RICHTLIJN 1999/93/EG VAN HET EUROPEES PARLEMENT EN DE RAAD

van 13 december 1999

betreffende een gemeenschappelijk kader voor elektronische handtekeningen

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, met name op artikel 47, lid 2, artikel 55 en artikel 95,

Gezien het voorstel van de Commissie(1),

Gezien het advies van het Economisch en Sociaal Comité(2),

Gezien het advies van het Comité van de Regio's(3),

Volgens de procedure van artikel 251 van het Verdrag(4);

Overwegende hetgeen volgt:

(1) De Commissie heeft op 16 april 1997 bij het Europees Parlement, de Raad, het Economisch en Sociaal Comité en het Comité van de Regio's een mededeling ingediend over een Europees initiatief inzake elektronische handel.

(2) De Commissie heeft op 8 oktober 1997 bij het Europees Parlement, de Raad, het Economisch en Sociaal Comité en het Comité van de Regio's een mededeling ingediend "Zorgen voor veiligheid en vertrouwen in elektronische communicatie - Naar een Europees kader voor digitale handtekeningen en encryptie".

(3) De Raad heeft op 1 december 1997 de Commissie opgeroepen zo spoedig mogelijk een voorstel in te dienen voor een richtlijn van het Europees Parlement en de Raad betreffende digitale handtekeningen.

(4) Voor elektronische communicatie en handel zijn "elektronische handtekeningen" en daarmee verwante diensten die authentificatie mogelijk maken, vereist; uiteenlopende regels voor de wettelijke erkenning van elektronische handtekeningen en voor de accreditatie van certificatiedienstverleners kunnen in de lidstaten grote belemmeringen opwerpen voor het gebruik van elektronische communicatie en voor de elektronische handel; duidelijke gemeenschappelijke randvoorwaarden voor elektronische handtekeningen zullen anderzijds het vertrouwen in en de algemene aanvaarding van de nieuwe technologieën bevorderen; wetgeving in de lidstaten mag het vrije verkeer van goederen en diensten binnen de interne markt niet belemmeren.

(5) De interoperabiliteit van producten voor elektronische handtekeningen moet worden bevorderd; in overeenstemming met artikel 14 van het Verdrag is de interne markt een gebied zonder binnengrenzen waarin het vrije verkeer van goederen moet worden gewaarborgd; er moet worden voldaan aan essentiële eisen die specifiek zijn voor producten voor elektronische handtekeningen, zodat het vrije verkeer in de interne markt wordt gewaarborgd en het vertrouwen in elektronische handtekeningen kan worden opgebouwd, onverminderd Verordening (EEG) nr. 3381/94 van de Raad van 19 december 1994 tot instelling van een communautaire regeling voor exportcontrole op goederen voor tweeërlei gebruik(5) en Besluit 94/942/GBVB van de Raad van 19 december 1994 betreffende het gemeenschappelijke optreden door de Raad vastgesteld ten aanzien van de controle op de uitvoer uit de Gemeenschap van goederen voor tweeërlei gebruik(6).

(6) Deze richtlijn ziet niet op de harmonisatie van het leveren van diensten met betrekking tot de vertrouwelijkheid van gegevens, wanneer die diensten onder nationale regelgeving inzake de openbare orde of openbare veiligheid vallen.

(7) De interne markt verzekert ook het vrije verkeer van personen, waardoor burgers en ingezetenen van de Europese Unie steeds meer moeten omgaan met de autoriteiten van andere lidstaten dan die waar zij verblijven; de beschikbaarheid van elektronische communicatie kan in dit verband grote diensten bewijzen.

(8) De snelle technologische ontwikkelingen en de wereldwijde omvang van het Internet vereisen een aanpak die openstaat voor de verschillende technologieën en diensten die elektronische authentificatie mogelijk maken.

(9) Elektronische handtekeningen zullen in zeer uiteenlopende omstandigheden en toepassingen worden gebruikt, hetgeen zal resulteren in een breed scala van nieuwe producten en diensten die verband houden met elektronische handtekeningen; de definitie van dergelijke producten en diensten mag niet beperkt blijven tot afgifte en beheer van certificaten, maar moet ook alle andere producten en diensten omvatten die gebruikmaken van of een hulpmiddel zijn voor elektronische handtekeningen, zoals registratiediensten, tijdstempeldiensten, directorydiensten, computerdiensten of adviesverlening inzake elektronische handtekeningen.

