32024R0982

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
Verordening - EU - 2024/982 - EN - EUR-Lex

Document 32024R0982

Help

Verordening (EU) 2024/982 van het Europees Parlement en de Raad van 13 maart 2024 betreffende de geautomatiseerde gegevensbevraging en -uitwisseling ten behoeve van politiële samenwerking en tot wijziging van de Besluiten 2008/615/JBZ en 2008/616/JBZ van de Raad en de Verordeningen (EU) 2018/1726, (EU) 2019/817 en (EU) 2019/818 van het Europees Parlement en de Raad (de Prüm II-verordening)

PE/75/2023/REV/1

PB L, 2024/982, 5.4.2024, ELI: http://data.europa.eu/eli/reg/2024/982/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg/2024/982/oj

Date of document:: 13/03/2024; datum van ondertekening
Date of effect:: Toepassing Gedeeltelijke toepassing zie art 75
Date of effect:: 25/04/2024; in werking datum publicatie +20 zie art 81
Date of signature:: 13/03/2024; Straatsburg
Deadline:: 26/04/2025; zie art 80.2 en 80.3
Date of end of validity:: No end date

Author:: Europees Parlement, Raad van de Europese Unie
Form:: Verordening
Additional information:: Deze wetgevingshandeling is niet van toepassing op Denemarken

Procedure number:

2021/0410/COD

Link

European Parliament - Legislative observatory

Treaty:

Verdrag betreffende de werking van de Europese Unie

Legal basis:

12016E016 - P2
12016E087 - P2PTA)
12016E088 - P2

Proposal:

52021PC0784 Adopted on: 13/03/2024

Link

Select all documents mentioning this document

Modifies:

Relation	Act	Comment	Subdivision concerned	From
Modifies	32008D0615	Schrapping	artikel 1 punt (a)	25/04/2024
Modifies	32008D0615	Schrapping	artikel 2	25/04/2024
Modifies	32008D0615	Schrapping	artikel 3	25/04/2024
Modifies	32008D0615	Schrapping	artikel 4	25/04/2024
Modifies	32008D0615	Schrapping	artikel 5	25/04/2024
Modifies	32008D0615	Schrapping	artikel 6	25/04/2024
Modifies	32008D0615	Schrapping	hoofdstuk 2 afdeling 2	25/04/2024
Modifies	32008D0615	Schrapping	hoofdstuk 2 afdeling 3	25/04/2024
Modifies	32008D0616	Schrapping	artikel 18	25/04/2024
Modifies	32008D0616	Schrapping	artikel 20	25/04/2024
Modifies	32008D0616	Schrapping	artikel 21	25/04/2024
Modifies	32008D0616	Schrapping	hoofdstuk 2	25/04/2024
Modifies	32008D0616	Schrapping	hoofdstuk 3	25/04/2024
Modifies	32008D0616	Schrapping	hoofdstuk 4	25/04/2024
Modifies	32008D0616	Schrapping	hoofdstuk 5	25/04/2024
Modifies	32018R1726	toevoeging	artikel 19 lid 1 punt (eeb)	25/04/2024
Modifies	32018R1726	toevoeging	artikel 8d	25/04/2024
Modifies	32018R1726	vervanging	artikel 17 lid 3 alinea 2	25/04/2024
Modifies	32018R1726	vervanging	artikel 19 lid 1 punt (ff)	25/04/2024
Modifies	32018R1726	vervanging	artikel 19 lid 1 punt (hh)	25/04/2024
Modifies	32019R0817	toevoeging	artikel 6 lid 2 punt (d)	25/04/2024
Modifies	32019R0818	toevoeging	artikel 6 lid 2 punt (d)	25/04/2024
Modifies	32019R0818	vervanging	artikel 39 lid 1	25/04/2024
Modifies	32019R0818	vervanging	artikel 39 lid 2	25/04/2024

Modified by:

Relation	Act	Comment	Subdivision concerned	From	To
Corrected by	32024R0982R(01)	(NL)
Corrected by	32024R0982R(02)	(IT)

Instruments cited:

EUROVOC descriptor:

Subject matter:

Directory code:

19.30.00.00 Ruimte van vrijheid, veiligheid en justitie / Politiële en justitiële samenwerking in strafzaken en op douanegebied

HTML

PDF - authentic OJ

e-signature

How to verify the authenticity of the Official Journal

Publicatieblad
van de Europese Unie

L-serie

2024/982

5.4.2024

VERORDENING (EU) 2024/982 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 13 maart 2024

betreffende de geautomatiseerde gegevensbevraging en -uitwisseling ten behoeve van politiële samenwerking en tot wijziging van de Besluiten 2008/615/JBZ en 2008/616/JBZ van de Raad en de Verordeningen (EU) 2018/1726, (EU) 2019/817 en (EU) 2019/818 van het Europees Parlement en de Raad (de Prüm II-verordening)

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2, artikel 87, lid 2, punt a), en artikel 88, lid 2,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité (1),

Handelend volgens de gewone wetgevingsprocedure (2),

Overwegende hetgeen volgt:

(1)

De Unie heeft zich ten doel gesteld haar burgers een ruimte van vrijheid, veiligheid en recht te bieden zonder binnengrenzen, waarin het vrije verkeer van personen gewaarborgd is. Die doelstelling moet onder meer bereikt worden door passende maatregelen ter voorkoming en bestrijding van criminaliteit en andere bedreigingen van de openbare veiligheid, waaronder georganiseerde misdaad en terrorisme, in overeenstemming met de mededeling van de Commissie van 24 juli 2020 over de EU-strategie voor de veiligheidsunie. Die doelstelling vereist dat rechtshandhavingsinstanties tijdig en op efficiënte wijze gegevens uitwisselen om strafbare feiten doeltreffend te voorkomen, op te sporen en te onderzoeken.

(2)

Het doel van deze verordening is de verbetering, stroomlijning en facilitering van de uitwisseling van strafrechtelijke informatie en voertuigregistratiegegevens, met het oog op het voorkomen, opsporen en onderzoeken van strafbare feiten, tussen de bevoegde autoriteiten van de lidstaten, maar ook tussen de lidstaten en het bij Verordening (EU) 2016/794 van het Europees Parlement en de Raad (3) opgerichte Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol), in volledige overeenstemming met de grondrechten en de voorschriften voor gegevensbescherming.

(3)

De Besluiten 2008/615/JBZ (4) en 2008/616/JBZ (5) van de Raad, waarbij voorschriften zijn vastgesteld voor de uitwisseling van informatie tussen voor de voorkoming en opsporing van strafbare feiten verantwoordelijke autoriteiten door middel van de geautomatiseerde overdracht van DNA-profielen, dactyloscopische gegevens en bepaalde voertuigregistratiegegevens, zijn van belang gebleken voor de bestrijding van terrorisme en grensoverschrijdende criminaliteit, waarbij de interne veiligheid van de Unie en haar burgers worden beschermd.

(4)

Voortbouwend op de bestaande procedures voor de geautomatiseerde bevraging van gegevens moet deze verordening voorzien in de voorwaarden en procedures voor de geautomatiseerde bevraging en uitwisseling van DNA-profielen, dactyloscopische gegevens, bepaalde voertuigregistratiegegevens, gezichtsopnamen en politiegegevens. Daarbij mag geen afbreuk worden gedaan aan de verwerking van zulke gegevens in het Schengeninformatiesysteem (SIS), de uitwisseling van met dergelijke gegevens verband houdende aanvullende informatie via de Sirene-bureaus op grond van Verordening (EU) 2018/1862 van het Europees Parlement en de Raad (6), noch aan de rechten van personen wier gegevens daarin worden verwerkt.

(5)

Deze verordening voorziet in een kader voor de uitwisseling van informatie tussen de autoriteiten die verantwoordelijk zijn voor het voorkomen, opsporen en onderzoeken van strafbare feiten (het “Prüm II-kader”). Overeenkomstig artikel 87, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU), is deze verordening van toepassing op alle bevoegde autoriteiten van de lidstaten, met inbegrip van, maar niet beperkt tot, de politie, de douane en andere gespecialiseerde rechtshandhavingsdiensten, met betrekking tot het voorkomen, opsporen en onderzoeken van strafbare feiten. Daarom moet in het kader van deze verordening elke autoriteit die verantwoordelijk is voor het beheer van een onder deze verordening vallende nationale databank of die rechterlijke toestemming verleent om gegevens vrij te geven, worden geacht binnen het toepassingsgebied van deze verordening te vallen, mits de informatie wordt uitgewisseld voor het voorkomen, opsporen en onderzoeken van strafbare feiten.

(6)

Geen enkele vorm van verwerking of uitwisseling van persoonsgegevens voor de toepassing van deze verordening mag leiden tot discriminatie van personen op welke grond dan ook. Dat moet de menselijke waardigheid en integriteit en andere grondrechten ten volle eerbiedigen, met inbegrip van het recht op eerbiediging van het privéleven en de bescherming van persoonsgegevens, zulks overeenkomstig het Handvest van de grondrechten van de Europese Unie.

(7)

Elke verwerking of uitwisseling van persoonsgegevens moet onderworpen zijn aan de gegevensbeschermingsbepalingen van hoofdstuk 6 van deze verordening en, indien van toepassing, Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (7) of Verordeningen (EU) 2018/1725 (8), (EU) 2016/794 of (EU) 2016/679 (9) van het Europees Parlement en de Raad. Richtlijn (EU) 2016/680 is van toepassing op het gebruik van het Prüm II-kader voor bevragingen voor de opsporing van vermiste personen en de identificatie van niet-geïdentificeerde stoffelijke resten met het oog op het voorkomen, opsporen en onderzoeken van strafbare feiten. Verordening (EU) 2016/679 is van toepassing op het gebruik van het Prüm II-kader voor bevragingen voor de opsporing van vermiste personen en de identificatie van niet-geïdentificeerde stoffelijke resten voor andere doeleinden.

(8)

Deze verordening voorziet tevens in de geautomatiseerde bevraging van DNA-profielen, dactyloscopische gegevens, bepaalde voertuigregistratiegegevens, gezichtsopnamen en politiegegevens, teneinde de opsporing van vermiste personen en de identificatie van niet-geïdentificeerde stoffelijke resten mogelijk te maken. Die geautomatiseerde bevragingen moeten volgens de in deze verordening vastgestelde regels en procedures verlopen. Die geautomatiseerde bevragingen mogen geen afbreuk doen aan de opneming van signaleringen van vermiste personen in het SIS en de uitwisseling van aanvullende informatie over dergelijke signaleringen uit hoofde van Verordening (EU) 2018/1862.

(9)

Wanneer de lidstaten het Prüm II-kader willen gebruiken om vermiste personen op te sporen en om stoffelijke resten te identificeren, moeten zij door middel van nationale wetgevingsmaatregelen de voor die doeleinden bevoegde nationale autoriteiten aanwijzen en de specifieke procedures, voorwaarden en criteria daarvoor vaststellen. Voor het opsporen van vermiste personen buiten het kader van strafrechtelijke onderzoeken moeten de nationale wetgevingsmaatregelen duidelijk de humanitaire redenen uiteenzetten in het kader waarvan opsporing van vermiste personen kan plaatsvinden. Dergelijke opsporingen moeten in overeenstemming zijn met het evenredigheidsbeginsel. De humanitaire redenen moeten natuurrampen en door de mens veroorzaakte rampen omvatten, evenals andere even gerechtvaardigde redenen, zoals vermoedens van zelfmoord.

(10)

Deze verordening voorziet in de voorwaarden en procedures voor de geautomatiseerde bevraging van DNA-profielen, dactyloscopische gegevens, bepaalde voertuigregistratiegegevens, gezichtsopnamen en politiegegevens, alsook in de regels voor de uitwisseling van kerngegevens na een bevestigde match met biometrische gegevens. Deze verordening is niet van toepassing op de uitwisseling van aanvullende informatie die verder gaat dan hetgeen in deze verordening is bepaald, wat is geregeld bij Richtlijn (EU) 2023/977 van het Europees Parlement en de Raad (10).

(11)

Richtlijn (EU) 2023/977 biedt een samenhangend Unierechtskader om ervoor te zorgen dat de bevoegde autoriteiten van een lidstaat gelijkwaardige toegang hebben tot informatie die in het bezit is van andere lidstaten, wanneer zij dergelijke informatie nodig hebben in de strijd tegen criminaliteit en terrorisme. Om de uitwisseling van informatie te verbeteren, formaliseert en verduidelijkt die richtlijn de regels en procedures voor informatie-uitwisseling tussen de bevoegde autoriteiten van de lidstaten, met name voor onderzoeksdoeleinden, met inbegrip van de rol van het centrale contactpunt van elke lidstaat voor dergelijke uitwisselingen.

(12)	De doelstellingen van de uitwisselingen van DNA-profielen in het kader van deze verordening doen geen afbreuk aan de exclusieve bevoegdheid van de lidstaten om te beslissen over het doel van hun nationale DNA-databanken, met inbegrip van de preventie of de opsporing van strafbare feiten.

(13)

De lidstaten, voeren, wanneer zij voor het eerst verbinding maken met de bij deze verordening ingestelde router, geautomatiseerde bevragingen van DNA-profielen uit door alle in hun databanken opgeslagen DNA-profielen te vergelijken met alle DNA-profielen die zijn opgeslagen in de databanken van alle andere lidstaten en Europolgegevens. Het doel van die initiële geautomatiseerde bevraging bestaat erin lacunes te vermijden in de vaststelling van matches tussen in de databank van een lidstaat opgeslagen DNA-profielen en DNA-profielen die zijn opgeslagen in de databanken van alle andere lidstaten en van Europolgegevens. De initiële geautomatiseerde bevraging moet bilateraal worden uitgevoerd en niet noodzakelijkerwijs met de databanken van alle lidstaten en met Europolgegevens tegelijkertijd. De regelingen om dergelijke bevragingen uit te voeren, met inbegrip van het tijdstip en de hoeveelheid per reeks, moeten bilateraal worden overeengekomen overeenkomstig de in deze verordening vastgestelde regels en procedures.

(14)

Na de initiële geautomatiseerde bevraging van DNA-profielen voeren de lidstaten geautomatiseerde bevragingen uit door alle nieuwe aan hun databanken toegevoegde DNA-profielen te vergelijken met al de DNA-profielen zijn opgeslagen in de databanken van andere lidstaten en Europolgegevens. Die geautomatiseerde bevraging van nieuwe DNA-profielen moet regelmatig plaatsvinden. Indien dergelijke bevragingen niet konden plaatsvinden, moet de betrokken lidstaat de mogelijkheid hebben die in een later stadium uit te voeren, om ervoor te zorgen dat er geen matches over het hoofd zijn gezien. De regelingen voor het uitvoeren van dergelijke latere bevragingen, met inbegrip van het tijdstip en de hoeveelheid per reeks, moeten bilateraal worden overeengekomen overeenkomstig de in deze verordening vastgestelde regels en procedures.

(15)

Voor de geautomatiseerde bevraging van voertuigregistratiegegevens moeten de lidstaten en Europol gebruikmaken van het daartoe ontworpen Europees voertuig- en rijbewijsinformatiesysteem (Eucaris), dat daartoe is opgezet bij het Verdrag betreffende een Europees voertuig- en rijbewijsinformatiesysteem (EUCARIS) en dat alle deelnemende lidstaten in een netwerk verbindt. Er is geen centrale component nodig om de communicatie tot stand te brengen, aangezien elke lidstaat rechtstreeks met de andere verbonden lidstaten communiceert en Europol rechtstreeks met de verbonden databanken communiceert.

(16)

De vaststelling van een strafbaar feit is van essentieel belang voor een succesvol strafrechtelijk onderzoek en succesvolle strafvervolging. De geautomatiseerde bevraging van uit hoofde van het nationale recht verzamelde gezichtsopnamen van personen die veroordeeld zijn voor of verdacht worden van het plegen van een strafbaar feit, of, indien toegestaan door het nationale recht van de aangezochte lidstaat, van slachtoffers, kan aanvullende informatie opleveren om criminelen met succes te kunnen identificeren en criminaliteit te kunnen bestrijden. Gezien de gevoeligheid van de gegevens in kwestie mag het alleen mogelijk zijn geautomatiseerde bevragingen uit te voeren met het oog op het voorkomen, opsporen of onderzoeken van een strafbaar feit dat volgens het recht van de verzoekende lidstaat strafbaar is met een maximale gevangenisstraf van ten minste één jaar.

(17)

De geautomatiseerde bevraging van biometrische gegevens tussen de bevoegde autoriteiten van de lidstaten die verantwoordelijk zijn voor het voorkomen, opsporen en onderzoeken van strafbare feiten uit hoofde van deze verordening, mag alleen betrekking hebben op gegevens in databanken die zijn opgezet voor het voorkomen, opsporen en onderzoeken van strafbare feiten.

(18)

De deelname aan de geautomatiseerde bevraging en uitwisseling van politiegegevens moet vrijwillig blijven. Wanneer lidstaten besluiten om eraan deel te nemen, moet het voor hen enkel mogelijk zijn om in een geest van wederkerigheid de databanken van andere lidstaten te doorzoeken als zij hun eigen databanken beschikbaar stellen voor zoekopdrachten door andere lidstaten. De deelnemende lidstaten moeten nationale politieregisters instellen. Het is aan de lidstaten om te beslissen welke voor het voorkomen, opsporen en onderzoeken van strafbare feiten opgezette nationale databanken zij gebruiken om hun nationale politieregisters aan te maken. Die registers bevatten gegevens uit nationale databanken die de politie doorgaans nagaat bij ontvangst van verzoeken om informatie van andere rechtshandhavingsinstanties. Deze verordening stelt het Europees Indexsysteem van politiegegevens (Epris) vast met inachtneming van het beginsel van privacy door ontwerp. Een van de waarborgen voor gegevensbescherming is pseudonimisering, aangezien de registers en zoekopdrachten geen duidelijke persoonsgegevens maar alfanumerieke tekenreeksen bevatten. Het is belangrijk dat Epris het de lidstaten of Europol onmogelijk maakt de pseudonimisering om te keren en de identificatiegegevens te onthullen die tot de match hebben geleid. Gezien de gevoeligheid van de gegevens in kwestie mag de uitwisseling van nationale politieregisters uit hoofde van deze verordening alleen betrekking hebben op de gegevens van personen die veroordeeld zijn voor of verdacht worden van het plegen van een strafbaar feit. Daarnaast mag het alleen mogelijk zijn geautomatiseerde bevragingen in nationale politieregisters uit te voeren met het oog op het voorkomen, opsporen of onderzoeken van een strafbaar feit dat uit hoofde van het recht van de verzoekende lidstaat strafbaar is met een maximale gevangenisstraf van ten minste één jaar.

(19)	De uitwisseling van politiegegevens uit hoofde van deze verordening laat de uitwisseling van strafregisters in het kader van het bestaande Europees Strafregisterinformatiesysteem (Ecris), dat werd ingesteld bij Kaderbesluit 2009/315/JBZ van de Raad (11), onverlet.

