van Verordening (EG) nr. 765/2008, die in overeenstemming met die verordening geaccrediteerd is om een conformiteitsbeoordeling te verrichten van een gekwalificeerde verlener van vertrouwensdiensten en van de door hem verleende vertrouwensdiensten;

19. „verlener van vertrouwensdiensten”: een natuurlijke persoon of rechtspersoon die een of meer vertrouwensdiensten verleent als een gekwalificeerde of als een niet-gekwalificeerde verlener van vertrouwensdiensten;

20. „gekwalificeerde verlener van vertrouwensdiensten”: een verlener van vertrouwensdiensten die één of meerdere gekwalificeerde vertrouwensdiensten verleent en van het toezichthoudende orgaan de status van gekwalificeerde heeft gekregen;

21. „product”: software of hardware, of relevante componenten van hardware of software, die bedoeld zijn om te worden gebruikt voor de verlening van vertrouwensdiensten;

22. „middel voor het aanmaken van elektronische handtekeningen”: geconfigureerde software of hardware die wordt gebruikt om een elektronische handtekening aan te maken;

23. „gekwalificeerd middel voor het aanmaken van elektronische handtekeningen”: een middel voor het aanmaken van elektronische handtekeningen dat voldoet aan de eisen van bijlage II;

24. „aanmaker van een zegel”: een rechtspersoon die een elektronisch zegel aanmaakt;

25. „elektronisch zegel”: gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die worden gebruikt om de oorsprong en integriteit daarvan te waarborgen;

26. „geavanceerd elektronisch zegel”: een elektronisch zegel dat voldoet aan de eisen in artikel 36;

27. „gekwalificeerd elektronisch zegel”: een geavanceerd elektronisch zegel dat aangemaakt is door een gekwalificeerd middel voor het aanmaken van elektronische zegels en dat gebaseerd is op een gekwalificeerd certificaat voor elektronische zegels;

28. „gegevens voor het aanmaken van elektronische zegels”: unieke gegevens die door de aanmaker van het elektronische zegel worden gebruikt om een elektronisch zegel aan te maken;

29. „certificaat voor elektronische zegels”: een elektronische attestering die valideringsgegevens van elektronische zegels aan een rechtspersoon verbindt en de naam van die rechtspersoon bevestigt;

30. „gekwalificeerd certificaat voor elektronische zegels”: een certificaat voor een elektronische zegel dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage III;

31. „middel voor het aanmaken van elektronische zegels”: geconfigureerde software of hardware die wordt gebruikt om een elektronisch zegel aan te maken;

32. „gekwalificeerd middel voor het aanmaken van elektronische zegels”: een middel voor het aanmaken van elektronische zegels dat mutatis mutandis voldoet aan de eisen van bijlage II;

33. „elektronische tijdstempel”: gegevens in elektronische vorm die andere gegevens in elektronische vorm verbinden aan een bepaald tijdstip en die bewijzen dat die laatstgenoemde gegevens op dat tijdstip bestonden;

34. „gekwalificeerde elektronische tijdstempel”: een elektronische tijdstempel die voldoet aan de in artikel 42 vastgelegde eisen;

35. „elektronisch document”: elke inhoud die is opgeslagen in elektronische vorm, in het bijzonder tekst of geluid, beeld of audiovisuele opname;

36. „dienst voor elektronisch aangetekende bezorging”: een dienst die het mogelijk maakt gegevens via elektronische middelen tussen derden te verzenden en die bewijs verschaft ten aanzien van het hanteren van de verzonden gegevens, met inbegrip van bewijs van het verzenden en ontvangen van de gegevens, en die de verzonden gegevens beschermt tegen het risico van verlies, diefstal, beschadiging of onbevoegde wijzigingen;

37. „gekwalificeerde dienst voor elektronisch aangetekende bezorging”: een dienst voor elektronisch aangetekende bezorging die voldoet aan de in artikel 44 vastgestelde eisen;

38. „certificaat voor websiteauthenticatie”: attestering die het mogelijk maakt de authenticiteit van een website vast te stellen en die de website verbindt aan de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven;

39. „gekwalificeerd certificaat voor websiteauthenticatie”: certificaat voor websiteauthenticatie dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage IV;

40. „valideringsgegevens”: gegevens die worden gebruikt om een elektronische handtekening of elektronisch zegel te valideren;

41. „validering”: proces waarmee wordt nagegaan of en bevestigd dat een elektronische handtekening of een elektronisch zegel geldig is.

