EUROPESE COMMISSIE

Brussel, 3.6.2021

COM(2021) 281 final

2021/0136(COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

tot wijziging van Verordening (EU) nr. 910/2014 betreffende een Europees kader voor een digitale identiteit

{SEC(2021) 228 final} - {SWD(2021) 124 final} - {SWD(2021) 125 final}

TOELICHTING

1.ACHTERGROND VAN HET VOORSTEL

•Motivering en doel van het voorstel

Deze toelichting begeleidt het voorstel voor een verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (eIDAS) 1 . Met deze rechtshandeling wordt beoogd, met het oog op grensoverschrijdend gebruik:

–om toegang tot sterk beveiligde en betrouwbare elektronische identiteitsoplossingen te bieden;

–dat openbare en particuliere diensten betrouwbare en veilige digitale-identiteitsoplossingen kunnen gebruiken;

–dat natuurlijke en rechtspersonen digitale-identiteitsoplossingen kunnen gebruiken;

–dat deze oplossingen verbonden zijn met een reeks attributen en dat daarmee identiteitsgegevens gericht kunnen worden gedeeld, binnen de grenzen van hetgeen voor de gevraagde specifieke dienst nodig is;

–dat gekwalificeerde vertrouwensdiensten in de EU worden aanvaard en dat gelijke voorwaarden gelden voor de verlening daarvan.

•Verenigbaarheid met bestaande bepalingen op het beleidsterrein

•Verenigbaarheid met andere beleidsterreinen van de Unie

2.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

•Rechtsgrondslag

Dit initiatief is bedoeld om de transformatie van de Unie naar een digitale eengemaakte markt te ondersteunen. Met de toenemende digitalisering van grensoverschrijdende publieke en particuliere diensten die digitale-identiteitsoplossingen gebruiken, bestaat het risico dat burgers binnen het huidige wettelijke kader belemmeringen blijven ervaren en niet volledig en naadloos gebruik kunnen maken van onlinediensten in de EU, en hun privacy niet kunnen beschermen. Ook bestaat het risico dat de tekortkomingen van het huidige wettelijke kader voor vertrouwensdiensten leiden tot meer versnippering en tot minder vertrouwen als de lidstaten dit afzonderlijk moeten aanpakken. Daarom is artikel 114 VWEU de toepasselijke rechtsgrondslag voor dit initiatief.

•Subsidiariteit (bij niet-exclusieve bevoegdheid)

Burgers en ondernemingen zouden moeten kunnen profiteren van de beschikbaarheid van sterk beveiligde en betrouwbare elektronische identiteitsoplossingen die in de hele EU kunnen worden gebruikt, en van de overdraagbaarheid van elektronische attesteringen van attributen die met identiteit samenhangen. Vanwege recente technologische ontwikkelingen en markt- en gebruikersbehoeften moeten er gebruiksvriendelijkere grensoverschrijdende oplossingen beschikbaar komen om toegang tot onlinediensten in de hele EU te kunnen krijgen, wat de eIDAS-verordening in haar huidige vorm niet kan bieden.

Gebruikers zijn er steeds meer aan gewend geraakt dat oplossingen wereldwijd beschikbaar zijn, bijvoorbeeld via de Single Sign On-oplossingen van de grotere socialemediaplatforms voor toegang tot hun onlinediensten. De lidstaten kunnen de hieruit voortvloeiende uitdagingen op het gebied van marktmacht van grote aanbieders niet alleen aan; hiervoor zijn interoperabiliteit en betrouwbare eID’s op EU-niveau nodig. Verder worden in één lidstaat uitgegeven en aanvaarde elektronische attesteringen van attributen, zoals een elektronisch medisch certificaat, in andere lidstaten vaak niet wettelijk erkend en aanvaard. Hierdoor dreigen de lidstaten versnipperde nationale oplossingen te blijven ontwikkelen die niet grensoverschrijdend kunnen werken.

Hoewel de levering van vertrouwensdiensten grotendeels gereguleerd is en volgens het bestaande wettelijke kader functioneert, zorgen nationale praktijken hierbij ook voor een risico van toenemende fragmentatie.

Optreden op EU-niveau is uiteindelijk het meest geschikt om burgers en bedrijven de middelen te bieden om zich grensoverschrijdend te identificeren en persoonlijkheidsattributen en inloggegevens uit te wisselen via sterk beveiligde en betrouwbare elektronische identiteitsoplossingen, conform de EU-regels inzake gegevensbescherming. Er is een betrouwbare en veilige eID en een regelgevingskader vereist om de verbinding met attributen en inloggegevens op EU-niveau te maken. Alleen met optreden op EU-niveau kunnen de geharmoniseerde voorwaarden worden vastgesteld voor gebruikerscontrole en voor toegang tot grensoverschrijdende digitale onlinediensten en tot een interoperabiliteitskader waarmee onlinediensten gemakkelijk veilige digitale-identiteitsoplossingen kunnen gebruiken, ongeacht de plaats van uitgifte of van verblijf in de EU. Zoals in grote lijnen weergegeven in de herziening van de eIDAS-verordening is het onwaarschijnlijk dat nationale maatregelen efficiënt en effectief zouden zijn.

•Evenredigheid

Het initiatief staat in verhouding tot de beoogde doelstellingen, en biedt een geschikt instrument voor het opzetten van de noodzakelijke interoperabiliteitsstructuur voor een EU-ecosysteem voor digitale identiteit dat voortbouwt op door de lidstaten uitgegeven wettelijke identiteiten en op de verstrekking van gekwalificeerde en niet-gekwalificeerde digitale identiteitsattributen. Het draagt duidelijk bij tot de doelstelling van verbetering van de digitale eengemaakte markt door middel van een beter geharmoniseerd rechtskader. De geharmoniseerde Europese portemonnees voor digitale identiteit die door de lidstaten moeten worden uitgegeven op basis van gemeenschappelijke technische normen bieden een gemeenschappelijke EU-benadering ten behoeve van gebruikers en partijen die op de beschikbaarheid van veilige grensoverschrijdende elektronische identiteitsoplossingen vertrouwen. Het initiatief pakt de beperkingen van de bestaande interoperabiliteitsinfrastructuur voor elektronische identificatie aan op basis van wederzijdse erkenning van uiteenlopende nationale regelingen voor elektronische identificatie. Gezien de doelstellingen wordt dit initiatief voldoende evenredig geacht en staan de kosten waarschijnlijk in verhouding tot de potentiële baten. De voorgestelde verordening gaat gepaard met financiële en administratieve kosten, die moeten worden gedragen door de lidstaten als afgevers van de Europese portemonnees voor digitale identiteit, door vertrouwensdiensten en door aanbieders van onlinediensten. Die kosten worden waarschijnlijk echter ruimschoots gecompenseerd door de aanzienlijke potentiële baten voor burgers en gebruikers die rechtstreeks voortkomen uit een toename van de grensoverschrijdende erkenning en aanvaarding van elektronische identiteits- en attribuutdiensten.

De kosten in verband met het opstellen van en het afstemmen op de nieuwe normen voor aanbieders van vertrouwensdiensten en aanbieders van onlinediensten zijn onvermijdelijk om de doelstellingen van bruikbaarheid en toegankelijkheid te bereiken. Het de bedoeling dat het initiatief de reeds door de lidstaten gedane investeringen in hun nationale identiteitsregelingen benut en daarop voortbouwt. Verder zijn de extra kosten van het voorstel gericht op harmonisering, en gerechtvaardigd omdat ze naar verwachting op termijn de regeldruk en de nalevingskosten zullen verminderen. De kosten in verband met de aanvaarding in gereglementeerde sectoren van authenticatieattributen voor digitale identiteit kunnen ook als noodzakelijk en evenredig worden beschouwd voor zover zij de algemene doelstelling ondersteunen en de middelen verschaffen waarmee gereglementeerde sectoren kunnen voldoen aan de wettelijke verplichtingen om een gebruiker wettelijk te identificeren.