(10) De interne markt maakt het certificatiedienstverleners mogelijk grensoverschrijdende activiteiten te ontwikkelen om hun concurrentiepositie te verbeteren, en aldus consumenten en bedrijven nieuwe mogelijkheden te bieden inzake veilige elektronische informatie-uitwisseling en handel, over de grenzen heen; teneinde in de hele Gemeenschap het leveren, via open netwerken, van certificatiediensten te bevorderen, moeten de certificatiedienstverleners hun diensten vrij zonder voorafgaande machtiging kunnen aanbieden; onder voorafgaande machtiging wordt niet alleen elke vergunning verstaan waarvoor de certificatiedienstverlener een besluit van de nationale autoriteiten moet verkrijgen voordat hij zijn certificatiediensten mag verlenen, maar ook alle andere maatregelen met hetzelfde effect.

(11) Vrijwillige-accreditatieregelingen, die beogen de dienstverlening te verbeteren, kunnen certificatiedienstverleners een passend kader bieden om hun diensten verder te ontwikkelen en het door de markt verlangde niveau van vertrouwen, veiligheid en kwaliteit te bereiken; dergelijke regelingen dienen de ontwikkeling te bevorderen van beste praktijken van certificatiedienstverleners; het moet certificatiedienstverleners vrij staan zich te laten accrediteren en van dergelijke accreditatieregelingen gebruik te maken.

(12) Certificatiediensten kunnen worden aangeboden door hetzij een dienst, hetzij een natuurlijke of rechtspersoon zodra die overeenkomstig de nationale wetgeving gevestigd is; de lidstaten mogen de certificatiedienstverleners niet verbieden buiten dergelijke accreditatieregelingen te werken; er moet voor worden gezorgd dat accreditatieregelingen de concurrentie voor certificatiediensten niet beperken.

(13) De lidstaten kunnen bepalen hoe zij het toezicht op de naleving van deze richtlijn zullen waarborgen; deze richtlijn sluit niet uit dat vanuit de particuliere sector toezichtsystemen worden opgezet; deze richtlijn verplicht de certificatiedienstverleners er niet toe om toezicht in het kader van een geldende accreditatieregeling te verzoeken.

(14) Het is van belang een evenwicht te vinden tussen de behoeften van de consumenten en die van het bedrijfsleven.

(15) Bijlage III heeft betrekking op eisen voor veilige middelen voor het aanmaken van handtekeningen die moeten instaan voor de functionaliteit van geavanceerde elektronische handtekeningen; bijlage III bestrijkt niet de hele systeemomgeving waarbinnen dergelijke middelen functioneren; de werking van de interne markt vereist dat de Commissie en de lidstaten snel de aanwijzing mogelijk maken van de instanties die belast worden met de overeenstemmingsbeoordeling van veilige middelen voor het aanmaken van handtekeningen met bijlage III; de overeenstemming moet met gepaste spoed en doeltreffend worden beoordeeld teneinde te voldoen aan de behoeften van de markt.

(16) Deze richtlijn draagt bij tot het gebruik en de wettelijke erkenning van elektronische handtekeningen in de Gemeenschap; er bestaat geen behoefte aan een regelgevend kader voor elektronische handtekeningen die uitsluitend worden gebruikt in systemen die berusten op vrijwillige privaatrechtelijke overeenkomsten tussen een vastgesteld aantal deelnemers; de vrijheid van partijen om onderling voorwaarden overeen te komen voor het aanvaarden van elektronisch ondertekende gegevens moet worden geëerbiedigd in de mate die door het nationale recht wordt toegestaan; de rechtsgeldigheid en de toelaatbaarheid als bewijsmiddel in gerechtelijke procedures van in dergelijke systemen gebruikte elektronische handtekeningen mogen niet worden miskend.

(17) Deze richtlijn is niet gericht op de harmonisatie van nationale regels met betrekking tot het contractenrecht, en in het bijzonder betreffende het aangaan en uitvoeren van contracten, of andere niet-contractuele formaliteiten waarvoor handtekeningen vereist zijn; derhalve mogen de bepalingen betreffende de rechtsgevolgen van elektronische handtekeningen geen afbreuk doen aan de nationale wettelijke vormvereisten met betrekking tot het sluiten van contracten of de regels die bepalen waar een contract gesloten wordt.

(18) Het opslaan of kopiëren van gegevens voor het aanmaken van handtekeningen zou een ernstige bedreiging voor de rechtsgeldigheid van elektronische handtekeningen kunnen vormen.

(19) Elektronische handtekeningen zullen door de openbare sector worden gebruikt in de ambtelijke diensten van de lidstaten en van de Gemeenschap, alsmede bij de communicatie tussen deze diensten en met de burgers en met de economische actoren, bijvoorbeeld in het kader van overheidsopdrachten, belastingen, sociale zekerheid, gezondheid en justitie.

