(1)

Den europæiske ramme for digital identitet, der blev oprettet ved forordning (EU) nr. 910/2014, er et afgørende element i etableringen af et sikkert og interoperabelt økosystem for digital identitet i hele Unionen. Med de europæiske digitale identitetstegnebøger (»tegnebøger«) som hjørnesten har rammen til formål at lette adgangen til tjenester på tværs af medlemsstaterne for fysiske og juridiske personer og samtidig sikre beskyttelsen af personoplysninger og privatlivets fred.

(2)

Europa-Parlamentets og Rådets forordning (EU) 2016/679 (2) og, hvor det er relevant, Europa-Parlamentets og Rådets direktiv 2002/58/EF (3) finder anvendelse på alle behandlingsaktiviteter vedrørende personoplysninger i henhold til denne forordning.

(3)

I henhold til artikel 5a, stk. 23, i forordning (EU) nr. 910/2014 skal Kommissionen om nødvendigt fastsætte de relevante specifikationer og procedurer. Dette opnås ved hjælp af fire gennemførelsesforordninger, der omhandler protokoller og grænseflader: Kommissionens gennemførelsesforordning (EU) 2024/2982 (4), integritet og centrale funktioner, Kommissionens gennemførelsesforordning (EU) 2024/2979 (5), personidentifikationsdata og elektronisk attestering af attributter, Kommissionens gennemførelsesforordning (EU) 2024/2977 (6) og anmeldelser til Kommissionen, samt Kommissionens gennemførelsesforordning (EU) 2024/2980 (7). Ved denne forordning fastsættes de relevante krav til protokoller og grænseflader.

(4)

Kommissionen vurderer regelmæssigt nye teknologier, praksisser, standarder eller tekniske specifikationer. For at sikre den højeste grad af harmonisering mellem medlemsstaterne med hensyn til udvikling og certificering af tegnebøgerne er de tekniske specifikationer, der er fastsat i denne gennemførelsesforordning, baseret på det arbejde, der er udført på grundlag af Kommissionens henstilling (EU) 2021/946 af 3. juni 2021 om en fælles EU-værktøjskasse for en koordineret tilgang til en ramme for en europæisk digital identitet (8) og navnlig den tekniske struktur og referencerammen. I overensstemmelse med betragtning 75 til Europa-Parlamentets og Rådets forordning (EU) 2024/1183 (9) bør Kommissionen efter behov revidere og ajourføre denne gennemførelsesforordning for at sikre dens overensstemmelse med den globale udvikling, den tekniske struktur og referencerammen og for at følge bedste praksis på det indre marked.

(5)

For at sikre tegnebogsmodtageres gennemsigtighed og troværdighed over for tegnebogsbrugere bør de protokoller og grænseflader, der anvendes af tegnebogsløsningerne, give tegnebogsbrugere en pålidelig mekanisme til at autentificere tegnebogsmodtagere og andre tegnebogsenheder. Omvendt bør tegnebogsudbydere stille en mekanisme til rådighed til at autentificere og validere tegnebogsenheder, således at tegnebogsmodtagere kan modtage forsikringer med hensyn til tegnebogsenhedernes pålidelighed og ægthed. Desuden bør tegnebøgernes tekniske infrastruktur også udformes, så det sikres, at kun den nødvendige minimumsmængde data overføres til kun autoriserede tegnebogsmodtagere, samtidig med at de forskellige transaktioner ikke kan forbindes. Med henblik på at lette udstedelsen af personidentifikationsdata og elektroniske attesteringer af attributter bør alle tegnebogsløsninger understøtte et minimumssæt af protokoller og grænseflader.

(6)

For at sikre, at tegnebogsløsninger kan anvendes på tværs af medlemsstaterne, bør alle tegnebogsløsninger understøtte fælles tekniske specifikationer, når personidentifikationsdata og elektroniske attesteringer af attributter vises for tegnebogsmodtagere via tegnebøgerne, både i fjern- og nærhedsscenarier. Tegnebogsenheder kan desuden understøtte andre protokoller og grænseflader i specifikke brugstilfælde.