•Keuze van het instrument

3.EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING

•Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan

•Raadpleging van belanghebbenden

•Bijeenbrengen en gebruik van expertise

•Effectbeoordeling

•Resultaatgerichtheid en vereenvoudiging

•Grondrechten

Omdat persoonsgegevens onder de werkingssfeer van een aantal elementen van de verordening vallen, zijn de maatregelen zo ontworpen dat ze volledig aan de wetgeving inzake gegevensbescherming voldoen. Het voorstel biedt bijvoorbeeld betere mogelijkheden om gegevens te delen en discretionaire openbaarmaking toe te staan. Met de Europese portemonnee voor digitale identiteit kan de gebruiker bepalen hoeveel gegevens aan vertrouwende partijen worden verstrekt, en kan de gebruiker worden geïnformeerd over de attributen die voor de levering van een specifieke dienst vereist zijn. Aanbieders van onlinediensten delen de lidstaten mee als ze van plan zijn een Europese portemonnee voor digitale identiteit te gebruiken, waardoor de lidstaten kunnen bepalen dat dienstverleners gevoelige gegevens, bijvoorbeeld medische, alleen overeenkomstig nationaal recht kunnen opvragen.

4.GEVOLGEN VOOR DE BEGROTING

Om de doelstellingen van dit initiatief optimaal te kunnen verwezenlijken, moet een aantal acties worden gefinancierd, zowel op het niveau van de Commissie, waar de toewijzing van ongeveer 60 VTE in de periode 2022-2027 wordt voorzien, als op het niveau van de lidstaten middels hun actieve deelname aan de deskundigengroepen en comités die zich met het initiatief bezighouden en uit vertegenwoordigers van de lidstaten bestaan. Voor de uitvoering van het voorstel in de periode 2022-2027 zal in totaal tot 30 825 miljoen EUR nodig zijn, waarvan tot 8 825 miljoen EUR voor administratieve kosten en tot 22 miljoen EUR voor operationele uitgaven die gedekt worden door het programma Digitaal Europa (hangende overeenstemming). De financiering ondersteunt kosten in verband met het onderhoud, de ontwikkeling, de hosting, de werking en de ondersteuning van de bouwstenen van de eID en vertrouwensdiensten. De financiering kan ook steun verlenen voor subsidies voor het koppelen van diensten aan het ecosysteem van de Europese portemonnee voor digitale identiteit, voor de ontwikkeling van normen en voor technische specificaties. Tot slot kan de financiering ook steun verlenen voor de uitvoering van jaarlijkse enquêtes en studies naar de doeltreffendheid en de efficiëntie van de verordening bij de verwezenlijking van haar doelstellingen. Het “financieel memorandum” bij dit initiatief biedt een gedetailleerd overzicht van de kosten.

5.OVERIGE ELEMENTEN

•Uitvoeringsplanning en regelingen betreffende toezicht, evaluatie en verslaglegging

•Artikelsgewijze toelichting

Krachtens artikel 6 bis van de ontwerpverordening moeten de lidstaten een Europese portemonnee voor digitale identiteit uitgeven op basis van een aangemelde eID-regeling volgens gemeenschappelijke technische normen, na een verplichte nalevingsbeoordeling en vrijwillige certificering binnen het bij de cyberbeveiligingsverordening opgerichte Europees cyberbeveiligingscertificeringskader. De ontwerpverordening bevat bepalingen op grond waarvan natuurlijke en rechtspersonen veilig persoonsidentificatiegegevens en elektronische attesteringen van attributen kunnen aanvragen en verkrijgen, opslaan, combineren en gebruiken, waarmee zij zich online en offline kunnen authenticeren en zelf kunnen bepalen voor welke goederen en openbare en particuliere onlinediensten zij toegang verlenen. Deze certificering laat de AVG onverlet, in de zin dat verwerkingen van persoonsgegevens met betrekking tot de Europese portemonnee voor digitale identiteit uitsluitend overeenkomstig de artikelen 42 en 43 AVG kunnen worden gecertificeerd.

Artikel 6 ter van het voorstel bevat specifieke vereisten voor vertrouwende partijen ter voorkoming van fraude en ter waarborging van de authenticatie van uit de Europese portemonnee voor digitale identiteit afkomstige persoonsidentificatiegegevens en elektronische attesteringen van attributen.

Om meer elektronische identificatiemiddelen beschikbaar te stellen voor grensoverschrijdend gebruik en de efficiëntie van het proces van wederzijdse erkenning van aangemelde stelsels voor elektronische identificatie te verbeteren, is in artikel 7 de aanmelding van ten minste één stelsel voor elektronische identificatie door de lidstaten verplicht gesteld. Verder zijn in artikel 11 bis bepalingen ter vergemakkelijking van unieke identificatie toegevoegd om de unieke en permanente identificatie van natuurlijke personen te waarborgen. Dit betreft gevallen waarin identificatie bij wet vereist is, zoals op het gebied van gezondheid of financiën vanwege antiwitwasverplichtingen of voor gerechtelijk gebruik. Daartoe moeten de lidstaten een unieke en permanente identificatiecode opnemen in de minimumreeks persoonsidentificatiegegevens. De mogelijkheid voor de lidstaten om te vertrouwen op certificering om de conformiteit met de verordening te waarborgen en aldus het proces van collegiale toetsing te vervangen, verhoogt de efficiëntie van de wederzijdse erkenning.

Afdeling 3 bevat nieuwe bepalingen over het grensoverschrijdende gebruik van de Europese portemonnee voor digitale identiteit, om te waarborgen dat gebruikers kunnen vertrouwen op het gebruik van Europese portemonnees voor digitale identiteit om toegang te krijgen tot onlinediensten van overheidsinstanties en particuliere dienstverleners waarvoor sterke gebruikersauthenticatie vereist is.

In hoofdstuk III, vertrouwensdiensten, is artikel 14 over internationale aspecten zo gewijzigd dat de Commissie uitvoeringsbesluiten kan vaststellen ter staving van de gelijkwaardigheid van de vereisten die gelden voor in derde landen gevestigde vertrouwensdiensten en van de diensten die zij verlenen, naast overeenkomsten inzake wederzijdse erkenning overeenkomstig artikel 218 VWEU.

Inzake de algemene bepaling die van toepassing is op vertrouwensdiensten, inclusief verleners van gekwalificeerde vertrouwensdiensten, zijn de artikelen 17, 18, 20, 21 en 24 gewijzigd om ze in overeenstemming te brengen met de regels die gelden voor netwerk- en informatiebeveiliging in de EU. Inzake de methoden die verleners van gekwalificeerde vertrouwensdiensten moeten gebruiken ter verificatie van de identiteit van natuurlijke of rechtspersonen aan wie de gekwalificeerde certificaten zijn afgegeven, zijn de bepalingen inzake het gebruik van identificatiemiddelen op afstand geharmoniseerd en verduidelijkt om te waarborgen dat in de hele EU dezelfde regels worden toegepast.

Hoofdstuk III bevat een nieuw artikel 29 bis waarin de voorwaarden voor een gekwalificeerde dienst voor het beheer van middelen voor het aanmaken van elektronische handtekeningen op afstand worden bepaald. De nieuwe gekwalificeerde vertrouwensdienst zou rechtstreeks verbonden zijn aan en voortbouwen op maatregelen die in de effectbeoordeling worden genoemd en beoordeeld, met name maatregelen inzake de “harmonisatie van het certificeringsproces voor elektronische handtekeningen op afstand” en andere maatregelen waarbij de lidstaten worden opgeroepen om de toezichtpraktijken te harmoniseren.

Opdat gebruikers kunnen vaststellen wie achter een website zit, is artikel 45 gewijzigd om aanbieders van webbrowsers te verplichten het gebruik van gekwalificeerde certificaten voor websiteauthenticatie te vergemakkelijken.