(20)

Europol heeft de afgelopen jaren van verschillende autoriteiten van derde landen in overeenstemming met Verordening (EU) 2016/794 een grote hoeveelheid biometrische gegevens ontvangen van verdachten en van personen die veroordeeld zijn voor terrorisme en strafbare feiten, waaronder informatie uit oorlogsgebieden. In veel gevallen konden dergelijke gegevens niet ten volle worden benut omdat zij niet altijd beschikbaar waren voor de bevoegde autoriteiten van de lidstaten. Het opnemen van door derde landen verstrekte en bij Europol opgeslagen gegevens in het Prüm II-kader en het aldus beschikbaar stellen van die gegevens aan bevoegde autoriteiten van lidstaten, in overeenstemming met de rol van Europol als centraal informatiecentrum over criminaliteit van de Unie, is noodzakelijk om ernstige strafbare feiten beter te kunnen voorkomen, opsporen en onderzoeken. Er wordt daardoor ook bijgedragen aan synergieën tussen verschillende rechtshandhavingsinstrumenten en gewaarborgd dat gegevens op de efficiëntste manier worden gebruikt.

(21)

Europol moet de databanken van de lidstaten binnen het Prüm II-kader kunnen doorzoeken aan de hand van gegevens die van autoriteiten van derde landen zijn ontvangen, met volledige inachtneming van de regels en voorwaarden die zijn vastgelegd in Verordening (EU) 2016/794, teneinde grensoverschrijdende verbanden tussen strafzaken vast te stellen waarvoor Europol bevoegd is. Door gebruik te kunnen maken van Prümgegevens, naast de andere databanken waarover Europol beschikt, zou het mogelijk moeten worden een volledigere en beter onderbouwde analyse te verrichten, waardoor Europol de bevoegde autoriteiten van de lidstaten beter kan ondersteunen bij het voorkomen, opsporen en onderzoeken van strafbare feiten.

(22)

Europol moet erop toezien dat zijn bevragingsverzoeken de door de lidstaten bepaalde bevragingscapaciteit voor dactyloscopische gegevens en voor gezichtsopnamen niet overschrijden. Bij een match tussen de voor de bevraging gebruikte gegevens en de gegevens in de databanken van de lidstaten, is het aan de lidstaten om te beslissen of zij Europol al dan niet de informatie verstrekken die het agentschap nodig heeft om zijn taken te vervullen.

(23)

Verordening (EU) 2016/794 is volledig van toepassing op de deelname van Europol aan het Prüm II-kader. Elk gebruik dat Europol maakt van gegevens die van derde landen zijn ontvangen, valt onder artikel 19 van Verordening (EU) 2016/794. Elk gebruik dat Europol maakt van gegevens die zijn verkregen via geautomatiseerde bevragingen binnen het Prüm II-kader, vereist de toestemming van de lidstaat die de gegevens heeft verstrekt, en valt onder artikel 25 van Verordening (EU) 2016/794 indien de gegevens worden doorgegeven aan derde landen.

(24)

De Besluiten 2008/615/JBZ en 2008/616/JBZ voorzien in een netwerk van bilaterale verbindingen tussen de nationale databanken van de lidstaten. Het gevolg van die technische architectuur is dat elke lidstaat een verbinding tot stand moest brengen met elke lidstaat die deelneemt aan de uitwisselingen, wat neerkwam op minstens 26 verbindingen per lidstaat, voor elke gegevenscategorie. Door de router en Epris zal de technische architectuur van het Prümkader worden vereenvoudigd en fungeren als verbindingspunten tussen alle lidstaten. De router vereist slechts één verbinding per lidstaat voor biometrische gegevens. Epris vereist slechts één verbinding per deelnemende lidstaat voor politiegegevens.

(25)

De router moet worden aangesloten op het Europees zoekportaal dat is ingesteld bij Verordeningen (EU) 2019/817 (12) en (EU) 2019/818 (13) van het Europees Parlement en de Raad, teneinde de bevoegde autoriteiten van de lidstaten en Europol in staat te stellen tegelijkertijd zoekopdrachten te starten in zowel de nationale databanken uit hoofde van deze verordening als het gemeenschappelijk identiteitsregister dat is ingesteld bij die verordeningen voor rechtshandhavingsdoeleinden, in overeenstemming met die verordeningen. Die verordeningen moeten derhalve dienovereenkomstig worden gewijzigd. Verordening (EU) 2019/818 moet bovendien worden gewijzigd met het oog op de opslag van verslagen en statistieken van de router in het centraal register voor rapportage en statistieken.

(26)	Het referentienummer voor biometrische gegevens kan een voorlopig referentienummer of een opdrachtcontrolenummer zijn.

(27)

Geautomatiseerde dactyloscopische identificatiesystemen en gezichtsopnameherkenningssystemen maken gebruik van biometrische templates met gegevens die zijn verkregen door kenmerken te extraheren uit concrete biometrische monsters. Biometrische templates moeten worden verkregen uit biometrische gegevens, maar het mag niet mogelijk zijn diezelfde biometrische gegevens te verkrijgen uit de biometrische templates.

(28)

Indien de verzoekende lidstaat daartoe heeft besloten en, in voorkomend geval, afhankelijk van het soort biometrische gegevens, moet de router de antwoorden van de aangezochte lidstaat of lidstaten of van Europol rangschikken door de voor de bevraging gebruikte biometrische gegevens te vergelijken met de in de antwoorden van de aangezochte lidstaat of lidstaten of van Europol verstrekte biometrische gegevens.

(29)

Bij een match tussen de voor de bevraging gebruikte gegevens en de gegevens in de nationale databanken van de aangezochte lidstaat of lidstaten, na een manuele bevestiging van de match door een gekwalificeerd personeelslid van de verzoekende lidstaat en na toezending van een beschrijving van de feiten en een vermelding van het ten grondslag liggende strafbare feit aan de hand van de gemeenschappelijke tabel van categorieën strafbare feiten zoals uiteengezet in een op grond van Kaderbesluit 2009/315/JBZ vast te stellen uitvoeringshandeling, moet door de aangezochte lidstaat via de router een beperkte reeks kerngegevens, in de mate waarin die gegevens beschikbaar zijn, worden teruggezonden, tenzij uit hoofde van het nationale recht rechterlijke toestemming is vereist. Die termijn zal zorgen voor een snelle uitwisseling van communicatie tussen de bevoegde autoriteiten van de lidstaten. De lidstaten moeten de controle behouden over de vrijgave van de beperkte reeks kerngegevens. Op cruciale punten in het proces moet menselijke tussenkomst behouden blijven, onder meer wat betreft het besluit om een zoekopdracht te starten, het besluit om een match te bevestigen, het besluit om een verzoek in te dienen om de reeks kerngegevens te ontvangen na een bevestigde match, en het besluit om persoonsgegevens te verstrekken aan de verzoekende lidstaat, teneinde te waarborgen dat er geen geautomatiseerde uitwisseling van kerngegevens zal plaatsvinden.

(30)

In het specifieke geval van DNA zou de aangezochte lidstaat ook een match tussen twee DNA-profielen moeten kunnen bevestigen, wanneer dat relevant is voor het onderzoek naar strafbare feiten. Na de bevestiging van die match door de aangezochte lidstaat en na toezending van een beschrijving van de feiten en een vermelding van het ten grondslag liggende strafbare feit aan de hand van de gemeenschappelijke tabel van categorieën strafbare feiten zoals bedoeld in een op grond van Kaderbesluit 2009/315/JBZ vast te stellen uitvoeringshandeling, moet de verzoekende lidstaat binnen 48 uur na het vervullen van de relevante voorwaarden via de router een beperkte reeks kerngegevens terugzenden, tenzij uit hoofde van het nationale recht rechterlijke toestemming is vereist.

(31)	Uit hoofde van deze verordening rechtmatig verstrekte en ontvangen gegevens zijn onderworpen aan de op grond van Richtlijn (EU) 2016/680 vastgestelde opslag- en beoordelingslimieten.

(32)

Voor zover van toepassing moet bij de ontwikkeling van de router en Epris gebruik worden gemaakt van de UMF-norm (Universal Message Format). Voor zover van toepassing moet bij elke geautomatiseerde uitwisseling van gegevens uit hoofde van deze verordening gebruik worden gemaakt van de UMF-norm. De bevoegde autoriteiten van de lidstaten en Europol worden ook aangemoedigd de UMF-norm te gebruiken voor alle verdere uitwisselingen van gegevens tussen hen onderling in de context van het Prüm II-kader. De UMF-norm moet gelden als norm voor de gestructureerde, grensoverschrijdende informatie-uitwisseling tussen informatiesystemen, autoriteiten en organisaties op het gebied van justitie en binnenlandse zaken.

(33)	Via het Prüm II-kader mag uitsluitend niet-gerubriceerde informatie worden uitgewisseld.

(34)

Elke lidstaat moet de andere lidstaten, de Commissie, het bij Verordening (EU) 2018/1726 van het Europees Parlement en de Raad (14) opgerichte Agentschap van de Europese Unie voor het operationeel beheer van grootschalige informatiesystemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) en Europol in kennis stellen van de inhoud van zijn nationale databanken die via het Prüm II-kader beschikbaar worden gesteld en van de voorwaarden voor geautomatiseerde bevraging.

(35)

Bepaalde aspecten van het Prüm II-kader kunnen vanwege hun technische, gedetailleerde en sterk veranderlijke aard niet uitputtend in deze verordening worden geregeld. Die aspecten omvatten bijvoorbeeld technische regelingen en specificaties voor geautomatiseerde bevragingsprocedures, de normen voor gegevensuitwisseling, waaronder minimumkwaliteitsnormen, en de uit te wisselen gegevenselementen. Teneinde eenvormige voorwaarden voor de uitvoering van deze verordening met betrekking tot dergelijke aspecten te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (15).

(36)

Gegevenskwaliteit is van het grootste belang als waarborg en essentiële voorwaarde om de efficiëntie van deze verordening te waarborgen. In het kader van de geautomatiseerde bevragingen van biometrische gegevens, en om ervoor te zorgen dat de kwaliteit van de doorgezonden gegevens toereikend is en om het risico op onjuiste matches te beperken, moet een minimale kwaliteitsnorm worden vastgesteld die regelmatig wordt herzien.

(37)

Gezien de omvang en gevoeligheid van de voor de toepassing van deze verordening uitgewisselde persoonsgegevens en het bestaan van verschillende nationale regels voor de opslag van informatie over personen in nationale databanken, moet erop worden toegezien dat de databanken die worden gebruikt voor de geautomatiseerde bevraging in het kader van deze verordening, worden opgezet overeenkomstig het nationale recht en Richtlijn (EU) 2016/680. Alvorens hun nationale databanken te koppelen aan de router of Epris, moeten de lidstaten derhalve een gegevensbeschermingseffectbeoordeling uitvoeren zoals bedoeld in Richtlijn (EU) 2016/680 en, waar passend, de in die richtlijn bedoelde toezichthoudende autoriteit raadplegen.

(38)

De lidstaten en Europol moeten toezien op de juistheid en relevantie van op grond van deze verordening verwerkte persoonsgegevens. Indien een lidstaat of Europol bemerkt dat verstrekte gegevens die onjuist of niet meer actueel zijn of niet hadden mogen worden verstrekt, moet dat zonder onnodige vertraging worden meegedeeld aan de lidstaat die de gegevens heeft ontvangen of aan Europol, waar van toepassing. Alle betrokken lidstaten of, in voorkomend geval, Europol, moeten de gegevens vervolgens zonder onnodige vertraging corrigeren of wissen. Indien de lidstaat die de gegevens heeft ontvangen of Europol reden heeft om aan te nemen dat de verstrekte gegevens onjuist zijn of gewist moeten worden, dan moet zij de lidstaat die de gegevens heeft verstrekt daarvan zonder onnodige vertraging op de hoogte worden gesteld.

(39)

Strikte monitoring van de uitvoering van deze verordening is van het grootste belang. Met name de naleving van de regels voor de verwerking van persoonsgegevens moet worden onderworpen aan effectieve waarborgen, en er moet worden gezorgd voor regelmatige monitoring en controles door verwerkingsverantwoordelijken, toezichthoudende autoriteiten en, indien van toepassing, de Europese Toezichthouder voor gegevensbescherming. Er moeten ook bepalingen zijn aan de hand waarvan een regelmatige controle van de toelaatbaarheid van zoekopdrachten en de rechtmatigheid van de gegevensverwerking mogelijk worden.

(40)

De toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming moeten zorgen voor gecoördineerd toezicht op de toepassing van deze verordening binnen het kader van hun verantwoordelijkheden, met name wanneer zij grote verschillen tussen de praktijken van de lidstaten of potentieel onrechtmatige gegevensdoorgiften vaststellen.

(41)	Bij de uitvoering van deze verordening is het van cruciaal belang dat de lidstaten en Europol kennisnemen van de rechtspraak van het Hof van Justitie van de Europese Unie met betrekking tot de uitwisseling van biometrische gegevens.

(42)

Drie jaar na de ingebruikname van de router en Epris, en vervolgens elke vier jaar, moet de Commissie een evaluatieverslag opstellen dat een beoordeling bevat van de toepassing van deze verordening door de lidstaten en Europol, met name van de naleving van de toepasselijke gegevensbeschermingswaarborgen. Evaluatieverslagen moeten ook een beoordeling bevatten van de resultaten die zijn behaald bij de doelstellingen van deze verordening en de gevolgen daarvan voor de grondrechten. Evaluatieverslag moeten ook het effect, de prestaties, de doeltreffendheid, de efficiëntie, de veiligheid en de werkmethoden van het Prüm II-kader evalueren.

(43)	Aangezien deze verordening voorziet in de instelling van een nieuw Prümkader, moeten de bepalingen van de Besluiten 2008/615/JBZ en 2008/616/JBZ die niet langer relevant zijn, worden geschrapt. Die besluiten moeten dienovereenkomstig worden gewijzigd.

(44)	Aangezien de router moet worden ontwikkeld en beheerd door eu-LISA, moet Verordening (EU) 2018/1726 worden gewijzigd door dat toe te voegen aan de taken van eu-LISA.

(45)

Daar de doelstellingen van deze verordening, namelijk de grensoverschrijdende politiële samenwerking opvoeren en de opsporing van vermiste personen en de identificatie van niet-geïdentificeerde stoffelijke resten mogelijk maken voor de bevoegde autoriteiten van de lidstaten, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de omvang en de gevolgen van de maatregel beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie (VEU) neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstellingen te verwezenlijken.

(46)	Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 betreffende de positie van Denemarken, dat aan het VEU en het VWEU is gehecht, neemt Denemarken niet deel aan de vaststelling van deze verordening en is deze niet bindend voor, noch van toepassing op die lidstaat.

(47)

Overeenkomstig artikel 3 van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, dat aan het VEU en het VWEU is gehecht, heeft Ierland kennisgegeven van zijn wens deel te nemen aan de vaststelling en toepassing van deze verordening.

(48)	Overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 is de Europese Toezichthouder voor gegevensbescherming geraadpleegd en op 2 maart 2022 heeft hij een advies uitgebracht (16),

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK 1

Algemene bepalingen

Artikel 1

Onderwerp

Deze verordening stelt een kader in voor de uitwisseling van informatie tussen de bevoegde autoriteiten van de lidstaten (het “Prüm II-kader”) door te voorzien in:

a)	de voorwaarden en procedures voor de geautomatiseerde bevraging van DNA-profielen, dactyloscopische gegevens, bepaalde voertuigregistratiegegevens, gezichtsopnamen en politiegegevens, en

b)	de regels voor de uitwisseling van kerngegevens na een bevestigde match met biometrische gegevens.

Artikel 2

Doel

Het Prüm II-kader beoogt het intensiveren van grensoverschrijdende samenwerking met betrekking tot aangelegenheden die vallen onder deel III, titel V, hoofdstukken 4 en 5, van het Verdrag betreffende de werking van de Europese Unie, en met name door de uitwisseling van informatie tussen de bevoegde autoriteiten van de lidstaten te vergemakkelijken, met volledige eerbiediging van de grondrechten van natuurlijke personen, met inbegrip van het recht op eerbiediging van het privéleven, en van het recht op bescherming van persoonsgegevens, overeenkomstig het Handvest van de grondrechten van de Europese Unie.

Het Prüm II-kader heeft ook tot doel de bevoegde autoriteiten van de lidstaten in staat te stellen vermiste personen op te sporen in het kader van strafrechtelijke onderzoeken of om humanitaire redenen en stoffelijke resten te identificeren overeenkomstig artikel 29, mits die autoriteiten bevoegd zijn om dergelijke zoekopdrachten uit te voeren en dergelijke identificaties uit hoofde van het nationale recht te verrichten.

Artikel 3

Toepassingsgebied

Deze verordening is van toepassing op de databanken die zijn opgezet overeenkomstig het nationale recht en worden gebruikt voor de geautomatiseerde overdracht van DNA-profielen, dactyloscopische gegevens, bepaalde voertuigregistratiegegevens, gezichtsopnamen en politiegegevens, in overeenstemming met, naargelang het geval, Richtlijn (EU) 2016/680, Verordening (EU) 2018/1725, Verordening (EU) 2016/794 of Verordening (EU) 2016/679.