(20) Geharmoniseerde criteria in verband met de rechtsgevolgen van elektronische handtekeningen zullen een samenhangend wettelijk kader in de gehele Gemeenschap garanderen; de nationale wetgeving bevat verschillende voorschriften inzake de rechtsgeldigheid van handgeschreven handtekeningen; certificaten kunnen worden gebruikt om de dienst te bevestigen van een persoon die elektronisch ondertekent; geavanceerde elektronische handtekeningen die zijn gebaseerd op gekwalificeerde certificaten zijn bedoeld om de veiligheid te vergroten; geavanceerde elektronische handtekeningendie zijn gebaseerd op een gekwalificeerd certificaat en die zijn aangemaakt met een veilig middel voor het aanmaken van handtekeningen kunnen alleen als juridisch gelijkwaardig met handgeschreven handtekeningen worden beschouwd indien aan deze voorschriften voor handgeschreven handtekeningen is voldaan.

(21) Teneinde bij te dragen tot de algemene aanvaarding van elektronische authentificatiemethodes, moet ervoor worden gezorgd dat elektronische handtekeningen in alle lidstaten in rechtszaken als bewijsmiddel kunnen worden gebruikt; de wettelijke erkenning van elektronische handtekeningen moet worden gebaseerd op objectieve criteria en mag niet worden gekoppeld aan de machtiging van de betrokken dienstverlener; de nationale wetgeving bepaalt in welke rechtsgebieden elektronische documenten en elektronische handtekeningen kunnen worden gebruikt; deze richtlijn doet geen afbreuk aan de mogelijkheid voor een nationale rechtbank om uitspraak te doen over de overeenstemming met de eisen van de richtlijn en zij laat de nationale regels in verband met de vrije beoordeling van bewijsmiddelen door de rechter onverlet.

(22) Certificatiedienstverleners die aan het publiek certificatiediensten aanbieden, zijn onderworpen aan de nationale aansprakelijkheidsregels.

(23) Voor de ontwikkeling van de internationale handel zijn grensoverschrijdende afspraken met derde landen vereist; om de interoperabiliteit op mondiaal niveau te waarborgen kunnen overeenkomsten over multilaterale voorschriften met derde landen terzake van de wederzijdse erkenning van certificatiediensten nuttig zijn.

(24) Teneinde het vertrouwen van de gebruiker in elektronische communicatie en elektronische handel te bevorderen, moeten de certificatiedienstverleners de wetgeving inzake gegevensbescherming en bescherming van de persoonlijke levenssfeer naleven.

(25) De bepaling inzake het gebruik van pseudoniemen in certificaten belet de lidstaten niet op grond van de communautaire of de nationale wetgeving de identificatie van personen te eisen.

(26) De voor de uitvoering van de onderhavige richtlijn vereiste maatregelen moeten worden vastgesteld volgens Besluit 1999/468/EG van de Raad van 28 juni 1999 tot vaststelling van de voorwaarden voor de uitoefening van de aan de Commissie verleende uitvoeringsbevoegdheden(7).

(27) De Commissie zal twee jaar na de uitvoering van deze richtlijn een evaluatie daarvan uitvoeren, onder andere om te waarborgen dat de vooruitgang van de techniek of wijzigingen in het juridische kader geen belemmeringen voor de verwezenlijking van de in deze richtlijn vervatte doelstellingen hebben opgeworpen; zij moet de implicaties van verwante technische sectoren onderzoeken en daarover een verslag aan het Parlement en de Raad voorleggen.

(28) In overeenstemming met de beginselen van subsidiariteit en evenredigheid zoals bedoeld in artikel 5 van het Verdrag, kan de doelstelling een geharmoniseerd juridisch kader te creëren voor elektronische handtekeningen en daarmee verband houdende diensten niet in voldoende mate door de lidstaten worden verwezenlijkt en derhalve beter door de Gemeenschap worden verwezenlijkt; deze richtlijn gaat niet verder dan wat nodig is om deze doelstelling te verwezenlijken,

HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:

Artikel 1

Toepassingsgebied

Deze richtlijn heeft tot doel het gebruik van elektronische handtekeningen te vergemakkelijken en tot de wettelijke erkenning ervan bij te dragen. Zij brengt een juridisch kader tot stand voor elektronische handtekeningen en voor bepaalde certificatiediensten, teneinde de goede werking vals de interne markt te garanderen.

Deze richtlijn heeft geen betrekking op aspecten die verband houden met de totstandkoming of geldigheid van contracten of andere wettelijke verbintenissen waarvoor het nationale of het Gemeenschapsrecht vormvereisten voorschrijven en laat de regels en beperkingen onverlet die het nationale of het Gemeenschapsrecht voorschrijven voor het gebruik van documenten.