Artikel 6

Wederzijdse erkenning

1. wanneer een elektronische identificatie met gebruikmaking van een elektronisch identificatiemiddel en authenticatie vereist is op grond van nationaal recht of door gangbare bestuursrechtelijke praktijk om toegang te krijgen tot een onlinedienst aangeboden door een openbare instantie in een lidstaat, moet het elektronisch identificatiemiddel dat uitgegeven is in een andere lidstaat worden erkend in de eerste lidstaat ten behoeve van de grensoverschrijdende onlineauthenticatie van die dienst, mits aan de volgende voorwaarden is voldaan:

a)	het elektronisch identificatiemiddel is uitgegeven op grond van een stelsel voor elektronische identificatie dat is opgenomen in de lijst die de Commissie uit hoofde van artikel 9 heeft bekendgemaakt;

het betrouwbaarheidsniveau van het elektronisch identificatiemiddel is gelijk aan of hoger dan het betrouwbaarheidsniveau dat de bevoegde openbare instantie als voorwaarde stelt voor onlinetoegang tot die dienst in de eerste lidstaat, mits het betrouwbaarheidsniveau van dat elektronisch identificatiemiddel in overeenstemming is met het betrouwbaarheidsniveau substantieel of hoog;

c)	de openbare instantie in kwestie gebruikt het betrouwbaarheidsniveau substantieel of hoog voor de toegang tot die onlinedienst.

Die erkenning vindt plaats uiterlijk twaalf maanden nadat de Commissie de lijst als bedoeld in de eerste alinea, onder a), heeft bekendgemaakt.

2. Een elektronisch identificatiemiddel dat is uitgegeven op grond van een stelsel voor elektronische identificatie opgenomen in de lijst die op grond van artikel 9 door de Commissie is gepubliceerd en het betrouwbaarheidsniveau laag heeft, kan door openbare instanties worden erkend ten behoeve van de grensoverschrijdende authenticatie voor de onlinediensten die door die instanties worden geleverd.

Artikel 7

Voorwaarden voor het in aanmerking komen voor de aanmelding van stelsels voor elektronische identificatie

Een stelsel voor elektronische identificatie komt in aanmerking voor aanmelding overeenkomstig artikel 9, lid 1, indien aan alle onderstaande voorwaarden is voldaan:

het elektronische identificatiemiddel dat onder het stelsel voor elektronische identificatie valt wordt uitgegeven:

i)	door de aanmeldende lidstaat;

ii)	op grond van een mandaat van de aanmeldende lidstaat; of

iii)	onafhankelijk van de aanmeldende lidstaat, en wordt door die lidstaat erkend;

b)	de elektronische identificatiemiddelen uit hoofde van het stelsel voor elektronische identificatie kunnen worden gebruikt om toegang te verkrijgen tot ten minste één door een openbare instantie geleverde dienst waarvoor elektronische identificatie vereist is in de aanmeldende lidstaat;

c)	het stelsel voor elektronische identificatie en de uit hoofde ervan uitgegeven elektronische identificatiemiddelen voldoen aan de eisen van op zijn minst één van de betrouwbaarheidsniveaus, opgenomen in de in artikel 8, lid 3, vermelde uitvoeringshandeling;

de aanmeldende lidstaat waarborgt dat de persoonsidentificatiegegevens die de persoon in kwestie op unieke wijze kenmerken op het moment van uitgifte van het elektronische identificatiemiddel op grond van dat stelsel, conform de technische specificaties, normen en procedures voor het respectieve betrouwbaarheidsniveau zoals neergelegd in de uitvoeringshandeling bedoeld in artikel 8, lid 3, worden gekoppeld aan de natuurlijke persoon of rechtspersoon als bedoeld in artikel 3, punt 1;

de partij die het elektronische identificatiemiddel uitgeeft op grond van dat stelsel, zorgt ervoor dat het elektronische identificatiemiddel wordt gekoppeld aan de persoon bedoeld in punt d) van dat artikel, in overeenstemming met de technische specificaties, normen en procedures voor het respectieve betrouwbaarheidsniveau zoals neergelegd in de uitvoeringshandeling bedoeld in artikel 8, lid 3;

de aanmeldende lidstaat zorgt voor de beschikbaarheid van onlineauthenticatie, zodat iedere vertrouwende partij die op het grondgebied van een andere lidstaat gevestigd is, de mogelijkheid heeft de ontvangen persoonsidentificatiegegevens in elektronische vorm te bevestigen.

Voor andere vertrouwende partijen dan openbare instanties mag de aanmeldende lidstaat voorwaarden stellen voor toegang tot die authenticatie. Grensoverschrijdende authenticatie is kosteloos wanneer zij wordt uitgevoerd voor een door een openbare instantie verleende onlinedienst.

