22.5.2019   

NL

Publicatieblad van de Europese Unie

L 135/27


VERORDENING (EU) 2019/817 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 20 mei 2019

tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2, artikel 74 en artikel 77, lid 2, onder a), b), d) en e),

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité (1),

Na raadpleging van het Comité van de Regio's,

Handelend volgens de gewone wetgevingsprocedure (2),

Overwegende hetgeen volgt:

(1)

In haar mededeling Krachtigere en slimmere informatiesystemen voor grenzen en veiligheid van 6 april 2016 heeft de Commissie benadrukt dat de Unie-architectuur voor gegevensbeheer voor grensbeheer en veiligheid moest worden verbeterd. De mededeling gaf de aanzet tot een proces dat moet leiden tot interoperabiliteit tussen de Unie-informatiesystemen voor veiligheid, grensbeheer en migratiebeheer, om de structurele tekortkomingen in verband met deze systemen te verhelpen, die het werk van de nationale autoriteiten hinderen, en ervoor te zorgen dat grenswachters, douaneautoriteiten, politieambtenaren en gerechtelijke autoriteiten over de nodige informatie beschikken.

(2)

In zijn routekaart voor het verbeteren van informatie-uitwisseling en informatiebeheer op het gebied van justitie en binnenlandse zaken van 6 juni 2016 heeft de Raad verscheidene juridische, technische en operationele problemen in verband met de interoperabiliteit van de Unie-informatiesystemen vastgesteld en ertoe opgeroepen daar oplossingen voor te vinden.

(3)

In zijn resolutie van 6 juli 2016 over de strategische prioriteiten met betrekking tot het werkprogramma van de Commissie voor 2017 (3) heeft het Europees Parlement aangedrongen op voorstellen om de bestaande Unie-informatiesystemen te verbeteren en verder te ontwikkelen, informatieleemten aan te pakken en de interoperabiliteit tussen voornoemde systemen te bevorderen, en op voorstellen voor verplichte gegevensuitwisseling op Unieniveau, samen met de nodige waarborgen voor gegevensbescherming.

(4)

In zijn conclusies van 15 december 2016 heeft de Europese Raad gevraagd om te blijven werken aan de interoperabiliteit van informatiesystemen en databanken.

(5)

In zijn eindverslag van 11 mei 2017 heeft de deskundigengroep inzake informatiesystemen en interoperabiliteit geconcludeerd dat het noodzakelijk en technisch haalbaar was om praktische oplossingen voor interoperabiliteit na te streven, en dat de interoperabiliteit in beginsel zowel operationele voordelen kunnen opleveren als met inachtneming van de voorschriften inzake gegevensbescherming kunnen worden vastgesteld.

(6)

In haar mededeling van 16 mei 2017, met als titel "Zevende voortgangsverslag over de totstandbrenging van een echte en doeltreffende Veiligheidsunie", heeft de Commissie, overeenkomstig haar mededeling van 6 april 2016 en conform de bevindingen en aanbevelingen van de deskundigengroep op hoog niveau, een nieuwe aanpak beschreven voor het beheer van gegevens voor grenzen, veiligheid en migratie, waarbij alle gecentraliseerde Unie-informatiesystemen voor veiligheid, grensbeheer en migratiebeheer interoperabel zijn, met volledige inachtneming van de grondrechten.

(7)

In zijn conclusies van 9 juni 2017 over de verdere stappen voor het verbeteren van de informatie-uitwisseling en het waarborgen van de interoperabiliteit van de Unie-informatiesystemen, heeft de Raad de Commissie verzocht om de door de deskundigengroep op hoog niveau voorgestelde oplossingen inzake operabiliteit na te streven.

(8)

In zijn conclusies van 23 juni 2017 heeft de Europese Raad de noodzaak onderstreept van een verbetering van de interoperabiliteit tussen databanken en de Commissie verzocht zo spoedig mogelijk ontwerpwetgeving op te stellen op basis van de voorstellen uit te werken van de deskundigengroep op hoog niveau inzake informatiesystemen en interoperabiliteit.

(9)

Teneinde de doeltreffendheid en doelmatigheid van controles aan de buitengrenzen te verbeteren, bij te dragen aan het voorkomen en bestrijden van illegale immigratie en aan een hoog niveau van veiligheid in de ruimte van vrijheid, veiligheid en recht van de Unie, onder meer door de handhaving van de openbare orde en veiligheid en de vrijwaring van de veiligheid op het grondgebied van de lidstaten, de uitvoering van het gemeenschappelijk visumbeleid te verbeteren, bijstand te verlenen bij de behandeling van verzoeken om internationale bescherming, bij te dragen aan het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten, ondersteuning te bieden bij de identificatie van onbekende personen die niet in staat zijn zichzelf te legitimeren of van niet-geïdentificeerde stoffelijke overschotten bij natuurrampen, ongevallen of terroristische aanslagen, om het vertrouwen te houden van het publiek in het migratie- en asielstelsel van de Unie, de veiligheidsmaatregelen van de Unie en de capaciteit van de Unie om de buitengrens te beheren, dient er interoperabiliteit tot stand te worden gebracht tussen een aantal informatiesystemen van de Unie, namelijk het inreis-uitreissysteem (EES), het Visuminformatiesysteem (VIS), het Europees systeem voor reisinformatie en -autorisatie (Etias), Eurodac, het Schengeninformatiesysteem (SIS) en het Europees Strafregister Informatiesysteem voor onderdanen van derde landen (ECRIS-TCN), opdat deze Unie-informatiesystemen en de erin opgenomen gegevens elkaar aanvullen, met inachtneming van de grondrechten van het individu, en met name de bescherming van persoonsgegevens. Hiertoe dienen de volgende interoperabiliteitscomponenten tot stand te worden gebracht: een Europees zoekportaal (ESP), een gezamenlijke dienst voor biometrische matching (gezamenlijke BMS), een gemeenschappelijk identiteitsregister (CIR) en een detector van meerdere identiteiten (MID).

(10)

De interoperabiliteit tussen de Unie-informatiesystemen moet die systemen in staat stellen elkaar aan te vullen teneinde de correcte identificatie van personen, met inbegrip van onbekende personen die niet in staat zijn zichzelf te legitimeren of niet-geïdentificeerde stoffelijke overschotten, te vergemakkelijken, bijdragen tot de bestrijding van identiteitsfraude, vereisten inzake de gegevenskwaliteit van de respectieve Europese informatiesystemen verbeteren en harmoniseren, de technische en operationele implementatie van de Unie-informatiesystemen door de lidstaten vergemakkelijken, de waarborgen inzake gegevensbeveiliging en -bescherming die van toepassing zijn op de Unie-informatiesystemen versterken, de toegang tot het EES, VIS, Etias en Eurodac met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten stroomlijnen en de doelen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN ondersteunen.

(11)

De interoperabiliteitscomponenten dienen betrekking te hebben op het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN. Voornoemde componenten dienen ook van toepassing te zijn op de Europol-gegevens, maar enkel in de zin dat zij het mogelijk moeten maken deze gegevens gelijktijdig met die Unie-informatiesystemen te doorzoeken.

(12)

De interoperabiliteitscomponenten moeten de persoonsgegevens verwerken van personen van wie persoonsgegevens in de onderliggende Unie-informatiesystemen en door Europol worden verwerkt.

(13)

Het ESP dient te worden opgericht om het langs technische weg gemakkelijker te maken voor de lidstatelijke autoriteiten en de Unie-agentschappen om snel, ononderbroken, efficiënt, systematisch en gecontroleerd toegang te krijgen tot de Unie-informatiesystemen, de Europol-gegevens en de databanken van de Internationale Politieorganisatie (Interpol) voor zover dit nodig is om hun taken te verrichten, zulks overeenkomstig hun toegangsrechten. Het ESP moet ook worden opgericht ter ondersteuning van de doelstellingen van het EES, VIS, Etias, Eurodac, SIS, ECRIS-TCN en de Europol-gegevens. Door het mogelijk te maken te zoeken in alle relevante Unie-informatiesystemen, in de Europol-gegevens en de Interpol-databanken, moet het ESP dienstdoen als één loket of "messagebroker" voor het naadloos doorzoeken van verscheidene centrale systemen en opvragen van de nodige informatie, met volledige inachtneming van de voorschriften inzake toegangscontrole en gegevensbescherming van de onderliggende systemen.

(14)

Het ESP moet zodanig worden ontworpen dat de gegevens aan de hand waarvan een ESP-gebruiker een zoekopdracht start in de Interpoldatabanken, niet worden gedeeld met de eigenaars van de Interpol-gegevens. Het ontwerp van het ESP dient er tevens voor te zorgen dat de Interpol-databanken alleen in overeenstemming met het toepasselijke Unie- en nationale recht worden geraadpleegd.

(15)

Aan de hand van de databank voor gestolen en verloren reisdocumenten (SLTD) van Interpol kunnen gemachtigde instanties die verantwoordelijk zijn voor het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten in de lidstaten, zoals immigratie- en grenscontrolediensten, vaststellen of een reisdocument geldig is. Het Etias bevraagt de SLTD-databank en de databank van Interpol voor reisdocumenten die voorkomen in Notices (TDAWN-databank) bijvoorbeeld in het kader van de beoordeling of het waarschijnlijk is dat een aanvrager van een reisautorisatie tot irreguliere migratie zal overgaan of een bedreiging voor de veiligheid zou kunnen vormen. Het ESP dient het mogelijk te maken de SLTD en de TDAWN te bevragen aan de hand van iemands identiteitsgegevens of reisdocumentgegevens. Wanneer persoonsgegevens vanuit de Unie via het ESP worden doorgegeven aan Interpol, dienen de bepalingen inzake internationale doorgiften in hoofdstuk V van Verordening (EU) 2016/679 van het Europees Parlement en de Raad (4), of de nationale bepalingen ter omzetting van hoofdstuk V van Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (5) van toepassing te zijn. Dit mag geen afbreuk doen aan de specifieke regels van Gemeenschappelijk Standpunt 2005/69/JBZ van de Raad (6) en van Besluit 2007/533/JBZ van de Raad (7).

(16)

Het ESP dient zodanig te worden ontwikkeld en geconfigureerd dat het alleen zulke bevragingen toestaat indien gegevens worden gebruikt die gerelateerd zijn aan personen of reisdocumenten of die in een Unie-informatiesysteem, in de Europol-gegevens of in de Interpol-databanken zijn opgenomen.

(17)

Om ervoor te zorgen dat de relevante Unie-informatiesystemen systematisch worden gebruikt, dient het ESP te worden gebruikt voor het doorzoeken van het CIR, EES, VIS, Etias, Eurodac en ECRIS-TCN. Een nationale verbinding met de verschillende Unie-informatiesystemen dient echter te blijven bestaan, bij wijze van technisch vangnet. Het ESP dient ook door Unie-agentschappen te worden gebruikt om het centrale SIS overeenkomstig hun toegangsrechten te doorzoeken voor het verrichten van hun taken. Het ESP dient een aanvullend middel te zijn voor het doorzoeken van het centrale SIS, de Europol-gegevens en de Interpol-databanken, ter aanvulling van de interfaces die daarvoor al beschikbaar zijn.

(18)

Biometrische gegevens zoals vingerafdrukken en gezichtsopnames zijn uniek en derhalve voor de identificatie van een persoon veel betrouwbaarder dan alfanumerieke gegevens. De gezamenlijke BMS dient als technisch instrument het werk van de relevante Unie-informatiesystemen en andere interoperabiliteitscomponenten te versterken en vereenvoudigen. De gezamenlijke BMS heeft als voornaamste doel de identificatie te vergemakkelijken van een natuurlijke persoon die wellicht geregistreerd is in verschillende databanken, door een enkele technologische component in plaats van verschillende componenten te gebruiken om iemands biometrische gegevens over verschillende systemen heen te matchen. De gezamenlijke BMS dient de veiligheid te bevorderen alsmede voordelen uit financieel, operationeel en onderhoudsoogpunt op te leveren. Alle geautomatiseerde vingerafdrukidentificatiesystemen, waaronder de momenteel voor Eurodac, het VIS en het SIS gebruikte toepassingen, maken gebruik van biometrische templates met gegevens die zijn verkregen door specifieke kenmerken te extraheren uit concrete biometrische informatie. De gezamenlijke BMS dient al deze biometrische templates, logisch gescheiden per informatiesysteem waaruit de gegevens afkomstig zijn, te bundelen en op één locatie op te slaan, zodat systeemoverschrijdende vergelijkingen op basis van biometrische templates gemakkelijker worden en schaalvoordelen bij de ontwikkeling en het onderhoud van de centrale Uniesystemen kunnen worden behaald.

(19)

De in de gezamenlijke BMS opgeslagen biometrische templates die zijn samengesteld op basis van gegevens die zijn verkregen door specifieke kenmerken te extraheren uit concrete biometrische informatie moeten op zodanige wijze worden vervaardigd dat het extraheringsproces niet kan worden teruggedraaid. Biometrische templates moeten worden verkregen uit biometrische gegevens zonder dat het mogelijk is om dezelfde biometrische gegevens uit de biometrische templates te verkrijgen. Aangezien handpalmafdrukken en DNA-profielen alleen in het SIS worden opgeslagen, en niet kunnen worden gebruikt voor kruiscontroles met gegevens in andere informatiesystemen, overeenkomstig de beginselen van noodzakelijkheid en evenredigheid, mogen in de gezamenlijke BMS geen DNA-profielen of biometrische templates worden opgeslagen die worden verkregen uit handpalmafdrukken.

(20)

Biometrische gegevens zijn gevoelige persoonsgegevens. Deze verordening dient de grondslag en de waarborgen vast te stellen voor de verwerking van dergelijke gegevens met het oog op de unieke identificatie van de betrokkenen.

(21)

Het EES, VIS, Etias, Eurodac en ECRIS-TCN vereisen accurate identificatie van de personen wier persoonsgegevens daarin worden opgeslagen. Het CIR dient de correcte identificatie van in die systemen geregistreerde personen te bevorderen en vereenvoudigen.

(22)

Persoonsgegevens die in die Unie-informatiesystemen zijn opgeslagen, kunnen betrekking hebben op dezelfde personen, van wie echter verschillende of onvolledige identiteitsgegevens kunnen zijn geregistreerd. De lidstaten beschikken over efficiënte manieren om hun burgers of de geregistreerde permanent ingezetenen op hun grondgebied te identificeren. De interoperabiliteit tussen de Unie-informatiesystemen dient bij te dragen tot de correcte identificatie van in die systemen opgenomen personen. In het CIR dienen de in de systemen opgenomen persoonsgegevens te worden opgeslagen die nodig zijn om die personen van wie de gegevens in die systemen zijn opgeslagen zo accuraat mogelijk te identificeren; waaronder hun identiteitsgegevens, reisdocumentgegevens en biometrische gegevens en het doet er niet toe in welk systeem de gegevens oorspronkelijk werden verzameld. Alleen de persoonsgegevens die strikt noodzakelijk zijn voor een accurate identiteitscontrole dienen in het CIR te worden opgeslagen. De in het CIR opgeslagen persoonsgegevens dienen niet langer te worden bewaard dan strikt noodzakelijk is voor de doeleinden van de onderliggende systemen en dienen automatisch te worden gewist wanneer de gegevens worden verwijderd uit de onderliggende systemen, met inachtneming van de logische scheiding daarvan.

(23)

Een nieuwe verwerkingsverrichting die erin bestaat dat die gegevens worden opgeslagen in het CIR in plaats van in elk van de afzonderlijke systemen, is noodzakelijk om de nauwkeurigheid te kunnen bevorderen van de identificatie door middel van het geautomatiseerde vergelijken en matchen van de gegevens. Het feit dat identiteits-, reisdocument- en biometrische gegevens in het CIR worden opgeslagen, mag op geen enkele wijze de gegevensverwerking voor de doeleinden van het EES, VIS, Etias, Eurodac of ECRIS-TCN verhinderen, aangezien het CIR een nieuwe gezamenlijke component van dergelijke onderliggende systemen dient te zijn.

(24)

Daarom moet in het CIR een afzonderlijk bestand te worden aangelegd voor eenieder die is geregistreerd in het EES, VIS, Etias, Eurodac of ECRIS-TCN, zowel ter verwezenlijking van het doel van correcte identificatie van personen binnen het Schengengebied als ter ondersteuning van de MID met als tweeledige doel de identiteitscontrole van bonafide reizigers te vergemakkelijken en identiteitsfraude te bestrijden. Het afzonderlijke bestand moet alle aan een persoon gelinkte identiteitsinformatie op één plaats bewaren en moet naar behoren gemachtigde eindgebruikers toegang bieden tot die informatie.

(25)

Het CIR dient aldus de autoriteiten die verantwoordelijk zijn voor het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten op eenvoudiger en gestroomlijnde wijze toegang te bieden tot de Unie-informatiesystemen die niet uitsluitend zijn ingesteld voor preventie, opsporing of onderzoek van ernstige criminaliteit.

(26)

Het CIR dient te voorzien in een gedeelde datacontainer voor identiteits-, reisdocument- en biometrische gegevens van personen die geregistreerd zijn in het EES, VIS, Etias, Eurodac en ECRIS-TCN. Het moet deel uitmaken van de technische architectuur van deze systemen en fungeren als de gezamenlijke component daarvan voor het opslaan en doorzoeken van de identiteits-, reisdocument- en biometrische gegevens.

(27)

Alle records in het CIR dienen logisch te worden gescheiden door elke record automatisch te voorzien van een label met de naam van het onderliggende systeem waarvan het deel uitmaakt. Bij de toegangscontroles van het CIR dienen deze labels te worden gebruikt om te bepalen of een record al dan niet toegankelijk is.

(28)

Wanneer een lidstatelijke politieautoriteit een persoon niet kan identificeren vanwege het ontbreken van een reisdocument of ander betrouwbaar document dat de identiteit van de betrokkene aantoont, of wanneer er twijfel bestaat over de identiteitsgegevens geleverd door de betrokkene of over de echtheid van het reisdocument of de identiteit van de houder ervan, of wanneer de betrokkene niet in staat of bereid is medewerking te verlenen, moet die politieautoriteit het CIR kunnen doorzoeken om de persoon te identificeren. Daartoe dienen de politieautoriteiten vingerafdrukken af te nemen met behulp van live-scantechnieken voor vingerafdrukken en moet de zoekopdracht in aanwezigheid van die persoon wordt gestart. Dergelijke zoekopdrachten van het CIR mogen niet worden toegestaan met het oog op de identificatie van minderjarigen onder de leeftijd van twaalf jaar, tenzij dit in het belang van het kind is.

(29)

Als de biometrische gegevens van een persoon niet kunnen worden gebruikt of wanneer een zoekopdracht aan de hand van die gegevens geen resultaat oplevert, dient te worden gezocht aan de hand van de identiteitsgegevens van de persoon in combinatie met reisdocumentgegevens. Als de zoekopdracht uitwijst dat er gegevens over die persoon zijn opgeslagen in het CIR, dienen de lidstatelijke autoriteiten toegang te hebben tot het CIR om de in het CIR opgeslagen identiteits- en reisdocumentgegevens van die persoon te raadplegen, zonder dat het CIR op enige wijze duidelijk maakt van welk Unie-informatiesysteem die gegevens deel uitmaken.

(30)

De lidstaten dienen nationale wetgevingsmaatregelen vast te stellen tot aanwijzing van de autoriteiten die bevoegd zijn voor het uitvoeren van identiteitscontroles met behulp van het CIR en tot vaststelling van de procedures, voorwaarden en criteria voor zulke controles, die moeten stroken met het evenredigheidsbeginsel. Het nationaal recht dient met name te voorzien in de bevoegdheid om biometrische gegevens te verzamelen wanneer iemand door een personeelslid van voornoemde autoriteiten aan een identiteitscontrole wordt onderworpen.

(31)

Deze verordening dient het tevens mogelijk te maken om de aangewezen autoriteiten die verantwoordelijk zijn voor het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten van de lidstaten alsmede Europol gestroomlijnde toegang te bieden tot andere gegevens dan identiteits- of reisdocumentgegevens in het EES, VIS, Etias of Eurodac. In specifieke gevallen wanneer er gegronde redenen zijn om aan te nemen dat de raadpleging van die gegevens zal bijdragen tot het voorkomen, opsporen of onderzoeken van de terroristische misdrijven of andere ernstige strafbare feiten in kwestie, bevatten de systemen zulke gegevens die noodzakelijk kunnen zijn om terroristische misdrijven of andere ernstige strafbare feiten te voorkomen, op te sporen of te onderzoeken, met name wanneer er een gegrond vermoeden bestaat dat de verdachte, de dader of het slachtoffer van een terroristisch misdrijf of ander ernstig strafbaar feit een persoon is wiens gegevens zijn opgeslagen in het EES, VIS, Etias of Eurodac.

(32)

De volledige toegang tot de gegevens in het EES, VIS, ETIAS of Eurodac die noodzakelijk is met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten, anders dan de toegang tot in het CIR bijgehouden identiteits- of reisdocumentgegevens dient onderworpen te blijven aan de toepasselijke rechtsinstrumenten. De aangewezen autoriteiten die verantwoordelijk zijn voor het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten en Europol weten vooraf niet welke Unie-informatiesystemen gegevens bevatten van de personen over wie zij informatie nodig hebben. Dit leidt tot vertragingen en inefficiëntie. De door de aangewezen autoriteit gemachtigde eindgebruiker dient derhalve te kunnen zien in welke van de Unie-informatiesystemen de gegevens betreffende de ingevoerde zoekopdracht worden geregistreerd. Het betrokken systeem moet dus worden gemarkeerd nadat automatisch is geverifieerd dat het systeem een match bevat (matchmarkering).

(33)

In dit verband mag een antwoord van het CIR niet worden opgevat en gebruikt als grond of reden om met betrekking tot een persoon conclusies te trekken of maatregelen te nemen, maar mag dat antwoord alleen worden gebruikt voor een verzoek om toegang tot de onderliggende Unie-informatiesystemen overeenkomstig de voor de toegang daartoe geldende voorwaarden en procedures die in de respectieve rechtsinstrumenten zijn vastgelegd. Een dergelijk verzoek om toegang moet onderworpen zijn aan hoofdstuk VII van deze verordening en in voorkomend geval Verordening (EU) 2016/679, Richtlijn (EU) 2016/680 of Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (8) van toepassing.

(34)

Als algemene regel geldt dat wanneer uit een matchmarkering blijkt dat de gegevens zijn geregistreerd in het EES, VIS, Etias, VIS of Eurodac, de aangewezen autoriteiten of Europol moeten verzoeken om volledige toegang tot ten minste een van de betrokken Unie-informatiesystemen. Indien bij wijze van uitzondering niet om volledige toegang wordt verzocht, bijvoorbeeld omdat de aangewezen autoriteiten of Europol de gegevens reeds op andere wijze hebben verkregen of omdat het verkrijgen van de gegevens niet langer is toegestaan krachtens het nationale recht, moet de reden waarom niet om toegang wordt verzocht, worden geregistreerd.

(35)

De logbestanden van de zoekopdrachten van het CIR moeten het doel van de zoekopdracht vermelden. Als een zoekopdracht is verricht door raadpleging via de tweefasenaanpak, moeten de logbestanden een verwijzing bevatten naar het nationale dossier van het onderzoek of de zaak en daarbij vermelden dat de zoekopdracht is gestart met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten.

(36)

Wil een zoekopdracht in het CIR door de aangewezen autoriteiten en Europol leiden tot een antwoord met matchmarkering waaruit blijkt dat de gegevens zijn geregistreerd in het EES, VIS, Etias of Eurodac, dan is automatische verwerking van persoonsgegevens vereist. Een matchmarkering mag geen persoonsgegevens onthullen, maar hoogstens vermelden dat bepaalde persoonsgegevens van de betrokkene in een van de systemen zijn opgeslagen. De gemachtigde eindgebruiker mag niet louter op grond van een matchmarkering een beslissing nemen die ongunstig is voor de betrokkene. De toegang van een eindgebruiker tot een matchmarkering houdt dan ook een zeer beperkte inmenging in het recht op bescherming van de persoonsgegevens van de betrokkene in en stelt de aangewezen autoriteiten en Europol in staat om doeltreffender te verzoeken om toegang tot persoonsgegevens.

(37)

Om de werking van het gemeenschappelijke identiteitsregister te ondersteunen en de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN te bevorderen, dient een MID te worden opgezet. Al deze Unie-informatiesystemen kunnen alleen aan hun respectieve doelstellingen beantwoorden, als de personen wier persoonsgegevens erin worden opgeslagen, nauwkeurig worden geïdentificeerd.

(38)

Om de doelstellingen van Unie-informatiesystemen beter te kunnen verwezenlijken, dienen de autoriteiten die die systemen gebruiken, in staat te zijn om een voldoende betrouwbare verificatie te verrichten van de identiteit van personen van wie gegevens in verschillende systemen worden opgeslagen. De reeks identiteits- of reisdocumentgegevens die is opgeslagen in een bepaald systeem kan onjuist, onvolledig of frauduleus zijn en op dit moment is het niet mogelijk onjuiste, onvolledige of frauduleuze identiteits- of reisdocumentgegevens op te sporen door middel van vergelijking met gegevens die zijn opgeslagen in een ander systeem. Om deze situatie te verhelpen, is er op Unieniveau een technisch instrument nodig waarmee personen voor deze doeleinden accuraat kunnen worden geïdentificeerd.

(39)

De MID dient links tussen gegevens in de verschillende Unie-informatiesystemen aan te brengen en op te slaan, zodat meerdere identiteiten kunnen worden opgespoord, met als tweeledig doel zowel identiteitscontroles voor bonafide reizigers te vergemakkelijken als identiteitsfraude te bestrijden. De MID dient enkel de links te bevatten tussen gegevens over natuurlijke personen die in meer dan één Unie-informatiesysteem voorkomen. De gelinkte gegevens moeten strikt worden beperkt tot de gegevens die nodig zijn om te controleren of een persoon al dan niet op gerechtvaardigde wijze in verschillende systemen onder diverse identiteiten geregistreerd staat dan wel om te verduidelijken dat het bij twee personen met vergelijkbare identiteitsgegevens niet om dezelfde persoon hoeft te gaan. De gegevensverwerking via het ESP en de gezamenlijke BMS voor het aanbrengen van links tussen afzonderlijke bestanden in verschillende systemen dient tot het absolute minimum te worden beperkt en gaat dan ook niet verder dan de opsporing van meerdere identiteiten, wordt uitgevoerd op het moment dat nieuwe gegevens worden toegevoegd aan één van de systemen die de gegevens opslaat in het CIR of toevoegt in het SIS. De MID dient waarborgen te bevatten tegen mogelijke discriminatie en ongunstige beslissingen jegens personen met meerdere rechtmatige identiteiten.

(40)

Deze verordening voorziet in nieuwe gegevensverwerkingsverrichtingen voor het correct identificeren van de betrokkenen. Dit vormt een inmenging in hun grondrechten die worden beschermd door de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie. Aangezien de Unie-informatiesystemen alleen doeltreffend kunnen worden geïmplementeerd als de betrokkenen correct worden geïdentificeerd, is een dergelijke inmenging gerechtvaardigd op grond van dezelfde doelstellingen als die waarvoor elk van deze systemen tot stand is gebracht, namelijk het doeltreffende beheer van de grenzen van de Unie, de interne veiligheid van de Unie en de doeltreffende tenuitvoerlegging van het asiel- en visumbeleid van de Unie.

(41)

Het ESP en de gezamenlijke BMS dienen in het CIR en SIS opgeslagen gegevens over personen te vergelijken wanneer een nationale autoriteit of een Unie-agentschap nieuwe records aanmaakt of uploadt. Deze vergelijking moet automatisch worden verricht. Het CIR en het SIS dienen het gezamenlijke BMS te gebruiken om mogelijke links op te sporen op basis van biometrische gegevens. Het CIR en het SIS dienen gebruik te maken van het ESP om mogelijke links op basis van alfanumerieke gegevens op te sporen. Het CIR en het SIS dienen identieke of vergelijkbare gegevens over een persoon in meerdere systemen te kunnen identificeren. In voorkomend geval dient een link te worden aangebracht waaruit blijkt dat het om dezelfde persoon gaat. Het CIR en het SIS dienen zodanig te worden geconfigureerd dat kleine transliteratie- of spelfouten zodanig worden opgemerkt dat de betrokken persoon geen onnodige hinder ondervindt.

(42)

De nationale autoriteit of het Unie-agentschap dat de gegevens in het betrokken Unie-informatiesysteem heeft geregistreerd, dient de links te bevestigen of veranderen. Deze nationale autoriteit of dat Unie-agentschap dient toegang te hebben tot de gegevens die zijn opgeslagen in het CIR of SIS en in de MID met het oog op manuele verificatie van meerdere identiteiten.