Artikel 2

Definities

Voor de toepassing van deze richtlijn wordt verstaan onder:

1. "elektronische handtekening": elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authentificatie;

2. "geavanceerde elektronische handtekening": een elektronische handtekening die voldoet aan de volgende eisen:

a) zij is op unieke wijze aan de ondertekenaar verbonden;

b) zij maakt het mogelijk de ondertekenaar te identificeren;

c) zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; en

d) zij is op zodanige wijze aan de gegevens waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord;

3. "ondertekenaar": een persoon die de beschikking heeft over een middel voor het aanmaken van handtekeningen en handelt hetzij uit eigen naam hetzij uit naam van de dienst of de natuurlijke of rechtspersoon die hij vertegenwoordigt;

4. "gegevens voor het aanmaken van handtekeningen": unieke gegevens, zoals codes of cryptografische privé-sleutels, die door de ondertekenaar worden gebruikt om een elektronische handtekening aan te maken;

5. "middel voor het aanmaken van handtekeningen": geconfigureerde software of hardware die wordt gebruikt om de gegevens voor het aanmaken van handtekeningen te implementeren;

6. "veilig middel voor het aanmaken van handtekeningen": een middel voor het aanmaken van handtekeningen dat voldoet aan de eisen van bijlage III;

7. "gegevens voor het verifiëren van een handtekening": gegevens, zoals codes of cryptografische openbare sleutels, die worden gebruikt voor het verifiëren van een elektronische handtekening;

8. "middel voor het verifiëren van een handtekening": geconfigureerde software of hardware die wordt gebruikt om de gegevens voor het verifiëren van een handtekening te implementeren;

9. "certificaat": een elektronische bevestiging die gegevens voor het verifiëren van een handtekening aan een bepaalde persoon verbindt en de identiteit van die persoon bevestigt;

10. "gekwalificeerd certificaat": een certificaat dat voldoet aan de eisen van bijlage I en is afgegeven door een certificatiedienstverlener die voldoet aan de eisen van bijlage II;

11. "certificatiedienstverlener": een dienst of een natuurlijke of rechtspersoon die certificaten afgeeft of andere diensten in verband met elektronische handtekeningen verleent;

12. "product voor elektronische handtekeningen": software of hardware, of relevante componenten daarvan, die door certificatiedienstverleners kunnen worden gebruikt om diensten op het gebied van elektronische handtekeningen te verlenen of die voor het aanmaken of verifiëren van elektronische handtekeningen kunnen worden gebruikt;

13. "vrijwillige accreditatie": een vergunning waarin de rechten en verplichtingen betreffende de verlening van certificatiediensten zijn vermeld en die op verzoek van de betrokken certificatiedienstverlener wordt afgegeven door de openbare of particuliere instantie die belast is met de vastlegging en de handhaving van die rechten en verplichtingen, wanneer de certificatiedienstverlener de uit de vergunning voortvloeiende rechten niet kan uitoefenen zolang hij het besluit van die instantie niet heeft ontvangen.

Artikel 3

Markttoegang

1. De lidstaten stellen het verlenen van certificatiediensten niet afhankelijk van voorafgaande machtiging.

2. Onverminderd het bepaalde in lid 1, mogen de lidstaten vrijwillige-accreditatieregelingen invoeren of handhaven die op verbetering van de certificatiediensten zijn gericht. Alle voorwaarden betreffende dergelijke regelingen moeten objectief, transparant, evenredig en niet-discriminerend zijn. De lidstaten mogen het aantal geaccrediteerde certificatiedienstverleners niet beperken om redenen die onder het toepassingsgebied van deze richtlijn vallen.

3. De lidstaten zorgen voor een passend systeem voor toezicht op de op hun grondgebied gevestigde certificatiedienstverleners die gekwalificeerde certificaten aan het publiek afgeven.

4. De overeenstemming van veilige middelen voor het aanmaken van handtekeningen met de eisen van bijlage III wordt vastgesteld door passende openbare of particuliere instanties die door de lidstaten worden aangewezen. De Commissie stelt volgens de procedure van artikel 9 de criteria vast aan de hand waarvan de lidstaten bepalen of een instantie voor aanwijzing geschikt is.

De bevindingen van de in de eerste alinea bedoelde instanties met betrekking tot de overeenstemming met de eisen van bijlage III worden door alle lidstaten erkend.

5. De Commissie kan, volgens de procedure van artikel 9, referentienummers van algemeenl erkende normen voor producten voor elektronische handtekeningen vaststellen en in het Publicatieblad van de Europese Gemeenschappen bekendmaken. Wanneer een product voor elektronische handtekeningen aan dergelijke normen voldoet, gaan de lidstaten ervan uit dat het met de eisen van bijlage II, punt f), en bijlage III, in overeenstemming is.

6. De lidstaten en de Commissie werken samen om de ontwikkeling en het gebruik van middelen voor het verifiëren van handtekeningen te bevorderen en houden daarbij de in bijlage IV opgenomen aanbevelingen voor het veilig verifiëren van handtekeningen alsmede het belang van de consument voor ogen.