De lidstaten leggen geen specifieke onevenredige technische eisen op aan vertrouwende partijen die voornemens zijn een dergelijke authenticatie uit te voeren indien dergelijke eisen de interoperabiliteit van de aangemelde stelsels voor elektronische identificatie tegenhouden of in aanzienlijke mate belemmeren;

ten minste zes maanden voor de aanmelding bedoeld in artikel 9, lid 1, verstrekt de aanmeldende lidstaat met het oog op de verplichting van artikel 12, lid 5, de andere lidstaten een beschrijving van dat stelsel, in overeenstemming met de procedurele voorschriften die zijn vastgesteld bij de in artikel 12, lid 7, bedoelde uitvoeringshandelingen;

h)	het stelsel voor elektronische identificatie voldoet aan de eisen van de uitvoeringshandeling bedoeld in artikel 12, lid 8.

Artikel 10

Inbreuk op de beveiliging

1. wanneer er inbreuk wordt gepleegd op het overeenkomstig artikel 9, lid 1, aangemelde stelsel voor elektronische identificatie of op de in artikel 7, onder f), bedoelde authenticatie of wanneer de integriteit ervan deels wordt geschonden zodat de betrouwbaarheid van de grensoverschrijdende authenticatie van dat stelsel in gevaar komt, moet de aanmeldende lidstaat onverwijld de grensoverschrijdende authenticatie of de delen waarvan de integriteit geschonden is, opschorten of intrekken, en de andere lidstaten en de Commissie hiervan op de hoogte stellen.

2. wanneer de in lid 1 bedoelde inbreuk of schending hersteld is, herstelt de aanmeldende lidstaat de grensoverschrijdende authenticatie en stelt hij de andere lidstaten en de Commissie daarvan onverwijld op de hoogte.

3. Indien de in lid 1 bedoelde inbreuk of schending niet binnen drie maanden na de opschorting of intrekking is verholpen, stelt de aanmeldende lidstaat de andere lidstaten en de Commissie op de hoogte van de intrekking van het stelsel voor elektronische identificatie.

De Commissie maakt de overeenkomstige wijzigingen aan de in artikel 9, lid 2, bedoelde lijst zonder onnodige vertraging bekend in het Publicatieblad van de Europese Unie.

Artikel 17

Toezichthoudend orgaan

1. De lidstaten wijzen een toezichthoudend orgaan aan dat gevestigd is op hun grondgebied of, in overeenstemming met een andere lidstaat, een in die andere lidstaat gevestigd toezichthoudend orgaan. Dat orgaanis verantwoordelijk voor toezichthoudende taken in de aanwijzende lidstaat.

Toezichthoudende organen krijgen de noodzakelijke bevoegdheden en toereikende middelen voor de uitvoering van hun opdrachten.

2. De lidstaten delen de Commissie de namen en adressen mee van de door hen aangewezen toezichthoudende organen.

3. De rol van het toezichthoudend orgaan is:

toezicht te houden op gekwalificeerde verleners van vertrouwensdiensten die gevestigd zijn in de aanwijzende lidstaat om door middel van toezichthoudende activiteiten vooraf en achteraf te waarborgen dat deze gekwalificeerde verleners van vertrouwensdiensten en de door hen verleende gekwalificeerde vertrouwensdiensten voldoen aan de eisen in deze verordening;

indien nodig tegen niet-gekwalificeerde verleners van vertrouwensdiensten die gevestigd zijn in de aanwijzende lidstaat op te treden door middel van toezichthoudende activiteiten achteraf, wanneer het orgaan verneemt dat deze niet-gekwalificeerde verleners van vertrouwensdiensten of de door hen verleende vertrouwensdiensten niet zouden voldoen aan de vereisten van deze verordening.

4. Met het oog op de doeleinden van lid 3 en behoudens de aldaar aangegeven beperkingen bestaan de taken van het toezichthoudend orgaan in het bijzonder in:

a)	samenwerking met andere toezichthoudende organen en bijstandsverlening aan deze organen overeenkomstig artikel 18;

b)	analyse van de conformiteitsbeoordelingsverslagen bedoeld in artikel 20, lid 1, en artikel 21, lid 1;

c)	andere toezichthoudende organen en het publiek overeenkomstig artikel 19, lid 2, op de hoogte brengen van veiligheidsinbreuken of integriteitsverlies;

d)	aan de Commissie verslag uitbrengen over zijn hoofdactiviteiten, overeenkomstig lid 6;

e)	audits uitvoeren of een conformiteitsbeoordelingsinstantie verzoeken een conformiteitsbeoordeling te doen van de gekwalificeerde verleners van vertrouwensdiensten overeenkomstig artikel 20, lid 2;