Artikel 4

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1)	“loci” (enkelvoud: “locus”): DNA-locaties die identificatiekenmerken van een geanalyseerd menselijk DNA-monster bevatten;

2)	“DNA-profiel”: een letter- of cijfercode die een set loci of de specifieke moleculaire structuur op de verschillende loci vertegenwoordigt;

3)	“DNA-referentiegegevens”: een DNA-profiel en het in artikel 7 bedoelde referentienummer;

4)	“geïdentificeerd DNA-profiel”: het DNA-profiel van een geïdentificeerde persoon;

5)	“niet-geïdentificeerd DNA-profiel”: een DNA-profiel dat tijdens het onderzoek van strafbare feiten is verzameld en toebehoort aan een nog niet geïdentificeerde persoon, waaronder een uit sporen verkregen DNA-profiel;

“dactyloscopische gegevens”: beelden van vingerafdrukken, beelden van latente vingerafdrukken of beelden van handpalmafdrukken en beelden van latente handpalmafdrukken en de sjablonen (templates) van dergelijke beelden (gecodeerde minutiae), die zijn opgeslagen en verwerkt in een geautomatiseerde databank;

7)	“dactyloscopische referentiegegevens”: dactyloscopische gegevens en het in artikel 12 bedoelde referentienummer;

8)	“niet-geïdentificeerde dactyloscopische gegevens”: dactyloscopische gegevens die tijdens het onderzoek van een strafbaar feit zijn verzameld en toebehoren aan een nog niet geïdentificeerde persoon, waaronder uit sporen verkregen dactyloscopische gegevens;

9)	“geïdentificeerde dactyloscopische gegevens”: de dactyloscopische gegevens van een geïdentificeerde persoon;

10)	“individueel geval”: één dossier inzake het voorkomen, opsporen of onderzoeken van een strafbaar feit, de opsporing van een vermiste persoon of de identificatie van niet-geïdentificeerde stoffelijke resten;

11)	“gezichtsopname”: een digitale afbeelding van het gezicht;

12)	“gezichtsopnamereferentiegegevens”: een gezichtsopname en het in artikel 21 bedoelde referentienummer;

13)	“niet-geïdentificeerde gezichtsopname”: een gezichtsopname die tijdens het onderzoek van een strafbaar feit is verzameld en die toebehoort aan een nog niet geïdentificeerde persoon, waaronder een uit sporen verkregen gezichtsopname;

14)	“geïdentificeerde gezichtsopname”: de gezichtsopname van een geïdentificeerde persoon;

15)	“biometrische gegevens”: DNA-profielen, dactyloscopische gegevens of gezichtsopnamen;

16)	“alfanumerieke gegevens”: door letters, cijfers, speciale tekens, spaties en leestekens weergegeven gegevens;

17)	“match”: het bestaan van een overeenkomst als gevolg van een automatische vergelijking tussen in een databank opgeslagen persoonsgegevens;

18)	“kandidaat”: gegevens waarmee een match heeft plaatsgevonden;

19)	“verzoekende lidstaat”: een lidstaat die via het Prüm II-kader een zoekopdracht uitvoert;

20)	“aangezochte lidstaat”: een lidstaat in de databanken waarvan een verzoekende lidstaat een zoekopdracht uitvoert via het Prüm II-kader;

21)	“politiegegevens”: biografische gegevens van verdachten en veroordeelden die beschikbaar zijn in voor het voorkomen, opsporen en onderzoeken van strafbare feiten opgezette nationale databanken;

22)	“pseudonimisering”: pseudonimisering zoals gedefinieerd in artikel 3, punt 5), van Richtlijn (EU) 2016/680;

23)	“verdachte”: een persoon zoals bedoeld in artikel 6, punt a), van Richtlijn (EU) 2016/680;

24)	“persoonsgegevens”: persoonsgegevens zoals gedefinieerd in artikel 3, punt 1), van Richtlijn (EU) 2016/680;

25)	“Europolgegevens”: operationele persoonsgegevens die door Europol worden verwerkt overeenkomstig Verordening (EU) 2016/794;

26)

“bevoegde autoriteit”: elke overheidsinstantie die bevoegd is om strafbare feiten te voorkomen, op te sporen of te onderzoeken, of elk ander orgaan of lichaam dat door het recht van de lidstaat belast is met de uitoefening van openbaar gezag en overheidsbevoegdheden met het oog op het voorkomen, opsporen of onderzoeken van strafbare feiten;

27)	“toezichthoudende autoriteit”: een door een lidstaat op grond van artikel 41 van Richtlijn (EU) 2016/680 ingestelde onafhankelijke overheidsinstantie;

28)	“Siena”: de beveiligde netwerkapplicatie voor informatie-uitwisseling, beheerd en ontwikkeld door Europol overeenkomstig Verordening (EU) 2016/794;

29)	“incident”: een incident zoals gedefinieerd in artikel 6, punt 6), van Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad (17);

30)	“significant incident”: elk incident, tenzij het een beperkte impact heeft en het waarschijnlijk al goed in kaart is gebracht in termen van methode of technologie;

31)	“significante cyberdreiging”: een cyberdreiging met de mogelijkheid en het vermogen en waarvan het doel is om een significant incident te veroorzaken;

32)	“significante kwetsbaarheid”: een kwetsbaarheid die bij exploitatie waarschijnlijk tot een significant incident zal leiden.

HOOFDSTUK 2

Gegevensuitwisseling

Afdeling 1

DNA-profielen

Artikel 5

DNA-referentiegegevens

1. De lidstaten zorgen ervoor dat DNA-referentiegegevens uit hun nationale DNA-databanken beschikbaar zijn met het oog op geautomatiseerde bevraging door andere lidstaten en Europol op grond van deze verordening.

DNA-referentiegegevens mogen geen aanvullende gegevens bevatten waarmee een persoon rechtstreeks kan worden geïdentificeerd.

Niet-geïdentificeerde DNA-profielen worden als zodanig herkenbaar gemaakt.

2. DNA-referentiegegevens worden verwerkt overeenkomstig deze verordening en met inachtneming van het voor de verwerking van die gegevens geldende nationale recht.

3. De Commissie stelt een uitvoeringshandeling vast ter bepaling van de uit te wisselen identificatiekenmerken van een DNA-profiel. Die uitvoeringshandeling wordt vastgesteld volgens de in artikel 77, lid 2, bedoelde procedure.

Artikel 6

Geautomatiseerde bevraging van DNA-profielen

1. Met het oog op het onderzoeken van strafbare feiten voeren de lidstaten, wanneer zij via hun nationale contactpunten voor het eerst verbinding maken met de router, een geautomatiseerde bevraging uit door alle in hun DNA-databanken opgeslagen DNA-profielen te vergelijken met alle in de databanken van alle andere lidstaten opgeslagen DNA-profielen en met Europolgegevens. Elke lidstaat komt bilateraal met elke andere lidstaat en met Europol de regelingen voor die geautomatiseerde bevragingen overeen overeenkomstig de in deze verordening vastgestelde regels en procedures.

2. Met het oog op het onderzoeken van strafbare feiten voeren de lidstaten, via hun nationale contactpunten, geautomatiseerde bevragingen uit door alle nieuwe aan hun DNA-databanken toegevoegde DNA-profielen te vergelijken met alle in de databanken van alle andere lidstaten opgeslagen DNA-profielen en met Europolgegevens.

3. Indien dergelijke in lid 2 bedoelde bevragingen niet konden plaatsvinden, kan de betrokken lidstaat ook bilateraal met elke andere lidstaat en met Europol overeenkomen die op een later tijdstip uit te voeren door DNA-profielen te vergelijken met alle in de DNA-databanken van alle andere lidstaten opgeslagen DNA-profielen en met Europolgegevens. De betrokken lidstaat komt bilateraal met elke andere lidstaat en met Europol de regelingen voor die geautomatiseerde bevragingen overeen overeenkomstig de in deze verordening vastgestelde regels en procedures.

4. In de leden 1, 2 en 3, bedoelde bevragingen worden slechts uitgevoerd in het kader van individuele gevallen en met inachtneming van het nationale recht van de verzoekende lidstaat.

5. Indien bij een geautomatiseerde bevraging wordt vastgesteld dat een verstrekt DNA-profiel een match vertoont met een in de databank of databanken van de aangezochte lidstaat opgeslagen DNA-profiel, dan ontvangt het nationale contactpunt van de verzoekende lidstaat op geautomatiseerde wijze de DNA-referentiegegevens waarmee een match is vastgesteld.

6. Het nationale contactpunt van de verzoekende lidstaat kan beslissen een match tussen twee DNA-profielen te bevestigen. Indien het beslist om een match tussen twee DNA-profielen te bevestigen, stelt het de aangezochte lidstaat daarvan in kennis en zorgt het ervoor dat er minstens één gekwalificeerd personeelslid een handmatige beoordeling verricht om die match met van de aangezochte lidstaat ontvangen DNA-referentiegegevens te bevestigen.

7. Indien dat relevant is voor het onderzoeken van strafbare feiten, kan het nationale contactpunt van de aangezochte lidstaat beslissen een match tussen twee DNA-profielen te bevestigen. Indien het beslist om een match tussen twee DNA-profielen te bevestigen, stelt het de verzoekende lidstaat daarvan in kennis en zorgt het ervoor dat er minstens één gekwalificeerd personeelslid een handmatige beoordeling verricht om die match met van de verzoekende lidstaat ontvangen DNA-referentiegegevens te bevestigen.

Artikel 7

Referentienummers voor DNA-profielen

De referentienummers voor DNA-profielen zijn een combinatie van:

een referentienummer aan de hand waarvan de lidstaten bij een match nadere gegevens en overige informatie uit hun in artikel 5 bedoelde nationale DNA-databanken kunnen opvragen en overeenkomstig artikel 47 aan één, meerdere of alle andere lidstaten of overeenkomstig artikel 49, lid 6, aan Europol verstrekken;

b)	een referentienummer aan de hand waarvan Europol bij een match nadere gegevens en overige informatie voor de toepassing van artikel 48, lid 1, van deze verordening kan opvragen om die overeenkomstig Verordening (EU) 2016/794, aan één, meerdere of alle lidstaten te verstrekken;

c)	een code ter aanduiding van de lidstaat waarbij het DNA-profiel berust;

d)	een code ter aanduiding of het DNA-profiel een geïdentificeerd DNA-profiel of een niet-geïdentificeerd DNA-profiel is.

Artikel 8

Beginselen voor de uitwisseling van DNA-profielen

1. De lidstaten nemen passende maatregelen, waaronder versleuteling, om de vertrouwelijkheid en de integriteit van naar andere lidstaten of Europol gezonden DNA-referentiegegevens te waarborgen. Europol neemt passende maatregelen, waaronder versleuteling, om de vertrouwelijkheid en de integriteit van naar andere lidstaten gezonden DNA-referentiegegevens te waarborgen.

2. Alle lidstaten en Europol zien erop toe dat de kwaliteit van de verstrekte DNA-profielen toereikend is voor geautomatiseerde vergelijking. De Commissie stelt door middel van uitvoeringshandelingen een minimumkwaliteitsnorm vast voor het vergelijken van DNA-profielen.

3. De Commissie stelt uitvoeringshandelingen ter bepaling van de relevante Europese of internationale normen die de lidstaten en Europol gebruiken voor de uitwisseling van DNA-referentiegegevens.

4. De in de leden 2 en 3 van dit artikel bedoelde uitvoeringshandelingen worden vastgesteld volgens de in artikel 77, lid 2, bedoelde onderzoeksprocedure.

Artikel 9

Voorschriften voor verzoeken en antwoorden betreffende DNA-profielen

1. Een verzoek om geautomatiseerde bevraging van DNA-profielen bevat uitsluitend de volgende informatie:

a)	de code van de verzoekende lidstaat;

b)	de datum, de tijd en het nummer van het verzoek;

c)	DNA-referentiegegevens;

d)	of de DNA-profielen die worden overgedragen niet-geïdentificeerde DNA-profielen of geïdentificeerde DNA-profielen zijn.

2. Een antwoord op een in lid 1 bedoeld verzoek bevat uitsluitend de volgende informatie:

a)	een indicatie of er sprake is van één of meer matches of geen matches;

b)	de datum, de tijd en het nummer van het verzoek;

c)	de datum, de tijd en het nummer van het antwoord;

d)	de codes van de verzoekende en de aangezochte lidstaat;

e)	de referentienummers van de DNA-profielen van de verzoekende en de aangezochte lidstaat;

f)	of de DNA-profielen die worden overgedragen niet-geïdentificeerde DNA-profielen of geïdentificeerde DNA-profielen zijn;

g)	de DNA-profielen die een match vertonen.

3. Er wordt slechts geautomatiseerd melding gemaakt van een match indien de geautomatiseerde bevraging een match heeft opgeleverd voor een minimumaantal loci. Ter bepaling van het minimumaantal loci stelt de Commissie uitvoeringshandelingen vast volgens de in artikel 77, lid 2, bedoelde onderzoeksprocedure.

4. Indien een bevraging met niet-geïdentificeerde DNA-profielen tot een match leidt, kan elke aangezochte lidstaat met gegevens die een match vertonen in zijn nationale databank een markering opnemen waaruit blijkt dat er na de bevraging van een andere lidstaat een match is geweest voor dat DNA-profiel. De markering bevat het referentienummer van het DNA-profiel dat door de verzoekende lidstaat wordt gebruikt.

5. De lidstaten zorgen ervoor dat in lid 1 van dit artikel bedoelde verzoeken in overeenstemming zijn met de op grond van artikel 74 ingediende kennisgevingen. Die kennisgevingen worden opgenomen in de in artikel 79 bedoelde handleiding.

Afdeling 2

Dactyloscopische gegevens

Artikel 10

Dactyloscopische referentiegegevens

1. De lidstaten zorgen ervoor dat de dactyloscopische referentiegegevens uit hun voor het voorkomen, opsporen en onderzoeken van strafbare feiten opgezette nationale databanken beschikbaar zijn.

2. Dactyloscopische referentiegegevens mogen geen aanvullende gegevens bevatten waarmee een persoon rechtstreeks kan worden geïdentificeerd.

3. Niet-geïdentificeerde dactyloscopische gegevens worden als zodanig herkenbaar gemaakt.

Artikel 11

Geautomatiseerde bevraging van dactyloscopische gegevens

1. Met het oog op het voorkomen, opsporen en onderzoeken van strafbare feiten verlenen de lidstaten de nationale contactpunten van de andere lidstaten en Europol toegang tot de dactyloscopische referentiegegevens van hun nationale databanken die zij daartoe hebben opgezet, zulks met het oog op het uitvoeren van geautomatiseerde bevragingen door middel van een vergelijking met dactyloscopische referentiegegevens.

De in de eerste alinea bedoelde bevragingen worden slechts uitgevoerd in het kader van individuele gevallen en met inachtneming van het nationale recht van de verzoekende lidstaat.

2. Het nationale contactpunt van de verzoekende lidstaat kan beslissen een match tussen twee sets van dactyloscopische gegevens te bevestigen. Indien het beslist om een match tussen twee sets van dactyloscopische gegevens te bevestigen, stelt het de aangezochte lidstaat daarvan in kennis en zorgt het ervoor dat er minstens één gekwalificeerd personeelslid een handmatige beoordeling verricht om die match met van de aangezochte lidstaat ontvangen dactyloscopische referentiegegevens te bevestigen.

Artikel 12

Referentienummers voor dactyloscopische gegevens

De referentienummers voor dactyloscopische gegevens zijn een combinatie van:

een referentienummer aan de hand waarvan de lidstaten bij een match nadere gegevens en overige informatie uit hun in artikel 10 bedoelde databanken kunnen opvragen en overeenkomstig artikel 47 aan één, meerdere of alle andere lidstaten, of overeenkomstig artikel 49, lid 6, aan Europol, kunnen verstrekken;

b)	een referentienummer aan de hand waarvan Europol bij een match nadere gegevens en overige informatie voor de toepassing van artikel 48, lid 1, van deze verordening kan opvragen om die overeenkomstig Verordening (EU) 2016/794, aan één, meerdere of alle lidstaten te verstrekken;

c)	een code ter aanduiding van de lidstaat die over de dactyloscopische gegevens beschikt.

Artikel 13

Beginselen voor de uitwisseling van dactyloscopische gegevens

1. De lidstaten en Europol nemen passende maatregelen, waaronder versleuteling, om de vertrouwelijkheid en de integriteit van de naar andere lidstaten of Europol verzonden dactyloscopische gegevens te waarborgen. Europol neemt passende maatregelen, waaronder versleuteling, om de vertrouwelijkheid en de integriteit van naar andere lidstaten gezonden dactyloscopische gegevens te waarborgen.

2. Alle lidstaten en Europol zorgen ervoor dat de dactyloscopische gegevens die zij verstrekken van voldoende kwaliteit zijn voor geautomatiseerde vergelijking. De Commissie stelt uitvoeringshandelingen vast ter bepaling van een minimumkwaliteitsnorm voor het vergelijken van dactyloscopische gegevens.

3. Dactyloscopische gegevens worden gedigitaliseerd en aan de andere lidstaten of aan Europol verstrekt conform Europese of internationale normen. De Commissie stelt uitvoeringshandelingen vast ter bepaling van de relevante Europese of internationale normen die de lidstaten en Europol moeten gebruiken voor de uitwisseling van dactyloscopische gegevens.

4. De in de leden 2 en 3 van dit artikel bedoelde uitvoeringshandelingen worden vastgesteld volgens de in artikel 77, lid 2, bedoelde onderzoeksprocedure.

Artikel 14

Bevragingscapaciteit voor dactyloscopische gegevens

1. Elke lidstaat zorgt ervoor dat zijn bevragingsverzoeken de door de aangezochte lidstaat of Europol bepaalde bevragingscapaciteit niet overtreffen, teneinde ervoor te zorgen dat het systeem steeds beschikbaar is en niet overbelast wordt. Met hetzelfde doel zorgt Europol ervoor dat zijn bevragingsverzoeken de door de aangezocht lidstaat bepaalde bevragingscapaciteit niet overtreffen.

De lidstaten stellen de andere lidstaten, de Commissie, eu-LISA en Europol, in kennis van hun maximale bevragingscapaciteit per dag voor geïdentificeerde en niet-geïdentificeerde dactyloscopische gegevens. Europol stelt de lidstaten, de Commissie en eu-LISA in kennis van zijn maximale bevragingscapaciteit per dag voor geïdentificeerde en niet-geïdentificeerde dactyloscopische gegevens. De lidstaten of Europol kunnen die bevragingscapaciteit te allen tijde, waaronder in een dringend geval, tijdelijk of permanent verhogen. Wanneer een lidstaat die maximale bevragingscapaciteit verhoogt, stelt hij de andere lidstaten, de Commissie, eu-LISA en Europol in kennis van de nieuwe maximale bevragingscapaciteit. Wanneer Europol die die maximale bevragingscapaciteit verhoogt, stelt hij de lidstaten, de Commissie, eu-LISA en Europol in kennis van de nieuwe maximale bevragingscapaciteit.

2. Ter bepaling van het maximumaantal te vergelijken kandidaten dat per bevraging wordt geaccepteerd en van de verdeling van ongebruikte bevragingscapaciteit onder de lidstaten, stelt de Commissie uitvoeringshandelingen vast volgens de in artikel 77, lid 2, bedoelde onderzoeksprocedure.

Artikel 15

Voorschriften voor verzoeken en antwoorden in verband met dactyloscopische gegevens

1. Verzoeken om geautomatiseerde bevraging van dactyloscopische gegevens bevatten uitsluitend de volgende informatie:

a)	de code van de verzoekende lidstaat;

b)	de datum, de tijd en het nummer van het verzoek;

c)	dactyloscopische referentiegegevens.

2. Een antwoord op een in lid 1 bedoeld verzoek bevat uitsluitend de volgende informatie:

a)	een indicatie of er sprake is van één of meer matches of geen matches;

b)	de datum, de tijd en het nummer van het verzoek;

c)	de datum, de tijd en het nummer van het antwoord;

d)	de codes van de verzoekende en de aangezochte lidstaten;

e)	de referentienummers van de dactyloscopische gegevens van de verzoekende en de aangezochte lidstaten;

f)	de dactyloscopische gegevens die een match vertonen.

3. De lidstaten zorgen ervoor dat in lid 1 van dit artikel bedoelde verzoeken in overeenstemming zijn met de op grond van artikel 74 verzonden kennisgevingen. Die kennisgevingen worden opgenomen in de handleiding zoals bedoeld in artikel 79.

Afdeling 3

Voertuigregistratiegegevens

Artikel 16

Geautomatiseerde bevraging van voertuigregistratiegegevens

1. Met het oog op het voorkomen, opsporen en onderzoeken van strafbare feiten verlenen de lidstaten de nationale contactpunten van andere lidstaten en Europol toegang tot de volgende nationale voertuigregistratiegegevens om in individuele gevallen geautomatiseerde bevragingen uit te voeren:

a)	gegevens met betrekking tot de eigenaar of houder van het voertuig;

b)	gegevens met betrekking tot het voertuig.

2. In lid 1 bedoelde bevragingen worden uitsluitend uitgevoerd met de volgende gegevens:

a)	een volledig chassisnummer,

b)	een volledig registratienummer of,

c)	gegevens van de eigenaar of houder van het voertuig indien het nationale recht van de aangezochte lidstaat dat toestaat.

3. In lid 1 bedoelde bevragingen die werden uitgevoerd met gegevens betreffende de eigenaar of houder van het voertuig worden uitsluitend uitgevoerd in het geval van verdachten of veroordeelde personen. Voor dergelijke bevragingen worden alle volgende identificatiegegevens gebruikt:

indien de eigenaar of houder van het voertuig een natuurlijke persoon is:

i)	de voornaam of voornamen van de natuurlijke persoon;

ii)	de familienaam of familienamen van de natuurlijke persoon, en

iii)	de geboortedatum van de natuurlijke persoon;

b)	indien de eigenaar of houder van het voertuig een rechtspersoon is, de naam van die rechtspersoon.