(43)

Een manuele verificatie van meerdere identiteiten dient te worden gewaarborgd door de autoriteit die verantwoordelijk is voor het genereren of bijwerken van de gegevens die leiden tot een match naar aanleiding waarvan een link is aangebracht met reeds in een ander Unie-informatiesysteem opgeslagen gegevens. De voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit dient te beoordelen of er sprake is van meerdere identiteiten die op gerechtvaardigde of ongerechtvaardigde wijze naar dezelfde persoon verwijzen. Een dergelijke beoordeling dient, indien mogelijk, te worden uitgevoerd in aanwezigheid van de betrokkenen en, zo nodig, door om nadere toelichting of informatie te vragen. De beoordeling dient onverwijld te worden uitgevoerd, overeenkomstig de wettelijke voorschriften betreffende de juistheid van informatie op grond van het Unie- en nationale recht. Met name aan de grenzen wordt de bewegingsvrijheid van de betrokkenen voor de duur van de verificatie, hetgeen dan ook niet onbeperkt mag duren. Het bestaan van een gele link in de MID mag op zich geen grond voor weigering van toegang vormen en elk besluit tot toelating of weigering van toegang mag uitsluitend worden genomen op basis van de toepasselijke bepalingen van Verordening (EU) 2016/399 van het Europees Parlement en de Raad (9).

(44)

Voor links die zijn verkregen in verband met het SIS voor signaleringen van personen die worden gezocht met het oog op aanhouding ten behoeve van overlevering of uitlevering, van vermiste of kwetsbare personen, van personen die worden gezocht met het oog op een gerechtelijke procedure of personen die aan een onopvallende controle, ondervragingscontrole of gerichte controle moeten worden onderworpen, dient de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit het Sirene-bureau te zijn van de lidstaat die de signalering heeft gecreëerd. Deze categorieën SIS-signaleringen zijn gevoelig en mogen niet per se worden gedeeld met de autoriteiten die de daaraan gelinkte gegevens in een van de andere Unie-informatiesystemen creëren of bijwerken. Het aanbrengen van een link met SIS-gegevens dient de maatregelen die moeten worden genomen overeenkomstig Verordeningen (EU) 2018/1860 (10), (EU) 2018/1861 (11) en (EU) 2018/1862 (12) van het Europees Parlement en de Raad onverlet te laten.

(45)

Het aanbrengen van dergelijke links vereist transparantie ten opzichte van de betrokkenen. Om de tenuitvoerlegging van de nodige waarborgen overeenkomstig de toepasselijke gegevensbeschermingsregels van de Unie te vergemakkelijken, dienen personen voor wie na manuele verificatie van meerdere identiteiten een rode of witte link is aangemaakt, schriftelijk te worden geïnformeerd, zonder afbreuk te doen aan beperkingen om de veiligheid en de openbare orde te beschermen, criminaliteit te voorkomen en ervoor te zorgen dat nationale onderzoeken niet in gevaar komen. Deze personen moeten een uniek identificatienummer krijgen aan de hand waarvan zij kunnen bepalen tot welke autoriteit zij zich moeten wenden om hun rechten uit te oefenen.

(46)

Wanneer er een gele link wordt aangemaakt, moet de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit toegang hebben tot de MID. Wanneer er een rode link is, moeten de lidstatelijke autoriteiten en Unie-agentschappen die toegang hebben tot ten minste één in het CIR of het SIS opgenomen Unie-informatiesysteem toegang hebben tot de MID. Een rode link wijst erop dat een persoon op ongerechtvaardigde wijze gebruikmaakt van meerdere identiteiten of dat een persoon de identiteit van iemand anders gebruikt.

(47)

Wanneer er een witte of een groene link bestaat tussen gegevens van twee Unie-informatiesystemen, moeten de lidstatelijke autoriteiten en Unie-agentschappen ook toegang hebben tot de MID wanneer de autoriteit of het betrokken agentschap toegang heeft tot beide informatiesystemen. Dergelijke toegang mag alleen worden verleend om die autoriteit of dat agentschap in staat te stellen mogelijke gevallen van foutief gelinkte gegevens of van in strijd met deze verordening in de MID, het CIR en het SIS verwerkte gegevens op te sporen en maatregelen te nemen om de situatie recht te zetten en de link bij te werken of te wissen.

(48)

Het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) dient geautomatiseerde mechanismen voor de controle van gegevenskwaliteit en gemeenschappelijke indicatoren voor gegevenskwaliteit vast te stellen. eu-LISA dient een centrale controlecapaciteit voor gegevenskwaliteit te ontwikkelen en regelmatig verslag uit te brengen over de gegevenskwaliteit, teneinde de controle te verbeteren van de wijze waarop de lidstaten de Unie-informatiesystemen implementeren. De gemeenschappelijke kwaliteitsindicatoren dienen de minimumkwaliteitsnormen voor gegevensopslag in de Unie-informatiesystemen en de interoperabiliteitscomponenten te omvatten. Met behulp van dergelijke gegevenskwaliteitsnormen dienen de Unie-informatiesystemen en interoperabiliteitscomponenten kennelijk onjuiste of inconsistente gegevensinvoer automatisch te kunnen herkennen, zodat de lidstaat die de gegevens heeft ingevoerd deze kan verifiëren en zo nodig corrigerende maatregelen kan nemen.

(49)

De Commissie dient de kwaliteitsverslagen van eu-LISA te evalueren en zo nodig aanbevelingen te doen aan de lidstaten. De lidstaten dienen te worden belast met het opstellen van een actieplan met een beschrijving van de maatregelen om tekortkomingen in de kwaliteit van de gegevens te verhelpen en dienen regelmatig verslag uit te brengen over de geboekte voortgang.

(50)

Het Universal Message Format (UMF) dient als norm te gelden voor de gestructureerde, grensoverschrijdende informatie-uitwisseling tussen informatiesystemen, autoriteiten of organisaties op het gebied van justitie en binnenlandse zaken. Het UMF dient een gemeenschappelijk vocabularium en logische structuren voor informatie-uitwisseling vast te stellen met als doel de interoperabiliteit te bevorderen door het mogelijk te maken de inhoud van de uitwisseling op een consistente en semantisch gelijkwaardige manier te creëren en te lezen.

(51)

Toepassing van de UMF-norm is facultatief in SIS en in andere bestaande of nieuwe grensoverschrijdende informatie-uitwisselingsmodellen en informatiesystemen op het gebied van justitie en binnenlandse zaken die worden ontwikkeld door lidstaten.

(52)

Er moet worden voorzien in een centraal register voor rapportage en statistieken (CRRS) om systeemoverschrijdende statistische gegevens en analytische verslagen te genereren voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit, in overeenstemming met de toepasselijke rechtsinstrumenten. eu-LISA dient op zijn technische locaties te zorgen voor het opstellen, implementeren en hosten van het CRRS. Het register moet statistische gegevens van de Unie-informatiesystemen, het CIR, de MID en de gezamenlijke BMS anonimiseren. Het mag niet mogelijk zijn om aan de hand van de in het CRRS opgenomen gegevens personen te identificeren. eu-LISA dient de gegevens automatisch te anonimiseren en de geanonimiseerde gegevens te registreren in het CRRS. Het anonimiseren van de gegevens dient automatisch te gebeuren en aan het personeel van eu-LISA mag geen directe toegang worden verleend tot persoonsgegevens die zijn opgeslagen in de Unie-informatiesystemen of de interoperabiliteitscomponenten.

(53)

Verordening (EU) 2016/679 is van toepassing op de verwerking van persoonsgegevens ten behoeve van de interoperabiliteit door de nationale autoriteiten uit hoofde van deze verordening, tenzij de verwerking wordt verricht door de aangewezen autoriteiten of centrale toegangspunten van de lidstaten met het oog op het voorkomen, onderzoeken of opsporen van terroristische misdrijven of andere ernstige strafbare feiten.

(54)

Indien de verwerking van persoonsgegevens door de lidstaten ten behoeve van de interoperabiliteit door de bevoegde autoriteiten overeenkomstig deze verordening wordt uitgevoerd met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of van andere ernstige strafbare feiten, is Richtlijn (EU) 2016/680 van toepassing.

(55)

Verordening (EU) 2016/679, Verordening (EU) 2018/1725 of, in voorkomend geval, Richtlijn (EU) 2016/680 zijn van toepassing op doorgiften van persoonsgegevens aan derde landen of internationale organisaties overeenkomstig deze verordening. Onverminderd de gronden voor doorgifte uit hoofde van hoofdstuk V van Verordening (EU) nr. 2016/679 of in voorkomend geval Richtlijn (EU) nr. 2016/680, mag elke rechterlijke uitspraak en elke beslissing van een administratieve autoriteit van een derde land op grond waarvan een voor verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd is op een internationale overeenkomst tussen het verzoekende derde land en de Unie of een lidstaat.

(56)

De specifieke voorschriften inzake gegevensbescherming van Verordeningen (EU) 2017/2226 (13), (EG) nr. 767/2008 (14), (EU) 2018/1240 (15) van het Europees Parlement en de Raad en Verordening (EU) 2018/1861 zijn van toepassing op de verwerking van persoonsgegevens in de systemen die onder deze verordening vallen.

(57)

Verordening (EU) 2018/1725 is van toepassing op de verwerking van persoonsgegevens door eu-LISA en andere instellingen en organen van de Unie wanneer deze hun taken in het kader van deze verordening uitvoeren, onverminderd Verordening (EU) 2016/794 van het Europees Parlement en de Raad (16), die geldt voor de verwerking van persoonsgegevens door Europol.

(58)

De in Verordening (EU) 2016/679 of Richtlijn (EU) 2016/680 bedoelde toezichthoudende autoriteiten dienen toe te zien op de rechtmatigheid van de verwerking van persoonsgegevens door de lidstaten. De Europese Toezichthouder voor gegevensbescherming toezicht dient uit te oefenen op de werkzaamheden van de instellingen en organen van de Unie in verband met de verwerking van persoonsgegevens. De Europese Toezichthouder voor gegevensbescherming en de toezichthoudende autoriteiten dienen samen te werken bij het toezicht op de verwerking van persoonsgegevens door interoperabiliteitscomponenten. Om de Europese Toezichthouder voor gegevensbescherming in staat te stellen de hem krachtens deze verordening toevertrouwde taken te vervullen, zijn voldoende — zowel personele als financiële — middelen nodig.

(59)

De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (17) en heeft op 16 april 2018 advies uitgebracht (18).

(60)

De Groep gegevensbescherming artikel 29 heeft op 11 april 2018 advies uitgebracht.

(61)

Zowel de lidstaten als eu-LISA dienen beveiligingsplannen bij te houden om de uitvoering van hun verplichtingen op het gebied van beveiliging te vereenvoudigen, en met elkaar samen te werken om beveiligingsvraagstukken vanuit een gemeenschappelijke invalshoek te benaderen. eu-LISA dient er ook voor te zorgen dat steeds gebruik wordt gemaakt van de meest recente technologische ontwikkelingen teneinde de gegevensintegriteit te waarborgen in het kader van de ontwikkeling, het ontwerp en het beheer van de interoperabiliteitscomponenten. De verplichtingen van eu-LISA in dit verband houden onder meer in dat alle nodige maatregelen worden getroffen om te voorkomen dat onbevoegden, zoals personeel van externe dienstverleners, toegang krijgen tot persoonsgegevens die via de interoperabiliteitscomponenten worden verwerkt. Bij de gunning van contracten voor het verstrekken van diensten moeten de lidstaten en eu-LISA alle maatregelen die nodig zijn om de naleving van de wet- of regelgeving inzake de bescherming van persoonsgegevens en de persoonlijke levenssfeer van natuurlijke personen te garanderen of wezenlijke veiligheidsbelangen te waarborgen, overeenkomstig Verordening (EU, Euratom) nr. 2018/1046 van het Europees Parlement en de Raad (19) en de toepasselijke internationale verdragen. eu-LISA moet de beginselen van privacy door ontwerp en door standaardinstellingen toepassen bij de ontwikkeling van de interoperabiliteitscomponenten.

(62)

De implementatie van de interoperabiliteitscomponenten van deze verordening zal effecten hebben op de wijze waarop controles aan de grensdoorlaatposten worden verricht. Deze effecten zullen voortvloeien uit de gecombineerde toepassing van de bestaande regels van Verordening (EU) 2016/399 en de regels inzake interoperabiliteit van deze verordening.

(63)

Als gevolg van deze gecombineerde toepassing van de regels dient het ESP het belangrijkste toegangspunt te zijn voor de verplichte stelselmatige raadpleging van databanken in verband met personen aan grensdoorlaatposten, overeenkomstig Verordening (EU) 2016/399. Bovendien dienen de identiteits- of reisdocumentgegevens die ertoe hebben geleid dat een link in de MID als rood is geclassificeerd, in aanmerking te worden genomen door de grenswachters voor de beoordeling of de betrokkene voldoet aan de voorwaarden voor toegang als omschreven in Verordening (EU) 2016/399. Het bestaan van een rode link alleen mag op zich echter geen grond zijn voor weigering van toegang en de bestaande gronden voor weigering van toegang zoals die worden vermeld in Verordening (EU) 2016/399, hoeven dan ook niet te worden gewijzigd.

(64)

Het zou passend zijn om het praktisch handboek voor grenswachters bij te werken om deze punten te verduidelijken.

(65)

Als een zoekopdracht aan de MID via het ESP leidt tot een gele link of tot de constatering van een rode link, dan dient de grenswachter het CIR of het SIS te raadplegen om de informatie over de te controleren persoon te beoordelen, zijn andere identiteitsgegevens manueel te verifiëren en de kleur van de link zo nodig aan te passen.

(66)

Ter ondersteuning van de rapportage en statistieken is het noodzakelijk toegang te verlenen aan gemachtigde personeelsleden van de in deze verordening bedoelde bevoegde autoriteiten, Unie-instellingen en Unie-agentschappen, zodat zij bepaalde gegevens kunnen raadplegen die verband houden met bepaalde interoperabiliteitscomponenten, zonder dat individuele identificatie mogelijk wordt gemaakt.

(67)

Om de lidstatelijke autoriteiten en de Unie-agentschappen in staat te stellen zich aan te passen aan de nieuwe vereisten inzake het gebruik van het ESP, dient er te worden voorzien in een overgangsperiode. Evenzo dienen met het oog op een samenhangende en optimale werking van de MID overgangsmaatregelen te worden vastgesteld voor de ingebruikneming ervan.

(68)

Daar de doelstelling van deze verordening, namelijk de vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen, niet voldoende door de lidstaten kan worden verwezenlijkt, maar vanwege de omvang en de effecten van de actie beter door de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie (VEU) neergelegde subsidiariteitsbeginsel, maatregelen treffen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstelling te verwezenlijken.

(69)

Het saldo van de begroting die in Verordening (EU) nr. 515/2014 van het Europees Parlement en de Raad is uitgetrokken voor slimme grenzen (20) moet overeenkomstig artikel 5, lid 5, onder b), van Verordening (EU) nr. 515/2014 worden herbestemd om de kosten in verband met het ontwikkelen van de interoperabiliteitscomponenten te dekken.

(70)

Ter aanvulling van bepaalde gedetailleerde technische aspecten van deze verordening dient de bevoegdheid om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie (VWEU) handelingen vast te stellen, aan de Commissie te worden gedelegeerd met betrekking tot:

de verlenging van de overgangsperiode voor het gebruik van het ESP;

de verlenging van de overgangsperiode voor het gebruik van detectie van meerdere identiteiten door de centrale Etias-eenheid;

de procedures voor de bepaling van de gevallen waarin identiteitsgegevens als identiek of vergelijkbaar worden beschouwd;

de regels inzake de werking van het CRRS, met inbegrip van de voor het register geldende specifieke waarborgen voor de verwerking van persoonsgegevens en beveiligingsvoorschriften, en

gedetailleerde voorschriften voor het beheer van het webportaal.

Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden, onder meer op deskundigenniveau, passende raadplegingen verricht overeenkomstig de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven (21). Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen, dienen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip te ontvangen als de deskundigen van de lidstaten, en dienen hun deskundigen systematisch toegang te hebben tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

(71)

Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om de data te bepalen waarop het ESP, de gezamenlijke BMS, het CIR, de MID en het CRRS hun werking moeten starten.

(72)

Aan de Commissie moeten ook uitvoeringsbevoegdheden worden toegekend om gedetailleerde regels vast te stellen inzake: de technische details van profielen voor de eindgebruikers van het ESP; de specificaties van de technische oplossing om het doorzoeken van de Unie-informatiesystemen, Europol-gegevens en het bevragen van Interpol-databanken via het ESP mogelijk te maken en het formaat van de antwoorden van het ESP; de technische voorschriften voor het aanmaken van links in de MID tussen gegevens uit verschillende Unie-informatiesystemen; de inhoud en presentatie van het formulier voor het informeren van de betrokkene wanneer een rode link wordt aangemaakt; de prestatievereisten en controle van de prestaties van de gezamenlijke BMS; de mechanismen, procedures en indicatoren voor de geautomatiseerde controle van gegevenskwaliteit; de ontwikkeling van de UMF-norm; de samenwerkingsprocedure die moet worden gevolgd bij veiligheidsincidenten; en de specificaties van de technische oplossing voor de lidstaten voor het beheer van verzoeken om toegang van gebruikers. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (22).

(73)

Aangezien de interoperabiliteitscomponenten de verwerking van aanzienlijke hoeveelheden gevoelige persoonsgegevens met zich brengen, moeten personen van wie door middel van die componenten gegevens worden verwerkt, hun rechten daadwerkelijk kunnen uitoefenen als betrokkenen overeenkomstig Verordening (EU) 2016/679, Richtlijn (EU) 2016/680 en Verordening (EU) nr. 2018/1725. De betrokkenen dienen toegang te krijgen tot een webportaal waarmee zij hun rechten van inzage in en rectificatie, wissing en beperking van de verwerking van hun persoonsgegevens kunnen uitoefenen. eu-LISA moet een dergelijk webportaal opzetten en beheren.

(74)

Een van de kernbeginselen van gegevensbescherming is minimale gegevensverwerking: overeenkomstig artikel 5, lid 1, onder c), van Verordening (EU) 2016/679, moet de verwerking van persoonsgegevens toereikend zijn, ter zake dienend zijn en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Om deze reden voorzien de interoperabiliteitsonderdelen niet in de opslag van nieuwe persoonsgegevens, met uitzondering van de in de MID opgeslagen links, die het minimum zijn dat voor de toepassing van deze verordening noodzakelijk is.

(75)

Deze verordening dient duidelijke bepalingen te omvatten betreffende aansprakelijkheid en het recht op schadevergoeding wegens onrechtmatige verwerking van persoonsgegevens en voor andere met deze verordening onverenigbare handelingen. Dergelijke bepalingen doen geen afbreuk aan het recht op schadevergoeding door en de aansprakelijkheid van de verwerkingsverantwoordelijke of de verwerker uit hoofde van Verordening (EU) 2016/679, Richtlijn (EU) 2016/680 en Verordening (EG) nr. 2018/1725. eu-LISA moet verantwoordelijk zijn voor schade die het veroorzaakt in de hoedanigheid van verwerker wanneer het niet heeft voldaan aan de specifiek erop rustende verplichtingen van deze verordening, of wanneer het heeft gehandeld buiten dan wel in strijd met de rechtmatige instructies van de lidstaat die de verwerkingsverantwoordelijke is.

(76)

Deze verordening laat de toepassing van Richtlijn 2004/38/EG van het Europees Parlement en de Raad (23) onverlet.

(77)

Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 betreffende de positie van Denemarken, dat aan het VEU en het VWEU is gehecht, neemt Denemarken niet deel aan de vaststelling van deze verordening, die derhalve niet bindend is voor, noch van toepassing is op deze lidstaat. Aangezien deze verordening voortbouwt op het Schengenacquis, beslist Denemarken overeenkomstig artikel 4 van dit protocol binnen een termijn van zes maanden nadat de Raad heeft beslist over deze verordening of het deze in zijn nationaal recht zal omzetten.

(78)

Deze verordening houdt een ontwikkeling in van de bepalingen van het Schengenacquis waaraan het Verenigd Koninkrijk niet deelneemt, overeenkomstig Besluit 2000/365/EG van de Raad (24); het Verenigd Koninkrijk neemt derhalve niet deel aan de aanneming van deze verordening, die niet bindend is voor, noch van toepassing is op deze lidstaat.

(79)

Deze verordening houdt een ontwikkeling in van de bepalingen van het Schengenacquis waaraan Ierland niet deelneemt, overeenkomstig Besluit 2002/192/EG van de Raad (25); Ierland neemt derhalve niet deel aan de aanneming van deze verordening, die niet bindend is voor, noch van toepassing is op deze lidstaat.

(80)

Wat IJsland en Noorwegen betreft, houdt deze verordening een ontwikkeling in van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (26), die vallen onder het gebied bedoeld in artikel 1, punten A, B, C en G, van Besluit 1999/437/EG van de Raad (27).

(81)

Wat Zwitserland betreft, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (28), die vallen onder het gebied bedoeld in artikel 1, onder A, B, C en G, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2008/146/EG van de Raad (29).

(82)

Wat Liechtenstein betreft, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (30), die vallen onder het gebied bedoeld in artikel 1, onder A, B, C en G, van Besluit 1999/437/EG van de Raad, in samenhang met artikel 3 van Besluit 2011/350/EU van de Raad (31).

(83)

Deze verordening eerbiedigt de grondrechten en de beginselen die met name zijn vastgelegd in het Handvest van de grondrechten van de Europese Unie, en dient te worden toegepast overeenkomstig die rechten en beginselen.

(84)

Om ervoor te zorgen dat deze verordening past in het bestaande rechtskader dienen Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 20108/1726 en (EU) 2018/1861, en Beschikking 2004/512/EG van de Raad (32) en Besluit 2008/633/JBZ van de Raad (33) dienovereenkomstig te worden gewijzigd,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I

Algemene bepalingen

Artikel 1

Onderwerp

1.   Deze verordening stelt, samen met Verordening (EU) 2019/818 van het Europees Parlement en de Raad (34), een kader vast dat ervoor moet zorgen dat het inreis-uitreissysteem (EES), het Visuminformatiesysteem (VIS), het Europees systeem voor reisinformatie en -autorisatie (Etias), Eurodac, het Schengeninformatiesysteem (SIS) en het Europees Strafregister Informatiesysteem voor onderdanen van derde landen (ECRIS-TCN) interoperabel zijn.

2.   Het kader bestaat onder meer uit de volgende interoperabiliteitscomponenten:

a)

een Europees zoekportaal (European search portal — ESP);

b)

een gezamenlijke dienst voor biometrische matching (biometric matching service — gezamenlijke BMS);

c)

een gemeenschappelijk identiteitsregister (common identity repository — CIR);

d)

een detector van meerdere identiteiten (multiple-identity detector — MID).

3.   De verordening bevat ook bepalingen inzake de vereisten op het gebied van gegevenskwaliteit, inzake een Universal Message Format (UMF) en inzake een centraal register voor rapportage en statistieken (CRRS), alsook een omschrijving van de verantwoordelijkheden van de lidstaten en van het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) met betrekking tot het ontwerp, de ontwikkeling en de werking van de interoperabiliteitscomponenten.

4.   De verordening behelst tevens een aanpassing van de procedures en voorwaarden waaraan de aangewezen autoriteiten en het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) zich moeten houden om toegang tot het EES, VIS, Etias en Eurodac te krijgen met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten.

5.   In deze richtlijn wordt ook een kader vastgesteld voor het verifiëren van de identiteiten van personen en voor het identificeren van personen.

Artikel 2

Doelstellingen

1.   Door de interoperabiliteit te waarborgen, dient deze verordening de volgende doelstellingen:

a)

verhogen van de doeltreffendheid en doelmatigheid van grenscontroles aan de buitengrenzen;

b)

bijdragen tot het voorkomen en bestrijden van illegale immigratie;

c)

bijdragen aan een hoog veiligheidsniveau in de ruimte van vrijheid, veiligheid en recht van de Unie, met inbegrip van handhaving van de openbare orde en veiligheid en vrijwaring van de veiligheid op het grondgebied van de lidstaten;

d)

verbeteren van de uitvoering van het gemeenschappelijk visumbeleid;

e)

verlenen van bijstand bij de behandeling van verzoeken om internationale bescherming;

f)

bijdragen aan het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten;

g)

bieden van ondersteuning bij de identificatie van onbekende personen die niet in staat zijn zichzelf te legitimeren of van niet-geïdentificeerde stoffelijke overschotten bij natuurrampen, ongevallen of terroristische aanslagen.

2.   De in lid 1 bedoelde doelstellingen worden bereikt door:

a)

de correcte identificatie van personen te verzekeren;

b)

bij te dragen tot de bestrijding van identiteitsfraude;

c)

te zorgen voor gegevens van hogere kwaliteit en geharmoniseerde vereisten inzake de kwaliteit van gegevens die zijn opgeslagen in de Unie-informatiesystemen, met inachtneming van de gegevensbeschermingsvoorschriften waarin de rechtsinstrumenten voor de afzonderlijke systemen voorzien, en van de gegevensbeschermingsnormen en -beginselen;

d)

de technische en operationele implementatie van bestaande Unie-informatiesystemen door de lidstaten te vergemakkelijken en te ondersteunen;

e)

de gegevensbeveiliging en -beschermingsvoorwaarden voor de respectieve Unie-informatiesystemen strenger, eenvoudiger en uniformer te maken, zonder afbreuk te doen aan de bijzondere bescherming en waarborgen die op bepaalde gegevenscategorieën van toepassing zijn;

f)

de voorwaarden voor de toegang van aangewezen autoriteiten tot het EES, VIS, Etias en Eurodac te stroomlijnen en te zorgen voor noodzakelijke en evenredige voorwaarden voor die toegang;

g)

de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en het ECRIS-TCN te ondersteunen.

Artikel 3

Toepassingsgebied

1.   Deze verordening is van toepassing op het EES, VIS, Etias en SIS.

2.   Deze verordening is van toepassing op personen ten aanzien van wie persoonsgegevens mogen worden verwerkt in de in lid 1 van dit artikel bedoelde Unie-informatiesystemen en wier gegevens worden verzameld voor de doeleinden als omschreven in de artikel 1 en 2 van Verordening (EG) nr. 767/2008, artikel 1 van Verordening (EU) 2017/2226, de artikelen 1 en 4 van Verordening (EU) 2018/1240, artikel 1 van Verordening (EU) nr. 2018/1860 en artikel 1 van Verordening (EU) 2018/1861.

Artikel 4

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1)   "buitengrenzen": de buitengrenzen in de zin van artikel 2, punt 2, van Verordening (EU) 2016/399;

2)   "grenscontroles": grenscontroles in de zin van artikel 2, punt 11, van Verordening (EU) 2016/399;

3)   "grensautoriteiten": de grenswachter die overeenkomstig het nationale recht is aangewezen voor het verrichten van grenscontroles;

4)   "toezichthoudende autoriteiten": de in artikel 51, lid 1, van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteit en de in artikel 41, lid 1, van Richtlijn (EU) 2016/680 bedoelde toezichthoudende autoriteit;

5)   "verificatie": het proces waarbij reeksen gegevens worden vergeleken om vast te stellen of een beweerde identiteit correct is (één-op-éénvergelijking);

6)   "identificatie": het proces waarbij de identiteit van een persoon wordt vastgesteld door middel van een zoekopdracht in een databank en vergelijking met meerdere reeksen gegevens (één-op-veelvergelijking);

7)   "alfanumerieke gegevens": door letters, cijfers, speciale tekens, spaties en leestekens weergegeven gegevens;

8)   "identiteitsgegevens": de in artikel 27, lid 3, onder a) tot en met e), bedoelde gegevens;

9)   "vingerafdrukgegevens": beelden van vingerafdrukken en beelden van latente vingerafdrukken die vanwege hun uniciteit en de erin vervatte referentiepunten accurate en definitieve vergelijkingen met iemands identiteit mogelijk maken;

10)   "gezichtsopname": een digitale afbeelding van het gezicht;

11)   "biometrische gegevens": vingerafdrukgegevens of gezichtsopnames of beiden;

12)   "biometrische template": een mathematische weergave die wordt verkregen door uit biometrische gegevens uitsluitend de kenmerken te extraheren die nodig zijn om identificaties en verificaties te verrichten;

13)   "reisdocument": een paspoort of een ander gelijkwaardig document dat de houder ervan het recht geeft de buitengrenzen te overschrijden en waarin een visum kan worden aangebracht;

14)   "reisdocumentgegevens": het type, het nummer en het land van uitgifte van het reisdocument, de datum waarop de geldigheidstermijn van het reisdocument verstrijkt, en de drielettercode van het land dat het reisdocument heeft afgegeven;

15)   "Unie-informatiesystemen": het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN;

16)   "Europol-gegevens": persoonsgegevens die door Europol worden verwerkt voor de in artikel 18, lid 2, onder a), b) en c), van Verordening (EU) 2016/794 bedoelde doeleinden;

17)   "Interpol-databanken": de Interpol-databank voor gestolen en verloren reisdocumenten (SLTD-databank) en de Interpol-databank voor reisdocumenten die voorkomen in Notices (TDAWN-databank);

18)   "match": het bestaan van een verband dat aan het licht wordt gebracht door een automatische vergelijking tussen persoonsgegevens die in een informatiesysteem of databank zijn of worden geregistreerd;

19)   "politieautoriteit": "bevoegde autoriteit" zoals gedefinieerd in artikel 3, punt 7, van Richtlijn (EU) 2016/680;

20)   "aangewezen autoriteiten": de aangewezen lidstatelijke autoriteiten zoals gedefinieerd in artikel 3, lid 1, punt 26, van Verordening (EU) 2017/2226, artikel 2, lid 1, onder e), van Besluit 2008/633/JBZ, en artikel 3, lid 1, punt 21, van Verordening (EU) 2018/1240;

21)   "terroristisch misdrijf": een strafbaar feit naar nationaal recht dat overeenkomt met of gelijkwaardig is aan een van de in Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad (35) bedoelde strafbare feiten;

22)   "ernstig strafbaar feit": een strafbaar feit dat overeenkomt met of gelijkwaardig is aan een van de in artikel 2, lid 2, van Kaderbesluit 2002/584/JBZ van de Raad (36) bedoelde strafbare feiten, indien het naar nationaal recht strafbaar is gesteld met een vrijheidsstraf of een tot vrijheidsbeneming strekkende maatregel met een maximumduur van minstens drie jaar;

23)   "inreis-uitreissysteem" of EES: het inreis-uitreissysteem als ingesteld bij Verordening (EU) 2017/2226;

24)   "visuminformatiesysteem" of "VIS": het Visuminformatiesysteem als ingesteld bij Verordening (EG) nr. 767/2008;

25)   "het Europees systeem voor reisinformatie en -autorisatie" of "Etias": het Europees systeem voor reisinformatie en -autorisatie als ingesteld bij Verordening (EU) nr. 2018/1240;

26)   "Eurodac": Eurodac als ingesteld bij Verordening (EU) nr. 603/2013 van het Europees Parlement en de Raad (37);

27)   "Schengeninformatiesysteem" of "SIS": het Schengeninformatiesysteem als ingesteld bij Verordeningen (EU) 2018/1860, (EU) 2018/1861 en (EU) 2018/1862;

28)   "ECRIS-TCN": het gecentraliseerde systeem voor de identificatie van lidstaten met informatie inzake veroordelingen van onderdanen van derde landen en staatlozen, ingesteld bij Verordening (EU) 2019/816 van het Europees Parlement en de Raad (38).