Hoofdstuk III bevat drie nieuwe afdelingen.

In de nieuwe afdeling 9 worden bepalingen inzake de rechtsgevolgen van elektronische attesteringen van attributen, het gebruik ervan in bepaalde sectoren en de vereisten voor gekwalificeerde attesteringen van attributen ingevoegd. Om een hoog niveau van vertrouwen te waarborgen, wordt in artikel 45 quinquies een bepaling inzake de verificatie van attributen aan de hand van authentieke bronnen ingevoegd. Opdat gebruikers van de Europese portemonnee voor digitale identiteit kunnen beschikken over elektronische attesteringen van attributen en dergelijke attesteringen in de Europese portemonnee voor digitale identiteit kunnen laten opnemen, is een bepaling ingevoegd in artikel 45 sexies. Artikel 45 septies bevat aanvullende voorschriften voor de levering van diensten voor elektronische attestering van attributen, onder meer inzake de bescherming van persoonsgegevens.

De nieuwe afdeling 10 voorziet in de verlening van gekwalificeerde elektronische archiveringsdiensten op EU-niveau. Artikel 45 octies over gekwalificeerde elektronische archiveringsdiensten is een aanvulling op de artikelen 34 en 40 inzake gekwalificeerde bewaardiensten voor gekwalificeerde elektronische handtekeningen en gekwalificeerde elektronische zegels.

In de nieuwe afdeling 11 wordt een kader vastgesteld voor vertrouwensdiensten met betrekking tot de aanmaak en het onderhoud van elektronische registers en gekwalificeerde elektronische registers. Een elektronisch register combineert tijdstempels van gegevens en de volgorde ervan met zekerheid over de gegevensbron, wat lijkt op een e-handtekening, met als bijkomend voordeel dat de governance meer kan worden gedecentraliseerd, wat voor samenwerking tussen meer partijen geschikt is. Dit is van belang voor verschillende use cases die op elektronische registers kunnen worden gebaseerd.

Bedrijven kunnen met elektronische registers kosten besparen doordat ze de coördinatie tussen meer partijen efficiënter en veiliger maken en het toezicht op de regelgeving vergemakkelijken. Bij ontstentenis van Europese regelgeving bestaat het risico dat nationale wetgevers uiteenlopende nationale normen vaststellen. Om versnippering te voorkomen, moet één pan-Europees kader worden vastgesteld aan de hand waarvan vertrouwensdiensten die de werking van gekwalificeerde elektronische registers ondersteunen, grensoverschrijdend kunnen worden erkend. Deze pan-Europese normen voor knooppuntexploitanten is van toepassing onverminderd ander afgeleid EU-recht. Indien elektronische registers worden gebruikt ter ondersteuning van de uitgifte van en/of de handel in obligaties of voor cryptoactiva, moeten de use cases verenigbaar zijn met alle toepasselijke financiële regels, zoals de richtlijn markten voor financiële instrumenten 11 , de richtlijn betalingsdiensten 12 en de toekomstige verordening betreffende markten in cryptoactiva 13 . Indien use cases persoonsgegevens bevatten, moeten dienstverleners zich houden aan de AVG.

75 % van alle use cases voor elektronische registers in 2017 hadden betrekking op de financiële sector. Use cases voor elektronische registers zijn tegenwoordig steeds diverser, met 17 % in de communicatie- & mediasector; 15 % in productie en grondstoffen, 10 % in de publieke sector, 8 % in verzekeringen, 5 % in retail, 6 % in vervoer, en 5 % in nutsvoorzieningen 14 .

Tot slot bevat hoofdstuk VI een nieuw artikel 48 ter om te waarborgen dat statistieken over het gebruik van de Europese portemonnee voor digitale identiteit worden verzameld om de doeltreffendheid van de gewijzigde verordening te monitoren.

2021/0136 (COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

tot wijziging van Verordening (EU) nr. 910/2014 betreffende een Europees kader voor een digitale identiteit

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 114,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité 15 ,

Handelend volgens de gewone wetgevingsprocedure,

Overwegende hetgeen volgt:

(1)In de mededeling van de Commissie van 19 februari 2020 met als titel “De digitale toekomst van Europa vormgeven” 16 wordt een herziening van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad aangekondigd om de doeltreffendheid ervan te verbeteren, de voordelen ervan voor particulieren uit te breiden en betrouwbare digitale identiteiten voor alle Europeanen te bevorderen.

(2)In zijn conclusies van 1-2 oktober 2020 17 heeft de Europese Raad de Commissie opgeroepen tot de ontwikkeling van een EU-breed kader voor beveiligde openbare elektronische identificatie, inclusief interoperabele digitale handtekeningen, om mensen controle over hun online-identiteit en -gegevens te geven en toegang tot openbare, particuliere en grensoverschrijdende digitale diensten mogelijk te maken.

(3)In de mededeling van de Commissie van 9 maart 2021, met als titel “Het digitale kompas 2030: de Europese aanpak voor het digitale decennium” 18 is de doelstelling vastgelegd van een EU-kader dat tegen 2030 moet leiden tot een brede uitrol van een betrouwbare, door de gebruiker gecontroleerde identiteit, zodat elke burger zelf zijn online interactie en aanwezigheid kan beheren.

(4)Een meer geharmoniseerde benadering van digitale identificatie moet de risico’s en de kosten van de huidige versnippering vanwege uiteenlopende nationale oplossingen verkleinen en de eengemaakte markt versterken door burgers, andere ingezetenen krachtens nationaal recht en ondernemingen zich op een gemakkelijke en uniforme manier in de hele Unie online te laten identificeren. Iedereen moet veilig toegang kunnen hebben tot openbare en particuliere diensten en kunnen vertrouwen op een verbeterd ecosysteem voor vertrouwensdiensten en op geverifieerde identiteitsbewijzen en attesteringen van attributen, zoals een universitair diploma, die overal in de Unie wettelijk worden erkend en aanvaard. Het Europese kader voor een digitale identiteit beoogt een verschuiving van het gebruik van nationale digitale-identiteitsoplossingen naar de levering van elektronische attesteringen van attributen die op Europees niveau geldig zijn. Aanbieders van elektronische attesteringen van attributen moeten profiteren van duidelijke en uniforme regels en overheidsdiensten moeten kunnen vertrouwen op elektronische documenten in een bepaald formaat.

(5)Ter ondersteuning van het concurrentievermogen van Europese bedrijven moeten aanbieders van onlinediensten kunnen vertrouwen op digitale-identiteitsoplossingen die in de hele Unie worden erkend, ongeacht de lidstaat van uitgifte, en dus profiteren van een geharmoniseerde Europese benadering van vertrouwen, beveiliging en interoperabiliteit. Gebruikers en dienstverleners moeten er beide baat bij kunnen hebben dat de rechtskracht van elektronische attesteringen van attributen in de hele Unie gelijk is.

(6)Verordening (EU) 2016/679 19 is van toepassing op de verwerking van persoonsgegevens uit hoofde van deze verordening. Daarom moet deze verordening specifieke waarborgen bevatten om te voorkomen dat aanbieders van elektronische identificatiemiddelen en van elektronische attestering van attributen persoonsgegevens van andere diensten combineren met persoonsgegevens met betrekking tot de diensten die binnen het toepassingsgebied van deze verordening vallen.

(7)Er moeten geharmoniseerde voorwaarden worden vastgesteld voor het opzetten van een kader voor door de lidstaten uit te geven Europese portemonnees voor digitale identiteit, op grond waarvan alle Unieburgers en andere ingezetenen krachtens nationaal recht veilig, gebruiksvriendelijk en gemakkelijk gegevens over hun identiteit kunnen delen, waarbij de gebruiker volledige controle heeft. De op die doelstellingen gerichte technologieën moeten worden ontwikkeld met het oog op het hoogste niveau van beveiliging en gebruiksgemak en op brede inzetbaarheid. De lidstaten moeten voor al hun onderdanen en ingezetenen gelijke toegang tot digitale identificatie waarborgen.