4. In lid 1 bedoelde bevragingen worden uitsluitend uitgevoerd met inachtneming van het nationale recht van de verzoekende lidstaat.

Artikel 17

Beginselen inzake geautomatiseerde bevraging van voertuigregistratiegegevens

1. Voor de geautomatiseerde bevraging van voertuigregistratiegegevens maken de lidstaten gebruik van het Europees voertuig- en rijbewijsinformatiesysteem (Eucaris).

2. De via Eucaris uitgewisselde informatie wordt in versleutelde vorm overgedragen.

3. De Commissie stelt uitvoeringshandelingen vast ter bepaling van de gegevenselementen van de voertuigregistratiegegevens die kunnen worden uitgewisseld en de technische procedure aan de hand waarvan Eucaris de databanken van de lidstaten doorzoekt. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 77, lid 2, bedoelde onderzoeksprocedure.

Artikel 18

Bijhouden van logbestanden

1. Elke lidstaat houdt logbestanden bij van de zoekopdrachten die zijn verricht door de personeelsleden van zijn bevoegde autoriteiten die naar behoren zijn gemachtigd tot het uitwisselen van voertuigregistratiegegevens en houdt tevens logbestanden bij van door andere lidstaten gevraagde zoekopdrachten. Europol houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

Alle lidstaten en Europol houden logbestanden bij van alle gegevensverwerkingsverrichtingen met betrekking tot voertuigregistratiegegevens. Die logbestanden bevatten de volgende gegevens:

a)	of het een lidstaat of Europol was die het verzoek om een zoekopdracht heeft ingediend; de betrokken lidstaat indien het een lidstaat was die het verzoek om een zoekopdracht heeft ingediend;

b)	de datum en het tijdstip van het verzoek;

c)	de datum en het tijdstip van het antwoord;

d)	de nationale databanken waarnaar een verzoek om een zoekopdracht werd verzonden;

e)	de nationale databanken die een positief antwoord hebben verstrekt.

2. De in lid 1 bedoelde logbestanden worden uitsluitend gebruikt voor het verzamelen van statistieken, voor het toezicht op de gegevensbescherming, waaronder het verifiëren van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, en voor het waarborgen van de beveiliging en de integriteit van de gegevens. Die logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en worden drie jaar na het aanmaken ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist zodra de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

3. Voor het toezicht op de gegevensbescherming, waaronder het verifiëren van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, hebben de verwerkingsverantwoordelijken toegang tot de logbestanden voor interne monitoring zoals bedoeld in artikel 55.

Afdeling 4

Gezichtsopnamen

Artikel 19

Gezichtsopnamereferentiegegevens

1. De lidstaten zien erop toe dat gezichtsopnamereferentiegegevens van verdachten, van veroordeelden en, indien toegestaan uit hoofde van het nationale recht, van slachtoffers, beschikbaar zijn uit hun voor het voorkomen, opsporen en onderzoeken van strafbare feiten opgezette nationale databanken.

2. Gezichtsopnamereferentiegegevens mogen geen aanvullende gegevens bevatten aan de hand waarvan een persoon rechtstreeks kan worden geïdentificeerd.

3. Niet-geïdentificeerde gezichtsopnamen moeten als zodanig herkenbaar zijn.

Artikel 20

Geautomatiseerde bevraging van gezichtsopnamen

1. Met het oog op het voorkomen, opsporen en onderzoeken van strafbare feiten die volgens het recht van de verzoekende lidstaat strafbaar zijn met een maximale gevangenisstraf van ten minste één jaar, verlenen de lidstaten de nationale contactpunten van andere lidstaten en Europol toegang tot de in hun nationale databanken opgeslagen gezichtsopnamereferentiegegevens om geautomatiseerde bevragingen uit te voeren.

In de eerste alinea bedoelde bevragingen worden uitsluitend uitgevoerd in het kader van individuele gevallen en met inachtneming van het nationale recht van de verzoekende lidstaat.

Profilering zoals bedoeld in artikel 11, lid 3, van Richtlijn (EU) 2016/680 is verboden.

2. Het nationale contactpunt van de verzoekende lidstaat kan beslissen een match tussen twee gezichtsopnamen te bevestigen. Indien het beslist om een match tussen twee gezichtsopnamen te bevestigen, stelt het de aangezochte lidstaat daarvan in kennis en zorgt het ervoor dat minstens één gekwalificeerd personeelslid een handmatige beoordeling verricht met het oog op bevestiging van die match met van de aangezochte lidstaat ontvangen gezichtsopnamereferentiegegevens.

Artikel 21

Referentienummers voor gezichtsopnamen

De referentienummers voor gezichtsopnamen zijn een combinatie van:

een referentienummer aan de hand waarvan de lidstaten bij een match nadere gegevens en overige informatie uit hun in artikel 19 bedoelde databanken kunnen opvragen en overeenkomstig artikel 47 aan één, meerdere of alle andere lidstaten of overeenkomstig artikel 49, lid 6, aan Europol kunnen verstrekken;

b)	een referentienummer aan de hand waarvan Europol bij een match nadere gegevens en overige informatie voor de toepassing van artikel 48, lid 1, van deze verordening kan opvragen om die overeenkomstig Verordening (EU) 2016/794, aan één, meerdere of alle andere lidstaten te verstrekken;

c)	een code ter aanduiding van de lidstaat die over de gezichtsopnamen beschikt.

Artikel 22

Beginselen voor de uitwisseling van gezichtsopnamen

1. De lidstaten nemen passende maatregelen, waaronder versleuteling, om de vertrouwelijkheid en de integriteit van de naar andere lidstaten of Europol verzonden gezichtsopnamen te waarborgen. Europol neemt passende maatregelen, waaronder versleuteling, om de vertrouwelijkheid en de integriteit van de naar andere lidstaten verzonden gezichtsopnamen te waarborgen.

2. Alle lidstaten en Europol zorgen ervoor dat de kwaliteit van de verstrekte gezichtsopnamen toereikend is voor geautomatiseerde vergelijking. De Commissie stelt door middel van uitvoeringshandelingen een minimumkwaliteitsnorm vast voor het vergelijken van gezichtsopnamen. Indien uit het in artikel 80, lid 7, bedoelde verslag blijkt dat er een hoog risico op onjuiste matches bestaat, herziet de Commissie die uitvoeringshandelingen.

3. De Commissie stelt uitvoeringshandelingen vast tot nadere bepaling van de relevante Europese of internationale normen die de lidstaten en Europol moeten gebruiken voor de uitwisseling van gezichtsopnamen.

4. De in de leden 2 en 3 van dit artikel bedoelde uitvoeringshandelingen worden vastgesteld volgens de in artikel 77, lid 2, bedoelde onderzoeksprocedure.

Artikel 23

Bevragingscapaciteit voor gezichtsopnamen

De lidstaten stellen de andere lidstaten, de Commissie, eu-LISA, en Europol in kennis van hun maximale bevragingscapaciteit per dag voor geïdentificeerde en niet-geïdentificeerde gezichtsopnamen. Europol stelt de lidstaten, de Commissie en eu-LISA in kennis van zijn maximale bevragingscapaciteit per dag voor geïdentificeerde en niet-geïdentificeerde gezichtsopnamen. De lidstaten of Europol kunnen de bevragingscapaciteit te allen tijde, waaronder in een dringend geval, tijdelijk of permanent verhogen. Wanneer een lidstaat die maximale bevragingscapaciteit verhoogt, stelt hij de andere lidstaten, de Commissie, eu-LISA en Europol in kennis van de nieuwe maximale bevragingscapaciteit. Wanneer Europol die maximale bevragingscapaciteit verhoogt, stelt hij de lidstaten, de Commissie en eu-LISA in kennis van de nieuwe maximale bevragingscapaciteit.

2. De Commissie stelt uitvoeringshandelingen vast volgens de in artikel 77, lid 2, bedoelde onderzoeksprocedure tot nadere bepaling van het maximumaantal te vergelijken kandidaten dat per bevraging wordt geaccepteerd en van de verdeling van ongebruikte bevragingscapaciteit onder de lidstaten.

Artikel 24

Voorschriften voor verzoeken en antwoorden in verband met gezichtsopnamen

1. Een verzoek om geautomatiseerde bevraging voor gezichtsopnamen bevat uitsluitend de volgende informatie:

a)	de code van de verzoekende lidstaat;

b)	de datum, de tijd en het nummer van het verzoek;

c)	gezichtsopnamereferentiegegevens.

2. Een antwoord op een in lid 1 bedoeld verzoek bevat uitsluitend de volgende informatie:

a)	een indicatie of er sprake is van één of meer matches of geen matches;

b)	de datum, de tijd en het nummer van het verzoek;

c)	de datum, de tijd en het nummer van het antwoord;

d)	de codes van de verzoekende en de aangezochte lidstaten;

e)	de referentienummers van de gezichtsopnamen van de verzoekende en de aangezochte lidstaten;

f)	de gezichtsopnamen die een match vertonen.

3. De lidstaten zorgen ervoor dat in lid 1 van dit artikel bedoelde verzoeken in overeenstemming zijn met de op grond van artikel 74 ingediende kennisgevingen. Die kennisgevingen worden opgenomen in de in artikel 79 bedoelde handleiding.

Afdeling 5

Politiegegevens

Artikel 25

Politiegegevens

1. De lidstaten kunnen deelnemen aan de geautomatiseerde uitwisseling van politiegegevens. Met het oog op dergelijke uitwisselingen zorgen de deelnemende lidstaten ervoor dat nationale politieregisters beschikbaar zijn die reeksen biografische gegevens van verdachte en veroordeelde personen bevatten afkomstig uit hun nationale databanken die zijn opgezet voor het voorkomen, opsporen en onderzoeken van strafbare feiten. Die gegevensreeksen bevatten uitsluitend de volgende gegevens, voor zover zij beschikbaar zijn:

a)	voornaam of voornamen;

b)	familienaam of familienamen;

c)	alias of aliassen en een voorheen gebruikte naam of voorheen gebruikte namen;

d)	geboortedatum;

e)	nationaliteit of nationaliteiten;

f)	geboorteland;

geslacht.

2. De in lid 1, punten a), b) en c), bedoelde gegevens worden gepseudonimiseerd.

Artikel 26

Geautomatiseerde bevraging van nationale politieregisters

Ten behoeve van het voorkomen, opsporen en onderzoeken van strafbare feiten die volgens het recht van de verzoekende lidstaat strafbaar zijn met een maximale gevangenisstraf van ten minste één jaar, verlenen de lidstaten die deelnemen aan de geautomatiseerde uitwisseling van politiegegevens de nationale contactpunten van andere deelnemende lidstaten en Europol toegang tot de in hun nationale politieregisters opgeslagen gegevens om geautomatiseerde bevragingen uit te voeren.

In de eerste alinea bedoelde bevragingen worden uitsluitend uitgevoerd in het kader van individuele gevallen en met inachtneming van het nationale recht van de verzoekende lidstaat.

Artikel 27

Referentienummers voor politiegegevens

De referentienummers voor politiegegevens zijn een combinatie van:

a)	een referentienummer aan de hand waarvan de lidstaten bij een match biografische gegevens en overige informatie uit hun in artikel 25 bedoelde nationale politieregisters kunnen opvragen om die overeenkomstig artikel 44 aan één, meerdere of alle andere lidstaten te verstrekken;

b)	een code ter aanduiding van de lidstaat die over de politiegegevens beschikt.

Artikel 28

Voorschriften voor verzoeken en antwoorden in verband met politiegegevens

1. Een verzoek om geautomatiseerde bevraging van nationale politieregisters bevat uitsluitend de volgende informatie:

a)	de code van de verzoekende lidstaat;

b)	de datum, de tijd en het nummer van het verzoek;

c)	de in artikel 25 bedoelde gegevens, voor zover zij beschikbaar zijn.

2. Een antwoord op een in lid 1 bedoeld verzoek bevat uitsluitend de volgende informatie:

a)	een indicatie van het aantal matches;

b)	de datum, de tijd en het nummer van het verzoek;

c)	de datum, de tijd en het nummer van het antwoord;

d)	de codes van de verzoekende en de aangezochte lidstaten;

e)	de referentienummers van de politiegegevens van de aangezochte lidstaten.

Afdeling 6

Gemeenschappelijke bepalingen

Artikel 29

Vermiste personen en niet-geïdentificeerde stoffelijke resten

1. Een nationale autoriteit kan, mits zij daartoe op grond van zoals in lid 2 bedoelde nationale wetgevingsmaatregelen is gemachtigd, uitsluitend geautomatiseerde bevragingen via het Prüm II-kader uitvoeren voor de volgende doeleinden:

a)	opsporing van vermiste personen in het kader van strafrechtelijke onderzoeken of om humanitaire redenen;

b)	identificatie van stoffelijke resten.

2. Lidstaten die gebruik wensen te maken van de in lid 1 bedoelde mogelijkheid wijzen door middel van nationale wetgevingsmaatregelen de voor de daarin vastgestelde doeleinden bevoegde nationale autoriteiten aan en voorzien in de procedures, voorwaarden en criteria, waaronder de humanitaire redenen op grond waarvan het is toegestaan om geautomatiseerde bevragingen uit te voeren voor vermiste personen zoals bedoeld in lid 1, punt a).

Artikel 30

Nationale contactpunten

Elke lidstaat wijst een of meer nationale contactpunten aan voor de toepassing van de artikelen 6, 11, 16, 20 en 26.

Artikel 31

Uitvoeringsmaatregelen

De Commissie stelt uitvoeringsbepalingen vast ter bepaling van de technische regelingen voor de lidstaten ten aanzien van de in de artikelen 6, 11, 16, 20 en 26 vastgestelde procedures. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 77, lid 2, bedoelde onderzoeksprocedure.

Artikel 32

Beschikbaarheid van de geautomatiseerde gegevensuitwisseling op nationaal niveau

1. De lidstaten nemen alle nodige maatregelen om ervoor te zorgen dat de geautomatiseerde bevraging van DNA-profielen, dactyloscopische gegevens, bepaalde voertuigregistratiegegevens, gezichtsopnamen en politiegegevens 24 uur per dag en zeven dagen per week mogelijk is.

2. De nationale contactpunten stellen de andere nationale contactpunten, de Commissie, eu-LISA en Europol onmiddellijk in kennis van de onbeschikbaarheid van de geautomatiseerde gegevensuitwisseling, en, indien van toepassing, van technische problemen die die onbeschikbaarheid veroorzaken.

De nationale contactpunten komen overeenkomstig het toepasselijke Unie- en nationale recht tijdelijke alternatieve informatie-uitwisselingsregelingen overeen die moeten worden gebruikt wanneer de geautomatiseerde gegevensuitwisseling niet beschikbaar is.

3. Wanneer de geautomatiseerde gegevensuitwisseling niet beschikbaar is, zorgen de nationale contactpunten ervoor dat zij onverwijld met alle noodzakelijke middelen wordt hersteld.

Artikel 33

Redenen voor de gegevensverwerking

1. Elke lidstaat houdt de redenen bij waarom zijn bevoegde autoriteiten zoekopdrachten uitvoeren.

Europol houdt de redenen bij waarom het zoekopdrachten uitvoert.

2. De in lid 1 bedoelde redenen vermelden:

a)	het doel van de zoekopdracht, met een verwijzing naar de specifieke zaak of het specifieke onderzoek en, in voorkomend geval, het strafbare feit;

b)	een indicatie of de zoekopdracht betrekking heeft op een verdachte of een wegens een strafbaar feit veroordeelde persoon, op een slachtoffer van een strafbaar feit, op een vermiste persoon of op niet-geïdentificeerde stoffelijke resten;

c)	een indicatie of de zoekopdracht bedoeld is om een persoon te identificeren of om meer gegevens over een bekende persoon te verkrijgen.

3. De in lid 1 van dit artikel bedoelde redenen voor de verwerking zijn traceerbaar naar de in de artikelen 18, 40 en 45 bedoelde logbestanden. Die redenen worden uitsluitend gebruikt om te beoordelen of de zoekopdrachten evenredig en noodzakelijk zijn met het oog op het voorkomen, opsporen of onderzoeken van een strafbaar feit en voor het toezicht op de gegevensbescherming, waaronder de verificatie van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, en voor het waarborgen van de beveiliging en de integriteit van de gegevens. Die redenen worden met passende maatregelen tegen ongeoorloofde toegang beschermd en worden drie jaar na het aanmaken ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist zodra de opgave van redenen niet langer nodig is voor de monitoringprocedures.

4. Om te beoordelen of de zoekopdrachten evenredig en noodzakelijk zijn met het oog op het voorkomen, opsporen of onderzoeken van een strafbaar feit of met het oog op het toezicht op de gegevensbescherming, waaronder de verificatie van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, hebben de verwerkingsverantwoordelijken toegang tot die redenen voor interne monitoring zoals bedoeld in artikel 55.

Artikel 34

Gebruik van het Universal Message Format

1. Voor zover mogelijk wordt bij de ontwikkeling van de in artikel 35 van deze verordening bedoelde router en het Europees Indexsysteem van politiegegevens (Epris) gebruikgemaakt van de bij artikel 38 van Verordening (EU) 2019/818 vastgestelde UMF-norm (Universal Message Format).

2. Voor zover mogelijk wordt bij elke geautomatiseerde uitwisseling van gegevens overeenkomstig deze verordening gebruikgemaakt van de UMF-norm.

HOOFDSTUK 3

Architectuur

Afdeling 1

Router

Artikel 35

De router

1. Er wordt een router opgezet ter facilitering van de totstandbrenging overeenkomstig deze verordening van verbindingen tussen de lidstaten, en tussen de lidstaten en Europol, met het oog op het doorzoeken met biometrische gegevens, het opvragen van die gegevens en het bepalen van het matchingpercentage van die gegevens, en op het opvragen van alfanumerieke gegevens.

2. De router bestaat uit:

a)	een centrale infrastructuur, met inbegrip van een zoekinstrument waarmee de in de artikelen 5, 10 en 19 bedoelde nationale databanken en van de Europolgegevens gelijktijdig kunnen worden doorzocht;

b)	een beveiligd communicatiekanaal tussen de centrale infrastructuur, de bevoegde autoriteiten die op grond van artikel 36 gemachtigd zijn tot het gebruik van de router, en Europol;

c)	een beveiligde communicatie-infrastructuur tussen de centrale infrastructuur en het Europees zoekportaal, opgericht bij artikel 6 van Verordening (EU) 2019/817 en artikel 6 van Verordening (EU) 2019/818 voor de toepassing van artikel 39.

Artikel 36

Gebruik van de router

Het gebruik van de router is voorbehouden aan de bevoegde autoriteiten van de lidstaten die toegang hebben tot en gemachtigd zijn om DNA-profielen, dactyloscopische gegevens en gezichtsopnamen uit te wisselen overeenkomstig deze verordening, en aan Europol overeenkomstig deze verordening en Verordening (EU) 2016/794.

Artikel 37

Zoekopdrachten

1. De bevoegde autoriteiten die gemachtigd zijn om gebruik te maken van de router op grond van artikel 36 of Europol verzoeken om een zoekopdracht door biometrische gegevens door te geven aan de router. De router stuurt het verzoek om een zoekopdracht naar de databanken van alle of specifieke lidstaten en de Europolgegevens, gelijktijdig met de door de gebruiker ingediende gegevens met inachtneming van zijn of haar toegangsrechten.