Artikel 5

Non-discriminatie en grondrechten

De verwerking van persoonsgegevens voor de toepassing van deze verordening mag niet leiden tot discriminatie van personen op grond van onder meer geslacht, ras, huidskleur, etnische afstamming of sociale afkomst, genetische kenmerken, taal, godsdienst of overtuiging, politieke of andere denkbeelden, het behoren tot een nationale minderheid, vermogen, geboorte, handicap, leeftijd of seksuele geaardheid. Bij de verwerking worden de menselijke waardigheid, integriteit en grondrechten ten volle gerespecteerd, met inbegrip van het recht op eerbiediging van de persoonlijke levenssfeer en bescherming van persoonsgegevens. Bijzondere aandacht wordt geschonken aan kinderen, ouderen, personen met een handicap en personen die internationale bescherming behoeven. Het belang van het kind komt op de eerste plaats.

HOOFDSTUK II

Het Europees zoekportaal

Artikel 6

Het Europees zoekportaal

1.   Er wordt een Europees zoekportaal (European search portal - ESP) ingesteld om ervoor te zorgen dat de lidstatelijke autoriteiten en de -Unie-agentschappensnel, ononderbroken, efficiënt, systematisch en gecontroleerd toegang hebben tot de Unie-informatiesystemen, de Europol-gegevens en de Interpol-databanken die zij nodig hebben om hun taken te verrichten overeenkomstig hun toegangsrechten en de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN.

2.   Het ESP bestaat uit:

a)

een centrale infrastructuur, waaronder een zoekportaal voor het gelijktijdig doorzoeken van het EES, VIS, Etias, Eurodac, SIS, ECRIS-TCN, alsmede van de Europol-gegevens en de Interpol-databanken;

b)

een beveiligd communicatiekanaal tussen het ESP, de lidstaten en de Unie-agentschappen die gebruik mogen maken van het ESP;

c)

een beveiligde communicatie-infrastructuur tussen het ESP en het EES, VIS, Etias, Eurodac, centrale SIS, ECRIS-TCN, de Europol-gegevens en de Interpol-databanken, alsmede tussen het ESP en de centrale infrastructuren van het CIR en de MID.

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van het ESP.

Artikel 7

Gebruik van het Europees zoekportaal

1.   Het gebruik van het ESP is voorbehouden aan de lidstatelijke autoriteiten en de Unie-agentschappen die toegang hebben tot ten minste een van de EU-informatiesystemen, overeenkomstig de rechtsinstrumenten met betrekking tot die EU-informatiesystemen, tot het CIR en de MID overeenkomstig deze verordening, tot Europol-gegevens overeenkomstig Verordening (EU) 2016/794 of tot de Interpol-databanken overeenkomstig het Unierecht of het desbetreffend nationaal recht.

Deze lidstatelijke autoriteiten en de Unie-agentschappen mogen het ESP en de door het ESP verstrekte gegevens alleen gebruiken voor de doelstellingen die zijn vastgelegd in de rechtsinstrumenten betreffende die Unie-informatiesystemen in Verordening (EU) 2016/794 en in deze verordening.

2.   De in lid 1 bedoelde lidstatelijke autoriteiten en de Unie-agentschappen gebruiken het ESP om overeenkomstig hun toegangsrechten als bedoeld in de rechtsinstrumenten met betrekking tot deze Unie-informatiesystemen of het nationaal recht gegevens over personen of hun reisdocumenten te doorzoeken in de centrale systemen van het EES, VIS en Etias. Zij maken eveneens gebruik van het ESP om overeenkomstig hun toegangsrechten uit hoofde van deze verordening het CIR te doorzoeken voor de in de artikelen 20, 21 en 22 bedoelde doeleinden.

3.   De in lid 1 bedoelde lidstatelijke autoriteiten kunnen het ESP gebruiken om gegevens over personen of hun reisdocumenten te doorzoeken in het centrale SIS bedoeld in Verordeningen (EU) 2018/1860 en (EU) 2018/1861.

4.   Indien het Unierecht hierin voorziet, gebruiken de in lid 1 bedoelde Unie-agentschappen het ESP voor het doorzoeken van gegevens over personen of hun reisdocumenten in het centrale SIS.

5.   De in lid 1 bedoelde lidstatelijke autoriteiten en Unie-agentschappen kunnen het ESP gebruiken om gegevens over reisdocumenten te bevragen in de Interpol-databanken indien hierin is voorzien en dit in overeenstemming is met hun toegangsrechten uit hoofde van het Unierecht of het nationaal recht.

Artikel 8

Profielen voor de gebruikers van het Europees zoekportaal

1.   Om het gebruik van het ESP mogelijk te maken, maakt eu-LISA samen met de lidstaten in overeenstemming met de in lid 2 bedoelde technische details en toegangsrechten een profiel aan op basis van elke categorie van ESP-gebruikers en over de doeleinden van hun zoekopdrachten. Elk profiel bevat overeenkomstig het Unie- en nationale recht de volgende informatie:

a)

de voor de zoekopdrachten gebruikte datavelden;

b)

de Unie-informatiesystemen, Europol-gegevens en Interpol-databanken die moeten worden doorzocht, die kunnen worden doorzocht en die de gebruiker van een antwoord moeten voorzien;

c)

de specifieke gegevens in de Unie-informatiesystemen, de Europol-gegevens en de Interpol-databanken die kunnen worden doorzocht;

d)

de gegevenscategorieën die in elk antwoord kunnen worden verstrekt.

2.   De Commissie stelt uitvoeringshandelingen vast waarin de in lid 1 bedoelde profielen van de in artikel 7, lid 1, bedoelde ESP-gebruikers technisch worden gespecificeerd in overeenstemming met de respectieve toegangsrechten overeenkomstig de rechtsinstrumenten met betrekking tot de Unie-informatiesystemen en overeenkomstig het nationaal recht. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

3.   De in lid 1 bedoelde profielen worden regelmatig en tenminste eenmaal per jaar door eu-LISA, in samenwerking met de lidstaten, geëvalueerd en zo nodig bijgewerkt.

Artikel 9

Zoekopdrachten

1.   De ESP-gebruikers starten een zoekopdracht door alfanumerieke of biometrische gegevens in het ESP in te voeren. Zodra een zoekopdracht is gestart, gebruikt het ESP de door de ESP-gebruiker overeenkomstig het gebruikersprofiel ingevoerde gegevens om het EES, Etias, VIS, SIS, Eurodac, ECRIS-TCN en CIR, alsmede de Europol-gegevens en de Interpol-databanken gelijktijdig te doorzoeken.

2.   De gegevenscategorieën die worden gebruikt om via het ESP een zoekopdracht te starten, komen overeen met de gegevenscategorieën betreffende personen of reisdocumenten die mogen worden gebruikt om de verschillende Unie-informatiesystemen, de Europol-gegevens en de Interpol-databanken te doorzoeken overeenkomstig de rechtsinstrumenten die daarop van toepassing zijn.

3.   eu-LISA implementeert samen met de lidstaten voor het ESP een interface control document op basis van de in artikel 38 bedoelde UMF.

4.   Wanneer een zoekopdracht wordt gestart door een ESP-gebruiker, verstrekken het EES, Etias, VIS, SIS, Eurodac, ECRIS-TCN, CIR en de MID, de Europol-gegevens en de Interpol-databanken in reactie op de zoekopdracht de gegevens die zij bevatten.

Onverminderd artikel 20 wordt in het door het ESP verstrekte antwoord vermeld van welk Unie-informatiesysteem of van welke databank de gegevens deel uitmaken.

In het ESP wordt geen informatie verstrekt over gegevens in Unie-informatiesystemen, Europol-gegevens en de Interpol-databanken waartoe de gebruiker overeenkomstig het toepasselijke Unierecht en nationale recht geen toegang heeft.

5.   Via het ESP gestarte zoekopdrachten in de Interpol-databanken worden zodanig uitgevoerd dat aan de eigenaar van de Interpol-signalering geen informatie wordt onthuld.

6.   Het ESP voorziet de gebruiker van een antwoord zodra gegevens uit een van de Unie-informatiesystemen, Europol-gegevens en Interpol-databanken beschikbaar zijn. Deze antwoorden bevatten uitsluitend de gegevens waartoe de gebruiker op grond van het Unierecht en het nationale recht toegang heeft.

7.   De Commissie stelt een uitvoeringshandeling vast met specificaties voor de technische procedure voor het doorzoeken van de Unie-informatiesystemen, Europol-gegevens en Interpol-databanken door het ESP en het format van de ESP-antwoorden. Deze uitvoeringshandeling wordt vastgesteld overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure.

Artikel 10

Bijhouden van logbestanden

1.   Onverminderd artikel 46 van Verordening (EU) 2017/2226, artikel 34 van Verordening (EG) nr. 767/2008, artikel 69 van Verordening (EU) 2018/1240 en de artikelen 12 en 18 van Verordening (EU) 2018/1861, houdt eu-LISA logbestanden bij van alle gegevensverwerkingsverrichtingen in het ESP. In deze logbestanden wordt het volgende vermeld:

a)

de lidstaat die of het Unie-agentschap dat de zoekopdracht start en het gebruikte ESP-profiel;

b)

de datum en het tijdstip van de zoekopdracht;

c)

de doorzochte Unie-informatiesystemen en Interpol-databanken.

2.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten van zijn autoriteiten en van de personeelsleden van zijn autoriteiten die naar behoren gemachtigd zijn om het ESP te gebruiken. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

3.   De in de leden 1 en 2 bedoelde logbestanden mogen uitsluitend worden gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit. De logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist als de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

Artikel 11

Vangnetprocedures voor wanneer het Europees zoekportaal om technische redenen niet kan worden gebruikt

1.   Indien het ESP vanwege een interne technische storing niet kan worden gebruikt om een of meer Unie-informatiesystemen of het CIR te doorzoeken, stelt eu-LISA de ESP-gebruikers daarvan op geautomatiseerde wijze in kennis.

2.   Indien het ESP vanwege een technische storing in de nationale infrastructuur van een lidstaat niet kan worden gebruikt om een of meer van de Unie-informatiesystemen of het CIR te doorzoeken, stelt die lidstaat eu-LISA en de Commissie daarvan op geautomatiseerde wijze in kennis.

3.   Tijdens de technische storing is in de in de leden 1 en 2 van dit artikel bedoelde gevallen de in artikel 7, leden 2 en 4, bedoelde verplichting niet van toepassing en hebben de lidstaten rechtstreekse toegang tot de Unie-informatiesystemen of tot het CIR, indien zij daartoe krachtens het Unie- of nationale recht gehouden zijn.

4.   Indien het ESP vanwege een technische storing in de infrastructuur van een Unie-agentschap niet kan worden gebruikt om een of meer van de Unie-informatiesystemen of het CIR te doorzoeken, stelt dat agentschap eu-LISA en de Commissie daarvan op geautomatiseerde wijze in kennis.

HOOFDSTUK III

Gezamenlijke dienst voor biometrische matching

Artikel 12

Gezamenlijke dienst voor biometrische matching

1.   Om het CIR en de MID te ondersteunen en de doelstellingen van het EES, VIS, Eurodac, SIS en ECRIS-TCN te bevorderen, wordt een gezamenlijke dienst voor biometrische matching (gezamenlijke BMS) opgezet, die biometrische templates opslaat die worden verkregen uit de in het CIR en SIS opgeslagen biometrische gegevens als bedoeld in artikel 13, en het mogelijk maakt om aan de hand van biometrische gegevens zoekopdrachten in meerdere Unie-informatiesystemen uit te voeren.

2.   De gezamenlijke BMS bestaat uit:

a)

een centrale infrastructuur, die in de plaats komt van de centrale systemen van respectievelijk het EES, VIS, SIS, Eurodac en ECRIS-TCN, voor zover deze biometrische templates opslaat en het mogelijk maakt te zoeken met biometrische gegevens;

b)

een beveiligde communicatie-infrastructuur tussen de gezamenlijke BMS, het centrale SIS en het CIR.

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van de gezamenlijke BMS.

Artikel 13

Opslag van biometrische templates in de gemeenschappelijke dienst voor biometrische matching

1.   In de gezamenlijke BMS worden de biometrische templates opgeslagen die de dienst extraheert uit de volgende biometrische gegevens:

a)

de gegevens bedoeld in artikel 16, lid 1, onder d), artikel 17, lid 1, onder b) en c), en artikel 18, lid 2, onder a), b) en c), van Verordening (EU) 2017/2226;

b)

de gegevens bedoeld in artikel 9, punt 6, van Verordening (EG) nr. 767/2008;

c)

de gegevens bedoeld in artikel 20, lid 2, onder w) en x), van Verordening (EU) 2018/1861, met uitzondering van gegevens over handpalmafdrukken;

e)

de gegevens bedoeld in artikel 4, lid 1, onder u) en v), van Verordening (EU) 2018/1860, met uitzondering van gegevens over handpalmafdrukken.

De biometrische templates worden opgeslagen in de gezamenlijke BMS in logisch gescheiden vorm per Unie-informatiesysteem waaruit de gegevens afkomstig zijn.

2.   De gezamenlijke BMS bevat voor elke reeks gegevens als bedoeld in lid 1 in elke biometrische template een verwijzing naar de Unie-informatiesystemen en een verwijzing naar de werkelijke bestanden in de Unie-informatiesystemen waarin de overeenkomstige biometrische gegevens zijn opgeslagen.

3.   Biometrische templates worden pas in de gezamenlijke BMS opgenomen nadat de gezamenlijke BMS door middel van een automatische kwaliteitscontrole heeft vastgesteld dat de aan een van de Unie-informatiesystemen toegevoegde biometrische gegevens voldoen aan een minimumnorm voor gegevenskwaliteit.

4.   De opslag van de in lid 1 bedoelde gegevens moet voldoen aan de in artikel 37, lid 2, bedoelde kwaliteitsnormen.

5.   De Commissie stelt door middel van een uitvoeringshandeling prestatievereisten en praktische regelingen voor het toezicht op de prestaties van de gezamenlijke BMS vast om ervoor te zorgen dat de doeltreffendheid van biometrische zoekopdrachten in overeenstemming is met tijdskritische procedures, zoals grenscontroles en identificaties. Die uitvoeringshandeling wordt overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 14

Doorzoeken van biometrische gegevens met de gezamenlijke dienst voor biometrische matching

Het CIR en het SIS doorzoeken de in het CIR en het SIS opgeslagen biometrische gegevens aan de hand van de in de gezamenlijke BMS opgeslagen biometrische templates. Zoekopdrachten aan de hand van biometrische gegevens worden uitgevoerd overeenkomstig de doelstellingen vastgesteld in Verordeningen (EG) nr. 767/2008, (EU) 2017/2226, (EU) 2018/1860, (EU) 2018/1861, (EU) 2018/1862 en (EU) 2019/816.

Artikel 15

Bewaring van gegevens in de gezamenlijke dienst voor biometrische matching

De termijn voor de opslag van de in artikel 13, leden 1 en 2, bedoelde gegevens in de gezamenlijke BMS stemt overeen met die voor de opslag van de overeenkomstige biometrische gegevens in het CIR of het SIS. De gegevens worden automatisch gewist uit de gezamenlijke BMS.

Artikel 16

Bijhouden van logbestanden

1.   Onverminderd artikel 46 van Verordening (EU) 2017/2226, artikel 34 van Verordening (EG) nr. 767/2008 en de artikelen 12 en 18 van Verordening (EU) 2018/1861 houdt eu-LISA logbestanden bij van alle gegevensverwerkingsverrichtingen in de gezamenlijke BMS. In deze logbestanden wordt het volgende vermeld:

a)

de lidstaat die of het Unie-agentschap dat de zoekopdracht start;

b)

de geschiedenis van het aanmaken en opslaan van de biometrische templates;

c)

de Unie-informatiesystemen die zijn doorzocht met de in de gezamenlijke BMS opgeslagen biometrische templates;

d)

de datum en het tijdstip van de zoekopdracht;

e)

het soort biometrische gegevens dat is gebruikt om de zoekopdracht te starten;

f)

de resultaten van de zoekopdracht en de datum en het tijdstip van het resultaat.

2.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten van zijn autoriteiten en van de personeelsleden van deze autoriteiten die naar behoren gemachtigd zijn om de gezamenlijke BMS te gebruiken. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

3.   De in de leden 1 en 2 bedoelde logbestanden worden uitsluitend gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en integriteit. De logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist zodra de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

HOOFDSTUK IV

Gemeenschappelijk identiteitsregister

Artikel 17

Gemeenschappelijk identiteitsregister

1.   Er wordt een gemeenschappelijk identiteitsregister (common identity repository - CIR) ingesteld, waarin voor elke in het EES, VIS, Etias, Eurodac of ECRIS-TCN geregistreerde persoon een afzonderlijk bestand met de in artikel 18 bedoelde gegevens wordt aangelegd, met als doel de correcte identificatie van in het EES, VIS, Etias, Eurodac of ECRIS-TCN geregistreerde personen te vergemakkelijken en te bevorderen overeenkomstig artikel 20, de werking van de MID te ondersteunen overeenkomstig artikel 21 en de toegang van aangewezen autoriteiten en Europol tot het EES, VIS, ETIAS en Eurodac te vergemakkelijken en te stroomlijnen wanneer dat nodig is voor de preventie, de opsporing of het onderzoek van terroristische misdrijven of andere ernstige strafbare feiten overeenkomstig artikel 22.

2.   Het CIR bestaat uit:

a)

een centrale infrastructuur die in de plaats komt van de centrale systemen van respectievelijk het EES, VIS, Etias, Eurodac en ECRIS-TCN, voor zover de in artikel 18 bedoelde gegevens in deze centrale infrastructuur worden opgeslagen;

b)

een beveiligd communicatiekanaal tussen het CIR, de lidstaten en de Unie-agentschappen die overeenkomstig het Unie- en het nationale recht gebruik mogen maken van het CIR;

c)

een beveiligde communicatie-infrastructuur tussen het CIR, EES, VIS, Etias, Eurodac, ECRIS-TCN en de centrale infrastructuur van het ESP, de gezamenlijke BMS en de MID.

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van het CIR.

4.   Indien het CIR vanwege een interne technische storing van het CIR niet kan worden doorzocht met het oog op de identificatie van een persoon uit hoofde van artikel 20, de detectie van meerdere identiteiten uit hoofde van artikel 21 of het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten uit hoofde van artikel 22, stelt eu-LISA de CIR-gebruikers daarvan op geautomatiseerde wijze in kennis.

5.   eu-LISA implementeert samen met de lidstaten voor het CIR een interface control document op basis van de in artikel 38 bedoelde UMF.

Artikel 18

De gegevens van het gemeenschappelijke identiteitsregister

1.   In het CIR worden de volgende gegevens – logisch gescheiden – opgeslagen per informatiesysteem waaruit de gegevens afkomstig zijn:

a)

de gegevens bedoeld in artikel 16, lid 1, onder a) tot en met d), artikel 17, lid 1, onder a), b) en c) en artikel 18, leden 1 en 2, van Verordening (EU) 2017/2226;

b)

de gegevens bedoeld in artikel 9, punt 4, onder a) tot en met c), en de punten 5 en 6 van Verordening (EG) nr. 767/2008;

c)

de gegevens bedoeld in artikel 17, lid 2, onder a) tot en met e), van Verordening (EU) 2018/1240;

2.   In het CIR wordt voor elke reeks gegevens, als bedoeld in lid 1, een verwijzing opgenomen naar de Unie-informatiesystemen waar de gegevens toe behoren.

3.   De autoriteiten die het CIR raadplegen voor de in de artikelen 20, 21 en 22 bedoelde doeleinden, doen dit in overeenstemming met hun toegangsrechten uit hoofde van de rechtsinstrumenten betreffende de Unie-informatiesystemen en het nationale recht, en in overeenstemming met hun toegangsrechten krachtens deze verordening.

4.   In het CIR wordt voor elke reeks gegevens als bedoeld in lid 1, een verwijzing opgenomen naar de werkelijke bestanden in de Unie-informatiesystemen waar de gegevens deel van uitmaken.

5.   De opslag van de in lid 1 bedoelde gegevens voldoet aan de in artikel 37, lid 2, bedoelde kwaliteitsnormen.

Artikel 19

Toevoeging, wijziging en wissing van gegevens in het gemeenschappelijke identiteitsregister

1.   Wanneer gegevens worden toegevoegd, gewijzigd of gewist in het EES, VIS en Etias, worden de overeenkomstige in artikel 18 bedoelde gegevens die zijn opgeslagen in het afzonderlijke CIR-bestand, automatisch toegevoegd, gewijzigd of gewist.

2.   Wanneer er overeenkomstig artikel 32 of 33 in de MID een witte of een rode link wordt aangemaakt tussen de gegevens van twee of meer van de Unie-informatiesystemen die deel uitmaken van het CIR, maakt het CIR geen nieuw afzonderlijk bestand aan, maar voegt het de nieuwe gegevens toe aan het afzonderlijke bestand waarin de gelinkte gegevens voorkomen.

Artikel 20

Toegang tot het gemeenschappelijke identiteitsregister met het oog op identificatie

1.   Zoekopdrachten in het CIR worden uitgevoerd door een politieautoriteit van een lidstaat overeenkomstig de leden 2 en 5 en uitsluitend in één van de volgende omstandigheden:

a)

als een politieautoriteit niet in staat is om een persoon te identificeren vanwege het ontbreken van een reisdocument of ander betrouwbaar document dat de identiteit van deze persoon aantoont;

b)

als er twijfel bestaat over de door die persoon verstrekte identiteitsgegevens;

c)

als er twijfel bestaat over de echtheid van het reisdocument of een ander door deze persoon verstrekt betrouwbare document;

d)

als er twijfel bestaat over de identiteit van de houder van een reisdocument of een ander betrouwbare document, of

e)

als een persoon niet in staat is of weigert om mee te werken.

Dergelijke zoekopdrachten zijn niet toegestaan bij kinderen jonger dan twaalf jaar, tenzij dit in het belang van het kind is.

2.   In een van de in lid 1 opgesomde omstandigheden kan een politieautoriteit, mits zij daartoe op grond van nationale wetgevingsmaatregelen als bedoeld in lid 5 is gemachtigd, het CIR doorzoeken aan de hand van de bij een identiteitscontrole ter plaatse genomen biometrische gegevens van een persoon, doch uitsluitend met het oog op de identificatie van die persoon en mits de procedure in aanwezigheid van die persoon is gestart.

3.   Als de zoekopdracht uitwijst dat in het CIR gegevens over die persoon zijn opgeslagen, krijgt de politieautoriteit toegang om de in artikel 18, lid 1, bedoelde gegevens te raadplegen.

Wanneer de biometrische gegevens van de persoon niet kunnen worden gebruikt of wanneer het zoeken aan de hand van die gegevens geen resultaat oplevert, wordt gezocht aan de hand van de identiteitsgegevens van de persoon in combinatie met reisdocumentgegevens, of aan de hand van de door die persoon verstrekte identiteitsgegevens.

4.   Een politieautoriteit kan, mits zij daartoe op grond van nationale wetgevingsmaatregelen als bedoeld in lid 6 is gemachtigd, in geval van een natuurramp, ongeval of terroristische aanslag en uitsluitend met het oog op de identificatie van onbekende personen die niet in staat zijn om zichzelf te legitimeren of de identificatie van niet-geïdentificeerde stoffelijke overschotten, het CIR doorzoeken aan de hand van de biometrische gegevens van die personen.

5.   Lidstaten die gebruik wensen te maken van de in lid 2 bedoelde mogelijkheid, stellen daartoe nationale wetgevingsmaatregelen vast. Hierbij houden de lidstaten rekening met de noodzaak om elke discriminatie van onderdanen van derde landen te vermijden. In zulke wetgevingsmaatregelen wordt bepaald welke specifieke doelstellingen met de identificatie worden nagestreefd in het kader van de in artikel 2, lid 1, onder b) en c) omschreven doelen. Voorts worden in de wetgevingsmaatregelen de bevoegde politieautoriteiten aangewezen en de procedures, voorwaarden en criteria voor deze controles vastgelegd.

6.   Lidstaten die gebruik wensen te maken van de in lid 4 bedoelde mogelijkheid, stellen nationale wetgevingsmaatregelen vast houdende de procedures, voorwaarden en criteria.

Artikel 21

Toegang tot het gemeenschappelijke identiteitsregister met het oog op het detecteren van meerdere identiteiten

1.   Wanneer een zoekopdracht in het CIR overeenkomstig artikel 28, lid 4, een gele link oplevert, krijgt de in artikel 29 bedoelde autoriteit die bevoegd is voor de manuele verificatie van meerdere identiteiten, uitsluitend voor die verificatie toegang tot de in artikel 18, leden 1 en 2, bedoelde in het CIR opgeslagen gegevens die aan elkaar verbonden zijn door de gele link.

2.   Wanneer een zoekopdracht in het CIR overeenkomstig artikel 32 een rode link oplevert, krijgen de in artikel 26, lid 2, bedoelde autoriteiten uitsluitend voor de bestrijding van identiteitsfraude toegang tot de in artikel 18, leden 1 en 2, bedoelde in het CIR opgeslagen gegevens die aan elkaar verbonden zijn door de rode link.

Artikel 22

Doorzoeken van het gemeenschappelijke identiteitsregister met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten

1.   In specifieke gevallen, wanneer er gegronde redenen zijn om aan te nemen dat raadpleging van de Unie-informatiesystemen zal bijdragen aan het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten, met name wanneer er een vermoeden bestaat dat de verdachte, de dader of het slachtoffer van een terroristisch misdrijf of een ander ernstig strafbaar feit een persoon is van wie gegevens opgeslagen zijn in het EES, VIS of Etias, kunnen de aangewezen autoriteiten en Europol het CIR raadplegen om zich ervan te vergewissen of het EES, VIS en Etias gegevens over een specifieke persoon bevatten.

2.   Wanneer het CIR naar aanleiding van een zoekopdracht aangeeft dat het EES, VIS of Etias gegevens over de betrokken persoon bevatten, verwijst het CIR in zijn antwoord aan de aangewezen autoriteiten en Europol naar de Unie-informatiesystemen die de gegevens bevatten die een match opleveren, als bedoeld in artikel 18, lid 2. Het CIR antwoordt op zodanige wijze dat de beveiliging van de gegevens niet in gevaar wordt gebracht.