(8)Om naleving binnen het Unierecht, of binnen het met het Unierecht overeenstemmende nationale recht te waarborgen, moeten dienstverleners de lidstaten in kennis stellen van hun intentie om gebruik te maken van de Europese portemonnees voor digitale identiteit. Op die manier kunnen de lidstaten gebruikers tegen fraude beschermen, onrechtmatig gebruik van identiteitsgegevens en elektronische attesteringen van attributen voorkomen, en waarborgen dat de verwerking van gevoelige gegevens, zoals gezondheidsgegevens, door vertrouwende partijen kan worden geverifieerd overeenkomstig het Unierecht of het nationale recht.

(9)Alle Europese portemonnees voor digitale identiteit moeten gebruikers in staat stellen om zich online en offline grensoverschrijdend te identificeren en te authenticeren om toegang tot een breed scala openbare en particuliere diensten te krijgen. Onverminderd de prerogatieven van de lidstaten betreffende de identificatie van hun onderdanen en ingezetenen, kunnen deze portemonnees ook tegemoetkomen aan de institutionele behoeften van overheidsinstanties, internationale organisaties en de instellingen, organen of instanties van de Unie. Offlinegebruik is van belang in veel sectoren, zoals de gezondheidssector waar diensten vaak via persoonlijke interactie worden verleend, en waar e-recepten op QR-codes of soortgelijke technologieën moeten kunnen vertrouwen om de authenticiteit te verifiëren. Wegens de “hoge” mate van zekerheid moeten de Europese portemonnees voor digitale identiteit kunnen gebruikmaken van het potentieel van onvervalsbare oplossingen, zoals beveiligde elementen, ter naleving van de beveiligingsvoorschriften krachtens deze verordening. Met de Europese portemonnees voor digitale identiteit moeten gebruikers ook in de hele EU aanvaarde gekwalificeerde elektronische handtekeningen en zegels kunnen aanmaken en gebruiken. Met het oog op vereenvoudiging en kostenbesparingen voor personen en bedrijven in de hele EU, onder meer door de mogelijkheid van vertegenwoordigingsbevoegdheden en e-mandaten, moeten de lidstaten gemeenschappelijke normen gebruiken wanneer zij Europese portemonnees voor digitale identiteit uitgeven zodat naadloze interoperabiliteit en een hoog beveiligingsniveau worden gewaarborgd. Alleen de bevoegde instanties van de lidstaten kunnen een hoge mate van vertrouwen bieden bij de vaststelling van de identiteit van een persoon en aldus uitmaken of de persoon die stelt een bepaalde identiteit te hebben, daadwerkelijk is wie de persoon zegt dat hij of zij is. Daarom moeten de Europese portemonnees voor digitale identiteit gebruikmaken van de wettelijke identiteit van burgers, andere ingezetenen of rechtspersonen. Het vertrouwen in de Europese portemonnees voor digitale identiteit zou nog hoger worden als de uitgevende partijen verplicht zijn passende technische en organisatorische maatregelen te treffen om een beveiligingsniveau te waarborgen dat in overeenstemming is met de risico’s voor de rechten en vrijheden van natuurlijke personen, conform Verordening (EU) 2016/679.

(10)Met het oog op een hoog niveau van beveiliging en betrouwbaarheid worden in deze verordening de vereisten voor de Europese portemonnees voor digitale identiteit vastgesteld. De overeenstemming van de Europese portemonnees voor digitale identiteit met die vereisten moet worden gecertificeerd door vanwege de lidstaten aangewezen geaccrediteerde openbare of private organen. Het gebruik van een certificeringsregeling op basis van met de lidstaten overeengekomen beschikbare gemeenschappelijke normen moet een hoog niveau van vertrouwen en interoperabiliteit waarborgen. Certificering moet met name steunen op de overeenkomstig Verordening (EU) 2019/881 20 vastgestelde relevante Europese cyberbeveiligingscertificeringsregelingen. Die certificering moet de certificering inzake de verwerking van persoonsgegevens overeenkomstig Verordening (EU) 2016/679 onverlet laten.

(11)Europese portemonnees voor digitale identiteit moeten het hoogste beveiligingsniveau voor de voor authenticatie gebruikte persoonsgegevens waarborgen, ongeacht of die gegevens lokaal of in de cloud worden opgeslagen, met inachtneming van de verschillende risiconiveaus. Het gebruik van biometrische gegevens voor authenticatie is een van de identificatiemethoden die een hoog niveau van betrouwbaarheid bieden, met name in combinatie met andere authenticatie-elementen. Omdat biometrische gegevens een uniek kenmerk van een persoon vormen, zijn voor het gebruik van biometrische gegevens organisatorische en beveiligingsmaatregelen vereist die in verhouding staan tot het risico dat de verwerking kan inhouden voor de rechten en vrijheden van natuurlijke personen, overeenkomstig Verordening (EU) 2016/679.

(12)Om het Europese kader voor digitale identiteit toekomstbestendig en open voor innovatie en technologische ontwikkelingen te houden, moeten de lidstaten worden aangemoedigd om gezamenlijke testomgevingen op te zetten om innovatieve oplossingen in een gecontroleerde en veilige omgeving te testen, in het bijzonder om de functionaliteit, de bescherming van persoonsgegevens, de beveiliging en de interoperabiliteit van de oplossingen te verbeteren en om technische referenties en wettelijke vereisten in toekomstige updates op te nemen. Het Europese midden- en kleinbedrijf, startups en individuele innovatoren en onderzoekers moeten worden gestimuleerd om aan deze omgeving deel te nemen.

(13) Bij Verordening (EU) 2019/1157 21 wordt de beveiliging van identiteitskaarten tegen augustus 2021 verhoogd door middel van strengere beveiligingskenmerken. De lidstaten moeten overwegen of het haalbaar is die op grond van stelsels voor elektronische identificatie aan te melden om de grensoverschrijdende beschikbaarheid van elektronische identificatiemiddelen te verruimen.

(14)Het aanmeldingsproces van stelsels voor elektronische identificatie moet worden vereenvoudigd en versneld om de toegang tot gemakkelijke, betrouwbare, veilige en innovatieve authenticatie- en identificatiemethoden te bevorderen en, waar van belang, particuliere identiteitsverstrekkers te stimuleren om stelsels voor elektronische identificatie aan de autoriteiten van de lidstaten aan te bieden met het oog op aanmelding als nationaal systeem voor elektronische identiteitskaarten conform Verordening (EU) nr. 910/2014.

(15)Een stroomlijning van de huidige procedures voor aanmelding en collegiale toetsing voorkomt heterogene benaderingen van de beoordeling van verschillende aangemelde stelsels voor elektronische identificatie en zorgt voor vertrouwen tussen de lidstaten. Nieuwe en vereenvoudigde mechanismen moeten de samenwerking tussen de lidstaten op het gebied van beveiliging en interoperabiliteit van hun aangemelde stelsels voor elektronische identificatie bevorderen.

(16)De lidstaten moeten met de nieuwe en flexibele instrumenten zorgen voor de naleving van deze verordening en de bijbehorende uitvoeringshandelingen. De lidstaten moeten op grond van deze verordening gebruik kunnen maken van verslagen en beoordelingen van geaccrediteerde conformiteitsbeoordelingsinstanties of van vrijwillige regelingen voor ICT-beveiligingscertificering, zoals overeenkomstig Verordening (EU) 2019/881 op Unieniveau op te zetten certificeringsregelingen, ter ondersteuning van hun verklaringen over de afstemming van de regelingen of delen daarvan op de voorwaarden van de eIDAS-verordening met betrekking tot de interoperabiliteit en de beveiliging van de aangemelde stelsels voor elektronische identificatie.