samenwerken met de gegevensbeschermingsinstanties en in het bijzonder deze instanties zonder onnodige vertraging informeren over de resultaten van de audits van gekwalificeerde verleners van vertrouwensdiensten indien er aanwijzingen zijn dat er regels inzake bescherming van persoonsgegevens zijn overtreden;

g)	de status van gekwalificeerde toekennen aan verleners van vertrouwensdiensten en aan de door hen verleende diensten, en deze status intrekken, overeenkomstig de artikelen 20 en 21;

h)	het voor de nationale vertrouwenslijst verantwoordelijke orgaan, bedoeld in artikel 22, lid 3, op de hoogte brengen van zijn besluiten om de status van gekwalificeerde toe te kennen of in te trekken, tenzij dit orgaan ook het toezichthoudend orgaan is;

i)	indien de gekwalificeerde verlener van vertrouwensdiensten zijn activiteiten beëindigt, nagaan of er bepalingen bestaan over beëindigingsplannen en of deze correct worden toegepast, ook inzake de vraag hoe informatie toegankelijk wordt gehouden overeenkomstig artikel 24, lid 2, onder h);

j)	eisen dat verleners van vertrouwensdiensten iedere niet-naleving van de in deze verordening vastgestelde voorschriften rechtzetten.

5. De lidstaten mogen vereisen dat het toezichthoudende orgaan een vertrouwensinfrastructuur opzet, onderhoudt en geregeld aanpast in overeenstemming met de voorwaarden uit hoofde van het nationale recht.

6. Elk toezichthoudend orgaan legt de Commissie jaarlijks uiterlijk op 31 maart een verslag voor over zijn hoofdactiviteiten in het voorgaande kalenderjaar, evenals een samenvatting van inbreukmeldingen die van verleners van vertrouwensdiensten ontvangen zijn overeenkomstig artikel 19, lid 2.

7. De Commissie stelt het in lid 6 bedoelde jaarverslag voor de lidstaten beschikbaar.

8. De Commissie kan door middel van uitvoeringshandelingen de formaten en procedures voor het in lid 6 bedoelde verslag definiëren. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

Artikel 23

Vertrouwensmerk van de EU voor gekwalificeerde vertrouwensdiensten

1. Nadat de in artikel 21, lid 2, tweede alinea, bedoelde status van gekwalificeerde is aangegeven op de in artikel 22, lid 1, bedoelde vertrouwenslijst, kunnen gekwalificeerde verleners van vertrouwensdiensten het vertrouwensmerk van de EU gebruiken om de gekwalificeerde vertrouwensdiensten die zij leveren op een eenvoudige, herkenbare en duidelijke manier aan te geven.

2. wanneer gekwalificeerde dienstverleners gebruikmaken van het vertrouwensmerk van de EU voor de in lid 1 bedoelde gekwalificeerde vertrouwensdiensten, zorgen zij ervoor dat op hun website een koppeling naar de desbetreffende vertrouwenslijst beschikbaar is.

3. De Commissie bepaalt uiterlijk op 1 juli 2015, via uitvoeringshandelingen, de specificaties van het formulier, en in het bijzonder de presentatie, samenstelling, omvang en vormgeving van het vertrouwensmerk van de EU voor gekwalificeerde vertrouwensdiensten. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

Artikel 24

Eisen aan gekwalificeerde verleners van vertrouwensdiensten

1. wanneer een gekwalificeerde verlener van vertrouwensdiensten een gekwalificeerd certificaat voor een vertrouwensdienst afgeeft, moet hij met daartoe geschikte middelen en overeenkomstig de nationale wetgeving de identiteit en in voorkomend geval de specifieke attributen verifiëren van de natuurlijke persoon of de rechtspersoon aan wie het gekwalificeerde certificaat wordt afgegeven.

De in de eerste alinea bedoelde informatie wordt door de gekwalificeerde verlener van vertrouwensdiensten geverifieerd, hetzij rechtstreeks, hetzij door een beroep te doen op een derde partij, overeenkomstig de nationale wetgeving:

a)	door de fysieke aanwezigheid van de natuurlijke persoon of een gemachtigde afgevaardigde van de rechtspersoon, of

op afstand, door middel van elektronische identificatiemiddelen, waarbij voorafgaand aan de afgifte van het gekwalificeerd certificaat de fysieke aanwezigheid van de natuurlijke persoon of de gemachtigde afgevaardigde van de rechtspersoon werd gewaarborgd, en die voldoen aan de vereisten van artikel 8 wat betreft de betrouwbaarheidsniveaus „substantieel” of „hoog”, of

c)	door middel van een certificaat van een gekwalificeerde elektronische handtekening of van een gekwalificeerd elektronisch zegel afgegeven overeenkomstig punt a) of b), of

d)	door middel van andere op nationaal niveau erkende identificatiemethoden die een mate van betrouwbaarheid verschaffen die gelijkwaardig is als fysieke aanwezigheid. Dat gelijkwaardige betrouwbaarheidsniveau wordt bevestigd door een conformiteitsbeoordelingsinstantie.