Het antwoord waarin wordt aangegeven dat in één van de in lid 1 bedoelde Unie-informatiesystemen gegevens over die persoon aanwezig zijn, wordt alleen gebruikt voor het indienen van een verzoek om volledige toegang overeenkomstig de voorwaarden en procedures die zijn vastgelegd in de respectieve rechtsinstrumenten betreffende die toegang.

In geval van een match of meerdere matches verzoekt de aangewezen autoriteit of Europol om volledige toegang tot ten minste een van de informatiesystemen die een match heeft opgeleverd.

Indien bij wijze van uitzondering niet om volledige toegang wordt verzocht, registreren de aangewezen autoriteiten de redenen voor de niet-indiening van het verzoek, hetgeen traceerbaar zal zijn naar het nationale dossier. Europol registreert de redenen hiervoor in het betreffende dossier.

3.   Volledige toegang tot in het EES, VIS of ETIAS opgenomen gegevens met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten blijft onderworpen aan de voorwaarden en procedures als vastgesteld in de desbetreffende rechtsinstrumenten waarbij deze toegang wordt geregeld.

Artikel 23

Bewaring van gegevens in het gemeenschappelijke identiteitsregister

1.   De in artikel 18, leden 1, 2 en 4, bedoelde gegevens worden automatisch gewist in het CIR overeenkomstig de bepalingen over de bewaring van gegevens als vastgesteld in respectievelijk Verordeningen (EU) 2017/2226, (EG) nr. 767/2008 en (EU) 2018/1240.

2.   De termijn voor de opslag van het afzonderlijke bestand in het CIR stemt overeen met die voor de opslag van de overeenkomstige gegevens in ten minste één van de Unie-informatiesystemen waaruit de in het CIR aanwezige gegevens afkomstig zijn. Het aanmaken van een link heeft geen gevolgen voor de bewaringstermijn van elk element van de gelinkte gegevens.

Artikel 24

Bijhouden van logbestanden

1.   Onverminderd artikel 46 van Verordening (EU) 2017/2226, artikel 34 van Verordening (EG) nr. 767/2008 en artikel 69 van Verordening (EU) 2018/1240 houdt eu-LISA overeenkomstig de leden 2, 3 en 4 van dit artikel logbestanden bij van alle gegevensverwerkingsverrichtingen in het CIR.

2.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op grond van artikel 20 in het CIR. Deze logbestanden vermelden het volgende:

a)

de lidstaat die of het Unie-agentschap dat de zoekopdracht start;

b)

het doel van de toegang dat wordt beoogd door de gebruiker die een zoekopdracht via het CIR geeft;

c)

de datum en het tijdstip van de zoekopdracht;

d)

het soort gegevens dat is gebruikt om de zoekopdracht te starten;

e)

de resultaten van de zoekopdracht.

3.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op grond van artikel 21 in het CIR. Deze logbestanden vermelden het volgende:

a)

de lidstaat die of het Unie-agentschap dat de zoekopdracht start;

b)

het doel van de toegang dat wordt beoogd door de gebruiker die een zoekopdracht via het CIR geeft;

c)

de datum en het tijdstip van de zoekopdracht;

d)

wanneer er een link is aangemaakt, de gegevens die zijn gebruikt om de zoekopdracht te starten en de resultaten van de zoekopdracht en het Unie-informatiesysteem waaruit de gegevens afkomstig zijn.

4.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op grond van artikel 22 in het CIR. Deze logbestanden vermelden het volgende:

a)

de datum en het tijdstip van de zoekopdracht;

b)

de gegevens die zijn gebruikt om de zoekopdracht te starten;

c)

de resultaten van de zoekopdracht;

d)

de lidstaat die of het Unie-agentschap dat het CIR doorzoekt.

De logbestanden over deze toegang worden regelmatig, met tussenpozen van ten hoogste zes maanden, geverifieerd door de toezichthoudende autoriteit overeenkomstig artikel 41 van Richtlijn (EU) 2016/680 of door de Europese Toezichthouder voor gegevensbescherming overeenkomstig artikel 43 van Verordening (EU) 2016/794, om na te gaan of de procedures en voorwaarden als bedoeld in artikel 22, leden 1 en 2, van deze verordening in acht zijn genomen.

5.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten die zijn autoriteiten en de voor het gebruik van het CIR naar behoren gemachtigde personeelsleden van die autoriteiten maken overeenkomstig de artikelen 20, 21 en 22. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten die zijn naar behoren gemachtigde personeelsleden maken overeenkomstig de artikelen 21 en 22.

Voorts houden alle lidstaten voor toegang tot het CIR overeenkomstig artikel 22 de volgende logbestanden bij:

a)

het referentiekenmerk van het nationale bestand;

b)

het doel van de toegang;

c)

volgens de nationale regels, het kenmerk van de functionaris die de zoekopdracht heeft verricht en van de functionaris die om de zoekopdracht heeft verzocht.

6.   Overeenkomstig Verordening (EU) 2016/794 houdt Europol voor elke toegang tot het CIR overeenkomstig artikel 22 van deze verordening logbestanden bij van de functionaris die de zoekopdracht heeft verricht en van de functionaris die om de zoekopdracht heeft verzocht.

7.   De in de leden 2 tot en met 6 bedoelde logbestanden mogen uitsluitend worden gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit. Deze logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist als de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

8.   eu-LISA slaat de logbestanden met de geschiedenis op in afzonderlijke bestanden. eu-LISA wist zulke logbestanden automatisch zodra de gegevens worden gewist.

HOOFDSTUK V

Detector van meerdere identiteiten

Artikel 25

Detector van meerdere identiteiten

1.   Om de werking van het CIR te ondersteunen en de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN te bevorderen, wordt een detector van meerdere identiteiten (MID) ingesteld, die zorgt voor het aanmaken en opslaan van een identiteitsbevestigingsbestand als bedoeld in artikel 34, dat links bevat tussen gegevens in de Unie-informatiesystemen die zijn opgenomen in het CIR en het SIS, en op basis daarvan meerdere identiteiten detecteert, met als tweeledig doel de identiteitscontroles te vergemakkelijken en identiteitsfraude te bestrijden.

2.   De MID bestaat uit:

a)

een centrale infrastructuur, waarin links en verwijzingen naar Unie-informatiesystemen worden opgeslagen;

b)

een beveiligde communicatie-infrastructuur om de MID te verbinden met het SIS en de centrale infrastructuur van het ESP en het CIR.

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van de MID.

Artikel 26

Toegang tot de detector van meerdere identiteiten

1.   Met het oog op de in artikel 29 bedoelde manuele verificatie van meerdere identiteiten wordt toegang tot de in artikel 34 bedoelde, in de MID opgeslagen gegevens verleend aan:

a)

de bevoegde autoriteiten zoals aangewezen overeenkomstig artikel 9, lid 2, van Verordening (EU) 2017/2226 bij het aanleggen of bijwerken van een persoonlijk dossier in het EES overeenkomstig artikel 14 van die verordening;

b)

de visumautoriteiten bedoeld in artikel 6, lid 1, van Verordening (EG) nr. 767/2008 bij het opstellen of bijwerken van een aanvraagdossier in het VIS overeenkomstig die verordening;

c)

de centrale Etias-eenheid en de nationale Etias-eenheden bij het verrichten van de in de artikelen 22 en 26 van Verordening (EU) 2018/1240 bedoelde verwerking;

d)

het Sirene-bureau van de lidstaat die een SIS-signalering overeenkomstig Verordening (EU) 2018/1860 en Verordening (EU) 2018/1861 creëert of bijwerkt.

2.   De lidstatelijke autoriteiten en de Unie-agentschappen die toegang hebben tot ten minste één Unie-informatiesysteem dat is opgenomen in het CIR of tot het SIS, krijgen toegang tot de in artikel 34, onder a) en b), bedoelde gegevens wanneer sprake is van een rode link als bedoeld in artikel 32.

3.   De lidstatelijke autoriteiten en de Unie-agentschappen hebben toegang tot de in artikel 33 bedoelde witte links als zij toegang hebben tot de twee Unie-informatiesystemen die gegevens bevatten waartussen de witte link is aangemaakt.

4.   De lidstatelijke autoriteiten en de Unie-agentschappen hebben toegang tot de in artikel 31 bedoelde groene links als zij toegang hebben tot de twee Unie-informatiesystemen die gegevens bevatten waartussen de groene link is aangemaakt en een zoekopdracht in die informatiesystemen een match oplevert met de twee reeksen gelinkte gegevens.

Artikel 27

Detectie van meerdere identiteiten

1.   In het CIR en SIS wordt een detectie van meerdere identiteiten gestart wanneer:

a)

een persoonlijk dossier wordt aangelegd of bijgewerkt in het EES overeenkomstig artikel 14 van Verordening (EU) 2017/2226;

b)

een aanvraagdossier wordt opgesteld of bijgewerkt in het VIS overeenkomstig Verordening (EG) nr. 767/2008;

c)

een aanvraagdossier wordt aangemaakt of bijgewerkt in het Etias overeenkomstig artikel 19 van Verordening (EU) 2018/1240;

d)

een signalering van een persoon wordt gecreëerd of bijgewerkt in het SIS overeenkomstig artikel 3 van Verordening (EU) 2018/1860 en hoofdstuk V van Verordening (EU) 2018/1861.

2.   Wanneer de gegevens in een Unie-informatiesysteem als bedoeld in lid 1 biometrische gegevens bevatten, maken het CIR en het centrale SIS voor de detectie van meerdere identiteiten gebruik van de gezamenlijke BMS. De gezamenlijke BMS maakt een vergelijking tussen de uit nieuwe biometrische gegevens verkregen biometrische templates en de reeds in de gezamenlijke BMS opgenomen biometrische templates om na te gaan of over een bepaalde persoon reeds gegevens zijn opgeslagen in het CIR of het centrale SIS.

3.   Naast de in lid 2 bedoelde procedure maken het CIR en het centrale SIS gebruik van het ESP om de in het centrale SIS, respectievelijk het CIR opgeslagen gegevens te doorzoeken aan de hand van de volgende gegevens:

a)

achternaam (familienaam); voornaam of voornamen; geboortedatum, nationaliteit of nationaliteiten, geslacht; als bedoeld in artikel 16, lid 1, onder a), artikel 17, lid 1, en artikel 18, lid 1, van Verordening (EU) 2017/2226;

b)

achternaam (familienaam); voornaam of voornamen; geboortedatum, geslacht, geboorteplaats en geboorteland, en nationaliteiten als bedoeld in artikel 9, punt 4, onder a) en a bis), van Verordening (EG) nr. 767/2008;

c)

achternaam (familienaam); voornaam/voornamen; achternaam bij geboorte; alias(sen), geboortedatum, geboorteplaats, geslacht en huidige nationaliteit als bedoeld in artikel 17, lid 2, van Verordening (EU) 2018/1240;

d)

achternamen; voornamen; naam/namen bij geboorte, voorheen gebruikte namen en aliassen; geboorteplaats, geboortedatum, geslacht en nationaliteiten als bedoeld in artikel 20, lid 2, van Verordening (EU) 2018/1861;

e)

achternamen; voornamen; namen bij geboorte, voorheen gebruikte namen en aliassen; geboorteplaats, geboortedatum, geslacht en nationaliteiten als bedoeld in artikel 4 van Verordening (EU) 2018/1860.

4.   Naast de in de leden 2 en 3 bedoelde procedure maken het CIR en het centrale SIS gebruik van het ESP om de in het centrale SIS, respectievelijk het CIR opgeslagen gegevens te doorzoeken aan de hand van reisdocumentgegevens.

5.   De detectie van meerdere identiteiten wordt alleen gestart om gegevens die in een Unie-informatiesysteem beschikbaar zijn, te vergelijken met gegevens die in andere Unie-informatiesystemen beschikbaar zijn.

Artikel 28

Resultaten van de detectie van meerdere identiteiten

1.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, geen match oplevert, blijven de in artikel 27, lid 1, bedoelde procedures erop van toepassing overeenkomstig de desbetreffende rechtsinstrumenten.

2.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, een of meer matches oplevert, maakt het CIR, en in voorkomend geval het SIS, een link aan tussen de gegevens die zijn gebruikt om de zoekopdracht te starten en de gegevens die tot de match hebben geleid.

In het geval van meerdere matches wordt een link aangemaakt tussen alle gegevens die tot de match hebben geleid. Als de gegevens al gelinkt waren, wordt de bestaande link uitgebreid tot de gegevens die zijn gebruikt om de zoekopdracht te starten.

3.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, een of meer matches oplevert en de identiteitsgegevens van de gelinkte bestanden identiek of vergelijkbaar zijn, wordt een witte link aangemaakt overeenkomstig artikel 33.

4.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, een of meer matches oplevert en de identiteitsgegevens van de gelinkte bestanden niet als vergelijkbaar kunnen worden beschouwd, wordt een gele link aangemaakt overeenkomstig artikel 30 en is de in artikel 29 bedoelde procedure van toepassing.

5.   De Commissie stelt overeenkomstig artikel 73 bij gedelegeerde handelingen de procedures vast aan de hand waarvan moet worden bepaald welke identiteitsgegevens als identiek of vergelijkbaar moeten worden beschouwd.

6.   De links worden opgeslagen in het in artikel 34 bedoelde identiteitsbevestigingsbestand.

7.   De Commissie stelt in samenwerking met eu-LISA bij uitvoeringshandelingen de technische voorschriften vast voor het aanmaken van links tussen gegevens uit verschillende Unie-informatiesystemen. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 29

Manuele verificatie van meerdere identiteiten en de verantwoordelijke autoriteiten

1.   Onverminderd lid 2 is de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit:

a)

de bevoegde autoriteit die is aangewezen overeenkomstig artikel 9, lid 2, van Verordening (EU) 2017/2226 voor matches die zich voordoen bij het aanleggen of bijwerken van een persoonlijk dossier in het EES overeenkomstig die verordening;

b)

de bevoegde visumautoriteiten bedoeld in artikel 6, lid 1, van Verordening (EG) nr. 767/2008 voor matches die zich voordoen bij het aanleggen of wijzigen van een aanvraagdossier in het VIS overeenkomstig die verordening;

c)

de centrale Etias-eenheid en de nationale Etias-eenheden voor matches die zich voordoen bij het aanmaken of bijwerken van een aanvraagdossier overeenkomstig van Verordening (EU) 2018/1240;

d)

het Sirene-bureau van de lidstaat voor matches die zich voordoen bij het creëren of bijwerken van een SIS-signalering overeenkomstig Verordening (EU) 2018/1860 en Verordening (EU) 2018/1861.

De MID vermeldt in het identiteitsbevestigingsbestand welke autoriteit verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

2.   De in het identiteitsbevestigingsbestand bedoelde voor de manuele verificatie van meerdere identiteiten bevoegde autoriteit is het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd wanneer er een link wordt aangemaakt met gegevens in een signalering:

a)

van personen die worden gezocht met het oog op aanhouding ten behoeve van overlevering of uitlevering als bedoeld in artikel 26 van Verordening (EU) 2018/1862;

b)

van vermiste of kwetsbare personen als bedoeld in artikel 32 van Verordening (EU) 2018/1862;

c)

van personen die worden gezocht met het oog op een gerechtelijke procedure als bedoeld in artikel 34 van Verordening (EU) 2018/1862;

d)

van personen met het oog op onopvallende controle, ondervragingscontrole of gerichte controle als bedoeld in artikel 36 van Verordening (EU) 2018/1862.

3.   Onverminderd lid 4 van dit artikel, heeft de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit toegang tot de gelinkte gegevens in het desbetreffende identiteitsbevestigingsbestand en tot de gelinkte identiteitsgegevens in het CIR en, in voorkomend geval, in het SIS. Zij beoordeelt onverwijld de meerdere identiteiten. Als zij die beoordeling heeft afgerond, werkt zij de link bij overeenkomstig de artikelen 31, 32 en 33 en voegt deze onverwijld toe aan het identiteitsbevestigingsbestand.

4.   Wanneer de voor de manuele verificatie van meerdere identiteiten in het identiteitsbevestigingsbestand verantwoordelijke autoriteit de bevoegde autoriteit is die is aangewezen overeenkomstig artikel 9, lid 2, van Verordening (EU) 2017/2226 die een afzonderlijk bestand in het EES aanlegt of bijwerkt overeenkomstig artikel 14 van die verordening, en er een gele link is aangemaakt, verricht de grensautoriteit aanvullende verificaties. Uitsluitend met het oog daarop heeft die autoriteit toegang tot de daarmee verband houdende identiteitsgegevens in het identiteitsbevestigingsbestand. Zij beoordeelt de verschillende identiteiten, werkt de link bij overeenkomstig de artikelen 31, 32 en 33 van die verordening en voegt deze link onverwijld toe aan het identiteitsbevestigingsbestand.

Die manuele verificatie van meerdere identiteiten wordt geïnitieerd in het bijzijn van de betrokkene, die de gelegenheid moet krijgen om de omstandigheden toe te lichten aan de verantwoordelijke autoriteit, die deze toelichting in aanmerking moet nemen.

In gevallen waarin de manuele verificatie van meerdere identiteiten plaatsvindt aan de grens, moet de verificatie zo mogelijk binnen twaalf uur na de aanmaak van een gele link overeenkomstig artikel 28, lid 4, geschieden.

5.   Indien meer dan één link wordt aangemaakt, wordt elke link afzonderlijk beoordeeld door de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

6.   Als de gegevens die een match opleveren, al gelinkt waren, houdt de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, rekening met de bestaande links wanneer zij het aanmaken van nieuwe links beoordeelt.

Artikel 30

Gele link

1.   Wanneer er nog geen de manuele verificatie van meerdere identiteiten is verricht, wordt een link tussen gegevens uit twee of meer Unie-informatiesystemen in de volgende gevallen ingedeeld als geel:

a)

de gelinkte gegevens hebben dezelfde biometrische gegevens maar vergelijkbare of verschillende identiteitsgegevens;

b)

de gelinkte gegevens hebben verschillende identiteitsgegevens maar dezelfde reisdocumentgegevens, en ten minste een van de Unie-informatiesystemen bevat geen biometrische gegevens van de betrokkene;

c)

de gelinkte gegevens hebben dezelfde identiteitsgegevens maar verschillende biometrische gegevens;

d)

de gelinkte gegevens hebben vergelijkbare of verschillende identiteitsgegevens, dezelfde reisdocumentgegevens, maar verschillende biometrische gegevens.

2.   Indien een link overeenkomstig lid 1 is ingedeeld als geel, is de procedure van artikel 29 van toepassing.

Artikel 31

Groene link

1.   Een link tussen gegevens van twee of meer Unie-informatiesystemen wordt in de volgende gevallen ingedeeld als groen:

a)

de gelinkte gegevens hebben verschillende biometrische gegevens maar dezelfde identiteitsgegevens en verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, naar twee verschillende personen;

b)

de gelinkte gegevens hebben verschillende biometrische gegevens, hebben vergelijkbare of verschillende identiteitsgegevens, hebben dezelfde reisdocumentgegevens en verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten naar twee verschillende personen;

c)

de gelinkte gegevens hebben verschillende identiteitsgegevens, maar hebben dezelfde reisdocumentgegevens, ten minste een van de Unie-informatiesystemen bevat geen biometrische gegevens van de betrokkene en de gegevens verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten naar twee verschillende personen.

2.   Wanneer het CIR of het SIS wordt doorzocht en er een groene link bestaat tussen gegevens in twee of meer van de Unie-informatiesystemen, geeft de MID aan dat de identiteitsgegevens van de gelinkte gegevens niet overeenstemmen met dezelfde persoon.

3.   Wanneer een lidstatelijke autoriteit beschikt over bewijs dat een groene link foutief is ingevoerd in de MID, dat een groene link niet actueel is of dat de gegevens in de MID of de Unie-informatiesystemen in strijd met deze verordening werden verwerkt, controleert die autoriteit de desbetreffende gegevens die in het CIR en het CIS zijn opgeslagen, en indien nodig corrigeert zij de link of wist zij deze onverwijld uit de MID. De lidstatelijke autoriteit stelt de lidstaat die verantwoordelijk is voor de manuele verificatie van de meerdere identiteiten hiervan onverwijld in kennis.

Artikel 32

Rode link

1.   Een link tussen gegevens van twee of meer Unie-informatiesystemen wordt in de volgende gevallen ingedeeld als rood:

a)

de gelinkte gegevens hebben dezelfde biometrische gegevens maar hebben vergelijkbare of verschillende identiteitsgegevens, en verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten op ongerechtvaardigde wijze naar dezelfde persoon;

b)

de gelinkte gegevens hebben dezelfde, vergelijkbare of verschillende identiteitsgegevens en dezelfde reisdocumentgegevens, maar verschillende biometrische gegevens en verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten op ongerechtvaardigde wijze naar twee verschillende personen van wie minstens één gebruikmaakt van hetzelfde reisdocument;

c)

de gelinkte gegevens hebben dezelfde identiteitsgegevens maar verschillende biometrische gegevens en verschillende of geen reisdocumentgegevens, en verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, op ongerechtvaardigde wijze naar twee verschillende personen;

d)

de gelinkte gegevens hebben verschillende identiteitsgegevens en dezelfde reisdocumentgegevens, en ten minste een van de Unie-informatiesystemen bevat geen biometrische gegevens van de betrokkene, en de gelinkte gegevens verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten op ongerechtvaardigde wijze naar dezelfde persoon.

2.   Wanneer het CIR of het SIS wordt doorzocht en er een rode link bestaat tussen gegevens in twee of meer van de Unie-informatiesystemen die deel uitmaken van het CIR of het SIS, vermeldt de MID in zijn antwoord de in artikel 34 bedoelde gegevens. De follow-up van een rode link verloopt overeenkomstig het Unierecht en het nationaal recht, waarbij eventuele rechtsgevolgen voor de betrokkene uitsluitend worden gebaseerd op de gegevens met betrekking tot die persoon. Het bestaan van een rode link op zich heeft voor de betrokken persoon geen rechtsgevolgen.

3.   Wanneer er een rode link wordt aangemaakt tussen gegevens in het EES, VIS, Etias, Eurodac of ECRIS-TCN, wordt het in het CIR opgeslagen afzonderlijke bestand bijgewerkt overeenkomstig artikel 19, lid 2.

4.   Onverminderd de bepalingen in verband met de behandeling van signaleringen in het SIS zoals vervat in de Verordeningen (EU) 2018/1860, (EU) 2018/1861 en (EU) 2018/1862 en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat geen enkel nationaal onderzoek in gevaar wordt gebracht, meldt de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, in het geval van een rode link, aan de betrokkene dat meerdere onrechtmatige identiteiten zijn geconstateerd en verstrekt de betrokkene het unieke identificatienummer als bedoeld in artikel 34, onder c), van deze verordening informatie over de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten als bedoeld in artikel 34, onder d), van deze verordening en het internetadres van het overeenkomstig artikel 49 van deze verordening opgerichte webportaal.

5.   De in lid 4 bedoelde informatie wordt door de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten schriftelijk meegedeeld via een standaardformulier. De Commissie stelt de inhoud en de presentatie van dat formulier vast door middel van uitvoeringshandelingen. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

6.   Wanneer een rode link wordt aangemaakt, stelt de MID de autoriteiten die verantwoordelijk zijn voor de gelinkte gegevens hiervan automatisch in kennis.

7.   Wanneer een lidstatelijke autoriteit of een Unie-agentschap met toegang tot het CIR of het SIS bewijs verkrijgt dat een rode link foutief in de MID is geregistreerd of dat de gegevens in de MID, het CIR of het SIS in strijd met deze verordening werden verwerkt, controleert die autoriteit of dat agentschap de relevante gegevens die zijn opgeslagen in het CIR of het SIS en, indien nodig:

a)

stelt zij het relevante Sirene-bureau van de lidstaat die de SIS-signalering heeft gecreëerd onmiddellijk hiervan in kennis, als de link betrekking heeft op een van de in artikel 29, lid 2, bedoelde SIS-signaleringen

b)

in alle andere gevallen corrigeert zij de link of verwijdert zij de link onmiddellijk uit de MID.

Indien een Sirene-bureau overeenkomstig punt a) van de eerste alinea is gecontacteerd, controleert het het door de lidstatelijke autoriteit of het Unie-agentschap verstrekte bewijs en corrigeert zij waar nodig de link of verwijdert zij deze onmiddellijk uit de MID.

De autoriteit van de lidstaat die dergelijk bewijs verkrijgt, stelt de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat onverwijld in kennis van een relevante correctie of verwijdering van een rode link.

Artikel 33

Witte link

1.   Een link tussen gegevens van twee of meer Unie-informatiesystemen wordt in de volgende gevallen ingedeeld als wit:

a)

de gelinkte gegevens hebben dezelfde biometrische gegevens en dezelfde of vergelijkbare identiteitsgegevens;

b)

de gelinkte gegevens hebben dezelfde of vergelijkbare identiteitsgegevens, dezelfde reisdocumentgegevens en ten minste één informatiesysteem heeft geen biometrische gegevens van de betrokkene;

c)

de gelinkte gegevens hebben dezelfde biometrische gegevens, dezelfde reisdocumentgegevens en vergelijkbare identiteitsgegevens;

d)

de gelinkte gegevens hebben dezelfde biometrische gegevens maar dezelfde of andere identiteitsgegevens, en verwijzen volgens de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit, op gerechtvaardigde wijze naar dezelfde persoon.

2.   Wanneer het CIR of het SIS wordt doorzocht en er een witte link bestaat tussen gegevens in twee of meer van de Unie-informatiesystemen, geeft de MID aan dat de identiteitsgegevens van de gelinkte gegevens overeenstemmen met dezelfde persoon. De doorzochte Unie-informatiesystemen vermelden in hun antwoord, in voorkomend geval, alle gelinkte gegevens van de persoon en brengen zo een match tot stand met de gegevens waartussen een witte link bestaat, indien de autoriteit die de zoekopdracht heeft gestart, overeenkomstig het Unie- of nationaal recht toegang heeft tot de gelinkte gegevens.

3.   Wanneer er een witte link wordt aangemaakt tussen gegevens van het EES, VIS, Etias, Eurodac of ECRIS-TCN, wordt het afzonderlijke bestand dat in het CIR is opgeslagen, bijgewerkt overeenkomstig artikel 19, lid 2.

4.   Onverminderd de bepalingen in verband met de behandeling van signaleringen in het SIS als bedoeld in de Verordeningen (EU) 2018/1860, (EU) 2018/1861 en (EU) 2018/1862 en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat geen enkel nationaal onderzoek in gevaar wordt gebracht, meldt de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, wanneer er een witte link is aangemaakt na een manuele verificatie van meerdere identiteiten, aan de betrokkene dat vergelijkbare of verschillende identiteiten zijn geconstateerd en verstrekt zij de persoon met het in artikel 34, onder c), van deze verordening bedoelde unieke identificatienummer informatie over de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten als bedoeld in artikel 34, onder d), van deze verordening en het internetadres van het overeenkomstig artikel 49 van deze verordening opgerichte webportaal.

5.   Wanneer een lidstatelijke autoriteit beschikt over bewijs dat een witte link foutief is geregistreerd in de MID, een witte link niet actueel is of dat de gegevens in de MID of de Unie-informatiesystemen in strijd met deze verordening werden verwerkt, controleert die autoriteit de relevante gegevens die zijn opgeslagen in het CIR en het CIS en indien nodig corrigeert zij de link of verwijdert zij deze onverwijld uit de MID. De lidstatelijke autoriteit stelt de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat hiervan onverwijld in kennis.

6.   De in lid 4 bedoelde informatie wordt door de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit schriftelijk meegedeeld via een standaardformulier. De Commissie stelt de inhoud en de presentatie van dat formulier vast door middel van uitvoeringshandelingen. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 34

Identiteitsbevestigingsbestand

Het identiteitsbevestigingsbestand bevat de volgende gegevens:

a)

de links als bedoeld in de artikelen 30 tot en met 33;

b)

een verwijzing naar de Unie-informatiesystemen waarin de gelinkte gegevens worden bewaard;

c)

een uniek identificatienummer om de gegevens van de gelinkte bestanden op te vragen uit de desbetreffende Unie-informatiesystemen;

d)

de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit;

e)

de datum waarop de link is aangemaakt of bijgewerkt.

Artikel 35

Bewaring van gegevens in de detector van meerdere identiteiten

De termijn voor opslag van de identiteitsbevestigingsbestanden en de desbetreffende gegevens, inclusief links, in de MID is niet langer dan die voor de opslag van de gelinkte gegevens die zijn opgeslagen in twee of meer Unie-informatiesystemen. Zij worden automatisch gewist uit de MID.

Artikel 36

Bijhouden van logbestanden

1.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen in de MID. In deze logbestanden wordt het volgende vermeld:

a)

de lidstaat die de zoekopdracht start;

b)

het doel waarvoor de gebruiker toegang heeft;

c)

de datum en het tijdstip van de zoekopdracht;

d)

het soort gegevens dat is gebruikt om de zoekopdracht te starten;

e)

de referentie naar de gelinkte gegevens;

f)

de geschiedenis van het identiteitsbevestigingsbestand.