2. Na ontvangst van een verzoek om een zoekopdracht van de router start elke aangezochte lidstaat onverwijld op geautomatiseerde wijze een zoekopdracht in hun databanken. Na ontvangst van een verzoek om een zoekopdracht van de router start Europol onverwijld op geautomatiseerde wijze een zoekopdracht van Europolgegevens.

3. Alle matches die voortvloeien uit in lid 2 bedoelde zoekopdrachten worden op geautomatiseerde wijze teruggezonden naar de router. De verzoekende lidstaat wordt op geautomatiseerde wijze in kennis gesteld wanneer er geen match is.

4. De router rangschikt de antwoorden, wanneer de verzoekende lidstaat dat beslist en indien van toepassing, door de voor de bevraging gebruikte biometrische gegevens te vergelijken met de in de antwoorden van de aangezochte lidstaat of lidstaten of Europol verstrekte biometrische gegevens.

5. De router zendt de lijst van biometrische gegevens die een match vertonen en de rangschikking ervan terug naar de routergebruiker.

6. De Commissie stelt uitvoeringshandelingen vast tot nadere bepaling van de technische procedure aan de hand waarvan de router de databanken van de lidstaten en de Europolgegevens doorzoekt, het formaat waarin de router dergelijke zoekopdrachten beantwoordt en de technische voorschriften voor het vergelijken en rangschikken van de overeenkomst tussen de biometrische gegevens. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 77, lid 2, bedoelde onderzoeksprocedure.

Artikel 38

Kwaliteitscontrole

De aangezochte lidstaat controleert de kwaliteit van de doorgezonden gegevens door middel van een geautomatiseerde procedure.

De aangezochte lidstaat stelt de verzoekende lidstaat er via de router onverwijld van in kennis wanneer de gegevens ongeschikt zijn voor geautomatiseerde vergelijking.

Artikel 39

Interoperabiliteit tussen de router en het gemeenschappelijk identiteitsregister met het oog op de toegang voor rechtshandhavingsdoeleinden

1. Indien aangewezen autoriteiten, zoals gedefinieerd in artikel 4, punt 20), van Verordening (EU) 2019/817 en artikel 4, punt 20, van Verordening (EU) 2019/818, op grond van artikel 36 van deze verordening gemachtigd zijn om de router te gebruiken, kunnen zij tegelijk met een zoekopdracht in de databanken van de lidstaten en de Europolgegevens een zoekopdracht in het bij artikel 17 van Verordening (EU) 2019/817 en artikel 17 van Verordening (EU) 2019/818 ingevoerde gemeenschappelijk identiteitsregister starten mits aan de toepasselijke Unierechtelijke voorwaarden is voldaan en de zoekopdracht in overeenstemming met hun toegangsrechten wordt gestart. Daartoe bevraagt de router het gemeenschappelijk identiteitsregister via het Europees zoekportaal.

2. Zoekopdrachten in het gemeenschappelijk identiteitsregister voor rechtshandhavingsdoeleinden worden uitgevoerd overeenkomstig artikel 22 van Verordening (EU) 2019/817 en artikel 22 van Verordening (EU) 2019/818. Het resultaat van dergelijke zoekopdrachten wordt doorgezonden via het Europees zoekportaal.

Gelijktijdige zoekopdrachten in de databanken van de lidstaten en de Europolgegevens en het gemeenschappelijk identiteitsregister worden uitsluitend gestart indien er gegronde redenen zijn om aan te nemen dat gegevens over een verdachte, dader of slachtoffer van een terroristisch misdrijf of een ander ernstig strafbaar feit zoals gedefinieerd in respectievelijk artikel 4, punten 21) en 22), van Verordening (EU) 2019/817 en in respectievelijk artikel 4, punten 21 en 22, van Verordening (EU) 2019/818 in het gemeenschappelijke identiteitsregister zijn opgeslagen.

Artikel 40

Bijhouden van logbestanden

1. eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen in de router. Die logbestanden bevatten de volgende gegevens:

a)	of het een lidstaat of Europol was die het verzoek om een zoekopdracht heeft ingediend; de betrokken lidstaat indien het een lidstaat was die het verzoek om een zoekopdracht heeft ingediend;

b)	de datum en het tijdstip van het verzoek;

c)	de datum en het tijdstip van het antwoord;

d)	de nationale databanken of de Europolgegevens waarnaar een verzoek om een zoekopdracht werd verzonden;

e)	de nationale databanken of Europolgegevens die een antwoord hebben opgeleverd;

f)	indien van toepassing, het feit dat er gelijktijdig een zoekopdracht in het gemeenschappelijk identiteitsregister is uitgevoerd.

2. Elke lidstaat houdt logbestanden bij van de zoekopdrachten die zijn verricht door de personeelsleden van zijn bevoegde autoriteiten die naar behoren tot het gebruik van de router zijn gemachtigd, en houdt tevens logbestanden bij van door andere lidstaten gevraagde zoekopdrachten.

Europol houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

3. De in de leden 1 en 2 bedoelde logbestanden worden uitsluitend gebruikt voor het verzamelen van statistieken, voor het toezicht op de gegevensbescherming, waaronder het verifiëren van de toelaatbaarheid van een verzoek en de rechtmatigheid van de gegevensverwerking, en voor het waarborgen van de beveiliging en de integriteit van de gegevens. Die logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en worden drie jaar na het aanmaken ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist wanneer de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

4. Voor het toezicht op de gegevensbescherming, waaronder het verifiëren van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, hebben de verwerkingsverantwoordelijken toegang tot de logbestanden voor interne monitoring zoals bedoeld in artikel 55.

Artikel 41

Kennisgevingsprocedures wanneer het technisch onmogelijk is om de router te gebruiken

1. Wanneer het wegens een storing van de router technisch onmogelijk is de router te gebruiken om een of meer nationale databanken of Europolgegevens te doorzoeken, stelt eu-LISA de in artikel 36 bedoelde routergebruikers daarvan op geautomatiseerde wijze in kennis. eu-LISA neemt onverwijld passende maatregelen om de technische onmogelijkheid om de router te gebruiken, te verhelpen.

2. Wanneer het wegens een storing in de nationale infrastructuur van een lidstaat technisch onmogelijk is de router te gebruiken om een of meer nationale databanken te doorzoeken, stelt die lidstaat de andere lidstaten, de Commissie, eu-LISA en Europol daarvan op geautomatiseerde wijze in kennis. De betrokken lidstaat neemt onverwijld passende maatregelen om de technische onmogelijkheid om de router te gebruiken, te verhelpen.

3. Wanneer het wegens een storing in de infrastructuur van Europol technisch onmogelijk is de router te gebruiken om de Europolgegevens te doorzoeken, stelt Europol de lidstaten, de Commissie en eu-LISA daarvan op geautomatiseerde wijze in kennis. Europol neemt onverwijld passende maatregelen om de technische onmogelijkheid om de router te gebruiken, te verhelpen.

Afdeling 2

Epris

Artikel 42

Epris

1. Het Europees indexsysteem van politiegegevens (European Police Record Index System — Epris) wordt ingesteld. Voor de in artikel 26 bedoelde geautomatiseerde bevraging van nationale politieregisters maken de lidstaten en Europol gebruik van Epris.

2. Epris bestaat uit:

a)	een gedecentraliseerde infrastructuur in de lidstaten, waaronder een zoekinstrument waarmee de op nationale databanken gebaseerde nationale politieregisters gelijktijdig kunnen worden bevraagd;

b)	een centrale infrastructuur ter ondersteuning van het zoekinstrument dat de gelijktijdige bevraging van de nationale politieregisters mogelijk maakt;

c)	een beveiligd communicatiekanaal tussen de centrale infrastructuur, de lidstaten en Europol.

Artikel 43

Gebruik van Epris

1. Voor de bevraging van nationale politieregisters via Epris worden ten minste twee van de volgende gegevensreeksen gebruikt:

a)	voornaam of voornamen;

b)	familienaam of familienamen;

c)	geboortedatum.

2. Indien beschikbaar, mogen ook de volgende gegevensreeksen worden gebruikt:

a)	alias of aliassen en voorheen gebruikte naam of namen;

b)	nationaliteit of nationaliteiten;

c)	geboorteland;

geslacht.

3. De in lid 1, punten a) en b), en lid 2, punt a), bedoelde gegevens worden gepseudonimiseerd.

Artikel 44

Procedures

1. Wanneer een lidstaat of Europol verzoekt om een zoekopdracht, dient hij of zij de in artikel 43 bedoelde gegevens in.

Epris zendt het verzoek om een zoekopdracht overeenkomstig deze verordening door naar de nationale politieregisters van de lidstaten, samen met de door de verzoekende lidstaat of Europol ingediende gegevens.

2. Na ontvangst van een verzoek om een zoekopdracht van Epris, start elke aangezochte lidstaat onverwijld en op geautomatiseerde wijze een zoekopdracht in zijn nationale politieregister.

3. Alle matches die voortvloeien uit de in lid 1 bedoelde zoekopdrachten in de politieregisters van elke aangezochte lidstaat worden op geautomatiseerde wijze teruggezonden naar Epris.

4. De lijst van matches wordt door Epris op geautomatiseerde wijze aan de verzoekende lidstaat of Europol teruggezonden. De lijst van matches vermeldt de kwaliteit van de match, en de lidstaat of lidstaten waarvan de politieregisters de gegevens bevatten die tot de match of matches hebben geleid.

5. Na ontvangst van de lijst van matches beslist de verzoekende lidstaat voor welke matches een follow-up nodig is en zendt hij de aangezochte lidstaat of lidstaten via Siena een met redenen omkleed follow-upverzoek met de in de artikelen 25 en 27 bedoelde gegevens en eventuele relevante aanvullende informatie. De aangezochte lidstaat of lidstaten behandelen dergelijke verzoeken onverwijld teneinde te beslissen of zij de in hun databank opgeslagen gegevens delen of niet.

6. De Commissie stelt uitvoeringshandelingen vast ter bepaling van de technische procedure die Epris toepast voor het doorzoeken van de politieregisters van de lidstaten, en voor het formaat van de antwoorden en het maximale aantal antwoorden. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 77, lid 2, bedoelde onderzoeksprocedure.

Artikel 45

Bijhouden van logbestanden

1. Elke deelnemende lidstaat en Europol houdt logbestanden bij van alle gegevensverwerkingsverrichtingen in Epris. Die logbestanden bevatten de volgende gegevens:

a)	of het een lidstaat of Europol was die het verzoek om een zoekopdracht heeft ingediend; de betrokken lidstaat indien het een lidstaat was die het verzoek om een zoekopdracht heeft ingediend;

b)	de datum en het tijdstip van het verzoek;

c)	de datum en het tijdstip van het antwoord;

d)	de nationale databanken waarnaar een verzoek om een zoekopdracht werd verzonden;

e)	de nationale databanken die een antwoord hebben opgeleverd.

2. Elke deelnemende lidstaat houdt logbestanden bij van de verzoeken om zoekopdrachten die worden gedaan door de personeelsleden van zijn bevoegde autoriteiten die naar behoren gemachtigd zijn om Epris te gebruiken. Europol houdt logbestanden bij van de verzoeken om zoekopdrachten die zijn naar behoren gemachtigde personeelsleden doen.

3. De in de leden 1 en 2 bedoelde logbestanden worden uitsluitend gebruikt voor het verzamelen van statistieken, voor het toezicht op de gegevensbescherming, waaronder het verifiëren van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, en voor het waarborgen van de gegevensbeveiliging en -integriteit. Die logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en worden drie jaar na het aanmaken ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist zodra de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

Artikel 46

Kennisgevingsprocedures wanneer het technisch onmogelijk is om Epris te gebruiken

1. Wanneer het wegens een technische storing in de infrastructuur van Europol technisch onmogelijk is om Epris te gebruiken om een of meer nationale politieregisters te doorzoeken, stelt Europol de lidstaten daarvan op geautomatiseerde wijze in kennis. Europol neemt onverwijld maatregelen om de technische onmogelijkheid om Epris te gebruiken, te verhelpen.

2. Wanneer het wegens een technische storing in de nationale infrastructuur van een lidstaat technisch onmogelijk is om Epris te gebruiken om een of meer nationale politieregisters te doorzoeken, stelt die lidstaat de andere lidstaten, de Commissie en Europol daarvan op geautomatiseerde wijze in kennis. De lidstaten nemen onverwijld maatregelen om de technische onmogelijkheid om Epris te gebruiken, te verhelpen.

HOOFDSTUK 4

Uitwisseling van gegevens naar aanleiding van een match

Artikel 47

Uitwisseling van kerngegevens

1. Binnen 48 uur wordt via de router een reeks kerngegevens teruggezonden indien aan alle volgende voorwaarden is voldaan:

a)	de in de artikelen 6, 11 of 20 bedoelde procedures leveren een match op tussen de voor de bevraging gebruikte gegevens en de in de databank van de aangezochte lidstaat of lidstaten opgeslagen gegevens;

de in punt a) van dit lid bedoelde match werd manueel bevestigd door een gekwalificeerd personeelslid van de verzoekende lidstaat zoals bedoeld in artikel 6, lid 6, artikel 11, lid 2, en artikel 20, lid 2, of, in het geval van DNA-profielen zoals bedoeld in artikel 6, lid 7, van de aangezochte lidstaat;

een beschrijving van de feiten en een indicatie van het ten grondslag liggende strafbare feit zijn — met gebruikmaking van de gemeenschappelijke tabel van categorieën strafbare feiten zoals uiteengezet in een op grond van artikel 11 ter, lid 1, punt a), van Kaderbesluit 2009/315/JBZ vast te stellen uitvoeringshandeling — verstrekt door de verzoekende lidstaat of, in het geval van DNA-profielen zoals bedoeld in artikel 6, lid 7, door de aangezochte lidstaat, om een beoordeling te verrichten van de evenredigheid van het verzoek, waaronder de ernst van het strafbare feit waarvoor een bevraging is uitgevoerd, overeenkomstig het nationale recht van de lidstaat die de reeks kerngegevens verstrekt.

2. Wanneer een lidstaat uit hoofde van zijn nationale recht een specifieke reeks kerngegevens enkel kan verstrekken na een rechterlijke toestemming te hebben verkregen, kan die lidstaat van de in lid 1 vastgestelde termijn afwijken, voor zover dat noodzakelijk is om een dergelijke toestemming te verkrijgen.

3. De in lid 1 van dit artikel bedoelde reeks kerngegevens wordt teruggezonden door de aangezochte lidstaat, of, in het geval van DNA-profielen zoals bedoeld in artikel 6, lid 7, door de verzoekende lidstaat.

4. Wanneer de bevestigde match betrekking heeft op geïdentificeerde gegevens van een persoon, bevat de in lid 1 bedoelde reeks kerngegevens, voor zover beschikbaar, de volgende gegevens:

a)	voornaam of voornamen;

b)	familienaam of familienamen;

c)	alias of aliassen en voorheen gebruikte naam of namen;

d)	geboortedatum;

e)	nationaliteit of nationaliteiten;

f)	plaats en land van geboorte;

geslacht;

h)	de datum waarop en de plaats waar de biometrische gegevens zijn verkregen;

i)	het strafbare feit waarvoor de biometrische gegevens zijn verkregen;

j)	het nummer van de strafzaak;

k)	de bevoegde autoriteit die verantwoordelijk is voor de strafzaak.

5. Wanneer de bevestigde match betrekking heeft op niet-geïdentificeerde gegevens of sporen, bevat de in lid 1 bedoelde reeks kerngegevens, voor zover beschikbaar, de volgende gegevens:

a)	de datum waarop en de plaats waar de biometrische gegevens zijn verkregen;

b)	het strafbare feit waarvoor de biometrische gegevens zijn verkregen;

c)	het nummer van de strafzaak;

d)	de bevoegde autoriteit die verantwoordelijk is voor de strafzaak.

6. De terugzending van kerngegevens door de aangezochte lidstaat, of in het geval van DNA-profielen zoals bedoeld in artikel 6, lid 7, door de verzoekende lidstaat, wordt ingewilligd of geweigerd door een mens.

HOOFDSTUK 5

Europol

Artikel 48

Toegang van lidstaten tot bij Europol opgeslagen door derde landen verstrekte biometrische gegevens

1. De lidstaten hebben overeenkomstig Verordening (EU) 2016/794 toegang tot biometrische gegevens die door derde landen aan Europol zijn verstrekt voor de toepassing van artikel 18, lid 2, punten a), b) en c), van Verordening (EU) 2016/794, en kunnen die via de router bevragen.

2. Wanneer een in lid 1 bedoelde bevraging leidt tot een match tussen de voor de bevraging gebruikte gegevens en bij Europol opgeslagen door een derde land verstrekte gegevens, vindt de follow-up plaats overeenkomstig Verordening (EU) 2016/794.

Artikel 49

Toegang van Europol met gebruikmaking van door derde landen verstrekte gegevens tot in de databanken van de lidstaten opgeslagen gegevens

1. Indien nodig om de in artikel 3 van Verordening (EU) 2016/794 uiteengezette doelstellingen te verwezenlijken, heeft Europol overeenkomstig die verordening en deze verordening toegang tot gegevens die de lidstaten in hun nationale databanken en politieregisters hebben opgeslagen.

2. Zoekopdrachten van Europol met biometrische gegevens als zoekcriterium worden uitgevoerd met behulp van de router.

3. Zoekopdrachten van Europol met voertuigregistratiegegevens als zoekcriterium worden uitgevoerd met behulp van Eucaris.

4. Zoekopdrachten van Europol met biografische gegevens van verdachten en veroordeelden zoals bedoeld in artikel 25 als zoekcriterium worden uitgevoerd met behulp van Epris.

5. Europol verricht de zoekopdrachten met door derde landen verstrekte gegevens overeenkomstig de leden 1 tot en met 4 van dit artikel uitsluitend wanneer dat nodig is voor de uitvoering van zijn taken voor de toepassing van artikel 18, lid 2, punten a) en c), van Verordening (EU) 2016/794.

6. Indien de in de artikelen 6, 11 of 20 bedoelde procedures een match opleveren tussen de voor de bevraging gebruikte gegevens en de gegevens in de nationale databank van de aangezochte lidstaat of lidstaten, stelt Europol alleen de betrokken lidstaat of lidstaten daarvan in kennis.

De aangezochte lidstaat beslist binnen 48 uur of hij via de router een beperkte reeks kerngegevens terugzendt, indien aan alle volgende voorwaarden is voldaan:

a)	een match zoals bedoeld in de eerste alinea is manueel bevestigd door een gekwalificeerd personeelslid van Europol;

een beschrijving van de feiten en een indicatie van het ten grondslag liggende strafbare feit zijn — met gebruikmaking van de gemeenschappelijke tabel van categorieën strafbare feiten zoals uiteengezet in een op grond van artikel 11 ter, lid 1, punt a), van Kaderbesluit 2009/315/JBZ vast te stellen uitvoeringshandeling — verstrekt door Europol om de evenredigheid van het verzoek te beoordelen, waaronder de ernst van het strafbare feit waarvoor een bevraging is uitgevoerd, overeenkomstig het nationale recht van de lidstaat die de reeks kerngegevens verstrekt;

c)	de naam van het derde land dat de gegevens heeft verstrekt, is doorgestuurd.