(17)Uit de reeks persoonsidentificatiegegevens die beschikbaar zijn uit stelsels voor elektronische identificatie op grond van Verordening (EU) nr. 910/2014 gebruiken dienstverleners de identiteitsgegevens om gebruikers uit een andere lidstaat te matchen met de wettelijke identiteit van die gebruiker. Ondanks het gebruik van de eIDAS-gegevens zijn voor een nauwkeurige match in veel gevallen evenwel aanvullende informatie over de gebruiker en specifieke unieke identificatieprocedures op nationaal niveau nodig. Met het oog op een ruimere bruikbaarheid van elektronische identificatiemiddelen, moeten de lidstaten krachtens de verordening specifieke maatregelen nemen om te waarborgen dat tijdens het elektronische identificatieproces de identiteit correct wordt gematcht. Voor datzelfde doel moet deze verordening ook de verplichte minimale reeks gegevens uitbreiden en het gebruik van een uniek en permanent elektronisch identificatiemiddel overeenkomstig het Unierecht vastleggen voor die gevallen waarin het noodzakelijk is de gebruiker op eigen verzoek op unieke en permanente wijze wettelijk te identificeren.

(18)Overeenkomstig Richtlijn (EU) 2019/882 22 moeten personen met een handicap in staat zijn de Europese portemonnees voor digitale identiteit, vertrouwensdiensten en producten voor de eindgebruiker die bij het verlenen van deze diensten gebruikt worden, op gelijke voet als andere consumenten te gebruiken.

(19)Deze verordening mag geen betrekking hebben op aspecten die verband houden met de totstandkoming en de geldigheid van contracten of andere juridische verbintenissen waaraan in het nationale recht of het Unierecht vormvereisten worden gesteld. Daarenboven dient zij de nationale vormvereisten voor openbare registers, met name handelsregisters en kadasters, onverlet te laten.

(20)De levering en het gebruik van vertrouwensdiensten worden steeds belangrijker voor de internationale handel en samenwerking. Internationale partners van de EU zetten op Verordening (EU) nr. 910/2014 geïnspireerde vertrouwenskaders op. Om de erkenning van dergelijke diensten en de aanbieders ervan te faciliteren, kunnen in uitvoeringswetgeving derhalve de voorwaarden worden vastgesteld op grond waarvan de vertrouwenskaders van derde landen als gelijkwaardig aan het vertrouwenskader voor gekwalificeerde vertrouwensdiensten en aanbieders daarvan in de zin van deze verordening kunnen worden beschouwd, in aanvulling op de mogelijkheid van wederzijdse erkenning van in de Unie en in derde landen gevestigde vertrouwensdiensten en aanbieders overeenkomstig artikel 218 VWEU.

(21)Deze verordening moet voortbouwen op handelingen van de Unie tot waarborging van concurrentiële en eerlijke markten in de digitale sector. Zij bouwt met name voort op Verordening XXX/XXXX [wet inzake digitale markten], die regels bepaalt voor als poortwachter aangewezen aanbieders van kernplatformdiensten en, onder meer, verbiedt dat poortwachters zakelijke gebruikers verplichten een identificatiedienst van de poortwachter te gebruiken, aan te bieden of daarmee te interageren in het kader van diensten die worden aangeboden door zakelijke gebruikers die gebruikmaken van de kernplatformdiensten van die poortwachter. Krachtens artikel 6, lid 1, punt f), van Verordening XXX/XXXX [wet inzake digitale markten] moet de poortwachter het voor zakelijke gebruikers en aanbieders van ondersteunende diensten mogelijk maken toegang te krijgen tot en te interageren met dezelfde functies van het besturingssysteem, van de hardware en van de software die beschikbaar zijn of worden gebruikt bij het verlenen van ondersteunende diensten door de poortwachter. Overeenkomstig artikel 2, punt 15, van Verordening XXX/XXXX [wet inzake digitale markten] zijn identificatiediensten een type ondersteunende dienst. Zakelijke gebruikers en aanbieders van ondersteunende diensten moeten daarom toegang kunnen krijgen tot die hardware- en softwarefuncties, zoals beveiligde elementen in smartphones, en daarmee kunnen interageren via de Europese portemonnees voor digitale identiteit of door de lidstaten aangemelde elektronische identificatiemiddelen.

(22)Om de aan aanbieders van vertrouwensdiensten opgelegde cyberbeveiligingsvoorschriften te stroomlijnen en deze aanbieders en hun respectieve bevoegde autoriteiten van het bij Richtlijn XXXX/XXXX (NIS2-richtlijn) opgerichte wettelijke kader te laten profiteren, moeten vertrouwensdiensten passende technische en organisatorische maatregelen nemen overeenkomstig Richtlijn XXXX/XXXX (NIS2-richtlijn), zoals maatregelen tegen systeemfalen, menselijke fouten, kwaadwillige acties of natuurverschijnselen, om de risico’s te beheren voor de beveiliging van netwerk- en informatiesystemen die die aanbieders gebruiken om hun diensten te verlenen, en om significante incidenten en cyberbedreigingen te melden overeenkomstig Richtlijn XXXX/XXXX (NIS2-richtlijn). Wat de melding van incidenten betreft, moeten aanbieders van vertrouwensdiensten melding maken van alle incidenten die aanzienlijke gevolgen hebben voor de verlening van hun diensten, zoals diefstal of verlies van apparatuur, schade aan netwerkbekabeling of incidenten in het kader van persoonsidentificatie. De vereisten inzake het risicobeheer en de verslagleggingsverplichtingen op het gebied van cyberbeveiliging overeenkomstig Richtlijn XXXX/XXXX [NIS2-richtlijn] moeten als aanvullend op de overeenkomstig deze verordening aan aanbieders van vertrouwensdiensten opgelegde voorschriften worden beschouwd. Indien van toepassing, moeten de overeenkomstig Richtlijn XXXX/XXXX (NIS2-richtlijn) aangeduide bevoegde autoriteiten de gevestigde nationale praktijken of richtsnoeren met betrekking tot de uitvoering van beveiligings- en verslagleggingsvereisten en het toezicht op de naleving van dergelijke vereisten overeenkomstig Verordening (EU) nr. 910/2014 blijven toepassen. Verplichtingen overeenkomstig deze verordening laten de verplichting tot het melden van inbreuken op persoonsgegevens overeenkomstig Verordening (EU) 2016/679 onverlet.

(23)Er moet de nodige aandacht worden besteed aan de doeltreffende samenwerking tussen de NIS- en de eIDAS-autoriteiten. Indien het toezichthoudende orgaan uit hoofde van deze verordening een andere is dan de overeenkomstig Richtlijn XXXX/XXXX [NIS2] aangeduide bevoegde autoriteit, moeten die instanties nauw samenwerken, door tijdig relevante informatie uit te wisselen om doeltreffend toezicht op aanbieders van vertrouwensdiensten te houden en te waarborgen dat zij deze verordening en Richtlijn XXXX/XXXX [NIS2] naleven. De toezichthoudende organen uit hoofde van deze verordening moeten de bevoegde autoriteit uit hoofde van Richtlijn XXXX/XXXX [NIS2] kunnen verzoeken de relevante informatie te verstrekken die ze nodig hebben om een gekwalificeerde status toe te kennen en om toezichtmaatregelen te nemen om na te gaan of aanbieders van vertrouwensdiensten de voorwaarden van NIS 2 naleven, of om te eisen dat zij een niet-naleving verhelpen.

(24)Het is van essentieel belang dat wordt voorzien in een juridisch kader ter facilitering van de grensoverschrijdende erkenning van bestaande nationale juridische regelingen met betrekking tot diensten voor elektronisch aangetekende bezorging. Dat kader zou ook nieuwe marktkansen kunnen bieden voor aanbieders van vertrouwensdiensten uit de Unie om nieuwe pan-Europese diensten voor elektronisch aangetekende bezorging aan te bieden en ervoor kunnen zorgen dat de identificatie van de ontvangers wordt gewaarborgd met een hoger betrouwbaarheidsniveau dan de identificatie van de afzender.