7. De lidstaten kunnen voor het gebruik van elektronische handtekeningen in de openbare sector eventuele aanvullende eisen stellen. Deze eisen moeten objectief, transparant, evenredig en niet-discriminerend zijn en mogen slechts op de specifieke kenmerken van de betrokken toepassing betrekking hebben. Zij mogen geen belemmering vormen voor grensoverschrijdende diensten.

Artikel 4

Beginselen betreffende de interne markt

1. Elke lidstaat past de nationale bepalingen die hij krachtens deze richtlijn vaststelt toe ten aanzien van de op zijn grondgebied gevestigde certificatiedienstverleners en van de diensten die zij verrichten. De lidstaten mogen het verlenen van certificatiediensten vanuit een andere lidstaat op gebieden die onder deze richtlijn vallen niet beperken.

2. De lidstaten waarborgen het vrije verkeer in de interne markt van producten voor elektronische handtekeningen die aan deze richtlijn voldoen.

Artikel 5

Rechtsgevolgen van elektronische handtekeningen

1. De lidstaten zorgen ervoor dat geavanceerde elektronische handtekeningen die zijn gebaseerd op een gekwalificeerd certificaat en die door een veilig middel zijn aangemaakt:

a) ten aanzien van gegevens in elektronische vorm voldoen aan alle wettelijke eisen voor een handtekening, net zoals een handgeschreven handtekening zulks doet voor gegevens op een papieren drager, alsmede

b) als bewijsmiddel in gerechtelijke procedures worden toegelaten.

2. De lidstaten zorgen ervoor dat een elektronische handtekening geen rechtsgeldigheid wordt ontzegd en dat zij niet als bewijsmiddel in gerechtelijke procedures kan worden geweigerd louter op grond van het feit dat:

- de handtekening in elektronische vorm is gesteld, of

- niet is gebaseerd op een gekwalificeerd certificaat, of

- niet is gebaseerd op een door een geaccrediteerd certificatiedienstverlener afgegeven certificaat, of

- zij niet met een veilig middel is aangemaakt.

Artikel 6

Aansprakelijkheid

1. De lidstaten zorgen er ten minste voor dat een certificatiedienstverlener die een certificaat als gekwalificeerd certificaat aan het publiek afgeeft, of die zich publiekelijk borg stelt voor een dergelijk certificaat, aansprakelijk is voor schade die diensten of natuurlijke of rechtspersonen die in redelijkheid op dit certificaat vertrouwen ondervinden, in samenhang met:

a) de juistheid, op het tijdstip van afgifte, van alle gegevens in het gekwalificeerde certificaat en de opneming in het gekwalificeerde certificaat van alle voor een dergelijk certificaat voorgeschreven gegevens;

b) de garantie dat de in het gekwalificeerd certificaat geïdentificeerde ondertekenaar, op het tijdstip van de afgifte van het certificaat, houder was van de gegevens voor het aanmaken van de handtekening, die met de in het certificaat gegeven of geïdentificeerde gegevens voor het verifiëren van een handtekening overeenstemmen;

c) de garantie dat de gegevens voor het aanmaken van de handtekening en die voor het verifiëren van de handtekening, - ingeval zij beide door de certificatiedienstverlener worden gegenereerd -, complementair kunnen worden gebruikt;

tenzij de certificatiedienstverlener bewijst dat hij niet nalatig heeft gehandeld.

2. De lidstaten zorgen er ten minste voor dat een certificatiedienstverlener die een certificaat als gekwalificeerd certificaat aan het publiek heeft afgegeven, aansprakelijk is voor de schade die bij diensten of natuurlijke of rechtspersonen die in redelijkheid op het certificaat hebben vertrouwd, is ontstaan doordat de intrekking van het certificaat niet werd geregistreerd, tenzij de certificatiedienstverlener bewijst dat hij niet nalatig heeft gehandeld.

3. De lidstaten zorgen ervoor dat een certificatiedienstverlener in een gekwalificeerd certificaat beperkingen betreffende het gebruik van dat certificaat kan aangeven, doch met dien verstande dat die beperkingen voor derden herkenbaar moeten zijn. De certificatiedienstverlener is niet aansprakelijk voor schade die voortvloeit uit gebruik van een gekwalificeerd certificaat waarbij de op het certificaat aangegeven beperkingen worden overschreden.

4. De lidstaten zorgen ervoor dat certificatiedienstverleners in het gekwalificeerd certificaat een grens kunnen aangeven voor de waarde van de transacties waarvoor het certificaat kan worden gebruikt, doch met dien verstande dat die grens voor derden herkenbaar moet zijn.

De certificatiedienstverlener is niet aansprakelijk voor schade die voortvloeit uit overschrijding van de hierboven bedoelde grens.