Indien een lidstaat uit hoofde van zijn nationale recht een specifieke reeks kerngegevens enkel kan verstrekken na een rechterlijke toestemming, kan die lidstaat van de in de tweede alinea vastgestelde termijn afwijken, voor zover dat noodzakelijk is om een dergelijke toestemming te verkrijgen.

Wanneer de bevestigde match betrekking heeft op geïdentificeerde gegevens van een persoon, bevat de in de tweede alinea bedoelde reeks kerngegevens de volgende gegevens voor zover die beschikbaar zijn:

a)	voornaam of voornamen;

b)	familienaam of familienamen;

c)	alias of aliassen en voorheen gebruikte naam of namen;

d)	geboortedatum;

e)	nationaliteit of nationaliteiten;

f)	plaats en land van geboorte;

geslacht;

h)	de datum waarop en de plaats waar de biometrische gegevens zijn verkregen;

i)	het strafbare feit waarvoor de biometrische gegevens zijn verkregen;

j)	het nummer van de strafzaak;

k)	de bevoegde autoriteit die verantwoordelijk is voor de strafzaak.

Wanneer de bevestigde match betrekking heeft op niet-geïdentificeerde gegevens of sporen, bevat de in de tweede alinea bedoelde reeks kerngegevens de volgende gegevens voor zover die beschikbaar zijn:

a)	de datum waarop en de plaats waar de biometrische gegevens zijn verkregen;

b)	het strafbare feit waarvoor de biometrische gegevens zijn verkregen;

c)	het nummer van de strafzaak;

d)	de bevoegde autoriteit die verantwoordelijk is voor de strafzaak.

De terugzending van kerngegevens door de aangezochte lidstaat wordt ingewilligd of geweigerd door een mens.

7. Het gebruik door Europol van informatie die is verkregen uit een zoekopdracht overeenkomstig dit artikel en de uitwisseling van een reeks kerngegevens overeenkomstig lid 6, is onderworpen aan de toestemming van de lidstaat in de databank waarvan de match zich heeft voorgedaan. Indien de lidstaat het gebruik van dergelijke informatie toestaat, wordt die door Europol behandeld overeenkomstig Verordening (EU) 2016/794.

HOOFDSTUK 6

Gegevensbescherming

Artikel 50

Doel van de gegevensverwerking

1. Door een lidstaat of Europol ontvangen persoonsgegevens mogen uitsluitend worden verwerkt voor de doeleinden waarvoor die door de gegevensverstrekkende lidstaat uit hoofde van deze verordening zijn verstrekt. Verwerking voor andere doeleinden is enkel toegestaan met voorafgaande toestemming van de lidstaat die de gegevens heeft verstrekt.

2. Verwerking van op grond van artikel 6, 11, 16, 20 of 26 verstrekte gegevens door een lidstaat of Europol is enkel toegestaan indien dat nodig is om:

a)	vast te stellen of de vergeleken DNA-profielen, dactyloscopische gegevens, voertuigregistratiegegevens, gezichtsopnamen of politiegegevens een match vertonen;

b)	een reeks kerngegevens uit te wisselen overeenkomstig artikel 47;

c)	een politieel of justitieel verzoek om rechtshulp op te stellen en in te dienen wanneer die gegevens een match vertonen;

d)	logbestanden bij te houden zoals bedoeld in de artikelen 18, 40 en 45.

3. De door een lidstaat of Europol ontvangen gegevens worden na de geautomatiseerde antwoorden op de zoekopdrachten onmiddellijk gewist, tenzij verdere verwerking noodzakelijk is voor de in lid 2 genoemde doeleinden of is toegestaan overeenkomstig lid 1.

4. Alvorens hun nationale databanken te koppelen aan de router of Epris, verrichten de lidstaten een gegevensbeschermingseffectbeoordeling zoals bedoeld in artikel 27 van Richtlijn (EU) 2016/680 en, indien nodig, raadplegen zij de in artikel 28 van die richtlijn bedoelde toezichthoudende autoriteit. De toezichthoudende autoriteit kan gebruikmaken van haar bevoegdheden uit hoofde van artikel 47 van die richtlijn, overeenkomstig artikel 28, lid 5, van die richtlijn.

Artikel 51

Juistheid, relevantie en bewaring van gegevens

1. De lidstaten en Europol zien toe op de juistheid en relevantie van op grond van deze verordening verwerkte persoonsgegevens. Indien een lidstaat of Europol bemerkt dat gegevens die onjuist of niet meer actueel zijn of gegevens die niet hadden mogen worden verstrekt, toch verstrekt zijn, dan wordt dat zonder onnodige vertraging meegedeeld aan de lidstaat die de gegevens heeft ontvangen of aan Europol. Alle betrokken lidstaten of Europol corrigeren of wissen de gegevens vervolgens zonder onnodige vertraging. Indien de lidstaat die de gegevens heeft ontvangen of Europol reden heeft om aan te nemen dat de verstrekte gegevens onjuist zijn of gewist moeten worden, dan wordt de lidstaat die de gegevens heeft verstrekt daarvan zonder onnodige vertraging op de hoogte gesteld.

2. De lidstaten en Europol nemen passende maatregelen om de voor de toepassing van deze verordening relevante gegevens te actualiseren.

3. Wanneer een betrokkene de juistheid van gegevens die in het bezit zijn van een lidstaat of van Europol betwist, wanneer de juistheid door de betrokken lidstaat of door Europol niet op betrouwbare wijze kan worden vastgesteld en wanneer de betrokkene daarom verzoekt, worden de gegevens in kwestie voorzien van een markering. Indien er een dergelijke markering is aangebracht, mogen lidstaten of Europol die enkel met toestemming van de betrokkene of op basis van een besluit van de bevoegde rechter of de nationale toezichthoudende autoriteit of de Europese Toezichthouder voor gegevensbescherming, naargelang het geval, verwijderen.

4. Gegevens die niet verstrekt of ontvangen hadden mogen worden, worden gewist. Rechtmatig verstrekte en ontvangen gegevens worden gewist:

a)	indien zij niet of niet meer noodzakelijk zijn voor het doel waarvoor zij zijn verstrekt;

b)	na afloop van een in het nationale recht van de lidstaat die de gegevens heeft verstrekt vastgestelde maximumtermijn voor het bewaren van gegevens, indien die lidstaat de lidstaat die de gegevens heeft ontvangen of Europol bij de verstrekking van de gegevens op die maximumtermijn heeft gewezen, of

c)	na afloop van de uit hoofde van Verordening (EU) 2016/794 vastgestelde maximumtermijn voor het bewaren van gegevens.

Indien er reden bestaat om aan te nemen dat door het wissen van de gegevens de belangen van de betrokkene worden geschaad, wordt de verwerking van die gegevens beperkt in plaats van dat de gegevens worden gewist. Indien de verwerking van gegevens werd beperkt, worden zij alleen verwerkt voor het doel dat ertoe heeft geleid dat zij niet zijn gewist.

Artikel 52

Verwerker

1. eu-LISA is de verwerker in de zin van artikel 3, punt 12, van Verordening (EU) 2018/1725 met betrekking tot de verwerking van persoonsgegevens via de router.

2. Europol is de verwerker in de zin van artikel 3, punt 12, van Verordening (EU) 2018/1725 met betrekking tot de verwerking van persoonsgegevens via Epris.

Artikel 53

Beveiliging van de verwerking

1. De bevoegde autoriteiten van de lidstaten, eu-LISA en Europol waarborgen de beveiliging van de verwerking van persoonsgegevens uit hoofde van deze verordening. De bevoegde autoriteiten van de lidstaten, eu-LISA en Europol werken samen op het gebied van beveiligingsgerelateerde taken.

2. Onverminderd artikel 33 van Verordening (EU) 2018/1725 en artikel 32 van Verordening (EU) 2016/794 nemen eu-LISA en Europol de nodige maatregelen ter beveiliging van respectievelijk de router en Epris, alsook van hun bijbehorende communicatie-infrastructuren.

3. eu-LISA neemt de passende maatregelen in verband met de router, en Europol neemt de passende maatregelen in verband met Epris, om:

a)	de gegevens fysiek te beschermen, onder meer door middel van noodplannen voor de bescherming van kritieke infrastructuur;

b)	te voorkomen dat onbevoegden toegang krijgen tot gegevensverwerkende apparatuur en installaties;

c)	te voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen;

d)	te voorkomen dat gegevens onrechtmatig worden ingevoerd en dat opgeslagen persoonsgegevens onrechtmatig worden ingezien, gewijzigd of verwijderd;

e)	te voorkomen dat gegevens onrechtmatig worden verwerkt, gekopieerd, gewijzigd of gewist;

f)	te voorkomen dat onbevoegden de systemen voor geautomatiseerde gegevensverwerking gebruiken met behulp van datatransmissieapparatuur;

te waarborgen, uitsluitend door middel van persoonlijke gebruikersidentiteiten en vertrouwelijke toegangsprocedures, dat personen die gemachtigd zijn tot toegang tot de router en tot Epris, naargelang het geval, uitsluitend toegang krijgen tot de gegevens waarop hun toegangsmachtiging betrekking heeft;

h)	te waarborgen dat kan worden nagegaan en vastgesteld aan welke autoriteiten persoonsgegevens mogen worden verstrekt door middel van datatransmissieapparatuur;

i)	te waarborgen dat kan worden nagegaan en vastgesteld welke gegevens wanneer, door wie en met welk doel in de router of in Epris, naargelang het geval, zijn verwerkt;

te voorkomen, met name door middel van passende versleutelingstechnieken, dat bij de doorgifte van persoonsgegevens vanuit en naar de router of Epris, naargelang het geval, of gedurende het transport van gegevensdragers, de persoonsgegevens onrechtmatig worden gelezen, gekopieerd, gewijzigd of gewist;

k)	ervoor te zorgen dat de normale werking van de geïnstalleerde systemen in geval van storing kan worden hersteld;

l)	de betrouwbaarheid te verzekeren door ervoor te zorgen dat eventuele functionele storingen in de router of in Epris, naargelang het geval, correct worden gesignaleerd;

de doelmatigheid van de in dit lid bedoelde beveiligingsmaatregelen te monitoren, met betrekking tot de interne monitoring de nodige organisatorische maatregelen te nemen om te waarborgen dat deze verordening wordt nageleefd en die beveiligingsmaatregelen te beoordelen in het licht van nieuwe technologische ontwikkelingen.

De in de eerste alinea bedoelde passende maatregelen omvatten een veiligheidsplan, een bedrijfscontinuïteitsplan en een noodherstelplan.

Artikel 54

Beveiligingsincidenten

1. Elke gebeurtenis die gevolgen heeft of kan hebben voor de beveiliging van de router of van Epris en kan leiden tot beschadiging of verlies van gegevens die in de router of in Epris zijn opgeslagen, wordt beschouwd als een beveiligingsincident, met name wanneer onrechtmatige toegang tot gegevens kan zijn verkregen of wanneer de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens in gevaar is gekomen of kan zijn gekomen.

2. In geval van een beveiligingsincident met betrekking tot de router, werken eu-LISA en de betrokken lidstaten of, waar van toepassing, Europol met elkaar samen om een snelle, doeltreffende en passende respons te waarborgen.

3. In geval van een beveiligingsincident met betrekking tot Epris, werken de betrokken lidstaten en Europol met elkaar samen om een snelle, doeltreffende en passende respons te waarborgen.

4. De lidstaten stellen hun bevoegde autoriteiten zonder onnodige vertraging in kennis van beveiligingsincidenten.

Onverminderd artikel 92 van Verordening (EU) 2018/1725 stelt eu-LISA, bij beveiligingsincidenten die verband houden met de centrale infrastructuur van de router, de cyberbeveiligingsdienst voor de instellingen, organen en instanties van de Unie (CERT-EU) zonder onnodige vertraging, maar in elk geval uiterlijk 24 uur nadat eu-LISA ervan kennis heeft genomen, in kennis van significante cyberdreigingen, significante kwetsbaarheden en significante incidenten. Aan CERT-EU wordt inzake cyberdreigingen, cyberkwetsbaarheden en cyberincidenten zonder onnodige vertraging melding gemaakt van nuttige en passende technische details die proactieve opsporing, een respons op incidenten of beperkende maatregelen mogelijk maken.

Onverminderd artikel 34 van Verordening (EU) 2016/794 en artikel 92 van Verordening (EU) 2018/1725 stelt Europol, bij beveiligingsincidenten die verband houden met de centrale infrastructuur van Epris, CERT-EU zonder onnodige vertraging, maar in elk geval uiterlijk 24 uur nadat Europol ervan kennis heeft genomen, in kennis van significante cyberdreigingen, significante kwetsbaarheden en significante incidenten. Aan CERT-EU wordt inzake cyberdreigingen, cyberkwetsbaarheden en cyberincidenten zonder onnodige vertraging melding gemaakt van nuttige en passende technische details die proactieve opsporing, een respons op incidenten of beperkende maatregelen mogelijk maken.

5. Informatie betreffende beveiligingsincidenten die gevolgen hebben of kunnen hebben voor de werking van de router of voor de beschikbaarheid, integriteit of vertrouwelijkheid van de gegevens, wordt door de betrokken lidstaten en agentschappen van de Unie onverwijld verstrekt aan de lidstaten en Europol en gerapporteerd in overeenstemming met het door eu-LISA te verstrekken incidentenbeheerplan.

6. Informatie betreffende beveiligingsincidenten die gevolgen hebben of kunnen hebben voor de werking van Epris of voor de beschikbaarheid, integriteit of vertrouwelijkheid van de gegevens, wordt door de betrokken lidstaten en agentschappen van de Unie onverwijld verstrekt aan de lidstaten en gerapporteerd in overeenstemming met het door Europol te verstrekken incidentenbeheerplan.

Artikel 55

Interne monitoring

1. De lidstaten zorgen ervoor dat elke autoriteit die het recht heeft om gebruik te maken van het Prüm II-kader de nodige maatregelen neemt om haar naleving van deze verordening te monitoren en, indien nodig, samenwerkt met de toezichthoudende autoriteit. Europol neemt de nodige maatregelen om de naleving van deze verordening te monitoren en werkt waar nodig samen met de Europese Toezichthouder voor gegevensbescherming.

2. De verwerkingsverantwoordelijken passen de nodige maatregelen toe, waaronder frequente verificatie van de in de artikelen 18, 40 en 45 bedoelde logbestanden, om op doeltreffende wijze te monitoren of de gegevens in overeenstemming met deze verordening worden verwerkt. Zij werken indien nodig en waar passend samen met de toezichthoudende autoriteiten of met de Europese Toezichthouder voor gegevensbescherming.

Artikel 56

Sancties

De lidstaten zorgen ervoor dat misbruik, verwerking of uitwisseling van gegevens in strijd met deze verordening strafbaar wordt gesteld volgens het nationale recht. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.

Artikel 57

Aansprakelijkheid

Indien schade aan de router of aan Epris ontstaat doordat een lidstaat of Europol bij het uitvoeren van zoekopdrachten overeenkomstig artikel 49 zijn verplichtingen uit hoofde van deze verordening niet is nagekomen, is die lidstaat of Europol aansprakelijk voor dergelijke schade, tenzij en voor zover eu-LISA, Europol of een andere door deze verordening gebonden lidstaat heeft nagelaten redelijke maatregelen te nemen om het optreden van de schade te voorkomen of de omvang ervan zo veel mogelijk te beperken.

Artikel 58

Audits door de Europese Toezichthouder voor gegevensbescherming

1. De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat voor de doeleinden van deze verordening ten minste om de vier jaar een audit van de persoonsgegevensverwerkingsverrichtingen van eu-LISA en Europol wordt uitgevoerd overeenkomstig de toepasselijke internationale auditnormen. Een verslag van die audit wordt toegezonden aan het Europees Parlement, de Raad, de Commissie, de lidstaten en het betrokken agentschap van de Unie. Vooraleer de verslagen worden aangenomen, worden eu-LISA en Europol in de gelegenheid gesteld opmerkingen te maken.

2. eu-LISA en Europol verstrekken de door de Europese Toezichthouder voor gegevensbescherming gevraagde informatie, verlenen de Europese Toezichthouder voor gegevensbescherming toegang tot alle documenten waarom hij verzoekt en tot hun in de artikelen 40 en 45 bedoelde logbestanden en verlenen de Europese toezichthouder voor gegevensbescherming te allen tijde toegang tot al hun gebouwen en terreinen. Dit lid doet geen afbreuk aan de bevoegdheden van de Europese Toezichthouder voor gegevensbescherming uit hoofde van artikel 58 van Verordening (EU) 2018/1725, evenals aan de bevoegdheden van Europol uit hoofde van artikel 43, lid 3, van Verordening (EU) 2016/794.

Artikel 59

Samenwerking tussen de toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming

1. De toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming werken, elk binnen hun respectieve bevoegdheden en binnen het kader van hun respectieve verantwoordelijkheden, actief met elkaar samen om te zorgen voor een gecoördineerd toezicht op de toepassing van deze verordening, met name wanneer de Europese Toezichthouder voor gegevensbescherming of een toezichthoudende autoriteit grote verschillen tussen praktijken van de lidstaten of potentieel onrechtmatige gegevensdoorgiften via de communicatiekanalen van het Prüm II-kader constateert.

2. In de in lid 1 van dit artikel bedoelde gevallen wordt gezorgd voor gecoördineerd toezicht in overeenstemming met artikel 62 van Verordening (EU) 2018/1725.

3. Twee jaar na de ingebruikneming van de router en van Epris en vervolgens om de twee jaar zendt het Europees Comité voor gegevensbescherming een verslag van zijn activiteiten uit hoofde van dit artikel toe aan het Europees Parlement, de Raad, de Commissie, Europol en eu-LISA. Dat verslag bevat voor elke lidstaat een hoofdstuk dat door de toezichthoudende autoriteit van de betrokken lidstaat wordt opgesteld.

Artikel 60

Doorgifte van persoonsgegevens aan derde landen en internationale organisaties

Een lidstaat geeft uit hoofde van deze verordening verkregen persoonsgegevens uitsluitend door aan een derde land of een internationale organisatie in overeenstemming met hoofdstuk V van Richtlijn (EU) 2016/680 en indien de aangezochte lidstaat voorafgaand aan de doorgifte toestemming heeft verleend.

Europol geeft uit hoofde van deze verordening verkregen persoonsgegevens uitsluitend door aan een derde land of een internationale organisatie wanneer aan de voorwaarden van artikel 25 van Verordening (EU) 2016/794 is voldaan en de aangezochte lidstaat voorafgaand aan de doorgifte toestemming heeft verleend.

Artikel 61

Verhouding tot andere rechtshandelingen inzake gegevensbescherming

Elke verwerking van persoonsgegevens voor de toepassing van deze verordening gebeurt in overeenstemming met dit hoofdstuk en met Richtlijn (EU) 2016/680 of Verordening (EU) 2018/1725, Verordening (EU) 2016/794 of Verordening (EU) 2016/679, naargelang het geval.

HOOFDSTUK 7

Verantwoordelijkheden

Artikel 62

Verantwoordelijkheid voor passende zorgvuldigheid

De lidstaten en Europol betrachten passende zorgvuldigheid wanneer zij beoordelen of de geautomatiseerde uitwisseling van gegevens onder het in artikel 2 uiteengezette doel van het Prüm II-kader valt en of die voldoet aan de daarin vastgestelde voorwaarden, met name met betrekking tot de grondrechten.