2.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten van zijn autoriteiten en van de personeelsleden van die autoriteiten die naar behoren gemachtigd zijn om de MID te gebruiken. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

3.   De in de leden 1 en 2 bedoelde logbestanden worden uitsluitend gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit. Deze logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist als de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

HOOFDSTUK VI

Maatregelen ter ondersteuning van interoperabiliteit

Artikel 37

Gegevenskwaliteit

1.   Onverminderd de verantwoordelijkheden van de lidstaten met betrekking tot de kwaliteit van de in de systemen opgeslagen gegevens, stelt eu-LISA automatische mechanismen en procedures vast voor het controleren van de kwaliteit van de gegevens die worden opgeslagen in het EES, VIS, Etias, SIS, de gezamenlijke BMS en het CIR.

2.   eu-LISA voorziet in mechanismen voor evaluatie van de nauwkeurigheid van de gezamenlijke BMS, gemeenschappelijke indicatoren voor gegevenskwaliteit, en de minimumkwaliteitsnormen voor de opslag van gegevens in het EES, VIS, Etias, SIS, de gezamenlijke BMS en het CIR.

In het EES, VIS, Etias, SIS, de gezamenlijke BMS, het CIR en de MID mogen alleen gegevens worden ingevoerd die aan de minimumkwaliteitsnormen voldoen.

3.   eu-LISA brengt regelmatig verslag uit aan de lidstaten over de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit en over de gemeenschappelijke indicatoren voor gegevenskwaliteit. eu-LISA brengt ook regelmatig verslag uit aan de Commissie over kwesties die zijn geconstateerd en de hierbij betrokken lidstaten. eu-LISA legt dat verslag op verzoek ook voor aan het Europees Parlement en de Raad. De in dit lid bedoelde verslagen bevatten in geen geval persoonsgegevens.

4.   Bij uitvoeringshandelingen worden nadere bepalingen vastgesteld inzake de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen voor de opslag van gegevens in het EES, VIS, Etias, SIS, de gezamenlijke BMS en het CIR, met name met betrekking tot biometrische gegevens. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

5.   Eén jaar na de vaststelling van de automatische mechanismen en procedures voor het controleren van gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumgegevenskwaliteitsnormen, en vervolgens om het jaar, evalueert de Commissie de prestaties van de lidstaten op het gebied van gegevenskwaliteit en doet zij zo nodig aanbevelingen. De lidstaten dienen bij de Commissie een actieplan in om de in het evaluatieverslag geconstateerde gebreken te verhelpen, met name problemen in verband met de gegevenskwaliteit die het gevolg zijn van verkeerde gegevens in de Unie-informatiesystemen. De lidstaten brengen op gezette tijden verslag uit aan de Commissie over de voortgang van het actieplan tot dit volledig is uitgevoerd.

De Commissie legt het evaluatieverslag voor aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming, het Europees Comité voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten dat is opgericht bij Verordening (EG) nr. 168/2007 van de Raad (39).

Artikel 38

Universal Message Format

1.   Hierbij wordt de norm inzake het Universal Message Format (UMF) ingesteld. De UMF-norm definieert bepaalde elementen van de inhoud van grensoverschrijdende informatie-uitwisseling tussen informatiesystemen, autoriteiten of organisaties op het gebied van justitie en binnenlandse zaken.

2.   De UMF-norm wordt toegepast bij de ontwikkeling van het EES, ETIAS, ESP, CIR, de MID en in voorkomend geval bij de ontwikkeling, door eu-LISA of een ander Unie-agentschap, van nieuwe informatie-uitwisselingsmodellen en informatiesystemen op het gebied van justitie en binnenlandse zaken.

3.   De Commissie stelt een uitvoeringshandeling vast voor het vastleggen en ontwikkelen van de in lid 1 van dit artikel bedoelde UMF-norm. Die uitvoeringshandeling wordt overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 39

Centraal register voor rapportage en statistieken

1.   Er wordt een centraal register voor rapportage en statistieken (CRRS) ingesteld om de doelstellingen van het EES, VIS, ETIAS en SIS in overeenstemming met de voor die systemen respectievelijk geldende rechtsinstrumenten te ondersteunen en om te voorzien in systeemoverschrijdende statistische gegevens en analytische verslagen voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit.

2.   eu-LISA zorgt op zijn technische locaties voor het opstellen, implementeren en hosten van het CRRS met daarin de logisch gescheiden gegevens en statistieken als bedoeld in artikel 63 van Verordening (EU) 2017/2226, artikel 17 van Verordening (EG) nr. 767/2008, artikel 84 van Verordening (EU) 2018/1240, artikel 60 van Verordening (EU) 2018/1861 en artikel 16 van Verordening (EU) 2018/1860. Toegang tot het CRRS wordt uitsluitend met het oog op het opstellen van rapporten en statistieken verleend aan de in artikel 63 van Verordening (EU) 2017/2226, artikel 17 van Verordening (EG) nr. 767/2008, artikel 84 van Verordening (EU) 2018/1240 en artikel 60 van Verordening (EU) 2018/1861 bedoelde autoriteiten door middel van een gecontroleerde en beveiligde toegang en specifieke gebruikersprofielen.

3.   eu-LISA anonimiseert de gegevens en registreert de geanonimiseerde gegevens in het CRRS. Het anonimiseren van de gegevens gebeurt automatisch.

Aan de hand van in het CRRS opgenomen gegevens kunnen geen personen worden geïdentificeerd.

4.   Het CRRS bestaat uit:

a)

instrumenten die nodig zijn voor het anonimiseren van gegevens;

b)

een centrale infrastructuur, bestaande uit een gegevensregister van anonieme gegevens;

c)

een beveiligde communicatie-infrastructuur voor de verbinding van het CRRS met het EES, VIS, ETIAS en SIS en met de centrale infrastructuur van de gezamenlijke BMS, het CIR en de MID.

5.   De Commissie stelt overeenkomstig artikel 73 bij gedelegeerde handeling nadere bepalingen vast inzake de werking van het CRRS, met inbegrip van specifieke waarborgen voor de verwerking van persoonsgegevens overeenkomstig de leden 2 en 3 van dit artikel, en veiligheidsvoorschriften voor het register.

HOOFDSTUK VII

Gegevensbescherming

Artikel 40

Verwerkingsverantwoordelijke

1.   Met betrekking tot de verwerking van gegevens in de gezamenlijke BMS zijn de autoriteiten van de lidstaten die verwerkingsverantwoordelijke zijn voor het EES, VIS of SIS verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 of artikel 3, punt 8, van Richtlijn (EU) 2016/680 met betrekking tot de door hen in de onderliggende systemen ingevoerde biometrische templates die worden verkregen uit de in artikel 13 van deze verordening bedoelde gegevens, en zijn deze autoriteiten verantwoordelijk voor de verwerking van de biometrische templates in de gezamenlijke BMS.

2.   Met betrekking tot de verwerking van gegevens in het CIR zijn de autoriteiten van de lidstaten die verwerkingsverantwoordelijke zijn voor het EES, VIS of Etias verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 met betrekking tot de in artikel 18 van deze verordening bedoelde gegevens die zij in de onderliggende systemen invoeren, en zijn deze autoriteiten verantwoordelijk voor de verwerking van die persoonsgegevens in het CIR.

3.   Met betrekking tot de verwerking van gegevens in de MID geldt dat:

a)

het Europees Grens- en kustwachtagentschap met betrekking tot de verwerking van persoonsgegevens door de centrale Etias-eenheid een verwerkingsverantwoordelijke is in de zin van artikel 3, punt 8, van Verordening (EU) 2018/1725;

b)

de lidstatelijke autoriteiten die toevoegingen of wijzigingen aanbrengen aan de gegevens in het identiteitsbevestigingsbestand verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 of artikel 3, punt 8, van Richtlijn (EU) 2016/680 zijn en verantwoordelijk zijn voor de verwerking van de persoonsgegevens in de MID.

4.   Met het oog op het toezicht op de gegevensbescherming, waaronder het controleren van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, hebben de verwerkingsverantwoordelijken voor interne monitoring als bedoeld in artikel 44 toegang tot de in de artikelen 10, 16, 24 en 36 bedoelde logbestanden.

Artikel 41

Verwerker

Met betrekking tot de verwerking van persoonsgegevens in de gezamenlijke BMS, het CIR en de MID is eu-LISA de verwerker in de zin van artikel 3, punt 12, onder a), van Verordening (EU) 2018/1725.

Artikel 42

Beveiliging van de verwerking

1.   eu-LISA, de centrale Etias-eenheid, Europol en de lidstatelijke autoriteiten zorgen voor de beveiliging van de verwerking van persoonsgegevens uit hoofde van deze verordening. eu-LISA, de centrale Etias-eenheid, Europol en de lidstatelijke autoriteiten werken samen aan taken op het gebied van beveiliging.

2.   Onverminderd artikel 33 van Verordening (EU) 2018/1725 neemt eu-LISA de nodige maatregelen ter beveiliging van de interoperabiliteitscomponenten en de bijbehorende communicatie-infrastructuur.

3.   Met name neemt eu-LISA passende maatregelen, waaronder de vaststelling van een veiligheidsplan, een bedrijfscontinuïteitsplan en een uitwijkplan, om:

a)

de gegevens fysiek te beschermen, onder meer met noodplannen voor de bescherming van kritieke infrastructuur;

b)

te voorkomen dat onbevoegden toegang krijgen tot gegevensverwerkende apparatuur en installaties;

c)

te voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen;

d)

te voorkomen dat gegevens onrechtmatig worden ingevoerd en dat opgeslagen persoonsgegevens onrechtmatig worden ingezien, gewijzigd of verwijderd;

e)

te voorkomen dat gegevens onrechtmatig worden verwerkt, gekopieerd, gewijzigd of verwijderd;

f)

te voorkomen dat onbevoegden de systemen voor geautomatiseerde gegevensverwerking gebruiken met behulp van datatransmissieapparatuur;

g)

te waarborgen dat personen die toestemming hebben voor toegang tot de interoperabiliteitscomponenten, uitsluitend toegang hebben tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft, en uitsluitend door middel van persoonlijke gebruikersidentiteiten en geheime toegangsprocedures;

h)

te waarborgen dat kan worden nagegaan en vastgesteld aan welke autoriteiten persoonsgegevens mogen worden doorgegeven door middel van datatransmissieapparatuur;

i)

te waarborgen dat kan worden nagegaan en vastgesteld welke gegevens wanneer, door wie en met welk doel in de interoperabiliteitscomponenten zijn verwerkt;

j)

te voorkomen, in het bijzonder door middel van passende versleutelingstechnieken, dat bij de doorgifte van persoonsgegevens vanuit en naar de interoperabiliteitscomponenten of gedurende het transport van gegevensdragers de gegevens onrechtmatig worden gelezen, gekopieerd, gewijzigd of verwijderd;

k)

ervoor te zorgen dat de normale werking van de gebruikte systemen in geval van storing kan worden hersteld;

l)

te zorgen voor betrouwbaarheid door te garanderen dat eventuele functionele storingen in de interoperabiliteitscomponenten correct worden gesignaleerd;

m)

de doelmatigheid van de in dit lid bedoelde beveiligingsmaatregelen te controleren, met betrekking tot de interne controle de nodige organisatorische maatregelen te nemen om te waarborgen dat deze verordening wordt nageleefd en die beveiligingsmaatregelen te beoordelen in het licht van nieuwe technologische ontwikkelingen.

4.   Om de verwerking van persoonsgegevens door autoriteiten met recht op toegang tot een of meer interoperabiliteitscomponenten te beveiligen, nemen de lidstaten, Europol en de centrale Etias-eenheid maatregelen die gelijkwaardig zijn aan die van lid 3 van dit artikel.

Artikel 43

Beveiligingsincidenten

1.   Elke gebeurtenis die gevolgen heeft of kan hebben voor de beveiliging van de interoperabiliteitscomponenten of kan leiden tot beschadiging of verlies van gegevens die in de componenten zijn opgeslagen, wordt beschouwd als een beveiligingsincident, met name wanneer onrechtmatige toegang tot gegevens kan zijn verkregen of wanneer de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens in gevaar is of kan zijn gekomen.

2.   Het beheer van beveiligingsincidenten is gericht op een snelle, doeltreffende en passende reactie.

3.   Onverminderd de melding en mededeling van een inbreuk in verband met persoonsgegevens uit hoofde van artikel 33 van Verordening (EU) 2016/679, artikel 30 van Richtlijn (EU) 2016/680, of beide, stellen de lidstaten de Commissie, eu-LISA, de bevoegde toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming onverwijld in kennis van beveiligingsincidenten.

Onverminderd de artikelen 34 en 35 van Verordening (EU) 2018/1725 en artikel 34 van Verordening (EU) 2016/794 stellen de centrale Etias-eenheid en Europol de Commissie, eu-LISA en de Europese Toezichthouder voor gegevensbescherming onverwijld in kennis van eventuele beveiligingsincidenten.

eu-LISA stelt de Commissie en de Europese Toezichthouder voor gegevensbescherming onverwijld in kennis van beveiligingsincidenten in verband met de centrale infrastructuur van de interoperabiliteitscomponenten.

4.   Informatie betreffende een beveiligingsincident dat gevolgen heeft of kan hebben voor de werking van interoperabiliteitscomponenten of voor de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens, wordt onverwijld aan de lidstaten, de centrale Etias-eenheid en Europol verstrekt en gerapporteerd in overeenstemming met het door eu-LISA te verstrekken incidentenbeheerplan.

5.   De betrokken lidstaten, de centrale ETIAS-eenheid, Europol en eu-LISA werken samen wanneer zich een beveiligingsincident voordoet. De Commissie stelt bij uitvoeringshandelingen de specificaties van deze samenwerkingsprocedure vast. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 44

Interne monitoring

De lidstaten en de betrokken Unie-agentschappen zorgen ervoor dat elke autoriteit met recht op toegang tot de interoperabiliteitscomponenten de nodige maatregelen treft met het oog op de naleving van deze verordening en, indien nodig, samenwerkt met de toezichthoudende autoriteit.

De in artikel 40 bedoelde verwerkingsverantwoordelijke neemt de nodige maatregelen, waaronder frequente verificatie van de in de artikelen 10, 16, 24 en 36 bedoelde logbestanden, om na te gaan of de gegevens in overeenstemming met deze verordening worden verwerkt, en werkt indien nodig samen met de toezichthoudende autoriteiten en met de Europese Toezichthouder voor gegevensbescherming.

Artikel 45

Sancties

De lidstaten zorgen ervoor dat misbruik, verwerking of uitwisseling van gegevens in strijd met deze verordening strafbaar wordt gesteld volgens het nationaal recht. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.

Artikel 46

Aansprakelijkheid

1.   Onverminderd het recht op schadevergoeding door en de aansprakelijkheid van de verwerkingsverantwoordelijke of de verwerker uit hoofde van Verordening (EU) 2016/679, Richtlijn (EU) 2016/680 en Verordening (EU) 2018/1725, geldt het volgende:

a)

iedere persoon of lidstaat die als gevolg van onrechtmatige gegevensverwerking of een andere met deze verordening strijdige handeling vanwege een lidstaat materiële of immateriële schade heeft geleden, is gerechtigd om van die lidstaat schadevergoeding te ontvangen;

b)

iedere persoon of lidstaat die als gevolg van een met deze verordening strijdige handeling vanwege Europol, het Europees Grens- en kustwachtagentschap of eu-LISA materiële of immateriële schade heeft geleden, is gerechtigd om van het desbetreffende agentschap schadevergoeding te ontvangen.

De betrokken lidstaat, Europol, het Europees Grens- en kustwachtagentschap of eu-LISA wordt geheel of gedeeltelijk van zijn aansprakelijkheid op grond van de eerste alinea ontheven indien hij kan aantonen niet verantwoordelijk te zijn voor het feit dat de schade heeft veroorzaakt.

2.   Indien schade aan de interoperabiliteitscomponenten ontstaat doordat een lidstaat zijn verplichtingen uit hoofde van deze verordening niet is nagekomen, is deze lidstaat daarvoor aansprakelijk, tenzij en voor zover eu-LISA of een andere door deze verordening gebonden lidstaat, heeft nagelaten redelijke stappen te ondernemen om het optreden van de schade te voorkomen of de omvang ervan zo veel mogelijk te beperken.

3.   Op vorderingen tegen een lidstaat tot vergoeding van de in de leden 1 en 2 bedoelde schade is het nationale recht van de verwerende lidstaat van toepassing. Op vorderingen tegen de verwerkingsverantwoordelijke of eu-LISA tot vergoeding van de in de leden 1 en 2 bedoelde schade zijn de in de Verdragen bepaalde voorwaarden van toepassing.

Artikel 47

Recht op informatie

1.   De autoriteit die de persoonsgegevens verzamelt die moeten worden opgeslagen in de gezamenlijke BMS, het CIR of de MID, verstrekt de personen van wie gegevens zijn verzameld de informatie die is vereist uit hoofde van de artikelen 13 en 14 van Verordening (EU) 2016/679, de artikelen 12 en 13 van Richtlijn (EU) 2016/680 en de artikelen 15 en 16 van Verordening (EU) 2018/1725. De autoriteit verstrekt deze informatie op het tijdstip waarop dergelijke persoonsgegevens worden verzameld.

2.   Alle informatie wordt verstrekt in duidelijke en eenvoudige taal, in een taalversie die de betrokkene begrijpt of waarvan redelijkerwijs kan worden aangenomen dat hij die begrijpt. Dit betekent ook dat informatie aan minderjarige betrokkenen wordt verstrekt op een wijze die bij hun leeftijd past.

3.   Personen van wie gegevens in het EES, VIS of ETIAS worden opgeslagen, worden overeenkomstig lid 1 in kennis gesteld van de verwerking van persoonsgegevens met het oog op de toepassing van deze verordening, wanneer:

a)

een persoonlijk dossier wordt aangelegd of bijgewerkt in het EES overeenkomstig artikel 14 van Verordening (EU) 2017/2226;

b)

een aanvraagdossier wordt opgesteld of bijgewerkt in het VIS overeenkomstig artikel 8 van Verordening (EG) nr. 767/2008;

c)

een aanvraagdossier wordt aangemaakt of bijgewerkt in het Etias overeenkomstig artikel 19 van Verordening (EU) 2018/1240.

Artikel 48

Recht van toegang tot en rectificatie en wissing van in de MID opgeslagen persoonsgegevens en beperking van de verwerking van persoonsgegevens

1.   Voor de uitoefening van hun rechten krachtens de artikelen 15 tot en met 18 van Verordening (EU) 2016/679, de artikelen 17 tot en met 20 van Verordening (EU) 2018/1725 en de artikelen 14, 15 en 16 van Richtlijn (EU) 2016/680 heeft elke persoon het recht om zich te wenden tot de bevoegde autoriteit van een lidstaat, die het verzoek zal onderzoeken en beantwoorden.

2.   De lidstaat die een dergelijk verzoek onderzoekt, beantwoordt het verzoek onverwijld, doch in elk geval binnen 45 dagen na ontvangst van het verzoek. Afhankelijk van de complexiteit van het verzoek en van het aantal ingediende verzoeken kan die termijn indien nodig met nog eens 15 dagen worden verlengd. De lidstaat die het verzoek onderzoekt, stelt de betrokkene binnen 45 dagen na ontvangst van het verzoek in kennis van een dergelijke verlenging en van de redenen voor de vertraging. De lidstaten kunnen besluiten dat antwoorden moeten worden gegeven door de centrale kantoren.

3.   Als er een verzoek om rectificatie of wissing van persoonsgegevens wordt gericht tot een andere lidstaat dan de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat, neemt de aangezochte lidstaat binnen zeven dagen contact op met de autoriteiten van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat. De voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat controleert onverwijld, doch in ieder geval binnen 30 dagen na dit contact, de juistheid van de gegevens en de rechtmatigheid van de gegevensverwerking. Afhankelijk van de complexiteit van het verzoek en van het aantal ingediende verzoeken kan die termijn indien nodig met nog eens 15 dagen worden verlengd. De voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat stelt de lidstaat die contact heeft opgenomen in kennis van een dergelijke verlenging en van de redenen voor de vertraging. De betrokkene wordt door de lidstaat die contact heeft opgenomen met de autoriteiten van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat geïnformeerd over de verdere procedure.

4.   Als er een verzoek om rectificatie of wissing van persoonsgegevens wordt gericht tot een lidstaat en de centrale Etias-eenheid verantwoordelijk was voor de manuele verificatie van meerdere identiteiten, neemt de aangezochte lidstaat binnen zeven dagen contact op met de centrale Etias-eenheid om advies te verzoeken. De Etias-eenheid verstrekt onverwijld advies en in elk geval binnen 30 dagen na te zijn gecontacteerd. Afhankelijk van de complexiteit van het verzoek en van het aantal ingediende verzoeken kan die termijn indien nodig met nog eens 15 dagen worden verlengd. De betrokkene wordt door de lidstaat die met de centrale Etias-eenheid contact heeft opgenomen in kennis gesteld van de verdere procedure.

5.   Wanneer na onderzoek blijkt dat de in de MID opgeslagen gegevens onjuist zijn of onrechtmatig zijn geregistreerd, worden deze gegevens onverwijld gerectificeerd of gewist door de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat of, als er geen lidstaat is die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten of als de centrale Etias-eenheid verantwoordelijk is voor de manuele verificatie, door de aangezochte lidstaat. De betrokkene wordt schriftelijk van de rectificatie of wissing van zijn gegevens in kennis gesteld.

6.   Wanneer een lidstaat tijdens de geldigheidsduur in de MID opgeslagen gegevens wijzigt, bepaalt hij aan de hand van de in artikel 27 en, in voorkomend geval, artikel 29 bedoelde verwerking of een link tussen de gewijzigde gegevens moet worden aangemaakt. Wanneer de verwerking geen match oplevert, verwijdert die lidstaat de gegevens uit het identiteitsbevestigingsbestand. Indien de automatische verwerking een of meer matches oplevert, wordt de link dienovereenkomstig door die lidstaat aangemaakt of bijgewerkt overeenkomstig de desbetreffende bepalingen van deze verordening.

7.   Indien de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat of, in voorkomend geval, de aangezochte lidstaat niet van oordeel is dat de in de MID opgeslagen gegevens onjuist zijn of onrechtmatig zijn geregistreerd, stelt die lidstaat een administratief besluit vast waarbij hij de betrokken persoon onverwijld schriftelijk uitlegt waarom hij niet bereid is de gegevens betreffende die persoon te corrigeren of te wissen.

8.   Het in lid 7 bedoelde besluit verstrekt de betrokkene tevens informatie over de mogelijkheid om de beslissing inzake het verzoek om toegang tot of rectificatie, wissing of beperking van de verwerking van persoonsgegevens te betwisten en, indien relevant, over de wijze waarop hij een rechtsvordering kan instellen of een klacht kan indienen bij de bevoegde autoriteiten of rechtbanken, alsmede over bijstand, onder meer van de toezichthoudende autoriteiten.

9.   Elk verzoek om toegang tot of rectificatie, wissing of beperking van de verwerking van persoonsgegevens bevat de informatie die nodig is om de betrokkene te identificeren. Deze informatie wordt uitsluitend gebruikt om de uitoefening van de in dit artikel bedoelde rechten mogelijk te maken en wordt onmiddellijk nadien gewist.

10.   De voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat of, in voorkomend geval, de aangezochte lidstaat legt in een schriftelijk document vast dat een verzoek om toegang tot of rectificatie, wissing, beperking van de verwerking van persoonsgegevens is ingediend en op welke wijze dit is behandeld, en stelt dit document onverwijld ter beschikking van de toezichthoudende autoriteiten voor gegevensbescherming.

11.   Dit artikel doet geen afbreuk aan beperkingen van de in dit artikel bedoelde rechten uit hoofde van Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680.

Artikel 49

Webportaal

1.   Er wordt een webportaal opgericht om de uitoefening van het recht van toegang tot en rectificatie, wissing of beperking van de verwerking van persoonsgegevens te vergemakkelijken.

2.   Het webportaal bevat informatie over de in de artikelen 47 en 48 bedoelde rechten en procedures, alsmede een gebruikersinterface die personen van wie gegevens worden verwerkt in de MID en die in kennis zijn gesteld van het bestaan van een rode link als bedoeld in artikel 32, lid 4, in staat stelt om de contactgegevens te verkrijgen van de bevoegde autoriteit van de lidstaat die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

3.   Om de contactgegevens te verkrijgen van de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat, moet de persoon van wie gegevens in de MID worden verwerkt de referentie naar de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten als bedoeld in artikel 34, onder d), invoeren. Het webportaal maakt gebruik van deze referentie om de contactgegevens van de bevoegde autoriteit van de lidstaat die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten op te vragen. Het webportaal bevat voorts een model-e-mail om communicatie tussen de portaalgebruiker en de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat te vergemakkelijken. Een dergelijke e-mail bevat een veld voor het in artikel 34, onder c), bedoelde unieke identificatienummer, opdat de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat in staat is om te bepalen om welke gegevens het gaat.

4.   De lidstaten verstrekken eu-LISA de contactgegevens van alle autoriteiten die bevoegd zijn om verzoeken als bedoeld in de artikelen 47 en 48 te beoordelen en beantwoorden, en controleren regelmatig of die contactgegevens nog actueel zijn.

5.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van het webportaal.

6.   De Commissie stelt overeenkomstig artikel 73 een gedelegeerde handeling vast houdende gedetailleerde voorschriften inzake het beheer van het webportaal, inclusief de gebruikersinterface, de talen waarin het webportaal beschikbaar is en de model-e-mail.

Artikel 50

Mededeling van persoonsgegevens aan derde landen, internationale organisaties en particulieren

Onverminderd artikel 65 van Verordening (EU) 2018/1240, artikelen 25 en 26 van Verordening (EU) 2016/794, artikel 41 van Verordening (EU) 2017/2226, artikel 31 van Verordening (EG) nr. 767/2008, en onverminderd het bevragen van de Interpol-databanken door het ESP overeenkomstig artikel 9, lid 5, van deze verordening, in overeenstemming met de bepalingen van hoofdstuk V van Verordening (EU) 2018/1725 en hoofdstuk V van Verordening (EU) 2016/679, worden persoonsgegevens die worden opgeslagen in de interoperabiliteitscomponenten, die worden verwerkt door de interoperabiliteitscomponenten of waartoe deze componenten toegang hebben, niet doorgegeven aan of ter beschikking gesteld van derde landen, internationale organisaties of particuliere partijen..

Artikel 51

Toezicht door de toezichthoudende autoriteiten

1.   Elke lidstaat zorgt ervoor dat de toezichthoudende autoriteiten onafhankelijk toezicht houden op de rechtmatigheid van de verwerking van persoonsgegevens overeenkomstig deze verordening door de betrokken lidstaat, met inbegrip van de doorgifte van die gegevens naar en van de interoperabiliteitscomponenten.

2.   Elke lidstaat zorgt ervoor dat de wettelijke en bestuursrechtelijke bepalingen die overeenkomstig Richtlijn (EU) 2016/680 in het nationale recht zijn vastgesteld, in voorkomend geval ook van toepassing zijn op de toegang tot de interoperabiliteitscomponenten door politieautoriteiten en aangewezen autoriteiten, mede met betrekking tot de rechten van de personen tot wier gegevens aldus toegang wordt verkregen.

3.   De toezichthoudende autoriteiten zorgen ervoor dat voor de doeleinden van deze verordening ten minste om de vier jaar een audit van de verrichtingen van de verantwoordelijke nationale autoriteiten op het gebied van de verwerking van persoonsgegevens wordt uitgevoerd overeenkomstig de desbetreffende internationale auditnormen.

Jaarlijks worden het aantal verzoeken om rectificatie, wissing of beperking van verwerking van persoonsgegevens, het daaraan gegeven gevolg en het aantal rectificaties, wissingen en beperkingen van verwerking dat op verzoek van de betrokkenen is aangebracht, door de toezichthoudende autoriteiten bekendgemaakt.

4.   De lidstaten zorgen ervoor dat hun toezichthoudende autoriteiten over voldoende middelen en deskundigheid beschikken om hun taken uit hoofde van deze verordening te kunnen vervullen.

5.   De lidstaten verstrekken de door een in artikel 51, lid 1, van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteit gevraagde informatie, en in het bijzonder informatie over de activiteiten die zijn verricht in overeenstemming met hun taken uit hoofde van deze verordening. De lidstaten bieden de in artikel 51, lid 1, van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteiten toegang tot hun logbestanden als bedoeld in de artikelen 10, 16, 24 en 36 van deze verordening en tot de in artikel 22, lid 2, van deze verordening bedoelde geregistreerde redenen, en verlenen hen te allen tijde toegang tot al hun gebouwen die worden gebruikt voor activiteiten in verband met interoperabiliteit.