(25)Meestal kunnen burgers en andere ingezetenen niet veilig en met een hoog niveau van gegevensbescherming grensoverschrijdend digitaal informatie uitwisselen met betrekking tot hun identiteit, zoals adres, leeftijd en beroepskwalificaties, rijbewijzen en andere vergunningen en betalingsgegevens.

(26)Het moet mogelijk zijn betrouwbare digitale attributen uit te geven en te verwerken, en bij te dragen tot een lagere regeldruk, en burgers en andere ingezetenen die attributen in hun privé- en openbare transacties te laten gebruiken. Burgers en andere ingezetenen moeten bijvoorbeeld kunnen aantonen dat zij beschikken over een geldig rijbewijs dat door een instantie in een lidstaat is afgegeven, wat door de bevoegde autoriteiten in andere lidstaten kan worden geverifieerd en vertrouwd, en ze moeten hun socialezekerheidsgegevens of toekomstige digitale reisdocumenten grensoverschrijdend kunnen gebruiken.

(27)Entiteiten die gewaarmerkte attributen zoals diploma’s, vergunningen of geboorteakten verzamelen, aanmaken en afgeven, moeten aanbieders van elektronische attestering van attributen kunnen worden. Vertrouwende partijen moeten elektronische attesteringen van attributen als gelijkwaardig aan attesteringen op papier kunnen gebruiken. Daarom moet het rechtsgevolg van een elektronische attestering van attributen niet worden ontzegd op grond van het feit dat die elektronisch is of niet aan de eisen voor gekwalificeerde een elektronische attestering van attributen voldoet. Daartoe moeten algemene eisen worden vastgesteld om te waarborgen dat een gekwalificeerde elektronische attestering van attributen dezelfde rechtsgevolgen heeft als wettelijk uitgegeven attesteringen op papier. Die eisen moeten evenwel van toepassing zijn onverminderd het Unierecht of het nationale recht waarin aanvullende sectorspecifieke vormvereisten met onderliggende rechtsgevolgen worden gesteld, en met name onverminderd de grensoverschrijdende erkenning van gekwalificeerde elektronische attesteringen van attributen, indien van toepassing.

(28)Voor een ruime beschikbaarheid en bruikbaarheid van Europese portemonnees voor digitale identiteit is aanvaarding door particuliere dienstverleners vereist. Particuliere vertrouwende partijen die diensten verlenen op het gebied van vervoer, energie, financiële dienstverlening, sociale zekerheid, gezondheidszorg, drinkwatervoorziening, postdiensten, digitale infrastructuur, onderwijs of telecommunicatie moeten het gebruik van Europese portemonnees voor digitale identiteit aanvaarden voor de verlening van diensten waarvoor op grond van nationale of Uniewetgeving of contractuele verbintenis sterke gebruikersauthenticatie voor online-identificatie vereist is. Indien zeer grote onlineplatforms in de zin van artikel 25, lid 1, van Verordening [referentie verordening inzake digitale diensten] verlangen dat gebruikers zich authenticeren om toegang tot onlinediensten te krijgen, moet die platforms worden opgelegd om het gebruik van Europese portemonnees voor digitale identiteit op vrijwillig verzoek van de gebruiker te aanvaarden. Gebruikers moeten niet worden verplicht de portemonnee te gebruiken om toegang tot particuliere diensten te krijgen, maar als gebruikers dat willen, moeten zeer grote onlineplatforms de Europese portemonnee voor digitale identiteit daarvoor aanvaarden, met inachtneming van het beginsel van minimale gegevensverwerking. Vanwege het belang van zeer grote onlineplatforms op grond van hun bereik, met name wat het aantal afnemers van hun diensten en economische transacties betreft, is dit noodzakelijk om gebruikers beter tegen fraude te beschermen en een hoog niveau van gegevensbescherming te waarborgen. Er moeten zelfregulerende gedragscodes op Unieniveau (“gedragscodes”) worden ontwikkeld om bij te dragen tot de brede beschikbaarheid en bruikbaarheid van elektronische identificatiemiddelen, inclusief Europese portemonnees voor digitale identiteit, binnen het toepassingsgebied van deze verordening. De gedragscodes moeten zorgen voor een brede aanvaarding van elektronische identificatiemiddelen, inclusief Europese portemonnees voor digitale identiteit, door dienstverleners die niet als zeer grote platforms worden aangemerkt en die voor gebruikersauthenticatie gebruikmaken van elektronische identificatiediensten van derden. De gedragscodes moeten binnen 12 maanden na de vaststelling van deze verordening worden ontwikkeld. De Commissie moet 18 maanden na de invoering de doeltreffendheid van deze bepalingen voor de beschikbaarheid en de bruikbaarheid van de Europese portemonnee voor digitale identiteit voor de gebruikers beoordelen, en de bepalingen in het licht van die beoordeling middels gedelegeerde handelingen herzien met het oog op de aanvaarding ervan.

(29)Het moet technisch mogelijk zijn dat de Europese portemonnee voor digitale identiteit de attributen selectief openstelt voor vertrouwende partijen. Deze functie moet een fundamentele ontwerpfunctie worden, om het gemak en de bescherming van persoonsgegevens, inclusief minimale verwerking van persoonsgegevens, te vergroten.

(30)Attributen die de verleners van gekwalificeerde vertrouwensdiensten verlenen als onderdeel van de gekwalificeerde attestering van attributen moeten aan de hand van authentieke bronnen worden geverifieerd, hetzij rechtstreeks door de aanbieder van gekwalificeerde vertrouwensdiensten, hetzij via aangewezen intermediairs die overeenkomstig nationaal recht of Unierecht op nationaal niveau zijn erkend met het oog op de veilige uitwisseling van geattesteerde attributen tussen verleners van identiteitsdiensten of van attestering van attribuutsdiensten enerzijds en vertrouwende partijen anderzijds.

(31)Veilige elektronische identificatie en de verlening van attesteringen van attributen moeten extra flexibiliteit en oplossingen voor de financiëledienstensector bieden om klanten te kunnen identificeren en specifieke attributen te kunnen uitwisselen waaraan moet worden voldaan, zoals cliëntenonderzoeksvereisten uit hoofde van de antiwitwasverordening [referentie toevoegen na vaststelling van het voorstel], of uit de wetgeving ter bescherming van investeerders voortvloeiende geschiktheidseisen, ofwel ter ondersteuning van strenge cliëntauthenticatievereisten om op accounts in te loggen en transacties op het gebied van betalingsdiensten te initiëren.

(32)Diensten voor de authenticatie van websites bieden gebruikers de zekerheid dat het om de website van een werkelijk bestaande, legitieme entiteit gaat. Die diensten dragen bij tot toenemend vertrouwen in online zaken doen, aangezien een geauthentiseerde website het vertrouwen van de gebruikers zal genieten. Het gebruik van diensten voor authenticatie van websites gebeurt op vrijwillige basis. Om van authenticatie van websites een middel te maken om het vertrouwen te bevorderen, de gebruikers betere ervaringen te bezorgen en de groei in de interne markt te bevorderen, voorziet deze verordening evenwel in minimumverplichtingen inzake veiligheid en aansprakelijkheid voor aanbieders van diensten voor authenticatie van websites en de door hen verleende diensten. Daartoe moeten webbrowsers zorgen voor ondersteuning van en interoperabiliteit met gekwalificeerde certificaten voor websiteauthenticatie overeenkomstig Verordening (EU) nr. 910/2014. Zij moeten gekwalificeerde certificaten voor websiteauthenticatie herkennen en weergeven om een hoge mate van zekerheid te bieden, waardoor de eigenaren van websites hun identiteit als eigenaar van een website kunnen bevestigen en gebruikers de eigenaren van websites met een hoge mate van zekerheid kunnen identificeren. Om het gebruik verder te bevorderen, moeten overheidsinstanties in de lidstaten overwegen om gekwalificeerde certificaten voor websiteauthenticatie in hun websites op te nemen.