5. De leden 1 tot en met 4 doen geen afbreuk aan Richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten(8).

Artikel 7

Internationale aspecten

1. De lidstaten zorgen ervoor, dat certificaten die door een in een derde land gevestigde certificatiedienstverlener als gekwalificeerd certificaat aan het publiek worden afgegeven, worden gelijkgesteld met certificaten die door een in de Gemeenschap gevestigde certificatiedienstverlener worden afgegeven, indien

a) de certificatiedienstverlener voldoet aan de eisen van deze richtlijn en in het kader van een in een lidstaat van de Europese Gemeenschap ingestelde vrijwillige-accreditatieregeling is geaccrediteerd; dan wel

b) een in de Gemeenschap gevestigde certificatiedienstverlener die voldoet aan de eisen van deze richtlijn, zich voor het certificaat borg stelt; dan wel

c) het certificaat of de certificatiedienstverlener is erkend in het kader van een bilaterale of multilaterale overeenkomst tussen de Gemeenschap en derde landen of internationale organisaties.

2. Teneinde grensoverschrijdende certificatiediensten waarbij derde landen zijn betrokken en de wettelijke erkenning van geavanceerde elektronische handtekeningen afkomstig uit derde landen te vergemakkelijken, doet de Commissie passende voorstellen om de effectieve uitvoering van normen en internationale overeenkomsten inzake certificatiediensten te bereiken. Met name, en indien nodig, dient zij bij de Raad voorstellen in voor passende onderhandelingsmandaten voor bilaterale en multilaterale overeenkomsten met derde landen en internationale organisaties. De Raad besluit met gekwalificeerde meerderheid van stemmen.

3. Wordt de Commissie in kennis gesteld van moeilijkheden die ondernemingen uit de Gemeenschap ondervinden om toegang te verkrijgen tot de markt van derde landen, dan kan zij zo nodig aan de Raad voorstellen doen voor een passend mandaat voor onderhandelingen over vergelijkbare rechten voor ondernemingen uit de Gemeenschap in die derde landen. De Raad besluit met gekwalificeerde meerderheid van stemmen.

Overeenkomstig dit lid genomen maatregelen laten de krachtens de toepasselijke internationale overeenkomsten op de Gemeenschap en de lidstaten rustende verplichtingen onverlet.

Artikel 8

Gegevensbescherming

1. De lidstaten zorgen ervoor dat de certificatiedienstverleners en de met accreditatie of toezicht belaste nationale instanties voldoen aan de eisen van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(9).

2. De lidstaten zorgen ervoor dat een certificatiedienstverlener die certificaten aan het publiek afgeeft persoonsgegevens niet anders kan verkrijgen dan rechtstreeks van de betrokkene zelf of met diens uitdrukkelijke toestemming, en slechts voorzover de afgifte en het beheer van het certificaat zulks vereisen. Zonder uitdrukkelijke toestemming van de betrokkene mogen gegevens niet voor andere doeleinden worden verzameld of verwerkt.

3. Onverminderd de rechtsgevolgen van pseudoniemen in het nationale recht, mogen de lidstaten niet verhinderen dat certificatiedienstverleners op het certificaat een pseudoniem vermelden in plaats van de werkelijke naam van de ondertekenaar.

Artikel 9

Comité

1. De Commissie wordt bijgestaand door een Comité voor elektronische handtekeningen (hierna "het comité" genoemd).

2. Wanneer naar dit lid wordt verwezen, zijn de artikelen 4 en 7 van Besluit 1999/468/EG van toepassing, met inachtneming van het bepaalde in artikel 8 van dat besluit.

De in artikel 4, lid 3, van Besluit 1999/468/EG bedoelde termijn wordt vastgesteld op drie maanden.

3. Het comité stelt zijn reglement van orde vast.

Artikel 10

Taken van het comité

Het comité geeft toelichtingen bij de in de bijlagen bij deze richtlijn genoemde eisen, de in artikel 3, lid 4, bedoelde criteria en de in artikel 3, lid 5, bedoelde algemeen erkende normen voor producten voor elektronische handtekeningen; het volgt daarbij de procedure van artikel 9, lid 2.

Artikel 11

Kennisgeving

1. De lidstaten verstrekken de Commissie en de andere lidstaten:

a) informatie over nationale vrijwillige accreditatieregelingen, met inbegrip van eventuele aanvullende eisen overeenkomstig artikel 3, lid 7;

b) de namen en adressen van de nationale instanties die belast zijn met accreditatie en toezicht alsmede van de in artikel 3, lid 4, genoemde instanties;

c) de namen en adressen van alle geaccrediteerde nationale certificatiedienstverleners.

2. De lidstaten delen de overeenkomstig lid 1 verstrekte informatie en wijzigingen daarvan zo spoedig mogelijk mede.

Artikel 12

Beoordeling

1. De Commissie beoordeelt de werking van deze richtlijn en brengt uiterlijk op 19 juli 2003 daarover verslag uit aan het Europees Parlement en aan de Raad.