(7)

For at sikre databeskyttelse gennem design og gennem standardindstillinger bør tegnebøgerne udstyres med flere funktioner, der fremmer beskyttelsen af privatlivets fred, for at forhindre udbydere af elektroniske identifikationsmidler og elektroniske attesteringer af attributter i at kombinere personoplysninger, der er indhentet ved levering af andre tjenester, med de personoplysninger, der behandles for at levere de tjenester, der er omfattet af anvendelsesområdet for forordning (EU) nr. 910/2014. I overensstemmelse med forordning (EU) nr. 910/2014 må tegnebogsmodtagere ikke anmode brugerne om at fremlægge andre data end dem, der er angivet for den påtænkte anvendelse af tegnebøger under registreringsprocessen. Tegnebogsbrugere bør have mulighed for at verificere tegnebogsmodtagernes registreringsdata på et hvilket som helst tidspunkt. Desuden bør tegnebogsenheder kunne vise brugerne registreringsbeviser for tegnebogsmodtagere, når sådanne foreligger, som en del af en anmodning om attributter. Dette bør sætte tegnebogsbrugerne i stand til at kontrollere, at de attributter, som tegnebogsmodtageren anmoder om, er omfattet af dennes registrerede attributter, hvilket giver sikkerhed for, at anmodningen er legitim og troværdig.

(8)

Med henblik på at beskytte tegnebogsbrugeres data bør tegnebogsudbydere sikre, at tegnebogsenhederne validerer anmodninger fra tegnebogsmodtagere eller andre tegnebogsenheder, inden de stiller data til rådighed. Af samme grund og i overensstemmelse med artikel 5a, stk. 4, litra d), nr. ii), i forordning (EU) nr. 910/2014 bør tegnebogsudbydere sikre, at tegnebogsenhederne giver tegnebogsbrugerne mulighed for at fremsætte anmodninger om sletning af data til tegnebogsmodtagere.

(9)

Med henblik på at muliggøre hurtige reaktioner i tilfælde af eventuelle databeskyttelsesproblemer i forbindelse med artikel 5a, stk. 4, litra d), nr. iii), i forordning (EU) nr. 910/2014 bør tegnebogsudbydere sikre, at tegnebogsløsningerne indeholder mekanismer til indberetning af en tegnebogsmodtager til den kompetente nationale databeskyttelsesmyndighed. Tegnebogsudbydere og databeskyttelsesmyndigheder bør have den nødvendige fleksibilitet med hensyn til at etablere passende mekanismer til interaktion med medlemsstaternes databeskyttelsesmyndigheder.

(10)

Den Europæiske Tilsynsførende for Databeskyttelse blev hørt i overensstemmelse med artikel 42, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (10) og afgav udtalelse den 30. september 2024.

(11)

Foranstaltningerne i denne forordning er i overensstemmelse med udtalelse fra det udvalg, der er nævnt i artikel 48, i forordning (EU) nr. 910/2014 —

1)

udstedelse af personidentifikationsdata og elektroniske attesteringer af attributter til tegnebogsenheder

2)

fremlæggelse af attributter for personidentifikationsdata og elektroniske attesteringer af attributter for tegnebogsmodtagere og andre tegnebogsenheder

3)

meddelelse af anmodninger om sletning af data til tegnebogsmodtagere

4)

indberetning fra tegnebogsmodtagere til tilsynsmyndigheder, der er oprettet i henhold til artikel 51 i forordning (EU) 2016/679

som ajourføres regelmæssigt, så de er i overensstemmelse med den teknologiske udvikling og udviklingen af standarder og med det arbejde, der udføres på grundlag af henstilling (EU) 2021/946, navnlig den tekniske struktur og referencerammen.

1)

»tegnebogsmodtager«: en modtagerpart, der har til hensigt at benytte tegnebogsenheder til levering af offentlige eller private tjenester ved hjælp af digital interaktion

2)

»tegnebogsbruger«: en bruger, der har kontrol over tegnebogsenheden

3)

»tegnebogsløsning«: en kombination af software, hardware, tjenester, indstillinger og konfigurationer, herunder tegnebogsforekomster, en eller flere sikre kryptografiske tegnebogsapplikationer og en eller flere sikre kryptografiske tegnebogsanordninger

4)

»tegnebogsenhed«: en unik konfiguration af en tegnebogsløsning, der omfatter forekomster af tegnebøger, sikre kryptografiske tegnebogsapplikationer og sikre kryptografiske tegnebogsanordninger, som en tegnebogsudbyder stiller til rådighed for en individuel tegnebogsbruger

5)

»tegnebogsudbyder«: en fysisk eller juridisk person, der leverer tegnebogsløsninger

6)