(33)Veel lidstaten hebben nationale vereisten ingevoerd voor diensten die veilige en betrouwbare digitale archivering aanbieden om elektronische documenten en bijbehorende vertrouwensdiensten voor de lange termijn te kunnen bewaren. Met het oog op rechtszekerheid en vertrouwen is het van essentieel belang om een rechtskader te bieden voor grensoverschrijdende erkenning van gekwalificeerde elektronische archiefdiensten. Dat kader zou ook nieuwe marktkansen kunnen bieden voor aanbieders van vertrouwensdiensten uit de Unie.

(34)Gekwalificeerde elektronische registers bewaren gegevens op zodanige wijze dat het unieke karakter, de authenticiteit en de juiste volgorde van de ingevoerde gegevens onvervalsbaar worden verzekerd. Een elektronisch register combineert het effect van tijdstempels van gegevens met zekerheid over de gegevensbron, wat lijkt op een e-handtekening, met als bijkomend voordeel dat de governancemodellen meer kunnen worden gedecentraliseerd, wat voor samenwerking tussen meer partijen geschikt is. Het schept bijvoorbeeld een betrouwbaar controlespoor voor de herkomst van goederen in grensoverschrijdende handel, het ondersteunt de bescherming van de intellectuele-eigendomsrechten, het staat flexibiliteit op de elektriciteitsmarkten toe, het legt de basis voor geavanceerde oplossingen voor zelfgecontroleerde identiteit en ondersteunt efficiëntere en transformatieve openbare diensten. Om versnippering van de interne markt te voorkomen, is het van belang om een pan-Europees rechtskader vast te stellen aan de hand waarvan vertrouwensdiensten die gegevens in elektronische registers opslaan, grensoverschrijdend kunnen worden erkend.

(35)De certificering als gekwalificeerde aanbieders van vertrouwensdiensten moet rechtszekerheid bieden voor use cases die op elektronische registers voortbouwen. Deze vertrouwensdiensten voor elektronische registers en gekwalificeerde elektronische registers, en de certificering als gekwalificeerde aanbieder van vertrouwensdiensten voor elektronische registers moeten het feit dat use cases het Unierecht, of met het Unierecht overeenstemmende nationale recht moeten naleven, onverlet laten. Use cases waarbij persoonsgegevens worden verwerkt, moeten in overeenstemming zijn met Verordening (EU) 2016/679. Use cases die betrekking hebben op cryptoactiva, moeten verenigbaar zijn met alle toepasselijke financiële regels, zoals de richtlijn markten voor financiële instrumenten 23 , de richtlijn betalingsdiensten 24 en de toekomstige verordening betreffende markten in cryptoactiva 25 .

(36)Om versnippering en obstakels ten gevolge van uiteenlopende normen en technische beperkingen te voorkomen, en om, door middel van een gecoördineerd proces, de toekomstige uitvoering van het Europese kader voor digitale identiteit niet in gevaar te brengen, moeten de Commissie, de lidstaten en de particuliere sector nauw en gestructureerd samenwerken. Daartoe moeten de lidstaten samenwerken binnen het kader van Aanbeveling XXX/XXXX van de Commissie [EU-toolbox voor een gecoördineerde aanpak ten behoeve van een Europees kader voor digitale identiteit] 26 om een toolbox voor een Europees kader voor digitale identiteit op te stellen. De toolbox moet beschikken over een alomvattende technische architectuur en een referentiekader, gemeenschappelijke normen en technische referenties en richtsnoeren en beschrijvingen van beste praktijken, die ten minste alle aspecten van de functionaliteiten en de interoperabiliteit van de Europese portemonnee voor digitale identiteit, inclusief elektronische handtekeningen, omvatten, en van de gekwalificeerde vertrouwensdienst voor de attestering van attributen, zoals in deze verordening uiteengezet. In dit verband moeten de lidstaten ook overeenstemming bereiken over gemeenschappelijke elementen van een bedrijfsmodel en een vergoedingsstructuur van de Europese portemonnee voor digitale identiteit, zodat met name kleine en middelgrote ondernemingen in een grensoverschrijdende context eenvoudiger kunnen deelnemen. De inhoud van de toolbox moet zich ontwikkelen in samenhang met en een afspiegeling zijn van het resultaat van de discussie over en het goedkeuringsproces van het Europese kader voor digitale identiteit.

(37)De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1525 van het Europees Parlement en de Raad 27 .

(38)Verordening (EU) 910/2014 moet daarom dienovereenkomstig worden gewijzigd,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

Artikel 1

Verordening (EU) 910/2014 wordt als volgt gewijzigd:

(1)artikel 1 wordt vervangen door:

“Deze verordening is gericht op het goede functioneren van de interne markt, en op het bieden van een adequaat niveau van beveiliging van elektronische identificatiemiddelen en vertrouwensdiensten. Daartoe wordt bij deze verordening het volgende vastgesteld:

(a)de voorwaarden waaronder de lidstaten elektronische identificatiemiddelen van natuurlijke personen en rechtspersonen aanbieden en erkennen die onder een aangemeld stelsel voor elektronische identificatie van een andere lidstaat vallen,

(b)regels voor vertrouwensdiensten, met name voor elektronische transacties,

(c)een juridisch kader voor elektronische handtekeningen, elektronische zegels, elektronische tijdstempels, elektronische documenten, diensten voor elektronisch aangetekende bezorging en certificatendiensten voor websiteauthenticatie, elektronische archivering en elektronische attestering van attributen, het beheer van middelen voor het aanmaken van elektronische handtekeningen en zegels op afstand, en elektronische registers,

(d)de voorwaarden voor de uitgifte van Europese portemonnees voor digitale identiteit door de lidstaten.”;

(2)artikel 2 wordt als volgt gewijzigd:

(a)lid 1 wordt vervangen door:

“1.    Deze verordening is van toepassing op stelsels voor elektronische identificatie die zijn aangemeld door een lidstaat, op door de lidstaten uitgegeven Europese portemonnees voor digitale identiteit en op verleners van vertrouwensdiensten die in de Unie zijn gevestigd.”;

(b)lid 3 wordt vervangen door:

“3.    Deze verordening doet geen afbreuk aan nationaal of Unierecht dat betrekking heeft op de totstandkoming en de geldigheid van contracten of andere wettelijke of procedurele verplichtingen inzake sectorspecifieke vormvereisten met onderliggende rechtsgevolgen.”;

(3)artikel 3 wordt als volgt gewijzigd:

(a)punt 2 wordt vervangen door:

“2.    “elektronisch identificatiemiddel”: een materiële en/of immateriële eenheid, inclusief Europese portemonnees voor digitale identiteit of identiteitskaarten overeenkomstig Verordening (EU) 2019/1157, die persoonsidentificatiegegevens bevat en voor authenticatie bij een online- of offlinedienst gebruikt wordt;”;

(b)punt 4 wordt vervangen door:

“4.    “stelsel voor elektronische identificatie”: een stelsel voor elektronische identificatie waarbinnen elektronische identificatiemiddelen worden uitgegeven aan natuurlijke personen, rechtspersonen of natuurlijke personen die rechtspersonen vertegenwoordigen;”;

(c)punt 14 wordt vervangen door:

“14.    “certificaat voor elektronische handtekeningen”: een elektronische attestering of reeks attesteringen die valideringsgegevens voor elektronische handtekeningen aan een natuurlijke persoon koppelt en ten minste de naam of het pseudoniem van die persoon bevestigt;”;

(d)punt 16 wordt vervangen door:

“16.    “vertrouwensdienst”: een elektronische dienst die gewoonlijk tegen betaling wordt verricht en het onderstaande inhoudt:

(a)het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging, elektronische attestering van attributen en certificaten die betrekking hebben op deze diensten;

(b)het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites;