2. Bij deze beoordeling wordt onder andere bezien of, rekening houdend met de technologische, commerciële en juridische ontwikkelingen, het toepassingsgebied van de richtlijn moet worden gewijzigd. Het verslag dient met name een beoordeling te bevatten, op basis van de opgedane ervaringen, van aspecten van harmonisatie. Het verslag gaat, in voorkomend geval, vergezeld van wetgevingsvoorstellen.

Artikel 13

Omzetting

1. De lidstaten doen de nodige wettelijke en bestuursrechtelijke bepalingen in werking treden om vóór 19 juli 2001 aan deze richtlijn te voldoen en stellen de Commissie daarvan onverwijld in kennis.

Wanneer de lidstaten die bepalingen aannemen, wordt in die bepalingen zelf of bij de officiële bekendmaking daarvan naar deze richtlijn verwezen. De regels voor deze verwijzing worden vastgesteld door de lidstaten.

2. De lidstaten stellen de Commissie in kennis van alle belangrijke bepalingen van intern recht die zij op het onder deze richtlijn vallende gebied vaststellen.

Artikel 14

Inwerkingtreding

Deze richtlijn treedt in werking op de dag van haar bekendmaking in het Publicatieblad van de Europese Gemeenschappen.

Artikel 15

Adressaten

Deze richtlijn is gericht tot de lidstaten.

Gedaan te Brussel, 13 december 1999.

Voor het Europees Parlement

De Voorzitster

N. FONTAINE

Voor de Raad

De voorzitter

S. HASSI

(1) PB C 325 van 23.10.1998, blz. 5.

(2) PB C 40 van 15.2.1999, blz. 29.

(3) PB C 93 van 6.4.1999, blz. 33.

(4) Advies van het Europees Parlement van 13 januari 1999 (PB C 104 van 14.4.1999, blz. 49), gemeenschappelijk standpunt van de Raad van 28 juni 1999 (PB C 243 van 27.8.1999, blz. 33) en besluit van het Europees Parlement van 27 oktober 1999 (nog niet verschenen in het Publicatieblad). Besluit van de Raad van 30 november 1999.

(5) PB L 367 van 31.12.1994, blz. 1. Verordening gewijzigd bij Verordening (EG) nr. 837/95 (PB L 90 van 21.4.1995, blz. 1).

(6) PB L 367 van 31.12.1994, blz. 8. Besluit laatstelijk gewijzigd bij Besluit 1999/193/GBVB (PB L 73 van 19.3.1999, blz. 1).

(7) PB L 184 van 17.7.1999, blz. 23.

(8) PB L 95 van 21.4.1993, blz. 29.

(9) PB L 281 van 23.11.1995, blz. 31.

BIJLAGE I

Eisen voor gekwalificeerde certificaten

Gekwalificeerde certificaten moeten het navolgende bevatten:

a) de vermelding dat het certificaat als gekwalificeerd certificaat wordt afgegeven;

b) de identificatie en het land van vestiging van de afgevende certificatiedienstverlener;

c) de naam van de ondertekenaar of een als zodanig geïdentificeerd pseudoniem;

d) ruimte voor een specifiek attribuut van de ondertekenaar, dat indien nodig, afhankelijk van het doel van het certificaat, kan worden vermeld;

e) gegevens voor het verifiëren van de handtekening die overeenstemmen met de gegevens voor het aanmaken van de handtekening die onder controle van de houder staan;

f) begin en einde van de geldigheidsduur van het certificaat;

g) de identiteitscode van het certificaat;

h) de geavanceerde elektronische handtekening van de afgevende certificatiedienstverlener;

i) voorzover van toepassing, beperkingen betreffende het gebruik van het certificaat; en

j) voorzover van toepassing, grenzen met betrekking tot de waarde van de transacties waarvoor het certificaat kan worden gebruikt.

BIJLAGE II

Eisen ten aanzien van certificatiedienstverleners die gekwalificeerde certificaten afgeven

Certificatiedienstverleners moeten:

a) aantonen dat zij voldoen aan de betrouwbaarheidseisen voor het aanbieden van certificatiediensten;

b) zorgen voor een snelle en veilige directorydienst alsook voor prompte en veilige intrekking;

c) ervoor zorgen dat datum en tijdstip van afgifte of intrekking van een certificaat precies kunnen worden vastgesteld;

d) met daartoe geschikte middelen en overeenkomstig de nationale wetgeving, de identiteit en in voorkomend geval de specifieke attributen verifiëren van de persoon aan wie een gekwalificeerd certificaat wordt afgegeven;