2. Een gekwalificeerde verlener van vertrouwensdiensten die gekwalificeerde vertrouwensdiensten verleent:

a)	stelt het toezichthoudende orgaan in kennis van veranderingen in de verlening van gekwalificeerde vertrouwensdiensten en een intentie om deze activiteiten te staken;

neemt personeelsleden, en, waar van toepassing, onderaannemers in dienst die over de noodzakelijke deskundigheid, betrouwbaarheid, ervaring, en kwalificaties beschikken, en die een passende opleiding hebben genoten met betrekking tot regels inzake beveiliging en bescherming van persoonsgegevens, en past administratieve en managementprocedures toe die voldoen aan Europese of internationale normen;

c)	zorgt ervoor dat hij, in verband met het risico op de in artikel 13 bedoelde aansprakelijkheid voor schade, voldoende financiële middelen ter beschikking heeft en/of sluit, overeenkomstig het nationale recht, een toereikende aansprakelijkheidsverzekering af;

verstrekt aan personen die gebruik wensen te maken van een gekwalificeerde vertrouwensdienst duidelijke en volledige informatie over de precieze voorwaarden betreffende het gebruik van die dienst, met inbegrip van eventuele beperkingen op het gebruik ervan, alvorens een contractuele verbintenis aan te gaan;

e)	maakt gebruik van betrouwbare systemen en producten die beschermd zijn tegen wijziging en die de technische veiligheid en betrouwbaarheid waarborgen van de processen die zij ondersteunen;

maakt gebruik van betrouwbare systemen voor de opslag van aan hem verstrekte gegevens in verifieerbare vorm, zodat:

i)	de gegevens uitsluitend publiek beschikbaar zijn indien de persoon op wie de gegevens betrekking hebben, hiervoor toestemming heeft gegeven,

ii)	alleen bevoegde personen de opgeslagen gegevens kunnen invoeren en wijzigen,

iii)	de authenticiteit van de gegevens kan worden gecontroleerd;

g)	neemt passende maatregelen tegen vervalsing en diefstal van gegevens;

legt gedurende een passende periode, ook nadat de gekwalificeerde verlener van vertrouwensdiensten zijn activiteiten heeft gestaakt, alle relevante informatie vast met betrekking tot de gegevens die de gekwalificeerde verlener van vertrouwensdiensten heeft afgegeven en ontvangen, en houdt deze informatie toegankelijk, met name om ten behoeve van gerechtelijke procedures bewijzen te kunnen leveren en om de continuïteit van de dienst te waarborgen. Dit vastleggen mag elektronisch plaatsvinden;

i)	heeft een geactualiseerd beëindigingsplan om de continuïteit van de dienst te verzekeren in overeenstemming met de door het toezichthoudende orgaan op grond van artikel 17, lid 4, onder i), geverifieerde bepalingen;

j)	zorgt voor wettelijke verwerking van persoonsgegevens in overeenstemming met Richtlijn 95/46/EG;

k)	legt, indien het gaat om gekwalificeerde verleners van vertrouwensdiensten die gekwalificeerde certificaten afgeven, een certificatendatabank aan en houdt deze actueel.

3. Indien een gekwalificeerde verlener van vertrouwensdiensten die gekwalificeerde certificaten afgeeft, beslist een certificaat in te trekken, dan registreert hij deze intrekking in zijn certificatendatabank en maakt hij de ingetrokken status van het certificaat tijdig, en in elk geval binnen 24 uur na ontvangst van het verzoek, bekend. De intrekking wordt onmiddellijk na de bekendmaking ervan van kracht.

4. Wat lid 3 betreft, verstrekken gekwalificeerde verleners van vertrouwensdiensten die gekwalificeerde certificaten afgeven, aan elke vertrouwende partij informatie over de geldigheid of ingetrokken status van door hen afgegeven gekwalificeerde certificaten. Deze informatie is op elk moment, en ook na de geldigheidsduur van het certificaat, in ieder geval per certificaat beschikbaar in een geautomatiseerde vorm die betrouwbaar, kosteloos en efficiënt is.

5. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor normen inzake betrouwbare systemen en producten, die voldoen aan de vereisten uit hoofde van lid 2, onder e) en f). Indien betrouwbare systemen en producten aan dergelijke normen voldoen, wordt aangenomen dat er overeenstemming is met de in dit artikel bepaalde eisen. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

AFDELING 4

Elektronische handtekeningen

Artikel 27

Elektronische handtekeningen in openbare diensten

1. Indien een lidstaat een geavanceerde elektronische handtekening vereist voor het gebruik van een door of namens een openbare instantie aangeboden onlinedienst, erkent die lidstaat geavanceerde elektronische handtekeningen, geavanceerde elektronische handtekeningen gebaseerd op een gekwalificeerd certificaat voor elektronische handtekeningen, en gekwalificeerde elektronische handtekeningen, op zijn minst in de formaten of gebruikmakend van methoden die zijn gedefinieerd in de in lid 5 bedoelde uitvoeringshandelingen.

2. Indien een lidstaat een op een gekwalificeerd certificaat gebaseerde geavanceerde elektronische handtekening vereist voor het gebruik van een door of namens een openbare instantie aangeboden onlinedienst, erkent die lidstaat geavanceerde elektronische handtekeningen gebaseerd op een gekwalificeerd certificaat en gekwalificeerde elektronische handtekeningen, op zijn minst in de formaten of gebruikmakend van de methoden die zijn gedefinieerd in de in lid 5 bedoelde uitvoeringshandelingen.

3. De lidstaten vereisen voor grensoverschrijdend gebruik bij een door een openbare instantie aangeboden onlinedienst geen elektronische handtekening van een hoger betrouwbaarheidsniveau dan een gekwalificeerde elektronische handtekening.

4. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor normen inzake geavanceerde elektronische handtekeningen. Indien een geavanceerde elektronische handtekening aan die normen voldoet, wordt zij geacht in overeenstemming te zijn met de in de leden 1 en 2 van dit artikel en in artikel 26, bedoelde vereisten voor geavanceerde elektronische handtekeningen. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 48, lid 2, bedoelde onderzoeksprocedure.

5. Uiterlijk op 18 september 2015, rekening houdend met bestaande praktijken, normen en rechtshandelingen van de Unie, definieert de Commissie door middel van uitvoeringshandelingen referentieformaten van geavanceerde elektronische handtekeningen of referentiemethoden wanneer alternatieve formaten worden gebruikt. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 30

Certificering van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen

1. De overeenstemming van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen met de in bijlage II vastgestelde eisen wordt gecertificeerd door geschikte, daartoe door de lidstaten aangewezen openbare of private organen.

2. De lidstaten verstrekken aan de Commissie de namen en adressen van de in lid 1 bedoelde openbare of private organen. De Commissie stelt deze informatie beschikbaar aan de lidstaten.

3. De in lid 1 bedoelde certificering is gebaseerd op een van de volgende elementen:

a)	een veiligheidsbeoordeling uitgevoerd in overeenstemming met een van de normen inzake de veiligheidsbeoordeling van producten op het gebied van informatietechnologie die zijn opgenomen in de overeenkomstig de tweede alinea vastgestelde lijst, of

een ander proces dan het in punt a) vermelde, op voorwaarde dat dit proces vergelijkbare beveiligingsniveaus hanteert, en dat het in lid 1 bedoelde openbare of private orgaan de Commissie van het proces in kennis stelt. Dat proces mag alleen worden gebruikt als er geen in punt a) bedoelde normen zijn of wanneer een in punt a) bedoelde veiligheidsbeoordeling gaande is.

De Commissie stelt door middel van uitvoeringshandelingen een lijst vast voor de veiligheidsbeoordeling van producten op het gebied van onder a) bedoelde informatietechnologie. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

4. De Commissie is bevoegd overeenkomstig artikel 47 gedelegeerde handelingen vast te stellen met betrekking tot het opstellen van specifieke criteria waaraan de aangewezen organen zoals bedoeld in lid 1 van dit artikel moeten voldoen.