Artikel 52

Audits door de Europese Toezichthouder voor gegevensbescherming

De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat voor de doeleinden van deze verordening ten minste om de vier jaar een audit van de verrichtingen van eu-LISA, de centrale Etias-eenheid en Europol op het gebied van de verwerking van persoonsgegevens wordt uitgevoerd overeenkomstig de toepasselijke internationale auditnormen. Een verslag over deze audit wordt toegezonden aan het Europees Parlement, de Raad, eu-LISA, de Commissie, de lidstaten en het betrokken Unie-agentschap. Voordat de verslagen worden aangenomen, worden eu-LISA, de centrale Etias-eenheid en Europol in de gelegenheid gesteld opmerkingen te maken.

eu-LISA, de centrale Etias-eenheid en Europol verstrekken de door de Europese Toezichthouder voor gegevensbescherming gevraagde informatie en verlenen de Europese Toezichthouder voor gegevensbescherming te allen tijde toegang tot alle documenten waarom zij verzoekt en tot hun in artikel 10, 16, 24 en 36 bedoelde logbestanden, alsook tot al hun gebouwen en terreinen.

Artikel 53

Samenwerking tussen de toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming

1.   De toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming werken, elk binnen hun eigen bevoegdheidsgebieden en binnen het kader van hun eigen verantwoordelijkheden, actief met elkaar samen, en zorgen voor een gecoördineerd toezicht op het gebruik van de interoperabiliteitscomponenten en de toepassing van de andere bepalingen van deze verordening, met name wanneer de Europese Toezichthouder voor gegevensbescherming of een toezichthoudende autoriteit grote verschillen tussen praktijken van de lidstaten constateert of potentieel onrechtmatige gegevensdoorgiften via de communicatiekanalen van de interoperabiliteitscomponenten constateert.

2.   In de in lid 1 van dit artikel bedoelde gevallen wordt gezorgd voor gecoördineerd toezicht in overeenstemming met artikel 62 van Verordening (EU) 2018/1725.

3.   Uiterlijk op 12 juni 2021 en vervolgens om de twee jaar zendt het Europees Comité voor gegevensbescherming een gezamenlijk verslag van zijn activiteiten uit hoofde van dit artikel toe aan het Europees Parlement, de Raad, de Commissie, Europol, het Europees Grens- en kustwachtagentschap en eu-LISA. Het verslag bevat voor elke lidstaat een hoofdstuk dat door de toezichthoudende autoriteit van de betrokken lidstaat wordt opgesteld.

HOOFDSTUK VIII

Verantwoordelijkheden

Artikel 54

Verantwoordelijkheden van eu-LISA gedurende de ontwerp- en ontwikkelingsfase

1.   eu-LISA zorgt ervoor dat de centrale infrastructuur van de interoperabiliteitscomponenten wordt beheerd in overeenstemming met deze verordening.

2.   De interoperabiliteitscomponenten worden door eu-LISA gehost op zijn technische locaties en voorzien in de in deze verordening beschreven functies overeenkomstig de voorwaarden inzake beveiliging, beschikbaarheid, kwaliteit en prestaties bedoeld in artikel 55, lid 1.

3.   eu-LISA is verantwoordelijk voor de ontwikkeling van de interoperabiliteitscomponenten en voor alle aanpassingen die nodig zijn met het oog op de interoperabiliteit tussen de centrale systemen van het EES, VIS, Etias, SIS, Eurodac en ECRIS-TCN, en het ESP, de gezamenlijke BMS, het CIR, de MID en het CRRS.

Onverminderd artikel 56 heeft eu-LISA geen toegang tot de persoonsgegevens die via het ESP, de gezamenlijke BMS, het CIR of de MID worden verwerkt.

Het ontwerp van de fysieke architectuur van de interoperabiliteitscomponenten, met inbegrip van de communicatie-infrastructuur alsook de technische specificaties en de evolutie daarvan met betrekking tot de centrale infrastructuur en de beveiligde communicatie-infrastructuur, wordt door eu-LISA bepaald en na een gunstig advies van de Commissie vastgesteld door de raad van bestuur. eu-LISA verricht ook de nodige aanpassingen van het EES, VIS, Etias of SIS als voortvloeiend uit de totstandbrenging van de interoperabiliteit en bedoeld in deze verordening.

eu-LISA ontwikkelt en implementeert de interoperabiliteitscomponenten zo spoedig mogelijk na de inwerkingtreding van deze verordening en de vaststelling door de Commissie van de maatregelen bedoeld in artikel 8, lid 2, artikel 9, lid 7, artikel 28, leden 5 en 7, artikel 37, lid 4, artikel 38, lid 3, artikel 39, lid 5, artikel 43, lid 5, en artikel 74, lid 10.

De ontwikkeling omvat de uitwerking en implementatie van de technische specificaties, het testen en het algemeen projectbeheer en de algehele projectcoördinatie.

4.   In de ontwerp- en ontwikkelingsfase wordt een programmabestuursraad met ten hoogste tien leden ingesteld. Deze raad bestaat uit zeven door de raad van bestuur van eu-LISA uit zijn eigen leden of plaatsvervangers aangewezen leden, de voorzitter van de in artikel 75 bedoelde adviesgroep inzake interoperabiliteit, een door de uitvoerend directeur benoemd lid dat eu-LISA vertegenwoordigt, en één door de Commissie benoemd lid. De door de raad van bestuur van eu-LISA aangewezen leden worden bij uitsluiting gekozen uit de lidstaten die ten volle gebonden zijn door het Unierecht betreffende de ontwikkeling, de oprichting, de exploitatie en het gebruik van alle Unie-informatiesystemen, en die aan de interoperabiliteitscomponenten zullen deelnemen.

5.   De programmabestuursraad komt op gezette tijden, en ten minste driemaal per kwartaal, bijeen. Hij zorgt voor een passend beheer van de fasen waarin de interoperabiliteitscomponenten worden ontworpen en ontwikkeld.

Elke maand brengt de programmabestuursraad schriftelijk verslag uit over de voortgang van het project aan de raad van bestuur van eu-LISA. De programmabestuursraad heeft geen beslissingsbevoegdheid of mandaat om de leden van de raad van bestuur van eu-LISA te vertegenwoordigen.

6.   De raad van bestuur van eu-LISA stelt het reglement van de programmabestuursraad op, dat met name regels bevat inzake:

a)

het voorzitterschap;

b)

de plaats van vergadering;

c)

de voorbereiding van vergaderingen;

d)

de toelating van deskundigen tot de vergaderingen;

e)

communicatieplannen die ervoor zorgen dat de niet-deelnemende leden van de raad van bestuur volledig op de hoogte worden gehouden.

Het voorzitterschap wordt bekleed door een lidstaat die Unierechtelijk ten volle is gebonden door rechtsinstrumenten betreffende de ontwikkeling, de oprichting, de exploitatie en het gebruik van alle Unie-informatiesystemen en die deelneemt aan de interoperabiliteitscomponenten.

Alle door de leden van de programmabestuursraad gemaakte reis- en verblijfkosten worden betaald door eu-LISA en artikel 10 van het reglement van orde van eu-LISA is van overeenkomstige toepassing. Het secretariaat van de programmabestuursraad wordt verzorgd door eu-LISA.

Tot de ingebruikneming van de interoperabiliteitscomponenten komt de in artikel 75 bedoelde adviesgroep inzake interoperabiliteit op gezette tijden bijeen. Zij brengt na elke bijeenkomst verslag uit aan de programmabestuursraad. Zij ondersteunt de programmabestuursraad met technische deskundigheid en houdt de voortgang van de voorbereidingen van de lidstaten bij.

Artikel 55

Verantwoordelijkheden van eu-LISA na de ingebruikneming

1.   Na de ingebruikneming van elke interoperabiliteitscomponent is eu-LISA verantwoordelijk voor het technisch beheer van de centrale infrastructuur van de interoperabiliteitscomponenten, met inbegrip van hun onderhoud en technologische ontwikkelingen. eu-LISA zorgt er in samenwerking met de lidstaten voor dat de beste beschikbare technologie wordt gebruikt, onder voorbehoud van een kosten-batenanalyse. eu-LISA is ook verantwoordelijk voor het technisch beheer van de communicatie-infrastructuur als bedoeld in de artikelen 6, 12, 17, 25 en 39.

Het technisch beheer van de interoperabiliteitscomponenten omvat alle taken en technische oplossingen die nodig zijn om de interoperabiliteitscomponenten zeven dagen per week en 24 uur per dag overeenkomstig deze verordening te laten functioneren en ononderbroken diensten te laten verlenen aan de lidstaten en de Unie-agentschappen. Het omvat de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een bevredigende technische kwaliteit van de interoperabiliteitscomponenten, in het bijzonder wat betreft de tijd die nodig is voor raadpleging van de centrale infrastructuur overeenkomstig de technische specificaties.

Alle interoperabiliteitscomponenten worden zodanig ontwikkeld en beheerd dat een snelle, naadloze, efficiënte en gecontroleerde toegang tot en de volledige en ononderbroken beschikbaarheid van de componenten en de in de MID, de gezamenlijke BMS en het CIR opgeslagen gegevens is gewaarborgd, met een responstijd die beantwoordt aan de operationele behoeften van de autoriteit van de lidstaten en de Unie-agentschappen.

2.   Onverminderd artikel 17 van het Statuut van de ambtenaren van de Europese Unie past eu-LISA passende voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op personeelsleden die moeten werken met in de interoperabiliteitscomponenten opgeslagen gegevens. Deze geheimhoudingsplicht blijft ook gelden nadat deze personeelsleden hun functie of dienstverband hebben beëindigd of hun werkzaamheden hebben stopgezet.

Onverminderd artikel 66 heeft eu-LISA geen toegang tot de persoonsgegevens die via het ESP, de gezamenlijke BMS, het CIR en de MID worden verwerkt.

3.   eu-LISA ontwikkelt en onderhoudt een mechanisme en procedures voor het uitvoeren van kwaliteitscontroles op de in de gezamenlijke BMS en het CIR opgeslagen gegevens overeenkomstig artikel 37.

4.   eu-LISA verricht ook taken met betrekking tot het aanbieden van opleiding in het technische gebruik van de interoperabiliteitscomponenten.

Artikel 56

Verantwoordelijkheden van de lidstaten

1.   Elke lidstaat is verantwoordelijk voor:

a)

de aansluiting op de communicatie-infrastructuur van het ESP en het CIR;

b)

de integratie van de bestaande nationale systemen en infrastructuur met het ESP, het CIR en de MID;

c)

de organisatie, het beheer, de werking en het onderhoud van de bestaande nationale infrastructuur en de aansluiting daarvan op de interoperabiliteitscomponenten;

d)

het beheer en de regelingen op grond waarvan de naar behoren gemachtigde personeelsleden van de bevoegde nationale autoriteiten overeenkomstig deze verordening toegang hebben tot het ESP, het CIR en de MID, en de opstelling en regelmatige bijwerking van een lijst van de betrokken personeelsleden en hun profiel;

e)

de vaststelling van de in artikel 20, leden 5 en 6, bedoelde wettelijke maatregelen om toegang te krijgen tot het CIR voor identificatiedoeleinden;

f)

de manuele verificatie van meerdere identiteiten als bedoeld in artikel 29;

g)

de naleving van de krachtens het Unierecht vastgestelde vereisten inzake gegevenskwaliteit;

h)

de naleving van de regels van elk Unie-informatiesysteem met betrekking tot de veiligheid en integriteit van persoonsgegevens;

i)

het verhelpen van tekortkomingen die zijn geconstateerd in het evaluatieverslag van de Commissie over de gegevenskwaliteit als bedoeld in artikel 37, lid 5.

2.   Elke lidstaat sluit zijn aangewezen autoriteiten aan op het CIR.

Artikel 57

Verantwoordelijkheden van de centrale Etias-eenheid

De centrale Etias-eenheid is verantwoordelijk voor:

a)

de manuele verificatie van meerdere identiteiten uit hoofde van artikel 29;

b)

het uitvoeren van een detectie van meerdere identiteiten aan de hand van de gegevens die zijn opgeslagen in het EES, VIS, Eurodac en SIS als bedoeld in artikel 69.

HOOFDSTUK IX

Wijzigingen van andere instrumenten van de Unie

Artikel 58

Wijzigingen van Verordening (EG) nr. 767/2008

Verordening (EG) nr. 767/2008 wordt als volgt gewijzigd:

1)

aan artikel 1 wordt het volgende lid toegevoegd:

"Door identiteitsgegevens, reisdocumentgegevens en biometrische gegevens op te slaan in het bij artikel 17, lid 1, van Verordening (EU) 2019/817 van het Europees Parlement en de Raad (*1) ingestelde gemeenschappelijke identiteitsregister (CIR), draagt het VIS bij aan het vergemakkelijken en ondersteunen van de correcte identificatie van personen die in het VIS zijn geregistreerd onder de voorwaarden respectievelijk voor de uiteindelijke doelstellingen bedoeld in artikel 20 van die verordening.

(*1)  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad en Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad (PB L 135 van 22 mei 2019, blz. 27).""

2)

aan artikel 4 worden de volgende punten toegevoegd:

"12)   "VIS-gegevens": alle gegevens die in het centrale systeem van het VIS en het CIR zijn opgeslagen overeenkomstig de artikelen 9 tot en met 14;

13)   "identiteitsgegevens": de gegevens als bedoeld in artikel 9, lid 4, onder a) en a bis);

14)   "vingerafdrukgegevens": de gegevens betreffende de vijf vingerafdrukken van de wijsvinger, de middelvinger, de ringvinger, de pink en de duim van de rechterhand en, indien aanwezig, van de linkerhand;";

3)

in artikel 5 wordt het volgende lid ingevoegd:

"1 bis.   Het CIR bevat de gegevens bedoeld in artikel 9, lid 4, onder a) tot en met c), en artikel 9, leden 5 en 6. De overige VIS-gegevens worden opgeslagen in het centrale systeem van het VIS.";

4)

Artikel 6, lid 2, wordt vervangen door:

"2.   De toegang tot het VIS voor raadpleging van de gegevens is uitsluitend voorbehouden aan de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat die bevoegd zijn voor de in de artikelen 15 tot en met 22 genoemde doelen, en aan de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat en van de Unie-agentschappen die bevoegd zijn voor de in de artikelen 20 en 21 van Verordening (EU) 2019/817 vastgestelde doeleinden. Deze toegang is beperkt tot de gegevens die vereist zijn voor de uitvoering van hun taken overeenkomstig deze doelen en staat in verhouding tot de doelstellingen.";

5)

Artikel 9, punt 4, onder a), b) en c), worden vervangen door:

"a)

achternaam (familienaam); voornaam/voornamen; geboortedatum; geslacht;

a bis)

achternaam bij de geboorte (vroegere familienaam/-namen); plaats en land van geboorte; huidige nationaliteit en nationaliteit bij de geboorte;

b)

het type en nummer van het reisdocument of de reisdocumenten en de drielettercode van het land dat het reisdocument of de reisdocumenten heeft afgegeven;

c)

de datum waarop de geldigheidstermijn van het reisdocument of de reisdocumenten verstrijkt;

c bis)

de autoriteit die het reisdocument heeft afgegeven en de datum van afgifte;".

Artikel 59

Wijzigingen van Verordening (EU) 2016/399

In artikel 8 wordt het volgende lid ingevoegd:

"4 bis.   Wanneer bij inreis of uitreis de raadpleging van de relevante databanken, waaronder de detector van meerdere identiteiten via het Europees zoekportaal als ingesteld bij artikel 25, lid 1 en artikel 6, lid 1, van Verordening (EU) 2019/817 van het Europees Parlement en de Raad (*2) leidt tot een gele link of tot de constatering van een rode link, raadpleegt de grenswachter de detector van meerdere identiteiten samen met het gemeenschappelijke identiteitsregister ingesteld bij artikel 17, lid 1, van die verordening of het SIS ter beoordeling van de verschillen tussen de gelinkte identiteitsgegevens of reisdocumentgegevens. De kustwacht verricht aanvullende verificaties voor het nemen van een beslissing over de status en de kleur van de link.

Overeenkomstig artikel 69, lid 1, van Verordening (EU) 2019/817 wordt deze alinea pas van toepassing wanneer de detector van meerdere identiteiten in gebruik wordt genomen overeenkomstig artikel 72, lid 4, van die verordening.

Artikel 60

Wijzigingen van Verordening (EU) 2017/2226

Verordening (EU) 2017/2226 wordt als volgt gewijzigd:

1)

aan artikel 1 wordt het volgende lid toegevoegd:

"3.   Door identiteitsgegevens, reisdocumentgegevens en biometrische gegevens op te slaan in het bij artikel 17, lid 1, van Verordening (EU) 2019/817 van het Europees Parlement en de Raad (*3) ingestelde gemeenschappelijke identiteitsregister (CIR), draagt het EES bij aan het vergemakkelijken en ondersteunen van de correcte identificatie van personen die in het EES zijn geregistreerd onder de voorwaarden respectievelijk voor de uiteindelijke doelstellingen bedoeld in artikel 20 van die verordening.

(*3)  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad (PB L 135 van 22 mei 2019, blz. 27).";"

2)

Artikel 3,lid 1, wordt als volgt gewijzigd:

a)

punt 22 wordt vervangen door:

"22)   "EES-gegevens": alle gegevens die in het centrale systeem van het EES en het CIR zijn opgeslagen overeenkomstig de artikelen 15 tot en met 20:";

b)

het volgende punt wordt ingevoegd:

"22 bis)   "identiteitsgegevens": de gegevens bedoeld in artikel 16, lid 1, onder a), alsook de relevante gegevens als bedoeld in artikel 17, lid 1, en artikel 18, lid 1;";

c)

de volgende punten worden toegevoegd:

"32)   "ESP": het Europees onderzoeksportaal zoals ingesteld bij artikel 6, lid 1, van Verordening (EU) 2019/817;

33)   "CIR": het gemeenschappelijke identiteitsregister zoals ingesteld bij artikel 17, lid 1, van Verordening (EU) 2019/817.";

3)

aan artikel 6, lid 1, wordt het volgende punt toegevoegd:

"j)

een correcte identificatie van personen verzekeren.";

4)

Artikel 7 wordt als volgt gewijzigd:

a)

lid 1 wordt als volgt gewijzigd:

i)

het volgende punt wordt ingevoegd:

"a bis)

de centrale infrastructuur van de CIR als bedoeld in artikel 17, lid 2, onder a), van Verordening (EU) 2019/817;";

ii)

punt f), wordt vervangen door:

"f)

een beveiligde communicatie-infrastructuur tussen het centrale systeem van het EES en de centrale infrastructuren van het ESP en het CIR.";

b)

het volgende lid wordt ingevoegd:

"1 bis.   Het CIR bevat de gegevens bedoeld in artikel 16, lid 1, onder a) tot en met d), artikel 17, lid 1, onder a), b) en c), en artikel 18, leden 1 en 2. De overige EES-gegevens worden opgeslagen in het centrale systeem van het EES.";

5)

aan artikel 9 wordt het volgende lid toegevoegd:

"4.   De toegang tot de in het CIR opgeslagen EES-gegevens is voorbehouden aan de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat en aan de naar behoren gemachtigde personeelsleden van de Unie-agentschappen die bevoegd zijn voor de in de artikelen 20 en 21 van Verordening (EU) 2019/817 vastgestelde doeleinden. Deze toegang is beperkt tot wat nodig is voor de uitvoering van hun taken overeenkomstig deze doeleinden en is evenredig met de nagestreefde doelen.";

6)

Artikel 21 wordt als volgt gewijzigd:

a)

lid 1 wordt vervangen door:

"1.   Indien het technisch niet mogelijk is gegevens in het centrale systeem van het EES of het CIR in te voeren of zich een storing in het centrale systeem van het EES of het CIR voordoet, worden de in de artikelen 16 tot en met 20 bedoelde gegevens tijdelijk opgeslagen in de NUI. Indien dit niet mogelijk is, worden de gegevens tijdelijk lokaal opgeslagen in elektronisch formaat. In beide gevallen worden de gegevens zodra het technische probleem of de storing is verholpen, in het centrale systeem van het EES of het CIR ingevoerd. De lidstaten nemen passende maatregelen en zorgen voor de nodige infrastructuur, uitrusting en middelen om te garanderen dat deze tijdelijke lokale opslag op elk moment en voor al hun grensdoorlaatposten kan worden verricht."

b)

in lid 2 wordt de eerste alinea vervangen door:

"2.   Onverminderd de verplichting grenscontroles te verrichten uit hoofde van Verordening (EU) 2016/399 gaat de grensautoriteit, in de uitzonderlijke omstandigheid waarin het wegens een technisch probleem onmogelijk is gegevens in te voeren ofwel in het centrale systeem van het EES en het CIR ofwel in de NUI, en waarin het wegens een technisch probleem onmogelijk is de gegevens tijdelijk lokaal op te slaan in elektronisch formaat, over tot het handmatig opslaan van de inreis-uitreisgegevens overeenkomstig de artikelen 16 tot en met 20 van deze verordening, met uitzondering van biometrische gegevens, en brengt zij een stempel van inreis of uitreis aan in het reisdocument van de onderdaan van een derde land. Die gegevens worden zodra het technisch gezien mogelijk is, ingevoerd in het centrale systeem van het EES en het CIR.";

7)

Artikel 23 wordt als volgt gewijzigd:

a)

het volgende lid wordt ingevoegd:

"2 bis.   Met het oog op de verificaties overeenkomstig lid 1 van dit artikel start de grensautoriteit een zoekopdracht door gebruik te maken van het ESP, om de gegevens over de onderdaan van een derde land te vergelijken met de relevante gegevens in het EES en het VIS.";

b)

in lid 4, wordt de eerste alinea vervangen door:

"4.   Als de zoekopdracht op basis van de in lid 2 van dit artikel bedoelde alfanumerieke gegevens uitwijst dat er geen gegevens over de onderdaan van een derde land zijn geregistreerd in het EES, als een verificatie van een onderdaan van een derde land krachtens lid 2 van dit artikel niets oplevert of als er twijfels bestaan over zijn identiteit, hebben de grensautoriteiten toegang tot gegevens voor identificatie overeenkomstig artikel 27 om een persoonlijk dossier aan te leggen of bij te werken overeenkomstig artikel 14.";

8)

in artikel 32 wordt het volgende lid ingevoegd:

"1 bis.   Ingeval de aangewezen autoriteiten een zoekopdracht in het CIR hebben gestart overeenkomstig artikel 22 van Verordening(EU) 2019/817, hebben zij toegang tot het EES voor raadpleging als aan de in dit artikel vastgestelde voorwaarden is voldaan en als het ontvangen antwoord als bedoeld in artikel 22, lid 2 van Verordening (EU) 2019/817 uitwijst dat gegevens zijn opgeslagen in het EES.";

9)

in artikel 33 wordt het volgende lid ingevoegd:

"1 bis.   Ingeval Europol een zoekopdracht in het CIR heeft gestart overeenkomstig artikel 22 van Verordening (EU) 2019/817, heeft het toegang tot het EES voor raadpleging wanneer aan de in dit artikel vastgestelde voorwaarden is voldaan en als het ontvangen antwoord als bedoeld in artikel 22, lid 2 van Verordening (EU) 2019/817 uitwijst dat gegevens zijn opgeslagen in het EES.";

10)

Artikel 34 wordt als volgt gewijzigd:

a)

in leden 1 en 2, worden de woorden "in het centrale systeem van het EES" vervangen door de woorden "in het CIR en het centrale systeem van het EES";

b)

in lid 5, worden de woorden "uit het centrale systeem van het EES" vervangen door de woorden "uit het centrale systeem van het EES en het CIR";

11)

in artikel 35 wordt lid 7 vervangen door:

"7.   "Het centrale systeem van het EES en het CIR informeren alle lidstaten onmiddellijk over de verwijdering van EES- of CIR-gegevens en verwijderen deze, in voorkomend geval, uit de in artikel 12, lid 3, bedoelde lijst van geïdentificeerde personen.";

12)

in artikel 36 worden de woorden "van het centrale systeem van het EES" vervangen door de woorden "van het centrale systeem van het EES en het CIR";

13)

Artikel 37 wordt als volgt gewijzigd:

a)

lid 1, eerste alinea, wordt vervangen door:

"1.   Eu-LISA is verantwoordelijk voor de ontwikkeling van het centrale systeem van het EES, en de CIR, de NUI's, de communicatie-infrastructuur en het beveiligde communicatiekanaal tussen het centrale systeem van het EES en het centrale systeem van het VIS. Eu-LISA is ook verantwoordelijk voor de ontwikkeling van de in artikel 13 bedoelde webdienst en het in artikel 63, lid 2, bedoelde gegevensregister overeenkomstig de in artikel 13, lid 7, bedoelde nadere regels en de overeenkomstig artikel 36, eerste alinea, onder h) en j) vastgestelde specificaties en voorwaarden.";

b)

de eerste alinea van lid 3 wordt vervangen door:

"3.   Eu-LISA is verantwoordelijk voor het operationeel beheer van het centrale systeem van het centrale systeem van het EES en de CIR, de NUI's en het beveiligde communicatiekanaal tussen het centrale systeem van het EES en het centrale systeem van het VIS. Het zorgt er in samenwerking met de lidstaten voor dat te allen tijde, onder voorbehoud van een kosten-batenanalyse, de meest geavanceerde technologie wordt gebruikt voor het centrale systeem van het EES en de CIR, de NUI's, de communicatie-infrastructuur, het beveiligde communicatiekanaal tussen het centrale systeem van het EES en het centrale systeem van het VIS, de in artikel 13 bedoelde webdienst en het in artikel 63, lid 2, bedoelde gegevensregister. Eu-LISA is ook verantwoordelijk voor het operationeel beheer van de communicatie-infrastructuur tussen het centrale systeem van het EES en de NUI's, voor de in artikel 13 bedoelde webdienst en het in artikel 63, lid 2, bedoelde gegevensregister.";

14)

aan artikel 46, lid 1, wordt het volgende punt toegevoegd:

"f)

een verwijzing naar het gebruik van het Europese zoekportaal voor het doorzoeken van het EES als bedoeld in artikel 7, lid 2, van Verordening (EU) 2019/817.";

15)

Artikel 63 wordt als volgt gewijzigd:

a)

lid 2 wordt vervangen door:

"2.   Voor de toepassing van lid 1 worden de in dat lid bedoelde gegevens door eu-LISA opgeslagen in het centrale register voor rapportage en statistieken als bedoeld in artikel 39 van Verordening (EU) 2019/817.";

b)

aan lid 4 wordt de volgende alinea toegevoegd:

"De dagelijkse statistieken worden opgeslagen in het centrale register voor rapportage en statistieken.".

Artikel 61

Wijziging van Verordening (EU) 2018/1240

Verordening (EU) 2018/1240 wordt als volgt gewijzigd:

1)

in artikel 1 wordt het volgende lid toegevoegd:

"3.   Door identiteitsgegevens en reisdocumentgegevens op te slaan in het bij artikel 17, lid 1, van Verordening (EU) 2019/817 van het Europees Parlement en de Raad (*4) ingestelde gemeenschappelijke identiteitsregister (CIR), draagt het Etias bij aan het vergemakkelijken en ondersteunen van de correcte identificatie van personen die in het Etias zijn geregistreerd onder de voorwaarden respectievelijk voor de doelstellingen van artikel 20 van die verordening.

(*4)  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad (PB L 135 van 22 mei 2019, blz. 27).";"

2)

aan artikel 3, lid 1, worden de volgende punten toegevoegd:

"23)   "CIR": het gemeenschappelijke identiteitsregister ingesteld bij artikel 17, lid 1, van Verordening (EU) 2019/817;

24)   "ESP": het Europees onderzoeksportaal ingesteld bij artikel 6, lid 1 van Verordening (EU) 2019/817;

25)   "centraal ETIAS-systeem": het centrale systeem bedoeld in artikel 6, lid 2, onder a bis), samen met het CIR voor zover het CIR de in artikel 6, lid 2 bis, bedoelde gegevens bevat;

26)   "dentiteitsgegevens": de gegevens bedoeld in artikel 17, lid 2, onder a), b) en c);

27)   "reisdocumentgegevens": de gegevens bedoeld in artikel 17, lid 2, onder d) en e), en de drielettercode van het land dat het reisdocument heeft afgegeven als bedoeld in artikel 19, lid 3, onder c).";

3)

aan artikel 4 wordt het volgende punt toegevoegd:

"g)

bijdragen tot de correcte identificatie van personen.";

4)

Artikel 6 wordt als volgt gewijzigd:

a)

lid 2 wordt als volgt gewijzigd:

i)

punt a) wordt vervangen door:

"a)

een centraal systeem, waarin de in artikel 34 bedoelde Etias-observatielijst is opgenomen;";

ii)

het volgende punt wordt ingevoegd:

"a bis)

het CIR;";

iii)

punt d) wordt vervangen door:

"d)

een beveiligde communicatie-infrastructuur tussen het centrale systeem en de centrale infrastructuur van het ESP en het CIR;";

b)

het volgende lid wordt ingevoegd:

"2 bis.   Het CIR bevat de identiteitsgegevens en reisdocumentgegevens. De overige gegevens worden opgeslagen in het centrale systeem.";

5)

Artikel 13 wordt als volgt gewijzigd:

a)

het volgende lid wordt ingevoegd:

"4 bis.   De toegang met het oog op het raadplegen van de in het CIR opgeslagen Etias-identiteitsgegevens en Etias-reisdocumentgegevens is voorbehouden aan de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat en aan de naar behoren gemachtigde personeelsleden van de Unie-agentschappen die bevoegd zijn voor de in de artikelen 20 en 21 van Verordening (EU) 2019/817 vastgestelde doeleinden. Deze toegang is beperkt tot de mate waarin de gegevens nodig zijn voor de uitvoering van hun taken Unie-agentschappen overeenkomstig deze doeleinden en is evenredig met de nagestreefde doelen.";

b)

lid 5 wordt vervangen door:

"5.   Elke lidstaat wijst de in de leden 1, 2, 4 en 4 bis van dit artikel bedoelde bevoegde nationale autoriteiten aan en deelt, overeenkomstig artikel 87, lid 2, aan eu-LISA onverwijld een lijst met deze autoriteiten mee. In deze lijst wordt vermeld voor welk doel de naar behoren gemachtigde personeelsleden van elke autoriteit overeenkomstig de leden 1, 2, 4 en 4 bis van dit artikel toegang hebben tot de in het Etias-informatiesysteem opgenomen gegevens.".