e) personeel in dienst hebben dat beschikt over de deskundige kennis, ervaring en kwalificaties die noodzakelijk zijn voor de aangeboden diensten, met name competentie op het gebied van beheer, alsmede over expertise inzake technologie voor elektronische handtekeningen, en dat bekend is met goede beveiligingsprocedures; het personeel moet ook adequate procedures en processen op het gebied van administratie en beheer toepassen die voldoen aan erkende normen;

f) gebruikmaken van betrouwbare systemen en producten die beschermd zijn tegen wijziging en die de technische en cryptografische veiligheid garanderen van de processen die zij ondersteunen;

g) maatregelen nemen tegen het vervalsen van certificaten en, wanneer de certificatiedienstverlener gegevens voor het aanmaken van handtekeningen genereert, de vertrouwelijkheid van dat proces garanderen;

h) voldoende financiële middelen tot hun beschikking houden om in overeenstemming met de eisen van deze richtlijn te kunnen functioneren, met name met het oog op de gevolgen van aansprakelijkheid wegens schade, bijvoorbeeld door middel van een geëigende verzekering;

i) gedurende een gepaste periode alle relevante informatie met betrekking tot een gekwalificeerd certificaat vastleggen, met name om ten behoeve van gerechtelijke procedures de certificatie te kunnen bewijzen. Dit vastleggen mag elektronisch plaatsvinden;

j) afzien van het opslaan of copiëren van gegevens voor het aanmaken van elektronische handtekeningen van de personen aan wie de certificatiedienstverlener sleutelbeheerdiensten heeft aangeboden;

k) alvorens een contractuele verbintenis aan te gaan met een persoon die een certificaat ter ondersteuning van zijn elektronische handtekening wenst, deze met behulp van een duurzaam communicatiemiddel op de hoogte brengen van de exacte voorwaarden voor het gebruik van het certificaat, met inbegrip van eventuele beperkingen inzake dit gebruik, het bestaan van een vrijwillige accreditatie en de procedures voor klachtenbehandeling en geschillenbeslechting. Deze informatie moet schriftelijk en in gemakkelijk te begrijpen taal worden opgesteld; eventueel kan zij langs elektronische weg worden toegezonden. Relevante delen van die informatie dienen op verzoek eveneens te worden meegedeeld aan derden die op het certificaat vertrouwen;

l) gebruikmaken van betrouwbare systemen voor de opslag van certificaten in verifieerbare vorm, zodat

- alleen bevoegde personen gegevens kunnen invoeren en wijzigen;

- de authenticiteit van de informatie kan worden gecontroleerd;

- de certificaten uitsluitend publiekelijk beschikbaar zijn in die gevallen waarvoor de certificaathouder toestemming heeft gegeven; en

- elke technische wijziging die de bovengenoemde beveiligingsvoorschriften in gevaar kan brengen, voor de gebruiker duidelijk is.

BIJLAGE III

Eisen voor veilige middelen voor het aanmaken van elektronische handtekeningen

1. Veilige middelen voor het aanmaken van elektronische handtekeningen waarborgen via passende technieken en procedures ten minste, dat

a) de gegevens voor het aanmaken van handtekeningen in de praktijk slechts één keer kunnen voorkomen en de vertrouwelijkheid daarvan redelijkerwijs gegarandeerd is;

b) de gegevens voor het aanmaken van handtekeningen, met redelijke zekerheid, niet kunnen worden afgeleid en dat de handtekening beschermd is tegen vervalsing met de thans beschikbare technieken;

c) de gegevens voor het aanmaken van handtekeningen door de legitieme ondertekenaar op betrouwbare wijze kunnen worden beschermd tegen gebruik door anderen.

2. Veilige middelen voor het aanmaken van handtekeningen laten de te ondertekenen gegevens ongewijzigd en beletten niet dat die gegevens vóór de ondertekening aan de ondertekenaar worden voorgelegd.

BIJLAGE IV

Aanbevelingen voor het veilig verifiëren van handtekeningen

Tijdens het proces voor het verifiëren van handtekeningen wordt met redelijke zekerheid gewaarborgd, dat

a) de voor het verifiëren van een handtekening gebruikte gegevens overeenstemmen met de gegevens die de verifieerder te zien krijgt;

b) de handtekening op betrouwbare wijze wordt geverifieerd en het resultaat daarvan correct wordt weergegeven;

c) de verifieerder, zo nodig, op betrouwbare wijze de inhoud van de ondertekende gegevens kan vaststellen;

d) de authenticiteit en de geldigheid van het certificaat dat bij het verifiëren van de handtekening vereist is, op betrouwbare wijze worden gecontroleerd;

e) dat het resultaat van de verificatie en de identiteit van de ondertekenaar correct worden weergegeven;

f) het gebruik van een pseudoniem duidelijk wordt aangegeven; en

g) elke wijziging die invloed heeft op de beveiliging kan worden opgespoord.