Artikel 63

Opleiding

Gemachtigde personeelsleden van de bevoegde autoriteiten van de lidstaten, van toezichthoudende autoriteiten en van Europol krijgen, naargelang het geval, adequate middelen en opleiding, onder meer op het gebied van gegevensbescherming en de nauwkeurige beoordeling van matches, om de taken uit hoofde van deze verordening uit te voeren.

Artikel 64

Verantwoordelijkheden van de lidstaten

1. Elke lidstaat is verantwoordelijk voor:

a)	de aansluiting op de infrastructuur van de router;

b)	de integratie van zijn bestaande nationale systemen en infrastructuur met de router;

c)	de organisatie, het beheer, de werking en het onderhoud van de bestaande nationale infrastructuur en de aansluiting daarvan op de router;

d)	de aansluiting op de infrastructuur van Epris;

e)	de integratie van zijn bestaande nationale systemen en infrastructuur met Epris;

f)	de organisatie, het beheer, de werking en het onderhoud van de bestaande nationale infrastructuur en de aansluiting daarvan op Epris;

g)	het beheer van en de regelingen voor de toegang van de naar behoren gemachtigde personeelsleden van zijn bevoegde autoriteiten overeenkomstig deze verordening tot de router en de opstelling en regelmatige bijwerking van een lijst van die personeelsleden en hun profielen;

h)	het beheer van en de regelingen voor de toegang van de naar behoren gemachtigde personeelsleden van zijn bevoegde autoriteiten overeenkomstig deze verordening tot Epris en de opstelling en regelmatige bijwerking van een lijst van die personeelsleden en hun profielen;

i)	het beheer van en de regelingen voor de toegang van de naar behoren gemachtigde personeelsleden van zijn bevoegde autoriteiten overeenkomstig deze verordening tot Eucaris en de opstelling en regelmatige bijwerking van een lijst van die personeelsleden en hun profielen;

j)	de manuele bevestiging door gekwalificeerd personeel van een match zoals bedoeld in artikel 6, lid 6, artikel 6, lid 7, artikel 11, lid 2, en artikel 20, lid 2;

k)	het verzekeren van de beschikbaarheid van de gegevens die nodig zijn voor de uitwisseling van gegevens overeenkomstig de artikelen 5, 10, 16, 19 en 25;

l)	de uitwisseling van informatie overeenkomstig de artikelen 6, 11, 16, 20 en 26;

m)	het corrigeren, actualiseren of wissen van gegevens die van een aangezochte lidstaat zijn ontvangen, binnen 48 uur nadat de aangezochte lidstaat heeft gemeld dat de verstrekte gegevens onjuist, niet meer actueel of onrechtmatig doorgegeven zijn;

n)	de naleving van de in deze verordening vastgestelde vereisten inzake gegevenskwaliteit.

2. Elke lidstaat is verantwoordelijk voor het aansluiten van zijn bevoegde autoriteiten op de router, Epris en Eucaris.

Artikel 65

Verantwoordelijkheden van Europol

1. Europol is verantwoordelijk voor het beheer van en de regelingen voor de toegang van zijn naar behoren gemachtigde personeelsleden tot de router, Epris en Eucaris overeenkomstig deze verordening.

2. Europol is verantwoordelijk voor het verwerken van bevragingen van Europolgegevens door de router. Europol past zijn informatiesystemen dienovereenkomstig aan.

3. Europol is verantwoordelijk voor alle technische aanpassingen van de infrastructuur van Europol die vereist zijn om de verbinding met de router en met Eucaris tot stand te brengen.

4. Onverminderd de bevragingen van Europol op grond van artikel 49, heeft Europol geen toegang tot via Epris verwerkte persoonsgegevens.

5. Europol is verantwoordelijk voor de ontwikkeling van Epris in samenwerking met de lidstaten. Epris voorziet in de in de artikelen 42 tot en met 46 vastgestelde functionaliteiten.

Europol is verantwoordelijk voor het technisch beheer van Epris. Het technisch beheer van Epris omvat alle taken en technische oplossingen die nodig zijn om de centrale infrastructuur van Epris 24 uur per dag en zeven dagen per week overeenkomstig deze verordening te laten functioneren en ononderbroken diensten te laten verlenen aan de lidstaten. Het omvat ook de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een toereikende technische kwaliteit van de werking van Epris, met name wat de tijd betreft die nodig is voor het indienen van verzoeken bij de nationale databanken overeenkomstig de technische specificaties.

6. Europol verzorgt opleidingen voor het technisch gebruik van Epris.

7. Europol is verantwoordelijk voor de in de artikelen 48 en 49 vastgestelde procedures.

Artikel 66

Verantwoordelijkheden van eu-LISA gedurende de ontwerp- en ontwikkelingsfase van de router

1. eu-LISA zorgt ervoor dat de centrale infrastructuur van de router wordt beheerd in overeenstemming met deze verordening.

2. De router wordt door eu-LISA gehost op zijn technische locaties en voorziet in de in deze verordening beschreven functionaliteiten overeenkomstig de voorwaarden inzake beveiliging, beschikbaarheid, kwaliteit en prestaties zoals bedoeld in artikel 67, lid 1.

3. eu-LISA is verantwoordelijk voor de ontwikkeling van de router en voor alle technische aanpassingen die nodig zijn voor de werking van de router.

4. eu-LISA heeft geen toegang tot persoonsgegevens die via de router worden verwerkt.

5. eu-LISA bepaalt het ontwerp van de fysieke architectuur van de router, met inbegrip van de beveiligde communicatie-infrastructuur en de technische specificaties alsook de evolutie daarvan met betrekking tot de centrale infrastructuur en de beveiligde communicatie-infrastructuur. De raad van bestuur van eu-LISA keurt het ontwerp goed, na een gunstig advies van de Commissie. eu-LISA voert ook alle noodzakelijke aanpassingen aan de interoperabiliteitscomponenten uit die voortvloeien uit de instelling van de router overeenkomstig deze verordening.

6. eu-LISA ontwikkelt en implementeert de router zo spoedig mogelijk nadat de Commissie de in artikel 37, lid 6, bedoelde maatregelen heeft vastgesteld. Die ontwikkeling omvat de uitwerking en implementatie van de technische specificaties, het testen en het algemeen projectbeheer en de algehele projectcoördinatie.

7. Tijdens de ontwerp- en ontwikkelingsfase komt de in artikel 54 van Verordening (EU) 2019/817 en artikel 54 van Verordening (EU) 2019/818 bedoelde programmabestuursraad regelmatig bijeen. De programmabestuursraad zorgt voor passend beheer van de ontwerp- en ontwikkelingsfase van de router.

Maandelijks brengt de programmabestuursraad schriftelijk verslag uit over de voortgang van het project aan de raad van bestuur van eu-LISA. De programmabestuursraad heeft geen beslissingsbevoegdheid, noch een mandaat om de leden van de raad van bestuur van eu-LISA te vertegenwoordigen.

Tot de ingebruikneming van de router komt de in artikel 78 bedoelde adviesgroep inzake interoperabiliteit op gezette tijden bijeen. Zij brengt na elke bijeenkomst verslag uit aan de programmabestuursraad. Zij ondersteunt de programmabestuursraad met technische deskundigheid en houdt de voortgang van de voorbereidingen van de lidstaten bij.

Artikel 67

Verantwoordelijkheden van eu-LISA na de ingebruikneming van de router

1. Na de ingebruikneming van de router is eu-LISA verantwoordelijk voor het technisch beheer van de centrale infrastructuur van de router, met inbegrip van het onderhoud en de technische ontwikkelingen ervan. eu-LISA zorgt er in samenwerking met de lidstaten voor dat de beste beschikbare technologie wordt gebruikt, onder voorbehoud van een kosten-batenanalyse. eu-LISA is ook verantwoordelijk voor het technisch beheer van de noodzakelijke communicatie-infrastructuur.

Het technisch beheer van de router omvat alle taken en technische oplossingen die nodig zijn om de router 24 uur per dag en zeven dagen per week overeenkomstig deze verordening te laten functioneren en ononderbroken diensten te laten verlenen aan de lidstaten en aan Europol. Het omvat ook de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een toereikende technische kwaliteit van de werking van de router, met name wat betreft de beschikbaarheid en de tijd die nodig is voor het indienen van verzoeken bij de nationale databanken en de Europolgegevens overeenkomstig de technische specificaties.

De router wordt zodanig ontwikkeld en beheerd dat snelle, efficiënte en gecontroleerde toegang, volledige en ononderbroken beschikbaarheid en een responstijd overeenkomstig de operationele behoeften van de bevoegde autoriteiten van de lidstaten en Europol worden gewaarborgd.

2. Onverminderd artikel 17 van het Statuut van de ambtenaren van de Europese Unie, zoals vastgesteld bij Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (18), past eu-LISA passende voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op zijn personeelsleden die moeten werken met gegevens die zijn opgeslagen in de router. Die geheimhoudingsplicht blijft ook gelden nadat dergelijke personeelsleden hun functie of dienstverband hebben beëindigd of hun werkzaamheden hebben stopgezet.

eu-LISA heeft geen toegang tot via de router verwerkte persoonsgegevens.

3. eu-LISA verricht taken met betrekking tot het aanbieden van opleiding in het technische gebruik van de router.

HOOFDSTUK 8

Wijzigingen van andere bestaande instrumenten

Artikel 68

Wijzigingen van Besluit 2008/615/JBZ en Besluit 2008/616/JBZ

1. Wat de door deze verordening gebonden lidstaten betreft, worden artikel 1, punt a), de artikelen 2 tot en met 6 en de afdelingen 2 en 3 van hoofdstuk 2 van Besluit 2008/615/JBZ vervangen vanaf de datum waarop de bepalingen van deze verordening met betrekking tot de router van toepassing worden zoals bepaald in artikel 75, lid 1. Derhalve worden artikel 1, punt a), de artikelen 2 tot en met 6 en de afdelingen 2 en 3 van hoofdstuk 2 van Besluit 2008/615/JBZ geschrapt vanaf de datum waarop de bepalingen van deze verordening met betrekking tot de router van toepassing worden zoals bepaald in artikel 75, lid 1.

2. Wat de door deze verordening gebonden lidstaten betreft, worden de hoofdstukken 2 tot en met 5 en de artikelen 18, 20 en 21 van Besluit 2008/616/JBZ vervangen vanaf de datum waarop de bepalingen van deze verordening met betrekking tot de router van toepassing worden zoals bepaald in artikel 75, lid 1. Derhalve worden de hoofdstukken 2 tot en met 5 en de artikelen 18, 20 en 21 van Besluit 2008/616/JBZ geschrapt vanaf de datum waarop de bepalingen van deze verordening met betrekking tot de router van toepassing worden zoals bepaald in artikel 75, lid 1.

Artikel 69

Wijzigingen van Verordening (EU) 2018/1726

Verordening (EU) 2018/1726 wordt als volgt gewijzigd:

Het volgende artikel wordt ingevoegd:

“Artikel 8 quinquies

Taken in verband met de Prüm II-router

Met betrekking tot de Prüm II-router, voert het Agentschap de hem bij Verordening (EU) 2024/982 van het Europees Parlement en de Raad (*1) opgedragen taken uit.

(*1) Verordening (EU) 2024/982 van het Europees Parlement en de Raad van 13 maart 2024 betreffende de geautomatiseerde gegevensbevraging en -uitwisseling ten behoeve van politiële samenwerking en tot wijziging van de Besluiten 2008/615/JBZ en 2008/616/JBZ van de Raad en de Verordeningen (EU) 2018/1726, (EU) 2019/817 en (EU) 2019/818 van het Europees Parlement en de Raad (de Prüm II-verordening) (PB L, 2024/982, 5.4.2024, ELI: http://data.europa.eu/eli/reg/2024/982/oj).”."

2)	Artikel 17, lid 3, tweede alinea, wordt vervangen door: “De in artikel 1, leden 4 en 5, de artikelen 3 tot en met 8 en de artikelen 8 quinquies, 9 en 11 bedoelde taken in verband met ontwikkeling en operationeel beheer worden verricht in de technische locatie in Straatsburg, Frankrijk.”.

Artikel 19, lid 1, wordt als volgt gewijzigd:

het volgende punt wordt ingevoegd:

“ee ter)

de verslagen over de stand van zaken wat betreft de ontwikkeling van de Prüm II-router vast te stellen op grond van artikel 80, lid 2, van Verordening (EU) 2024/982;”;

punt ff) wordt vervangen door:

“ff)

de verslagen vast te stellen over de technische werking van:

i)	SIS op grond van artikel 60, lid 7, van Verordening (EU) 2018/1861 van het Europees Parlement en de Raad (2) en artikel 74, lid 8, van Verordening (EU) 2018/1862 van het Europees Parlement en de Raad (3);

ii)	VIS op grond van artikel 50, lid 3, van Verordening (EG) nr. 767/2008 en artikel 17, lid 3, van Besluit 2008/633/JBZ;

iii)	EES op grond van artikel 72, lid 4, van Verordening (EU) 2017/2226;

iv)	Etias op grond van artikel 92, lid 4, van Verordening (EU) 2018/1240;

v)	ECRIS-TCN en van de ECRIS-referentie-implementatie op grond van artikel 36, lid 8, van Verordening (EU) 2019/816;

vi)	de interoperabiliteitscomponenten op grond van artikel 78, lid 3, van Verordening (EU) 2019/817 en artikel 74, lid 3, van Verordening (EU) 2019/818;

vii)	het e-CODEX systeem op grond van artikel 16, lid 1, van Verordening (EU) 2022/850;

viii)

het samenwerkingsplatform voor GOT’s op grond van artikel 26, lid 6, van Verordening (EU) 2023/969;

ix)	de Prüm II-router op grond van artikel 80, lid 5, van Verordening (EU) 2024/982;

(*2) Verordening (EU) 2018/1861 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van grenscontroles, tot wijziging van de Overeenkomst ter uitvoering van het Akkoord van Schengen en tot wijziging en intrekking van Verordening (EG) nr. 1987/2006 (PB L 312 van 7.12.2018, blz. 14)."

(*3) Verordening (EU) 2018/1862 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van politiële en justitiële samenwerking in strafzaken, tot wijziging en intrekking van Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EG) nr. 1986/2006 van het Europees Parlement en de Raad en Besluit 2010/261/EU van de Commissie (PB L 312 van 7.12.2018, blz. 56).”;"

punt hh) wordt vervangen door:

“hh)

formeel opmerkingen vast te stellen over de verslagen van de Europese Toezichthouder voor gegevensbescherming betreffende zijn audits op grond van artikel 56, lid 2, van Verordening (EU) 2018/1861, artikel 42, lid 2, van Verordening (EG) nr. 767/2008, artikel 31, lid 2, van Verordening (EU) nr. 603/2013, artikel 56, lid 2, van Verordening (EU) 2017/2226, artikel 67 van Verordening (EU) 2018/1240, artikel 29, lid 2, van Verordening (EU) 2019/816, artikel 52 van de Verordeningen (EU) 2019/817 en (EU) 2019/818 en artikel 58, lid 1, van Verordening (EU) 2024/982 en ervoor te zorgen dat aan die audits het passende gevolg wordt gegeven;”.

Artikel 70

Wijzigingen van Verordening (EU) 2019/817

Aan artikel 6, lid 2, van Verordening (EU) 2019/817 wordt het volgende punt toegevoegd:

“d)	een beveiligde communicatie-infrastructuur tussen het ESP en de router die is opgezet bij Verordening (EU) 2024/982 van het Europees Parlement en de Raad (*4) .

Artikel 71

Wijzigingen van Verordening (EU) 2019/818

Verordening (EU) 2019/818 wordt als volgt gewijzigd:

Aan artikel 6, lid 2, wordt het volgende punt toegevoegd:

“d)	een beveiligde communicatie-infrastructuur tussen het ESP en de router die is opgezet bij Verordening (EU) 2024/982 van het Europees Parlement en de Raad (*5).

(*5) Verordening (EU) 2024/982 van het Europees Parlement en de Raad van 13 maart 2024 betreffende de geautomatiseerde gegevensbevraging en -uitwisseling ten behoeve van politiële samenwerking en tot wijziging van de Besluiten 2008/615/JBZ en 2008/616/JBZ van de Raad en de Verordeningen (EU) 2018/1726, (EU) 2019/817 en (EU) 2019/818 van het Europees Parlement en de Raad (de Prüm II-verordening) (PB L, 2024/982, 5.4.2024, ELI: http://data.europa.eu/eli/reg/2024/982/oj).”."

In artikel 39 worden de leden 1 en 2 vervangen door:

“1. Er wordt een centraal register voor rapportage en statistieken (CRRS) ingesteld om de doelstellingen van SIS, Eurodac en Ecris-TCN in overeenstemming met de voor die systemen respectievelijk geldende rechtsinstrumenten te ondersteunen en om te voorzien in systeemoverschrijdende statistische gegevens en analytische verslagen voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit. Het CRRS ondersteunt tevens de doelstellingen van Verordening (EU) 2024/982.

2. eu-LISA zorgt op zijn technische locaties voor het opstellen, implementeren en hosten van het CRRS, met daarin de logisch per Unie-informatiesysteem gescheiden gegevens en statistieken zoals bedoeld in artikel 74 van Verordening (EU) 2018/1862 en artikel 32 van Verordening (EU) 2019/816. eu-LISA verzamelt tevens de gegevens en statistieken van de router zoals bedoeld in artikel 72, lid 1, van Verordening (EU) 2024/982. Toegang tot het CRRS wordt uitsluitend met het oog op het opstellen van rapporten en statistieken verleend aan de in artikel 74 van Verordening (EU) 2018/1862, artikel 32 van Verordening (EU) 2019/816 en artikel 72, lid 1, van Verordening (EU) 2024/982 bedoelde autoriteiten door middel van gecontroleerde en beveiligde toegang en specifieke gebruikersprofielen.”

HOOFDSTUK 9

Slotbepalingen

Artikel 72

Verslagen en statistieken

1. De naar behoren gemachtigde personeelsleden van de bevoegde autoriteiten van de lidstaten, de Commissie, eu-LISA en Europol hebben, uitsluitend met het oog op het opstellen van verslagen en statistieken, toegang tot de volgende gegevens inzake de router:

a)	het aantal zoekopdrachten per lidstaat en het aantal zoekopdrachten van Europol, per gegevenscategorie;

b)	het aantal zoekopdrachten voor elke aangesloten databank;

c)	het aantal matches met de databank van elke lidstaat per gegevenscategorie;

d)	het aantal matches met Europolgegevens per gegevenscategorie;

e)	het aantal bevestigde matches waarbij kerngegevens werden uitgewisseld;

f)	het aantal bevestigde matches waarbij geen kerngegevens werden uitgewisseld;

g)	het aantal zoekopdrachten via de router in het gemeenschappelijk identiteitsregister, en

het aantal matches per soort als volgt:

i)	geïdentificeerde gegevens (persoon) — niet-geïdentificeerde gegevens (spoor);

ii)	niet-geïdentificeerde gegevens (spoor) — geïdentificeerde gegevens (persoon);

iii)	niet-geïdentificeerde gegevens (spoor) — niet-geïdentificeerde gegevens (spoor);

iv)	geïdentificeerde gegevens (persoon) — geïdentificeerde gegevens (persoon).

Het mag niet mogelijk zijn om personen te identificeren op basis van de in de eerste alinea vermelde gegevens.