6)

artikel 17, lid 2, wordt als volgt gewijzigd:

a)

punt a) wordt vervangen door:

"a)

achternaam (familienaam), voornaam(-namen), achternaam bij geboorte; geboortedatum, geboorteplaats, geslacht, huidige nationaliteit;";

b)

het volgende punt wordt ingevoegd:

"a bis)

geboorteland, voornaam (-namen) van de ouders van de aanvrager;";

7)

In artikel 19, lid 4, wordt "artikel 17, lid 2, onder a)" vervangen door "artikel 17, lid 2, onder a) en a bis)";

8)

Artikel 20 wordt als volgt gewijzigd:

a)

in lid 2 wordt de eerste alinea vervangen door:

"2.   Het centrale Etias-systeem geeft een zoekopdracht door het ESP te gebruiken om de relevante gegevens bedoeld in artikel 17, lid 2, onder a), a bis), b), c), d), f), g), j), k) en m), en in artikel 17, lid 8, te vergelijken met de gegevens in een notitie, dossier of signalering in een aanvraag die is opgeslagen in het centrale Etias-systeem, het SIS, het EES, VIS, Eurodac, de Europol-gegevens en de Interpol-databanken SLTD en TDAWN.";

b)

in lid 4 wordt "artikel 17, lid 2, onder a), b), c), d), f), g), j), k) en m)," vervangen door "artikel 17, lid 2, onder a), a bis), b), c), d), f), g), j), k) en m)";

c)

in lid 5, wordt "artikel 17, lid 2, onder a), c), f), h) en i)" vervangen door "artikel 17, lid 2, onder a), a bis), c), f), h) en i)";

9)

in artikel 23 wordt lid 1 vervangen door:

"1.   Het centrale Etias-systeem geeft een zoekopdracht door het ESP te gebruiken om de relevante gegevens bedoeld in artikel 17, lid 2, onder a), a bis), b) en d), te vergelijken met de gegevens in het SIS teneinde vast te stellen of ten aanzien van de aanvrager een van de volgende signaleringen is uitgevaardigd:

a)

een signalering van vermiste personen;

b)

een signalering van personen die worden gezocht met het oog op een gerechtelijke procedure;

c)

een signalering van personen met het oog op discrete controles of gerichte controles."

10)

in artikel 52 wordt het volgende lid ingevoegd:

"1 bis.   Ingeval de aangewezen autoriteiten een zoekopdracht aan het CIR hebben gestart overeenkomstig artikel 22 van Verordening (EU) 2019/817, hebben zij voor raadpleging toegang tot de in het centrale Etias-systeem opgeslagen aanvraagdossiers als het ontvangen antwoord als bedoeld in artikel 22, lid 2, van Verordening (EU) 2019/817 uitwijst dat gegevens zijn opgeslagen in de aanvraagdossiers die zijn opgeslagen in het centrale Etias-systeem.";

11)

in artikel 53 wordt het volgende lid ingevoegd:

"1 bis.   Ingeval Europol een zoekopdracht aan het CIR heeft gestart overeenkomstig artikel 22 van Verordening (EU) 2019/817, heeft Europol voor raadpleging toegang tot de in het centrale Etias-systeem opgeslagen aanvraagdossiers als het ontvangen antwoord als bedoeld in artikel 22, lid 2, van Verordening (EU) 2019/817 uitwijst dat gegevens zijn opgeslagen in de aanvraagdossiers die zijn opgeslagen in het centrale Etias-systeem.";

12)

in artikel 65, lid 3, vijfde alinea, wordt "artikel 17, lid 2, onder a), b), d), e) en f)" vervangen door "artikel 17, lid 2, onder a), a bis), b), d), e) en f)";

13)

in artikel 69, lid 1, wordt het volgende punt ingevoegd:

"ca)

waar van toepassing, een verwijzing naar het gebruik van het ESP voor het doorzoeken van het centrale Etias-systeem als bedoeld in artikel 7, lid 2, van Verordening (EU) 2019/817";

14)

in artikel 73, lid 2, worden de woorden "centrale gegevensopslagplaats" vervangen door "centraal register voor rapportage en statistieken als bedoeld in artikel 39 van Verordening (EU) 2019/817 voor zover dit gegevens bevat die overeenkomstig artikel 84 van deze verordening zijn verkregen uit het centrale Etias-systeem";

15)

in artikel 74, lid 1, wordt de eerste alinea vervangen door:

"1.   Na de ingebruikneming van Etias is eu-LISA verantwoordelijk voor het technisch beheer van het centrale Etias-systeem en de NUI's. eu-LISA is ook verantwoordelijk voor de technische testen die nodig zijn voor de totstandkoming en actualisering van de Etias-screeningsregels. eu-LISA zorgt er in samenwerking met de lidstaten voor dat te allen tijde de meest geavanceerde technologie wordt gebruikt, onder voorbehoud van een kosten-batenanalyse. eu-LISA is ook verantwoordelijk voor het technisch beheer van de communicatie-infrastructuur tussen het centrale Etias-systeem en de NUI's, en verzorgt de openbare website, de app voor mobiele apparaten, de e-maildienst, de beveiligdeaccountdienst, het verificatie-instrument voor aanvragers, het instemmingsinstrument voor aanvragers, het beoordelingsinstrument voor de Etias-observatielijst, het toegangsportaal voor vervoerders, de webdienst en de software voor de verwerking van de aanvragen.";

16)

in artikel 84, lid 2, wordt de eerste alinea vervangen door:

"2.   Voor de toepassing van lid 1 van dit artikel slaat eu-LISA de in dat lid bedoelde gegevens op in het centrale register voor rapportage en statistieken als bedoeld in artikel 39 van Verordening (EU) 2019/817. Overeenkomstig artikel 39, lid 1, van die verordening kunnen de in lid 1 van dit artikel bedoelde autoriteiten aan de hand van systeemoverschrijdende statistische gegevens en analytische verslagen op maat gesneden verslagen en statistieken krijgen om de toepassing van de in artikel 33 bedoelde Etias-screeningregels te ondersteunen, veiligheidsrisico's, risico's op het gebied van illegale immigratie en hoge epidemiologische risico's beter te beoordelen, de grenscontroles doeltreffender te maken en de centrale Etias-eenheid en de nationale Etias-eenheden te helpen bij de behandeling van reisautorisatieaanvragen.";

17)

aan artikel 84, lid 4, wordt de volgende alinea toegevoegd:

"De dagelijkse statistieken worden opgeslagen in het centrale register voor rapportage en statistieken als bedoeld in artikel 39 van Verordening (EU) 2019/817.".

Artikel 62

Wijzigingen van Verordening (EU) 2018/1726

Verordening (EU) 2018/1726 wordt als volgt gewijzigd:

1)

Artikel 12 wordt vervangen door:

"Artikel 12

Gegevenskwaliteit

1.   Onverminderd de verantwoordelijkheden van de lidstaten met betrekking tot de gegevens die worden ingevoerd in de systemen waarvoor het Agentschap operationeel verantwoordelijk is, stelt het Agentschap, met nauwe betrokkenheid van zijn adviesgroepen, voor alle systemen waarvoor het operationeel verantwoordelijk is geautomatiseerde controlemechanismen voor gegevenskwaliteit en gemeenschappelijke indicatoren voor gegevenskwaliteit vast, alsook minimumkwaliteitsnormen voor gegevensopslag, overeenkomstig de relevante bepalingen van de rechtsinstrumenten voor die informatiesystemen en artikel 37 van Verordeningen (EU) 2019/817 (*5) en (EU) 2019/818 (*6) van het Europees Parlement en de Raad.

2.   Het Agentschap stelt een centraal register voor verslagen en statistieken vast dat uitsluitend geanonimiseerde gegevens bevat, overeenkomstig artikel 39 van Verordening (EU) 2019/817 en (EU) 2019/818 van het Europees Parlement en de Raad, onder voorbehoud van specifieke bepalingen in de rechtsinstrumenten betreffende de ontwikkeling, de instelling, de werking en het gebruik van de door het Agentschap beheerde grootschalige IT-systemen.

(*5)  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad (PB L 135 van 22 mei 2019, blz. 27)."

(*6)  Verordening (EU) 2019/818 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van politiële en justitiële samenwerking, asiel en migratie en tot wijziging van Verordeningen (EU) 2018/1726, (EU) 2018/1862 en (EU) 2019/816 (PB L 135 van 22 mei 2019, blz. 85)."."

2)

Artikel 19, lid 1, wordt als volgt gewijzigd:

a)

het volgende punt wordt ingevoegd:

"ee bis)

verslagen vast te stellen over de stand van zaken met betrekking tot de ontwikkeling van de interoperabiliteitscomponenten overeenkomstig artikel 78, lid 2, van Verordening (EU) 2019/817 en artikel 74, lid 2, van Verordening (EU) 2019/818.";

b)

punt ff) wordt vervangen door:

"ff)

verslagen vast te stellen over de technische werking van SIS overeenkomstig artikel 60, lid 7, van Verordening (EU) 2018/1861 van het Europees Parlement en de Raad (*7) en artikel 74, lid 8 van Verordening (EU) 2018/1862 van het Europees Parlement en de Raad (*8), de technische werking van het VIS overeenkomstig artikel 50, lid 3, van Verordening (EG) nr. 767/2008 en artikel 17, lid 3, van Besluit 2008/633/JBZ, de technische werking van het EES overeenkomstig artikel 72, lid 4, van Verordening (EU) 2017/2226, de technische werking van het Etias overeenkomstig artikel 92, lid 4, van Verordening (EU) 2018/2140 van het ECRIS-TCN en van de ECRIS-referentie-implementatie krachtens artikel 36, lid 8, van Verordening (EU) 2019/816 van het Europees Parlement en de Raad (*9) en de technische werking van de interoperabiliteitscomponenten overeenkomstig artikel 78, lid 3, van Verordening (EU) 2019/817 en artikel 74, lid 3, van Verordening (EU) 2019/818;

(*7)  Verordening (EU) 2018/1861 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van grenscontroles, tot wijziging van de Overeenkomst ter uitvoering van het Akkoord van Schengen en tot wijziging en intrekking van Verordening (EG) nr. 1987/2006 (PB L 312 van 7.12.2018, blz. 14)."

(*8)  Verordening (EU) 2018/1862 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van politiële en justitiële samenwerking in strafzaken, tot wijziging en intrekking van Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EG) nr. 1986/2006 van het Europees Parlement en de Raad en Besluit 2010/261/EU van de Commissie (PB L 312 van 7.12.2018, blz. 56)."

(*9)  Verordening (EU) 2019/816 van het Europees Parlement en de Raad van 17 april 2019 tot invoering van een gecentraliseerd systeem voor de vaststelling welke lidstaten over informatie beschikken inzake veroordelingen van onderdanen van derde landen en staatlozen (ECRIS-TCN) ter aanvulling en ondersteuning van het Europees Strafregisterinformatiesysteem en tot wijziging van Verordening (EU) nr. 2018/1726 (PB L 135 van 22 mei 2019, blz. 1).";"

c)

punt hh) wordt vervangen door:

"hh)

formeel opmerkingen vast te stellen over de verslagen van de Europese Toezichthouder voor gegevensbescherming betreffende zijn audits op grond van artikel 56, lid 2, van Verordening (EU) 2018/1861, artikel 42, lid 2, van Verordening (EG) nr. 767/2008 en artikel 31, lid 2, van Verordening (EU) nr. 603/2013, artikel 56, lid 2, van Verordening (EU) 2017/2226 en artikel 67 van Verordening (EU) 2018/1240, artikel 29, lid 2, van Verordening (EU) 2019/816 en artikel 52 van Verordeningen (EU) 2019/817 en (EU) 2019/818 en ervoor te zorgen dat aan die audits het passende gevolg wordt gegeven;";

d)

punt mm) wordt vervangen door:

"(mm)

erop toe te zien dat jaarlijks de lijst van bevoegde autoriteiten die gemachtigd zijn tot directe bevraging van de in SIS opgenomen gegevens wordt bekendgemaakt, overeenkomstig artikel 41, lid 8, van Verordening (EU) 2018/1861 en artikel 56, lid 7, van Verordening (EU) 2018/1862, alsmede de lijst van autoriteiten van de nationale systemen van SIS (N.SIS) en Sirene-bureaus overeenkomstig respectievelijk artikel 7, lid 3, van Verordening (EU) 2018/1861 en artikel 7, lid 3, van Verordening (EU) 2018/1862, alsook de lijst van bevoegde autoriteiten overeenkomstig artikel 65, lid 2, van Verordening (EU) 2017/2226, de lijst van bevoegde autoriteiten overeenkomstig artikel 87, lid 2, van Verordening (EU) 2018/1240, de lijst van centrale autoriteiten overeenkomstig artikel 34, lid 2, van Verordening (EU) 2019/816 en de lijst van autoriteiten overeenkomstig artikel 71, lid 1, van Verordening (EU) 2019/817 en artikel 67, lid 1, van Verordening (EU) 2019/818.";

3)

Artikel 22, lid 4, wordt vervangen door:

"4.   Europol en Eurojust kunnen de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake SIS II met betrekking tot de toepassing van Besluit 2007/533/JBZ op de agenda staat.

Het Europees Grens- en kustwachtagentschap kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake SIS met betrekking tot de toepassing van Verordening (EU) 2016/1624 op de agenda staat.

Europol kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake het VIS met betrekking tot de toepassing van Besluit 2008/633/JBZ op de agenda staat of wanneer een vraagstuk inzake Eurodac met betrekking tot de toepassing van Verordening (EU) nr. 603/2013 op de agenda staat.

Europol kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake het EES met betrekking tot de toepassing van Verordening (EU) 2017/2226 op de agenda staat of wanneer een vraagstuk inzake het Etias met betrekking tot Verordening (EU) 2018/1240 op de agenda staat.

Het Europees Grens- en kustwachtagentschap kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake het Etias met betrekking tot de toepassing van Verordening (EU) 2018/1240 op de agenda staat.

Eurojust, Europol en het Europees Openbaar Ministerie kunnen de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake Verordening (EU) 2019/816 op de agenda staat.

Europol, Eurojust en het Europees Grens- en kustwachtagentschap kunnen de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake Verordeningen (EU) 2019/817 en (EU) 2019/818 op de agenda staat.

De raad van bestuur kan andere personen wier mening van belang kan zijn, uitnodigen om als waarnemer de vergaderingen bij te wonen.".

4)

in artikel 24, lid 3, wordt punt p) vervangen door:

"p)

het onverminderd artikel 17 van het Statuut van de ambtenaren vaststellen van vertrouwelijkheidsvoorschriften teneinde te voldoen aan artikel 17 van Verordening (EG) nr. 1987/2006, artikel 17 van Besluit 2007/533/JBZ, artikel 26, lid 9, van Verordening (EG) nr. 767/2008 en artikel 4, lid 4, van Verordening (EU) nr. 603/2013, artikel 37, lid 4, van Verordening (EU) 2017/2226, artikel 74, lid 2, van Verordening (EU) 2018/1240, artikel 11, lid 16, van Verordening (EU) 2019/816 en artikel 55, lid 2, van Verordeningen (EU) 2019/817 en (EU) 2019/818;";

5)

Artikel 27 wordt als volgt gewijzigd:

a)

in lid 1 wordt het volgende punt ingevoegd:

"d bis)

de adviesgroep inzake interoperabiliteit;";

b)

lid 3 wordt vervangen door:

"3.   Europol, Eurojust en het Europees Grens- en kustwachtagentschap kunnen elk een vertegenwoordiger in de adviesgroep-SIS II benoemen.

Europol kan ook een vertegenwoordiger benoemen in de VIS-adviesgroep, de Eurodac-adviesgroep en de adviesgroep-EES-Etias.

Het Europees Grens- en kustwachtagentschap kan ook een vertegenwoordiger in de adviesgroep EES-Etias benoemen.

Eurojust, Europol en het Europees Openbaar Ministerie kunnen ook een vertegenwoordiger in de adviesgroep voor het ECRIS-TCN benoemen.

Europol en Eurojust en het Europees Grens- en kustwachtagentschap kunnen elk een vertegenwoordiger in de adviesgroep inzake interoperabiliteit benoemen.".

Artikel 63

Wijzigingen van Verordening (EU) 2018/1861

Verordening (EU) 2018/1861 wordt als volgt gewijzigd:

1)

in artikel 3 worden de volgende punten toegevoegd:

"22)   "ESP": het Europees zoekportaal ingesteld bij artikel 6, lid 1, van Verordening (EU) 2019/817 van het Europees Parlement en de Raad (*10);

23)   "gezamenlijke BMS": de gezamenlijke dienst voor biometrische matching ingesteld bij artikel 12, lid 1, van Verordening (EU) 2019/817;

24)   "CIR": het gemeenschappelijke identiteitsregister ingesteld bij artikel 17, lid 1, van Verordening (EU) 2019/817;

25)   "MID": de detector van meerdere identiteiten ingesteld bij artikel 25, lid 1, van Verordening (EU) 2019/817.

(*10)  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad (PB L 135 van 22 mei 2019, blz. 27).";"

2)

Artikel 4 wordt als volgt gewijzigd:

a)

in lid 1 worden de punten b) en c) vervangen door:

"b)

een nationaal systeem (N.SIS) in elk van de lidstaten, bestaande uit de nationale datasystemen die in verbinding staan met het centrale SIS, en minstens één nationale of gedeelde N.SIS-back-up,

c)

een communicatie-infrastructuur tussen CS-SIS, CS-SIS-back-up en de NI-SIS ("communicatie-infrastructuur") waarmee een versleuteld virtueel netwerk tot stand wordt gebracht dat specifiek bestemd is voor SIS-gegevens en voor de uitwisseling van gegevens tussen de Sirene-bureaus, als bedoeld in artikel 7, lid 2, en

d)

een beveiligde communicatie-infrastructuur tussen CS-SIS en de centrale infrastructuren van het ESP, de gezamenlijke BMS en de MID.".

b)

de volgende leden worden toegevoegd:

"8.   Onverminderd de leden 1 tot en met 5, kunnen SIS-gegevens tevens worden doorzocht via het ESP.

9.   Onverminderd de leden 1 tot en met 5, kunnen SIS-gegevens tevens worden doorgegeven via de beveiligde communicatie-infrastructuur als bedoeld in lid 1, onder d). Deze doorgifte is beperkt tot de gegevens die vereist zijn voor de doeleinden van Verordening (EU) 2019/817.";

3)

in artikel 7 wordt het volgende lid ingevoegd:

"2 bis.   De Sirene-bureaus zorgen ook voor de manuele verificatie van meerdere identiteiten overeenkomstig artikel 29 van Verordening (EU) 2019/817. Voor zover dit voor de uitvoering van deze taak nodig is, hebben de Sirene-bureaus toegang tot de in het CIR en de MID opgeslagen gegevens voor de in de artikelen 21 en 26 van Verordening (EU) 2019/817 omschreven doeleinden.";

4)

in artikel 12 wordt lid 1 vervangen door:

"1.   De lidstaten zorgen ervoor dat elke toegang tot en uitwisseling van persoonsgegevens in CS-SIS wordt vastgelegd in hun N.SIS met het oog op controle op de rechtmatigheid van de bevraging, monitoring van de rechtmatigheid van de gegevensverwerking, interne monitoring, de goede werking van hun N.SIS en de integriteit en beveiliging van de gegevens. Dit voorschrift is niet van toepassing op de automatische processen bedoeld in artikel 4, lid 6, onder a), b) en c).

De lidstaten zorgen ervoor dat elke toegang tot persoonsgegevens via het ESP wordt vastgelegd in een logbestand met het oog op controle op de rechtmatigheid van de bevraging, monitoring van de rechtmatigheid van de gegevensverwerking, interne monitoring en de integriteit en beveiliging van de gegevens.";

5)

aan artikel 34, lid 1, wordt het volgende punt toegevoegd:

"g)

het verifiëren van meerdere identiteiten en het bestrijden van identiteitsfraude overeenkomstig hoofdstuk V van Verordening (EU) 2019/817.";

6)

in artikel 60 wordt lid 6 vervangen door:

"6.   Voor de toepassing van artikel 15, lid 4, en de leden 3, 4 en 5 van dit artikel slaat eu-LISA in artikel 15, lid 4, en in de in lid 3 van dit artikel bedoelde gegevens aan de hand waarvan geen personen kunnen worden geïdentificeerd, op in het in artikel 39 van Verordening (EU) 2019/817 bedoelde centrale register voor rapportage en statistieken.

eu-LISA geeft de Commissie en de in lid 5 van dit artikel bedoelde organen de mogelijkheid verslagen en statistieken op maat te verkrijgen. Op verzoek verleent eu-LISA de lidstaten, de Commissie, Europol en het Europees Grens- en kustwachtagentschap toegang tot het centrale register voor verslagen en statistieken overeenkomstig artikel 39 van Verordening (EU) 2019/817.".

Artikel 64

Wijzigingen van Beschikking 2004/512/EG

Artikel 1, lid 2, van Beschikking 2004/512/EG wordt vervangen door:

"2.   Het Visuminformatiesysteem wordt gebaseerd op een gecentraliseerde architectuur en bestaat uit:

a)

de centrale infrastructuur van het gemeenschappelijke identiteitsregister bedoeld in artikel 17, lid 2, onder a), van Verordening (UE) 2019/817 van het Europees Parlement en de Raad (*11),

b)

een centraal informatiesysteem, hierna "centraal visuminformatiesysteem" te noemen (CS-VIS),

c)

een interface in elke lidstaat, hierna "nationale interface" te noemen (NI-VIS), die voor de verbinding met de bevoegde centrale nationale autoriteit van de betrokken lidstaat zorgt,

d)

een communicatie-infrastructuur tussen het centrale visuminformatiesysteem en de nationale interfaces,

e)

een beveiligd communicatiekanaal tussen het centrale systeem van het EES en het CS-VIS,

f)

een beveiligde communicatie-infrastructuur tussen het centrale systeem van het VIS en de centrale infrastructuur van het Europees zoekportaal ingesteld bij artikel 6, lid 1, van Verordening (EU) 2019/817 en van het gemeenschappelijke identiteitsregister ingesteld bij artikel 17, lid 1, van Verordening (EU) 2019/817.

Artikel 65

Wijzigingen in Beschikking 2008/633/JBZ

Besluit 2008/633/JBZ wordt als volgt gewijzigd:

1)

in artikel 5 wordt het volgende lid ingevoegd:

"1 bis.   Ingeval de aangewezen autoriteiten een zoekopdracht in het CIR hebben gestart overeenkomstig artikel 22 van Verordening (EU) 2019/817 van het Europees Parlement en de Raad (*12), en als aan de in dit artikel vastgestelde voorwaarden voor toegang is voldaan, hebben zij toegang tot het VIS voor raadpleging als het ontvangen antwoord als bedoeld in artikel 22, lid 2, van die verordening uitwijst dat gegevens zijn opgeslagen in het VIS.

(*12)  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad (PB L 135 van 22 mei 2019, blz. 27).";"

2)

in artikel 7 wordt het volgende lid ingevoegd:

"1 bis.   Ingeval Europol een zoekopdracht in het CIR heeft gestart overeenkomstig artikel 22 van Verordening (EU) 2019/817, en als aan de in dit artikel vastgestelde voorwaarden voor toegang is voldaan, heeft Europol toegang tot het VIS voor raadpleging als het ontvangen antwoord als bedoeld artikel 22, lid2, van die verordening uitwijst dat gegevens zijn opgeslagen in het VIS.".

HOOFDSTUK X

Slotbepalingen

Artikel 66

Verslagen en statistieken

1.   De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke autoriteiten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken, de volgende gegevens inzake het ESP raadplegen:

a)

het aantal zoekopdrachten per ESP-gebruiker;

b)

het aantal zoekopdrachten per Interpol-databank.

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

2.   De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke autoriteiten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken, de volgende gegevens inzake het CIR raadplegen:

a)

het aantal zoekopdrachten als bedoeld in de artikelen 20, 21 en 22;

b)

nationaliteit, geslacht en geboortejaar van de betrokken persoon;

c)

het soort reisdocument en de drielettercode van het land dat het reisdocument heeft afgegeven;

d)

het aantal met en zonder biometrische gegevens uitgevoerde zoekopdrachten.

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

3.   De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke autoriteiten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken, de volgende gegevens inzake de MID raadplegen:

a)

het aantal met en zonder biometrische gegevens uitgevoerde zoekopdrachten;

b)

het aantal en het type links en de Unie-informatiesystemen waartussen de links werden gelegd;

c)

de periode gedurende welke een gele en rode link in het systeem werd gehandhaafd.

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

4.   De naar behoren gemachtigde personeelsleden van het Europees Grens- en kustwachtagentschap hebben toegang om de in de leden 1, 2 en 3 van dit artikel bedoelde gegevens te raadplegen, teneinde risico- en kwetsbaarheidsbeoordelingen zoals bedoeld in de artikelen 11 en 13 van Verordening (EU) 2016/1624 van het Europees Parlement en de Raad (40) te kunnen uitvoeren.

5.   De naar behoren gemachtigde personeelsleden van Europol hebben toegang om de in de leden 2 en 3 van dit artikel bedoelde gegevens te raadplegen, teneinde strategische, thematische en operationele analyses zoals bedoeld in artikel 18, lid 2, onder b) en c), van Verordening (EU) 2016/794 te kunnen uitvoeren.

6.   Voor de toepassing van de leden 1, 2 en 3 slaat eu-LISA de in die leden bedoelde gegevens op in het CRRS. De in het CRRS opgenomen gegevens mogen het niet mogelijk maken om personen te identificeren, maar de gegevens moeten de in de leden 1, 2 en 3 bedoelde autoriteiten in staat te stellen op maat gesneden verslagen en statistieken op te stellen met als doel de grenscontroles doeltreffender te maken, de autoriteiten te helpen bij de verwerking van visumaanvragen en een op feiten gebaseerde beleidsvorming inzake migratie en veiligheid in de Unie te ondersteunen.

7.   Op verzoek stelt de Commissie aan het Bureau van de Europese Unie voor de grondrechten relevante informatie ter beschikking om de gevolgen van deze verordening voor de grondrechten te beoordelen.

Artikel 67

Overgangsperiode voor het gebruik van het Europees zoekportaal

1.   Gedurende een periode van twee jaar vanaf de ingebruikneming van het ESP zijn de verplichtingen als bedoeld in artikel 7, leden 2 en 4, niet van toepassing en is het gebruik van het ESP facultatief.

2.   De Commissie is bevoegd overeenkomstig artikel 73 een gedelegeerde handeling vast te stellen om de in lid 1 van dit artikel bedoelde periode eenmaal met maximaal 1 jaar te verlengen wanneer uit een beoordeling van de tenuitvoerlegging van het ESP blijkt dat een dergelijke verlenging nodig is met name vanwege de gevolgen van de ingebruikname van het ESP voor de organisatie en de duur van grenscontroles.

Artikel 68

Overgangsperiode voor de toepassing van de bepalingen inzake de toegang tot het gemeenschappelijke identiteitsregister met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten

Artikel 22, de punten 8 en 9 van artikel 60, de punten 10 en 11 van artikel 61 en artikel 65 zijn van toepassing vanaf de datum van ingebruikneming van het CIR als bedoeld in artikel 72, lid 3.