»tegnebogsforekomst«: den applikation, der er installeret og konfigureret på en tegnebogsbrugers enhed eller miljø, som er en del af en tegnebogsenhed, og som tegnebogsbrugeren bruger til at interagere med tegnebogsenheden

7)

»sikker kryptografisk tegnebogsapplikation«: en applikation, der forvalter kritiske aktiver ved at være knyttet til og anvende de kryptografiske og ikkekryptografiske funktioner, der leveres af en sikker kryptografisk tegnebogsanordning

8)

»sikker kryptografisk tegnebogsanordning«: en anordning, der er sikret mod manipulation, og som tilvejebringer et miljø, der er knyttet til og anvendes af den sikre kryptografiske tegnebogsapplikation til at beskytte kritiske aktiver og tilvejebringe kryptografiske funktioner til sikker udførelse af kritiske operationer

9)

»kritiske aktiver«: aktiver i eller i forbindelse med en tegnebogsenhed af så ekstraordinær betydning, at det i alvorlig grad vil svække muligheden for at have tillid til tegnebogsenheden, hvis deres tilgængelighed, fortrolighed eller integritet kompromitteres

10)

»adgangscertifikat for tegnebogsmodtager«: et certifikat for elektroniske segl eller signaturer, der autentificerer og validerer tegnebogsmodtageren, og som er udstedt af en udbyder af adgangscertifikater for tegnebogsmodtagere

11)

»udbyder af adgangscertifikater for tegnebogsmodtagere«: en fysisk eller juridisk person, der er bemyndiget af en medlemsstat til at udstede adgangscertifikater for tegnebogsmodtagere, der er registreret i den pågældende medlemsstat

12)

»attestering af tegnebogsenhed« og »tegnebogsenhedsattestering«: et dataobjekt, der beskriver tegnebogsenhedens komponenter eller gør det muligt at autentificere og validere disse komponenter

13)

»indlejret offentliggørelsespolitik«: et sæt regler, der er indlejret i en elektronisk attestering af attributter fra udbyderen, der angiver de betingelser, som en tegnebogsmodtager skal opfylde for at få adgang til den elektroniske attestering af attributter

14)

»registreringsbevis for tegnebogsmodtagere«: et dataobjekt, der angiver de attributter, som modtagerparten har registreret med henblik på at anmode brugerne om

15)

»udbyder af personidentifikationsdata«: en fysisk eller juridisk person, der er ansvarlig for at udstede og tilbagekalde personidentifikationsdata og sikre, at en brugers personidentifikationsdata er kryptografisk bundet til en tegnebogsenhed

16)

»kryptografisk binding«: metoden til at knytte personidentifikationsdata eller elektroniske attesteringer af attributter til tegnebogsenheder ved hjælp af kryptografiske midler.

1)

autentificerer og validerer adgangscertifikater for tegnebogsmodtagere, når de interagerer med tegnebogsmodtagere

2)

autentificerer og validerer attesteringer af tegnebogsenheder for andre tegnebogsenheder, når de interagerer med andre tegnebogsenheder

3)

autentificerer og validerer anmodninger, der er indgivet ved hjælp af adgangscertifikater for tegnebogsmodtagere, eller attesteringer af tegnebogsenheder fra andre tegnebogsenheder, hvis det er relevant

4)

autentificerer og validerer registreringsbeviser for tegnebogsmodtagere, hvis det er relevant

5)

viser tegnebogsbrugerne de oplysninger, der er indeholdt i adgangscertifikater for tegnebogsmodtagere eller i tegnebogsenhedsattesteringer

6)

viser tegnebogsbrugerne de attributter, som tegnebogsbrugerne anmodes om at fremlægge, hvis det er relevant

7)

viser tegnebogsbrugerne de oplysninger, der er indeholdt i registreringsbeviser for tegnebogsmodtagere, hvis det er relevant

8)

fremlægger tegnebogsenhedsattesteringer for tegnebogsenheden fortegnebogsmodtagere eller tegnebogsenheder, der anmoder herom

9)

ikke fremlægger attributter, der anmodes om, for tegnebogsmodtagere eller tegnebogsenheder, før følgende krav er opfyldt:

10)

muliggør teknikker til beskyttelse af privatlivets fred, som sikrer uforbindelighed, hvis de elektroniske attesteringer af attributter ikke kræver identifikation af tegnebogsbrugeren, når attesteringer eller personidentifikationsdata fremlægges på tværs af forskellige tegnebogsmodtagere.