Artikel 44

Eisen voor gekwalificeerde diensten voor elektronisch aangetekende bezorging

1. Gekwalificeerde diensten voor elektronisch aangetekende bezorging voldoen aan de volgende eisen:

a)	zij worden verleend door een of meer gekwalificeerde verleners van vertrouwensdiensten;

b)	zij bevestigen op een hoog vertrouwensniveau de identiteit van de zender;

c)	zij bevestigen de identiteit van de geadresseerde, alvorens de gegevens te bezorgen;

d)	het verzenden en ontvangen van gegevens wordt beveiligd door een geavanceerde elektronische handtekening of een geavanceerd elektronisch zegel van een gekwalificeerde verlener van vertrouwensdiensten, en wel op zodanige wijze dat onmerkbare wijziging van gegevens kan worden uitgesloten;

e)	de verzender en de geadresseerde van de gegevens worden op duidelijke wijze in kennis gesteld van eventuele wijzigingen van de gegevens die nodig zijn voor het verzenden of ontvangen van de gegevens;

f)	de datum en het tijdstip van verzenden, ontvangen en wijzigen van gegevens worden aangegeven met een gekwalificeerd elektronisch tijdstempel.

wanneer gegevens overgedragen worden tussen twee of meer gekwalificeerde verleners van vertrouwensdiensten, zijn de eisen onder a) tot en met f) van toepassing op alle gekwalificeerde verleners van vertrouwensdiensten.

2. De Commissie kan door middel van uitvoeringshandelingen referentienummers vaststellen voor normen inzake processen voor het verzenden en ontvangen van gegevens. Indien het proces voor het verzenden en ontvangen van gegevens aan dergelijke normen voldoet, wordt aangenomen dat er overeenstemming is met de in lid 1 vastgestelde eisen. Deze uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

AFDELING 8

Authenticatie van websites

Artikel 48

Comitéprocedure

1. De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2. wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

HOOFDSTUK VI

SLOTBEPALINGEN

whereas

(10) In Richtlijn 2011/24/EU van het Europees Parlement en de Raad (6) wordt een netwerk van voor e-gezondheid verantwoordelijke nationale autoriteiten opgezet.
Om de veiligheid en de continuïteit van grensoverschrijdende gezondheidszorg te verbeteren, moet het netwerk richtsnoeren opstellen voor de grensoverschrijdende toegang tot elektronische gezondheidsgegevens en -diensten, ook door het ondersteunen van „gemeenschappelijke identificatie- en authenticatiemaatregelen, teneinde de overdraagbaarheid van gegevens bij grensoverschrijdende gezondheidszorg te bevorderen”.
De wederzijdse erkenning van elektronische identificatie en authenticatie is essentieel om voor de Europese burger grensoverschrijdende gezondheidszorg realiteit te maken.
wanneer mensen voor een behandeling naar het buitenland reizen, moeten hun medische gegevens in het land van behandeling toegankelijk zijn.
Dat vergt een degelijk, veilig en betrouwbaar kader voor elektronische identificatie.

- = -

(18) Deze verordening dient te voorzien in de aansprakelijkheid van de aanmeldende lidstaat, de partij die de elektronische identificatiemiddelen verstrekt en de partij die de authenticatieprocedure uitvoert, wanneer zij niet voldoen aan de verplichtingen ter zake in deze verordening.
Deze verordening moet echter worden uitgevoerd volgens de nationale voorschriften inzake aansprakelijkheid.
De verordening beïnvloedt derhalve niet deze nationale voorschriften inzake, bijvoorbeeld, de definitie van schade of het bepalen van de toepasselijke procedureregels, waaronder inzake de bewijslast.

- = -

(19) De veiligheid van stelsels voor elektronische identificatie is van cruciaal belang voor een betrouwbare grensoverschrijdende wederzijdse erkenning van elektronische identificatiemiddelen.
In dit verband moeten de lidstaten samenwerken op het gebied van de veiligheid en interoperabiliteit van de stelsels voor elektronische identificatie op Unieniveau.
wanneer in stelsels voor elektronische identificatie wordt geëist dat de vertrouwende partijen specifieke hardware of software gebruiken op nationaal niveau, dan wordt de betrokken lidstaten in het kader van de grensoverschrijdende interoperabiliteit verzocht dergelijke vereisten en daarmee verband houdende kosten niet op te leggen aan vertrouwende partijen die buiten hun grondgebied gevestigd zijn.
In dat geval moeten binnen de grenzen van het interoperabiliteitskader passende oplossingen worden besproken en ontwikkeld.
Niettemin zijn technische vereisten die voortvloeien uit de inherente specificaties van nationale elektronische identificatiemiddelen en die waarschijnlijk gevolgen zullen hebben voor de houders van dergelijke elektronische middelen (bv.
smartcards), onvermijdelijk.

- = -

(31) Toezichthoudende organen moeten samenwerken met gegevensbeschermingsinstanties, bijvoorbeeld door hen te informeren over de resultaten van audits van gekwalificeerde verleners van vertrouwensdiensten wanneer er aanwijzingen zijn dat inbreuk op voorschriften inzake de bescherming van persoonsgegevens is gepleegd.
De verstrekking van informatie moet in het bijzonder betrekking hebben op beveiligingsincidenten en inbreuken op persoonsgegevens.