Artikel 69

Overgangsperiode voor de detectie van meerdere identiteiten

1.   Gedurende een periode van één jaar nadat eu-LISA de voltooiing van de test van de MID als bedoeld in artikel 72, lid 4, onder b), heeft gemeld en voordat de MID in gebruik wordt genomen, is de centrale Etias-eenheid verantwoordelijk voor het uitvoeren van een detectie van meerdere identiteiten aan de hand van de gegevens die zijn opgeslagen in het EES, VIS, Eurodac en SIS. Voor de detectie van meerdere identiteiten wordt uitsluitend gebruik gemaakt van biometrische gegevens.

2.   Wanneer een zoekopdracht een of meer matches oplevert en de identiteitsgegevens in de gelinkte bestanden identiek of vergelijkbaar zijn, wordt een witte link aangemaakt overeenkomstig artikel 33.

Wanneer een zoekopdracht een of meer matches oplevert en de identiteitsgegevens in de gelinkte bestanden niet als vergelijkbaar kunnen worden beschouwd, wordt een gele link aangemaakt overeenkomstig artikel 30 en is de in artikel 29 bedoelde procedure van toepassing.

In het geval van meerdere matches wordt een link aangemaakt tussen alle gegevenselementen die tot de match hebben geleid.

3.   Wanneer een gele link wordt aangemaakt, verleent de MID de centrale Etias-eenheid toegang tot de identiteitsgegevens in de verschillende Unie-informatiesystemen.

4.   Wanneer een link wordt aangemaakt met een signalering in SIS, anders dan een signalering op grond van artikel 3 van Verordening (EU) 2018/1860, de artikelen 24 en 25 van Verordening (EU) 2018/1861 of artikel 38 van Verordening (EU) 2018/1862, verleent de MID aan het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd, toegang tot de identiteitsgegevens in de verschillende informatiesystemen.

5.   De centrale Etias-eenheid of, in de in lid 4 van dit artikel bedoelde gevallen, het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd, heeft toegang tot de gegevens in het identiteitsbevestigingsbestand, maakt een beoordeling van de verschillende identiteiten, werkt de link bij overeenkomstig de artikelen 31, 32 en 33 en voegt deze toe aan het identiteitsbevestigingsbestand.

6.   De centrale Etias-eenheid stelt de Commissie overeenkomstig artikel 71, lid 3, pas in kennis wanneer alle gele links manueel zijn geverifieerd en hun status in groene, witte of rode links zijn veranderd.

7.   Waar nodig helpen de lidstaten de centrale Etias-eenheid bij het uitvoeren van de detectie van meerdere identiteiten overeenkomstig dit artikel.

8.   De Commissie is bevoegd overeenkomstig artikel 73 een gedelegeerde handeling vast te stellen tot wijziging van deze verordening om de in lid 1 van dit artikel bedoelde periode met zes maanden te verlengen, waarbij tweemaal een verdere verlenging met telkens zes maanden mogelijk is. Een dergelijke verlenging wordt slechts toegestaan wanneer uit een beoordeling van de geraamde tijdspanne voor het voltooien van de detectie van meerdere identiteiten uit hoofde van dit artikel, blijkt dat detectie van meerdere identiteiten niet kan worden voltooid voor het verstrijken van de resterende periode in de zin van lid 1 van dit artikel of een lopende verlenging om redenen buiten de wil van de centrale Etias-eenheid en dat er geen corrigerende maatregelen kunnen worden getroffen. De beoordeling moet uiterlijk drie maanden voor het verstrijken van een dergelijke periode of een lopende verlenging worden verricht.

Artikel 70

Kosten

1.   De kosten in verband met de instelling en de werking van het ESP, de gezamenlijke BMS, het CIR en de MID komen ten laste van de algemene begroting van de Unie.

2.   De kosten in verband met de integratie van de bestaande nationale infrastructuur, de aansluiting van die infrastructuur op de nationale uniforme interfaces en het hosten van de nationale uniforme interfaces komen ten laste van de algemene begroting van de Unie.

De volgende kosten komen niet in aanmerking:

a)

de dienst voor projectbeheer van de lidstaten (vergaderingen, missies, kantoren);

b)

het hosten van nationale IT-systemen (ruimte, implementatie, elektriciteit, koeling);

c)

exploitatie van nationale IT-systemen (exploitanten en contracten voor ondersteuning);

d)

ontwerp, ontwikkeling, implementatie, exploitatie en onderhoud van nationale communicatienetwerken.

3.   Onverminderd verdere financiering voor dit doel uit andere bronnen van de algemene begroting van de Europese Unie komt een bedrag van 32 077 000 EUR uit de 791 000 000 EUR aan middelen als vastgelegd in artikel 5, lid 5, onder b), van Verordening (EU) nr. 515/2014 voor de in de leden 1 en 2 van dit artikel bedoelde kosten voor de uitvoering van deze verordening.

4.   Van de in lid 3 bedoelde middelen wordt 22 861 000 EUR toegewezen aan eu-LISA, 9 072 000 EUR aan Europol en 144 000 EUR aan het Agentschap van de Europese Unie voor opleiding op het gebied van rechtshandhaving (Cepol), ter ondersteuning van deze agentschappen bij de uitvoering van hun respectieve taken overeenkomstig deze verordening. Deze financiering wordt uitgevoerd onder indirect beheer.

5.   De kosten die worden gemaakt door de aangewezen autoriteiten worden respectievelijk gedragen door de aangewezen lidstaten. De kosten voor de aansluiting van de aangewezen autoriteit op het CIR worden door elke lidstaat gedragen.

De door Europol gemaakte kosten, waaronder die welke verband houden met het CIR, worden door Europol gedragen.

Artikel 71

Kennisgevingen

1.   De lidstaten melden aan eu-LISA welke in de artikelen 7, 20, 21 en 26 bedoelde autoriteiten gebruik kunnen maken van of toegang hebben tot het ESP, het CIR en de MID.

Binnen drie maanden na de ingebruikneming van elke interoperabiliteitscomponent overeenkomstig artikel 72 wordt een geconsolideerde lijst van deze autoriteiten bekendgemaakt in het Publicatieblad van de Europese Unie. Wanneer de lijst wordt gewijzigd, maakt eu-LISA eenmaal per jaar een bijgewerkte geconsolideerde versie bekend.

2.   eu-LISA stelt de Commissie in kennis van de succesvolle afsluiting van de testen als bedoeld in artikel 72, lid 1, onder b), lid 2, onder b), lid 3, onder b), lid 4, onder b), lid 5, onder b) en lid 6, onder b).

3.   De centrale Etias-eenheid stelt de Commissie in kennis van de succesvolle afsluiting van de overgangsperiode als bedoeld in artikel 69.

4.   De Commissie stelt de op grond van lid 1 meegedeelde informatie ter beschikking van lidstaten en het publiek door middel van een permanent bijgewerkte openbare website.

Artikel 72

Ingebruikneming

1.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop het ESP in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 8, lid 2, artikel 9, lid 7, en artikel 43, lid 5, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van het ESP, die eu-LISA samen met de lidstatelijke autoriteiten en de Unie-agentschappen die gebruik kunnen maken van het ESP, heeft uitgevoerd, met succes is afgesloten;

c)

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 8, lid 1, bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden.

Het ESP bevraagt de Interpol-databanken pas nadat de technische regelingen het mogelijk maken artikel 9, lid 5, na te leven. Elke onmogelijkheid om artikel 9, lid 5, na te leven, leidt ertoe dat het ESP de Interpol-databanken niet bevraagt, maar de ingebruikneming van het ESP loopt daardoor geen vertraging op.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

2.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop de gezamenlijke BMS in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 13, lid 5, en artikel 43, lid 5, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van de gezamenlijke BMS, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten;

c)

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 13 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden;

d)

eu-LISA heeft verklaard dat de in lid 5, onder b), bedoelde test met succes is afgesloten.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

3.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop het CIR in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 43, lid 5, en artikel 78, lid 10, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van het CIR, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten;

c)

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 18 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden;

d)

eu-LISA heeft verklaard dat de in lid 5, onder b), bedoelde test met succes is afgesloten.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

4.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop de MID in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 28, leden 5 en 7, artikel 32, lid 5, artikel 33, lid 6, artikel 43, lid 5, en artikel 49, lid 6, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van de MID, die eu-LISA samen met de lidstatelijke autoriteiten en de centrale Etias-eenheid heeft uitgevoerd, met succes is afgesloten;

c)

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 34 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden;

d)

de centrale Etias-eenheid heeft de Commissie in kennis gesteld overeenkomstig artikel 71, lid 3;

e)

eu-LISA heeft verklaard dat de in lid 1, onder b), lid 2, onder b), lid 3, onder b) en lid 5, onder b) bedoelde tests met succes zijn afgesloten.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

5.   De Commissie stelt door middel van uitvoeringshandelingen de datum vast vanaf wanneer de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen moeten worden gebruikt, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 37, lid 4, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

6.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop het CRRS in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 39, lid 5, en artikel 43, lid 5, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van het CRRS, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten;

c)

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 39 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

7.   De Commissie stelt het Europees Parlement en de Raad in kennis van de resultaten van de overeenkomstig lid 1, onder b), lid 2, onder b), lid 3, onder b), lid 4, onder b), lid 5, onder b) en lid 6, onder b), uitgevoerde tests.

8.   De lidstaten, de centrale Etias-eenheid en Europol nemen elk van de interoperabiliteitscomponenten in gebruik op de overeenkomstig respectievelijk de leden 1, 2, 3 en 4 door de Commissie bepaalde datum.

Artikel 73

Uitoefening van de bevoegdheidsdelegatie

1.   De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2.   De in artikel 28, lid 5, artikel 39, lid 5, artikel 49, lid 6, artikel 67, lid 2, en artikel 69, lid 8, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van 11 juni 2019. De Commissie stelt uiterlijk negen maanden voor het einde van de termijn van vijf jaar een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.

3.   Het Europees Parlement of de Raad kan de in artikel 28, lid 5, artikel 39, lid 5, artikel 49, lid 6, artikel 67, lid 2, en artikel 69, lid 8, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.   Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5.   Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

6.   Een overeenkomstig artikel 28, lid 5, artikel 39, lid 5, artikel 49, lid 6, artikel 67, lid 2, en artikel 69, lid 8, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

Artikel 74

Comitéprocedure

1.   De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.   Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Indien door het comité geen advies wordt uitgebracht, stelt de Commissie de ontwerpuitvoeringshandeling niet vast en is artikel 5, lid 4, derde alinea, van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 75

Adviesgroep

eu-LISA richt een adviesgroep inzake interoperabiliteit op. Tijdens de fase waarin de interoperabiliteitscomponenten worden ontworpen en ontwikkeld, is artikel 54, leden 4, 5 en 6, van toepassing.

Artikel 76

Opleiding

eu-LISA vervult taken met betrekking tot opleiding over het technische gebruik van de interoperabiliteitscomponenten overeenkomstig Verordening (EU) nr. 2018/1726.

De lidstatelijke autoriteiten en de Unie-agentschappen verstrekken hun personeelsleden die gemachtigd zijn om gegevens met gebruikmaking van de interoperabiliteitscomponenten te verwerken, een passend opleidingsprogramma over gegevensbeveiliging, gegevenskwaliteit en gegevensbescherming, de gegevensverwerkingsprocedures en de informatieverplichtingen uit hoofde van de artikelen 32, lid 4, 33, lid 4, en 47.

Waar passend worden op Unieniveau gemeenschappelijke opleidingscursussen over deze onderwerpen georganiseerd, ter verbetering van de samenwerking en de uitwisseling van beste praktijken tussen de personeelsleden van de lidstatelijke autoriteiten en de Unie-agentschappen die gemachtigd zijn om gegevens met gebruikmaking van de interoperabiliteitscomponenten te verwerken. Bijzondere aandacht wordt geschonken aan het proces voor de detectie van meerdere identiteiten, met inbegrip van de manuele verificatie van meerdere identiteiten en de daarmee verbonden noodzaak om passende waarborgen voor de grondrechten te handhaven.

Artikel 77

Praktische handleiding

De Commissie stelt, in nauwe samenwerking met de lidstaten, eu-LISA en andere betrokken Unie-agentschappen, een praktische handleiding ter beschikking voor de implementatie en het beheer van de interoperabiliteitscomponenten. De praktische handleiding bevat technische en operationele richtsnoeren, aanbevelingen en beste praktijken. De praktische handleiding wordt door de Commissie in de vorm van een aanbeveling goedgekeurd.

Artikel 78

Monitoring en evaluatie

1.   eu-LISA zorgt voor procedures om de ontwikkeling van de interoperabiliteitscomponenten en de aansluiting daarvan op de nationale uniforme interfaces te monitoren in het licht van de doelstellingen op het gebied van planning en kosten, en om de werking van de interoperabiliteitscomponenten te monitoren in het licht van doelstellingen inzake technische resultaten, kosteneffectiviteit, beveiliging en kwaliteit van de dienstverlening.

2.   Uiterlijk op 12 december 2019 en vervolgens om de zes maanden tijdens de fase waarin de interoperabiliteitscomponenten worden ontwikkeld, legt eu-LISA het Europees Parlement en de Raad een verslag voor over de stand van zaken bij de ontwikkeling van de interoperabiliteitscomponenten en de aansluiting daarvan op de nationale uniforme interfaces. Zodra de ontwikkeling is afgerond, wordt bij het Europees Parlement en de Raad een verslag ingediend waarin uitvoerig wordt uiteengezet hoe de doelstellingen, met name op het vlak van planning en kosten, zijn bereikt en waarin eventuele afwijkingen worden gerechtvaardigd.

3.   Vier jaar na de ingebruikneming van elke interoperabiliteitscomponent overeenkomstig artikel 72 en vervolgens om de vier jaar legt eu-LISA aan het Europees Parlement, de Raad en de Commissie een verslag voor over de technische werking en de beveiliging van de interoperabiliteitscomponenten.

4.   Eén jaar na elk verslag van eu-LISA stelt de Commissie een algemene evaluatie van de interoperabiliteitscomponenten op, met inbegrip van:

a)

een beoordeling van de toepassing van deze verordening;

b)

een toetsing van de bereikte resultaten aan de doelstellingen van deze verordening, en een beoordeling van de gevolgen ervan voor de grondrechten, waaronder met name een beoordeling van de gevolgen van de interoperabiliteitscomponenten voor het recht op non-discriminatie;

c)

een beoordeling van de werking van het webportaal, met inbegrip van cijfers over het gebruik van het webportaal en het aantal afgehandelde verzoeken;

d)

een beoordeling van de onverminderde geldigheid van de uitgangspunten voor de interoperabiliteitscomponenten;

e)

een beoordeling van de beveiliging van de interoperabiliteitscomponenten;

f)

een beoordeling van het gebruik van het CIR voor identificatiedoeleinden;

g)

een beoordeling van het gebruik van het CIR met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten;

h)

een beoordeling van alle mogelijke gevolgen, met inbegrip van disproportionele gevolgen voor de verkeersstroom aan grensdoorlaatposten en gevolgen voor de algemene begroting van de Unie;

i)

een beoordeling van het bevragen van de Interpol-databanken via het ESP, met inbegrip van informatie over het aantal matches dat de Interpol-databanken hebben opgeleverd en informatie over eventueel geconstateerde problemen.

In de algemene evaluatie overeenkomstig de eerste alinea van het eerste lid worden zo nodig aanbevelingen opgenomen. De Commissie legt de evaluatie voor aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten.

5.   Uiterlijk op 12 juni 2020 en vervolgens elk jaar totdat de in artikel 72 bedoelde uitvoeringshandelingen van de Commissie zijn vastgesteld, dient de Commissie bij het Europees Parlement en de Raad een verslag in over de stand van de voorbereidingen voor de volledige tenuitvoerlegging van deze verordening. Dat verslag bevat ook gedetailleerde informatie over de gemaakte kosten en over eventuele risico's die van invloed kunnen zijn op de totale kosten.

6.   Twee jaar na de ingebruikneming van de MID overeenkomstig artikel 72, lid 4, beoordeelt de Commissie de gevolgen van de MID voor het recht op non-discriminatie. Na dit eerste verslag maakt de beoordeling van de gevolgen van de MID voor het recht op non-discriminatie deel uit van de in lid 4, onder b), van dit artikel bedoelde beoordeling.

7.   De lidstaten en Europol verstrekken eu-LISA en de Commissie de informatie die nodig is om de in de leden 3 tot en met 6 bedoelde verslagen op te stellen. Deze informatie brengt de werkmethoden niet in gevaar en bevat geen informatie waardoor bronnen, namen van personeelsleden of onderzoeken van de aangewezen autoriteiten worden onthuld.

8.   eu-LISA verstrekt de Commissie de informatie die nodig is om de in lid 4 bedoelde algemene evaluaties op te stellen.

9.   Elke lidstaat en Europol stellen met inachtneming van de nationaalrechtelijke bepalingen inzake de bekendmaking van gevoelige informatie en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat geen enkel nationaal onderzoek in gevaar wordt gebracht, jaarlijkse verslagen op over de doeltreffendheid van de toegang tot in het CIR opgeslagen gegevens met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten, en nemen daarin informatie en statistieken op over:

a)

de exacte doelen van de raadpleging, met inbegrip van de soorten terroristische misdrijven of andere ernstige strafbare feiten;

b)

de gegronde redenen voor een gegrond vermoeden dat een verdachte, overtreder of slachtoffer onder Verordening (EU) 2017/2226, Verordening (EG) nr. 767/2008 of Verordening (EU) 2018/1240 valt;

c)

het aantal verzoeken om toegang tot het CIR met het oog het voorkomen, opsporen of onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten;

d)

het aantal en de soorten gevallen die hebben geleid tot succesvolle identificaties;

e)

de noodzaak en het gebruik van de uitzonderingen voor dringende gevallen, met inbegrip van de gevallen waarin dat dringend karakter niet werd aanvaard bij de verificatie achteraf door het centrale toegangspunt.

De door de lidstaten en Europol opgestelde jaarlijkse verslagen worden aan de Commissie toegezonden vóór 30 juni van het daaropvolgende jaar.

10.   Een technische oplossing wordt aan de lidstaten beschikbaar gesteld om de in artikel 22 bedoelde verzoeken om gebruikerstoegang te beheren en het gemakkelijker te maken de in de leden 7 en 9 van dit artikel bedoelde gegevens te verzamelen met het oog op het genereren van de in die leden bedoelde verslagen en statistieken. De Commissie stelt uitvoeringshandelingen vast betreffende de specificaties van de technische oplossing. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 79

Inwerkingtreding en toepasselijkheid

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

De bepalingen van deze verordening met betrekking tot het ESP zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 1, bepaalde datum.

De bepalingen van deze verordening met betrekking tot de gezamenlijke BMS zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 2, bepaalde datum.

De bepalingen van deze verordening met betrekking tot het CIR zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 3, bepaalde datum.

De bepalingen van deze verordening met betrekking tot de MID zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 4, bepaalde datum.

De bepalingen van deze verordening met betrekking tot de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 5, bepaalde datum

De bepalingen van deze verordening met betrekking tot het CRRS zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 6, bepaalde datum.

De artikelen 6, 12, 17, 25, 38, 42, 54, 56, 57, 70, 71, 73, 74, 75, 77 en 78, lid 1, zijn van toepassing vanaf 11 juni 2019.

Deze verordening is met betrekking tot Eurodac van toepassing vanaf de datum waarop de herschikking van Verordening (EU) nr. 603/2013 van toepassing wordt.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat overeenkomstig de Verdragen.

Gedaan te Brussel, 20 mei 2019.

Voor het Europees Parlement

De voorzitter

A. TAJANI

Voor de Raad

De voorzitter

G. CIAMBA


(1)  PB C 283 van 10.8.2018, blz. 48.

(2)  Standpunt van het Europees Parlement van 16 april 2019 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 14 mei 2019.

(3)  PB C 101 van 16.3.2018, blz. 116.

(4)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(5)  Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens, en intrekking van het Kaderbesluit van de Raad 2008/977/JBZ (PB L 119 van 4.5.2016, blz. 89).

(6)  Gemeenschappelijk Standpunt 2005/69/JBZ van de Raad van 24 januari 2005 over de uitwisseling van bepaalde gegevens met Interpol (PB L 27 van 29.1.2005, blz. 61).

(7)  Besluit 2007/533/JBZ van de Raad van 12 juni 2007 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem van de tweede generatie (SIS II) (PB L 205 van 7.8.2007, blz. 63).

(8)  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(9)  Verordening (EU) 2016/399 van het Europees Parlement en de Raad van 9 maart 2016 betreffende een Uniecode voor de overschrijding van de grenzen door personen (Schengengrenscode) (PB L 77 van 23.3.2016, blz. 1).

(10)  Verordening (EU) 2018/1860 van het Europees Parlement en de Raad van 28 november 2018 betreffende het gebruik van het Schengeninformatiesysteem voor de terugkeer van illegaal verblijvende onderdanen van derde landen (PB L 312 van 7.12.2018, blz. 1).

(11)  Verordening (EU) 2018/1861 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van grenscontroles, tot wijziging van de Overeenkomst ter uitvoering van het Akkoord van Schengen en tot wijziging en intrekking van Verordening (EG) nr. 1987/2006 (PB L 312 van 7.12.2018, blz. 14).

(12)  Verordening (EU) 2018/1862 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van politiële en justitiële samenwerking in strafzaken, tot wijziging en intrekking van Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EG) nr. 1986/2006 van het Europees Parlement en de Raad en Besluit 2010/261/EU van de Commissie (PB L 312 van 7.12.2018, blz. 56).

(13)  Verordening (EU) 2017/2226 van het Europees Parlement en de Raad van 30 november 2017 tot instelling van een inreis-uitreissysteem (EES) voor de registratie van inreis- en uitreisgegevens en van gegevens over weigering van toegang ten aanzien van onderdanen van derde landen die de buitengrenzen overschrijden en tot vaststelling van de voorwaarden voor toegang tot het EES voor rechtshandhavingsdoeleinden en tot wijziging van de overeenkomst ter uitvoering van het te Schengen gesloten akkoord en Verordeningen (EG) nr. 767/2008 en (EU) nr. 1077/2011 (PB L 327 van 9.12.2017, blz. 20).

(14)  Verordening (EG) nr. 767/2008 van het Europees Parlement en de Raad van 9 juli 2008 betreffende het Visuminformatiesysteem (VIS) en de uitwisseling tussen de lidstaten van gegevens op het gebied van visa voor kort verblijf (VIS-verordening) (PB L 218 van 13.8.2008, blz. 60).

(15)  Verordening (EU) 2018/1240 van het Europees Parlement en de Raad van 12 september 2018 tot oprichting van een Europees reisinformatie- en -autorisatiesysteem (Etias) en tot wijziging van de Verordeningen (EU) nr. 1077/2011, (EU) nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 en (EU) 2017/2226 (PB L 236 van 19.9.2018, blz. 1).

(16)  Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en tot vervanging en intrekking van de Besluiten 2009/371/JBZ, 2009/934/JBZ, 2009/935/JBZ, 2009/936/JBZ en 2009/968/JBZ van de Raad (PB L 135 van 24.5.2016, blz. 53).

(17)  Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

(18)  PB C 233 van 4.7.2018, blz. 12.

(19)  Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad van 18 juli 2018 tot vaststelling van de financiële regels van toepassing op de algemene begroting van de Unie, tot wijziging van Verordeningen (EU) nr. 1296/2013, (EU) nr. 1301/2013, (EU) nr. 1303/2013, (EU) nr. 1304/2013, (EU) nr. 1309/2013, (EU) nr. 1316/2013, (EU) nr. 223/2014, (EU) nr. 283/2014 en Besluit nr. 541/2014/EU en tot intrekking van Verordening (EU, Euratom) nr. 966/2012 (PB L 193 van 30.7.2018, blz. 1).

(20)  Verordening (EU) nr. 515/2014 van het Europees Parlement en de Raad van 16 april 2014 tot vaststelling, als onderdeel van het Fonds voor interne veiligheid, van het instrument voor financiële steun voor de buitengrenzen en visa en tot intrekking van Beschikking nr. 574/2007/EG (PB L 150 van 20.5.2014, blz. 143).

(21)  PB L 123 van 12.5.2016, blz. 1.

(22)  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(23)  Richtlijn 2004/38/EG van het Europees Parlement en de Raad van 29 april 2004 betreffende het recht van vrij verkeer en verblijf op het grondgebied van de lidstaten voor de burgers van de Unie en hun familieleden, tot wijziging van Verordening (EEG) nr. 1612/68 en tot intrekking van de Richtlijnen 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG en 93/96/EEG (PB L 158 van 30.4.2004, blz. 77).

(24)  Besluit 2000/365/EG van de Raad van 29 mei 2000 betreffende het verzoek van het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland deel te mogen nemen aan enkele van de bepalingen van het Schengenacquis (PB L 131 van 1.6.2000, blz. 43).

(25)  Besluit 2002/192/EG van de Raad van 28 februari 2002 betreffende het verzoek van Ierland deel te mogen nemen aan bepalingen van het Schengenacquis (PB L 64 van 7.3.2002, blz. 20).

(26)  PB L 176 van 10.7.1999, blz. 36.

(27)  Besluit 1999/437/EG van de Raad van 17 mei 1999 inzake bepaalde toepassingsbepalingen van de door de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen gesloten overeenkomst inzake de wijze waarop deze twee staten worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengen-acquis (PB L 176 van 10.7.1999, blz. 31).

(28)  PB L 53 van 27.2.2008, blz. 52.

(29)  Besluit 2008/146/EG van de Raad van 28 januari 2008 betreffende de sluiting namens de Europese Gemeenschap van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (PB L 53 van 27.2.2008, blz. 1).

(30)  PB L 160 van 18.6.2011, blz. 21.

(31)  Besluit 2011/350/EU van de Raad van 7 maart 2011 betreffende de sluiting namens de Europese Unie van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis betreffende de afschaffing van controles aan de binnengrenzen en het verkeer van personen (PB L 160 van 18.6.2011, blz. 19).

(32)  Beschikking 2004/512/EG van de Raad van 8 juni 2004 betreffende het opzetten van het Visuminformatiesysteem (VIS) (PB L 213 van 15.6.2004, blz. 5).

(33)  Besluit 2008/633/JBZ van de Raad van 23 juni 2008 over de toegang tot het Visuminformatiesysteem (VIS) voor raadpleging door aangewezen lidstatelijke autoriteiten en door Europol, met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten (PB L 218 van 13.8.2008, blz. 129).

(34)  Verordening (EU) 2019/818 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van politiële en justitiële samenwerking, asiel en migratie en tot wijziging van Verordeningen (EU) 2018/1726, (EU) 2018/1862 en (EU) 2019/816 (zie bladzijde 85 van dit Publicatieblad).

(35)  Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad van 15 maart 2017 inzake terrorismebestrijding en ter vervanging van Kaderbesluit 2002/475/JBZ van de Raad en tot wijziging van Besluit 2005/671/JBZ van de Raad (PB L 88 van 31.3.2017, blz. 6).

(36)  Kaderbesluit 2002/584/JBZ van de Raad van 13 juni 2002 betreffende het Europees aanhoudingsbevel en de procedures van overlevering tussen de lidstaten (PB L 190 van 18.7.2002, blz. 1).

(37)  Verordening (EU) nr. 603/2013 van het Europees Parlement en van de Raad van 26 juni 2013 betreffende de instelling van "Eurodac" voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van Verordening (EU) nr. 604/2013 tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een verzoek om internationale bescherming dat door een onderdaan van een derde land of een staatloze bij een van de lidstaten wordt ingediend en betreffende verzoeken van rechtshandhavingsinstanties van de lidstaten en Europol om vergelijkingen van Eurodac-gegevens ten behoeve van rechtshandhaving, en tot wijziging van Verordening (EU) nr. 1077/2011 tot oprichting van een Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (PB L 180 van 29.6.2013, blz. 1).

(38)  Verordening (EU) 2019/816 van het Europees Parlement en de Raad van 17 april 2019 tot invoering van een gecentraliseerd systeem voor de vaststelling welke lidstaten over informatie beschikken inzake veroordelingen van onderdanen van derde landen en staatlozen (ECRIS-TCN) ter aanvulling en ondersteuning van het Europees Strafregisterinformatiesysteem en tot wijziging van Verordening (EU) nr. 2018/1726 (zie bladzijde 1 van dit Publicatieblad).

(39)  Verordening (EG) nr. 168/2007 van de Raad van 15 februari 2007 tot oprichting van een Bureau van de Europese Unie voor de grondrechten (PB L 53 van 22.2.2007, blz. 1).

(40)  Verordening (EU) 2016/1624 van het Europees Parlement en de Raad van 14 september 2016 betreffende de Europese grens- en kustwacht, tot wijziging van Verordening (EU) 2016/399 van het Europees Parlement en de Raad en tot intrekking van Verordening (EG) nr. 863/2007 van het Europees Parlement en de Raad, Verordening (EG) nr. 2007/2004 van de Raad en Besluit 2005/267/EG van de Raad (PB L 251 van 16.9.2016, blz. 1).