2. De naar behoren gemachtigde personeelsleden van de bevoegde autoriteiten van de lidstaten, de Commissie en Europol hebben, uitsluitend met het oog op het opstellen van verslagen en statistieken, toegang tot de volgende gegevens inzake Eucaris:

a)	het aantal zoekopdrachten van elke lidstaat en het aantal zoekopdrachten van Europol;

b)	het aantal zoekopdrachten voor elke aangesloten databank, en

c)	het aantal matches met de databank van elke lidstaat.

Het mag niet mogelijk zijn om personen te identificeren op basis van de in de eerste alinea vermelde gegevens.

3. De naar behoren gemachtigde personeelsleden van de bevoegde autoriteiten van de lidstaten, de Commissie en Europol hebben, uitsluitend met het oog op het opstellen van verslagen en statistieken, toegang tot de volgende gegevens inzake Epris:

a)	het aantal zoekopdrachten van elke lidstaat en het aantal zoekopdrachten van Europol;

b)	het aantal zoekopdrachten voor elk aangesloten register, en

c)	het aantal matches met de databank van elke lidstaat.

Het mag niet mogelijk zijn om personen te identificeren op basis van de in de eerste alinea vermelde gegevens.

4. eu-LISA slaat de in lid 1 van dit artikel vermelde gegevens op in het centrale register voor rapportage en statistieken dat is ingesteld bij artikel 39 van Verordening (EU) 2019/818. Europol slaat de in lid 3 van dit artikel vermelde gegevens op. Die gegevens stellen de bevoegde autoriteiten van de lidstaten, de Commissie, eu-LISA en Europol in staat op maat gesneden verslagen en statistieken te verkrijgen om de doeltreffendheid van de samenwerking op het gebied van rechtshandhaving te verbeteren.

Artikel 73

Kosten

1. De kosten in verband met de instelling en werking van de router en Epris komen ten laste van de algemene begroting van de Unie.

2. De kosten in verband met de integratie van bestaande nationale infrastructuur en de verbinding daarvan met de router en met Epris, en de kosten in verband met het opzetten van nationale databanken voor gezichtsopnamen en nationale politieregisters voor het voorkomen, opsporen en onderzoeken van strafbare feiten komen ten laste van de algemene begroting van de Unie.

De volgende kosten komen niet in aanmerking:

a)	de dienst voor projectbeheer van de lidstaten (vergaderingen, missies, kantoren);

b)	het hosten van nationale IT-systemen (ruimte, implementatie, elektriciteit, koeling);

c)	de exploitatie van nationale IT-systemen (exploitanten en contracten voor ondersteuning);

d)	het ontwerp, de ontwikkeling, de implementatie, de exploitatie en het onderhoud van nationale communicatienetwerken.

3. Elke lidstaat draagt de kosten in verband met de administratie, het gebruik en het onderhoud van Eucaris.

4. Elke lidstaat draagt de kosten in verband met de administratie, het gebruik en het onderhoud van zijn verbindingen met de router en met Epris.

Artikel 74

Kennisgevingen

1. De lidstaten stellen eu-LISA in kennis van de in artikel 36 bedoelde bevoegde autoriteiten. Die bevoegde autoriteiten kunnen gebruikmaken van of toegang hebben tot de router.

2. eu-LISA stelt de Commissie in kennis van de succesvolle voltooiing van de in artikel 75, lid 1, punt b), bedoelde test.

3. Europol stelt de Commissie in kennis van de succesvolle voltooiing van de in artikel 75, lid 3, punt b), bedoelde test.

4. Elke lidstaat stelt de andere lidstaten, de Commissie, eu-LISA en Europol in kennis van de inhoud van zijn nationale DNA-databanken en de voorwaarden voor geautomatiseerde bevragingen waarop de artikelen 5 en 6 van toepassing zijn.

5. Elke lidstaat stelt de andere lidstaten, de Commissie, eu-LISA en Europol in kennis van de inhoud van zijn nationale dactyloscopische databanken en de voorwaarden voor geautomatiseerde bevragingen waarop de artikelen 10 en 11 van toepassing zijn.

6. Elke lidstaat stelt de andere lidstaten, de Commissie, eu-LISA en Europol in kennis van de inhoud van zijn nationale databanken voor gezichtsopnamen en de voorwaarden voor geautomatiseerde bevragingen waarop de artikelen 19 en 20 van toepassing zijn.

7. De lidstaten die deelnemen aan geautomatiseerde uitwisseling van politiegegevens op grond van de artikelen 25 en 26 stellen de andere lidstaten, de Commissie en Europol in kennis van de inhoud van hun nationale politieregisters en van de nationale databanken die worden gebruikt voor de opstelling van die registers en de voorwaarden voor geautomatiseerde bevraging.

8. De lidstaten stellen de Commissie, eu-LISA en Europol in kennis van hun op grond van artikel 30 aangewezen nationale contactpunt. De Commissie stelt een lijst op van de nationale contactpunten waarvan zij in kennis is gesteld en stelt die ter beschikking van alle lidstaten.

Artikel 75

Ingebruikneming

1. De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop de lidstaten en Europol de router in gebruik mogen nemen, zodra aan de volgende voorwaarden is voldaan:

a)	de maatregelen bedoeld in artikel 5, lid 3, artikel 8, leden 2 en 3, artikel 13, leden 2 en 3, artikel 17, lid 3, artikel 22, leden 2 en 3, artikel 31 en artikel 37, lid 6, zijn vastgesteld;

b)	eu-LISA heeft verklaard dat een uitgebreide test van de router, die eu-LISA samen met de bevoegde autoriteiten van de lidstaten en Europol heeft uitgevoerd, met succes is voltooid.

Bij de in de eerste alinea bedoelde uitvoeringshandeling stelt de Commissie de datum vast waarop de lidstaten en Europol de router in gebruik moeten nemen. Die datum valt één jaar na de uit hoofde van de eerste alinea bepaalde datum.

De Commissie kan de datum waarop de lidstaten en Europol de router in gebruik moeten nemen, met ten hoogste één jaar uitstellen, indien uit een beoordeling van de implementatie van de router is gebleken dat een dergelijk uitstel noodzakelijk is.

2. De lidstaten zorgen ervoor dat gezichtsopnamen twee jaar na de ingebruikneming van de router beschikbaar zijn zoals bedoeld in artikel 19, met het oog op geautomatiseerde bevraging van gezichtsopnamen zoals bedoeld in artikel 20.

3. De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop de lidstaten en Europol Epris in gebruik moeten nemen, zodra aan de volgende voorwaarden is voldaan:

a)	de in artikel 44, lid 6, bedoelde maatregelen zijn goedgekeurd;

b)	Europol heeft verklaard dat een uitgebreide test van Epris, die Europol samen met de bevoegde autoriteiten van de lidstaten heeft uitgevoerd, met succes is voltooid.

4. De Commissie stelt door middel van een uitvoeringshandeling de datum vast vanaf wanneer Europol, overeenkomstig artikel 48, uit derde landen afkomstige biometrische gegevens ter beschikking van de lidstaten moet stellen, zodra aan de volgende voorwaarden is voldaan:

a)	de router is in gebruik genomen;

b)	Europol heeft verklaard dat een uitgebreide test van de verbinding met de router, die Europol samen met de bevoegde autoriteiten van de lidstaten en eu-LISA heeft uitgevoerd, met succes is voltooid.

5. De Commissie stelt door middel van een uitvoeringshandeling de datum vast vanaf wanneer Europol, overeenkomstig artikel 49, toegang moet krijgen tot in de databanken van de lidstaten opgeslagen gegevens, zodra aan de volgende voorwaarden is voldaan:

a)	de router is in gebruik genomen;

b)	Europol heeft verklaard dat een uitgebreide test van zijn verbinding met de router, die Europol samen met de bevoegde autoriteiten van de lidstaten en eu-LISA heeft uitgevoerd, met succes is voltooid.

6. De in dit artikel bedoelde uitvoeringshandelingen worden vastgesteld volgens de in artikel 77, lid 2, bedoelde onderzoeksprocedure.

Artikel 76

Overgangsbepalingen en afwijkingen

1. De lidstaten en de agentschappen van de Unie passen de artikelen 19 tot en met 22, artikel 47 en artikel 49, lid 6, toe met ingang van de overeenkomstig artikel 75, lid 1, eerste alinea, bepaalde datum, met uitzondering van de lidstaten die de router niet in gebruik hebben genomen.

2. De lidstaten en de agentschappen van de Unie passen de artikelen 25 tot en met 28 en artikel 49, lid 4, toe met ingang van de overeenkomstig artikel 75, lid 3, bepaalde datum.

3. De lidstaten en de agentschappen van de Unie passen artikel 48 toe met ingang van de overeenkomstig artikel 75, lid 4, bepaalde datum.

4. De lidstaten en de agentschappen van de Unie passen artikel 49, leden 1, 2, 3, 5 en 7, toe met ingang van de overeenkomstig artikel 75, lid 5, bepaalde datum.

Artikel 77

Comitéprocedure

1. De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2. Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing. Indien door het comité geen advies wordt uitgebracht, neemt de Commissie de ontwerpuitvoeringshandeling niet aan en is artikel 5, lid 4, derde alinea, van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 78

Adviesgroep inzake interoperabiliteit

De verantwoordelijkheden van de bij artikel 75 van Verordening (EU) 2019/817 en artikel 71 van Verordening (EU) 2019/818 opgerichte adviesgroep inzake interoperabiliteit strekken zich uit tot de router. De adviesgroep inzake interoperabiliteit levert aan eu-LISA expertise met betrekking tot de router, met name bij de opstelling van het jaarlijkse werkprogramma en het jaarlijkse activiteitenverslag.

Artikel 79

Praktische handleiding

De Commissie stelt, in nauwe samenwerking met de lidstaten, eu-LISA, Europol en het Bureau van de Europese Unie voor de grondrechten, een praktische handleiding ter beschikking voor de uitvoering en het beheer van deze verordening. De praktische handleiding bevat technische en operationele richtsnoeren, aanbevelingen en beste praktijken. De Commissie stelt de praktische handleiding vast in de vorm van een aanbeveling, voorafgaand aan de ingebruikneming van zowel de router als Epris. De Commissie actualiseert de praktische handleiding regelmatig en wanneer dat noodzakelijk is.

Artikel 80

Monitoring en evaluatie

1. eu-LISA zorgt ervoor dat er procedures voorhanden zijn om de ontwikkeling van de router te monitoren in het licht van de doelstellingen op het gebied van planning en kosten, en de werking ervan te monitoren in het licht van de doelstellingen op het gebied van de technische resultaten, de kosteneffectiviteit, de beveiliging en de kwaliteit van de dienstverlening.

Europol zorgt ervoor dat er procedures voorhanden zijn om de ontwikkeling van Epris te monitoren in het licht van de doelstellingen op het gebied van planning en kosten, en de werking ervan te monitoren in het licht van de doelstellingen op het gebied van de technische resultaten, de kosteneffectiviteit, de beveiliging en de kwaliteit van de dienstverlening.

2. Uiterlijk op 26 april 2025, en vervolgens elk jaar tijdens de ontwikkelingsfase van de router, brengt eu-LISA aan het Europees Parlement en de Raad verslag uit over de stand van zaken van de ontwikkeling van de router. Die verslagen bevatten gedetailleerde informatie over de gemaakte kosten en informatie over eventuele risico’s die van invloed kunnen zijn op de totale kosten die op grond van artikel 73 ten laste komen van de algemene begroting van de Unie.

Zodra de ontwikkeling van de router is afgerond, dient eu-LISA bij het Europees Parlement en de Raad een verslag in waarin uitvoerig wordt uiteengezet hoe de doelstellingen, met name die welke betrekking hebben op planning en kosten, zijn bereikt en waarin eventuele afwijkingen worden gerechtvaardigd.

3. Uiterlijk op 26 april 2025, en vervolgens elk jaar tijdens de ontwikkelingsfase van Epris, brengt Europol aan het Europees Parlement en de Raad verslag uit over de stand van zaken bij de ontwikkeling van Epris. Die verslagen bevatten gedetailleerde informatie over de gemaakte kosten en informatie over eventuele risico’s die van invloed kunnen zijn op de totale kosten die op grond van artikel 73 ten laste komen van de algemene begroting van de Unie.

Wanneer de ontwikkeling van Epris is afgerond, dient Europol bij het Europees Parlement en de Raad een verslag in waarin uitvoerig wordt uiteengezet hoe de doelstellingen, met name die welke betrekking hebben op planning en kosten, zijn bereikt en waarin eventuele afwijkingen worden gerechtvaardigd.

4. Met het oog op het technische onderhoud heeft eu-LISA toegang tot de vereiste informatie over de in de router uitgevoerde gegevensverwerkingsverrichtingen. Met het oog op het technische onderhoud heeft Europol toegang tot de vereiste informatie over de in Epris uitgevoerde gegevensverwerkingsverrichtingen.

5. Twee jaar na de ingebruikneming van de router, en vervolgens om de twee jaar, brengt eu-LISA aan het Europees Parlement, de Raad en de Commissie verslag uit over de technische werking, waaronder de beveiliging van de router.

6. Twee jaar na de ingebruikneming van Epris, en vervolgens om de twee jaar, brengt Europol aan het Europees Parlement, de Raad en de Commissie verslag uit over de technische werking, waaronder de beveiliging van Epris.

7. Drie jaar na de ingebruikneming van de router en Epris zoals bedoeld in artikel 75, en vervolgens om de vier jaar, stelt de Commissie een verslag op betreffende de algemene evaluatie van het Prüm II-kader.

Eén jaar na de ingebruikneming van de router en vervolgens om de twee jaar, stelt de Commissie een verslag op betreffende de evaluatie van het gebruik van gezichtsopnamen uit hoofde van deze verordening.

De in de eerste en tweede alinea bedoelde verslagen omvatten:

a)	een beoordeling van de toepassing van deze verordening, met inbegrip van het gebruik ervan door elke lidstaat en door Europol;

b)	een toetsing van de bereikte resultaten aan de doelstellingen van deze verordening en een beoordeling van de gevolgen ervan voor de grondrechten;

c)	het effect, de effectiviteit en de efficiëntie van de activiteiten en werkmethoden van het Prüm II-kader in het licht van zijn doelstellingen, mandaat en taken;

d)	een beoordeling van de beveiliging van het Prüm II-kader.

De Commissie zendt die verslagen toe aan het Europees Parlement, aan de Raad, aan de Europese Toezichthouder voor gegevensbescherming en aan het Bureau van de Europese Unie voor de grondrechten.

8. In de in de eerste alinea van lid 7 bedoelde verslagen besteedt de Commissie bijzondere aandacht aan de volgende nieuwe categorieën gegevens: gezichtsopnamen en politiegegevens. De Commissie vermeldt in dergelijke verslagen het gebruik ervan door elke lidstaat en door Europol van die nieuwe categorieën gegevens en het effect, de doeltreffendheid en de efficiëntie ervan. In de in de tweede alinea van lid 7 bedoelde verslagen besteedt de Commissie bijzondere aandacht aan het risico op onjuiste matches en aan de kwaliteit van de gegevens.

9. De lidstaten en Europol verstrekken eu-LISA en de Commissie de informatie die nodig is om de in de leden 2 en 5 bedoelde verslagen op te stellen. Die informatie brengt de werkmethoden niet in gevaar en onthult de bronnen, personeelsleden of onderzoeken van de bevoegde autoriteiten van de lidstaten niet.

10. De lidstaten verstrekken de Commissie en Europol de informatie die nodig is om de in de leden 3 en 6 bedoelde verslagen op te stellen. Die informatie brengt de werkmethoden niet in gevaar en onthult geen de bronnen, personeelsleden of onderzoeken van de bevoegde autoriteiten van de lidstaten niet.

11. Onverminderd vertrouwelijkheidsvoorschriften verstrekken de lidstaten, eu-LISA en Europol de Commissie de informatie die nodig is om de in lid 7 bedoelde verslagen op te stellen. De lidstaten delen de Commissie ook het aantal bevestigde matches met de databank van elke lidstaat per gegevenscategorie en -soort mee. Die informatie brengt de werkmethoden niet in gevaar en onthult de bronnen, personeelsleden of onderzoeken van de bevoegde autoriteiten van de lidstaten niet.

Artikel 81

Inwerkingtreding en toepasselijkheid

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in de lidstaten overeenkomstig de Verdragen.

Gedaan te Straatsburg, 13 maart 2024.

Voor het Europees Parlement

De voorzitter

R. METSOLA

Voor de Raad

De voorzitter

H. LAHBIB

(1) PB C 323 van 26.8.2022, blz. 69.

(2) Standpunt van het Europees Parlement van 8 februari 2024 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 26 februari 2024.

(3) Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en tot vervanging en intrekking van de Besluiten 2009/371/JBZ, 2009/934/JBZ, 2009/935/JBZ, 2009/936/JBZ en 2009/968/JBZ van de Raad (PB L 135 van 24.5.2016, blz. 53).

(4) Besluit 2008/615/JBZ van de Raad van 23 juni 2008 inzake de intensivering van de grensoverschrijdende samenwerking, in het bijzonder ter bestrijding van terrorisme en grensoverschrijdende criminaliteit (PB L 210 van 6.8.2008, blz. 1).

(5) Besluit 2008/616/JBZ van de Raad van 23 juni 2008 betreffende de uitvoering van Besluit 2008/615/JBZ inzake de intensivering van de grensoverschrijdende samenwerking, in het bijzonder ter bestrijding van terrorisme en grensoverschrijdende criminaliteit (PB L 210 van 6.8.2008, blz. 12).

(6) Verordening (EU) 2018/1862 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van politiële en justitiële samenwerking in strafzaken, tot wijziging en intrekking van Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EG) nr. 1986/2006 van het Europees Parlement en de Raad en Besluit 2010/261/EU van de Commissie (PB L 312 van 7.12.2018, blz. 56).

(7) Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).

(8) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(9) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(10) Richtlijn (EU) 2023/977 van het Europees Parlement en de Raad van 10 mei 2023 betreffende de uitwisseling van informatie tussen de rechtshandhavingsinstanties van de lidstaten en tot intrekking van Kaderbesluit 2006/960/JBZ van de Raad (PB L 134 van 22.5.2023, blz. 1).

(11) Kaderbesluit 2009/315/JBZ van de Raad van 26 februari 2009 betreffende de organisatie en de inhoud van uitwisseling van gegevens uit het strafregister tussen de lidstaten (PB L 93 van 7.4.2009, blz. 23).

(12) Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad (PB L 135 van 22.5.2019, blz. 27).

(13) Verordening (EU) 2019/818 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van politiële en justitiële samenwerking, asiel en migratie en tot wijziging van Verordeningen (EU) 2018/1726, (EU) 2018/1862 en (EU) 2019/816 (PB L 135 van 22.5.2019, blz. 85).

(14) Verordening (EU) 2018/1726 van het Europees Parlement en de Raad van 14 november 2018 betreffende het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), tot wijziging van Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EU) nr. 1077/2011 (PB L 295 van 21.11.2018, blz. 99).

(15) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(16) PB C 225 van 9.6.2022, blz. 6.

(17) Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (PB L 333 van 27.12.2022, blz. 80).

(18) PB L 56 van 4.3.1968, blz. 1.

ELI: http://data.europa.eu/eli/reg/2024/982/oj

ISSN 1977-0758 (electronic edition)

Top

All