- = -

(36) De instelling van een toezichtregeling voor alle verleners van vertrouwensdiensten moet zorgen voor een gelijk speelveld met betrekking tot de veiligheid en verantwoording van hun activiteiten en diensten, hetgeen bijdraagt aan de bescherming van de gebruikers en aan de werking van de interne markt.
Niet-gekwalificeerde verleners van vertrouwensdiensten moeten worden onderworpen aan eenvoudige en reactieve toezichtactiviteiten achteraf die worden gerechtvaardigd door de aard van hun diensten en activiteiten.
Het toezichthoudend orgaan mag daarom geen algemene verplichting hebben om toezicht te houden op niet-gekwalificeerde dienstverleners.
Het toezichthoudend orgaan dient alleen op te treden wanneer het ervan in kennis wordt gesteld (bijvoorbeeld door de niet-gekwalificeerde verlener van vertrouwensdiensten zelf, door een ander toezichthoudend orgaan, door een kennisgeving van een gebruiker of een zakenpartner of op basis van zijn eigen onderzoek) dat een niet-gekwalificeerde verlener van vertrouwensdiensten niet voldoet aan de vereisten van deze verordening.

- = -

(42) Om het toezicht op gekwalificeerde verleners van vertrouwensdiensten te vergemakkelijken, bijvoorbeeld wanneer een verlener zijn diensten aanbiedt op het grondgebied van een andere lidstaat en daar niet aan toezicht onderworpen is, of wanneer de computers van een verlener zich bevinden op het grondgebied van een andere lidstaat dan die waar hij gevestigd is, moet een systeem voor wederzijdse bijstand tussen de toezichtorganen in de lidstaten worden opgezet.

- = -

(43) Om te waarborgen dat de gekwalificeerde verleners van vertrouwensdiensten alsook de door hen verleende diensten voldoen aan de voorschriften van deze verordening, moet een conformiteitsbeoordeling worden verricht door een conformiteitsbeoordelingsorgaan en moeten de daaruit resulterende conformiteitsbeoordelingsrapporten door de gekwalificeerde verleners van vertrouwensdiensten aan het toezichthoudende orgaan worden voorgelegd.
Telkens wanneer het toezichthoudende orgaan verlangt dat een gekwalificeerde verlener van vertrouwensdiensten een ad-hocconformiteitsbeoordelingsrapport indient, dient het in het bijzonder het beginsel van behoorlijk bestuur te eerbiedigen, mede omvattende de verplichting tot motivering van zijn besluiten, alsook het evenredigheidsbeginsel.
Het toezichthoudende orgaan moet derhalve zijn besluit waarbij het een ad-hocconformiteitsbeoordeling vereist, naar behoren met redenen omkleden.

- = -

(50) Aangezien bevoegde autoriteiten in de lidstaten momenteel verschillende formats voor geavanceerde elektronische handtekeningen gebruiken om hun documenten elektronisch te ondertekenen, moet worden gewaarborgd dat ten minste een aantal formats voor geavanceerde elektronische handtekeningen technisch ondersteund kunnen worden door de lidstaten wanneer zij elektronisch ondertekende documenten ontvangen.
Evenzo is het nodig om, wanneer bevoegde autoriteiten in de lidstaten gebruikmaken van geavanceerde elektronische zegels, te waarborgen dat zij ten minste een aantal formats voor geavanceerde elektronische zegels ondersteunen.

- = -

(58) wanneer voor een transactie een gekwalificeerd elektronisch zegel van een rechtspersoon vereist is, moet een gekwalificeerde elektronische handtekening van de gemachtigd vertegenwoordiger van de rechtspersoon gelijkelijk aanvaardbaar zijn.

- = -

(62) Omwille van de veiligheid van gekwalificeerde elektronische tijdstempels moet deze verordening het gebruik van een geavanceerd elektronisch zegel, een geavanceerde elektronische handtekening of andere, gelijkwaardige methoden voorschrijven.
Verwacht kan worden dat door innovatie nieuwe technologieën ontstaan die een gelijkwaardig beveiligingsniveau bieden voor tijdstempels.
Telkens wanneer gebruik wordt gemaakt van een andere methode dan een geavanceerd elektronisch zegel of een geavanceerde elektronische handtekening, moet de gekwalificeerde verlener van vertrouwensdiensten in het conformiteitsbeoordelingsrapport aantonen dat die andere methode een gelijkwaardig beveiligingsniveau garandeert en voldoet aan de in deze verordening vastgestelde verplichtingen.

- = -

keyboard_tab EIDAS 2014/0910 NL

EIDAS 2014/0910 NL