(c)het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben;

(d) het elektronisch archiveren van elektronische documenten;

(e)het beheer van middelen voor het aanmaken van elektronische handtekeningen en zegels op afstand;

(f)het opslaan van elektronische gegevens in elektronische registers.”;

(e)punt 21 wordt vervangen door:

“21.    “product”: software of hardware, of relevante componenten van hardware en/of software, die bedoeld zijn om te worden gebruikt voor de verlening van elektronische identificatie- en vertrouwensdiensten;”;

(f)de volgende punten 23 bis en 23 ter worden ingevoegd:

“23 bis.    “gekwalificeerd middel voor het aanmaken van elektronische handtekeningen op afstand”: een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen waarbij een gekwalificeerde verlener van vertrouwensdiensten de gegevens voor het aanmaken van elektronische handtekeningen namens de ondertekenaar aanmaakt, beheert of dupliceert;

23b)    “gekwalificeerd middel voor het aanmaken van elektronische zegels op afstand”: een gekwalificeerd middel voor het aanmaken van elektronische zegels waarbij een gekwalificeerde verlener van vertrouwensdiensten de gegevens voor het aanmaken van elektronische zegels namens de zegelaanmaker aanmaakt, beheert of dupliceert;”;

(g)punt 29 wordt vervangen door:

“29.    “certificaat voor elektronische zegels”: een elektronische attestering of reeks attesteringen die valideringsgegevens van elektronische zegels aan een rechtspersoon verbindt en de naam van die rechtspersoon bevestigt;”;

(h)punt 41 wordt vervangen door:

“41.    “validering”: proces waarmee wordt nagegaan of, en bevestigd dat een elektronische handtekening of een elektronisch zegel of persoonsidentificatiegegevens of een elektronische attestering van attributen geldig is/zijn;”

(i)de volgende punten 42 tot en met 55 worden toegevoegd:

“42.    “Europese portemonnee voor digitale identiteit”: een product en dienst die de gebruiker in staat stelt identiteitsgegevens, inloggegevens en attributen met betrekking tot zijn/haar identiteit op te slaan, op verzoek aan vertrouwende partijen te verstrekken, voor online en offline authenticatie voor een dienst overeenkomstig artikel 6 bis te gebruiken, en gekwalificeerde elektronische handtekeningen en zegels aan te maken;

43.    “attribuut”: een eigenschap, kenmerk of kwaliteit van een natuurlijke of rechtspersoon of een entiteit, in elektronisch formaat;

44.    “elektronische attestering van attributen”: een attestering in elektronisch formaat aan de hand waarvan attributen kunnen worden geauthenticeerd;

45.    “gekwalificeerde elektronische attestering van attributen”: een elektronische attestering van attributen die is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage V;

46.    “authentieke bron”: een register of systeem, onder de verantwoordelijkheid van een publiekrechtelijk orgaan of particuliere entiteit, dat attributen omtrent een natuurlijke of rechtspersoon bevat en als de primaire bron van die informatie wordt beschouwd of krachtens nationaal recht als authentiek wordt erkend;

47.    “elektronische archivering”: een dienst die de ontvangst, opslag, verwijdering en doorzending van elektronische gegevens of documenten verzorgt om de integriteit, de juistheid van de oorsprong en de wettelijke kenmerken ervan gedurende de volledige bewaartermijn te garanderen;

48.    “gekwalificeerde elektronische archiveringsdienst”: een dienst die voldoet aan de eisen zoals vastgelegd in artikel 45 octies;

49.    “EU-betrouwbaarheidskeurmerk van de portemonnee voor digitale identiteit”: een eenvoudige, herkenbare en duidelijke indicatie dat een portemonnee voor digitale identiteit is afgegeven overeenkomstig deze verordening;

50.    “sterke gebruikersauthenticatie”: een authenticatie op basis van twee of meer als kennis en bezit van of eigen aan de gebruiker gecategoriseerde elementen die los van elkaar staan, zodat een inbreuk op een ervan de betrouwbaarheid van de andere niet in gevaar brengt, en die zo zijn ontworpen dat de vertrouwelijkheid van de authenticatiegegevens wordt beschermd;

51.    “gebruikersaccount”: een mechanisme waarmee een gebruiker toegang kan krijgen tot openbare of particuliere diensten, op de door de dienstverlener vastgestelde voorwaarden;

52.    “inloggegevens”: een bewijs van bekwaamheid, ervaring, rechten of toestemming van een persoon;

53.    “elektronisch register”: een onvervalsbare elektronische gegevensopslag die de authenticiteit en de integriteit van de daarin opgenomen gegevens, de juistheid van de datum en het tijdstip, en de chronologische volgorde garandeert”;

54.    “persoonsgegevens”: alle informatie als gedefinieerd in artikel 4, punt 1, van Verordening (EU) 2016/679.”;

55.    “unieke identificatie”: een proces waarbij persoonsidentificatiegegevens of persoonsidentificatiemiddelen met een bestaande account van dezelfde persoon worden gematcht of gekoppeld.”;

(4)artikel 5 wordt vervangen door:

“Artikel 5

Pseudoniemen in elektronische transacties

Onverminderd het rechtsgevolg dat aan het gebruik van pseudoniemen op grond van nationaal recht wordt toegekend, wordt het gebruik ervan in elektronische transacties niet verboden.”;

(5)in hoofdstuk II wordt het opschrift vervangen door:

“AFDELING I

ELEKTRONISCHE IDENTIFICATIE”;

(6)artikel 6 wordt geschrapt;

(7)de volgende artikelen 6 bis, 6 ter, 6 quater en 6 quinquies worden ingevoegd:

“Artikel 6 bis

Europese portemonnees voor digitale identiteit

1.    Opdat alle natuurlijke en rechtspersonen in de Unie veilige, betrouwbare en naadloze toegang tot publieke en particuliere diensten krijgen, zullen alle lidstaten binnen 12 maanden na de inwerkingtreding van deze verordening een Europese portemonnee voor digitale identiteit uitgeven.

2.    Europese portemonnees voor digitale identiteit worden uitgegeven:

(a)door een lidstaat;

(b)krachtens een mandaat van een lidstaat;

(c)onafhankelijk, maar erkend door een lidstaat.

3.    Met een Europese portemonnee voor digitale identiteit kunnen gebruikers:

(a)op een transparante en door de gebruiker traceerbare wijze veilig de nodige wettelijke persoonsidentificatiegegevens en elektronische attesteringen van attributen aanvragen, verkrijgen, opslaan, selecteren, combineren en delen, zodat zij zich online en offline kunnen authenticeren om openbare en particuliere onlinediensten te gebruiken;

(b)middels gekwalificeerde elektronische handtekeningen ondertekenen.

4.    Portemonnees voor digitale identiteit zullen in het bijzonder:

(a)een gemeenschappelijke interface bieden:

(1)voor gekwalificeerde en niet-gekwalificeerde verleners van vertrouwensdiensten die gekwalificeerde en niet-gekwalificeerde attesteringen van attributen of andere gekwalificeerde en niet-gekwalificeerde certificaten uitgeven met het oog op de afgifte van dergelijke attesteringen en certificaten aan de Europese portemonnee voor digitale identiteit;

(2) voor vertrouwende partijen om persoonsidentificatiegegevens en elektronische attesteringen van attributen aan te vragen en te valideren;

(3)om lokaal en zonder internettoegang voor de portemonnee, persoonsidentificatiegegevens, elektronische attestering van attributen of andere gegevens, zoals inloggegevens, aan vertrouwende partijen aan te bieden;

(4)voor de gebruiker om met de Europese portemonnee voor digitale identiteit te kunnen communiceren en een “EU-betrouwbaarheidskeurmerk van de portemonnee voor digitale identiteit” te kunnen weergeven;

(b)waarborgen dat verleners van vertrouwensdiensten van gekwalificeerde attesteringen van attributen geen informatie over het gebruik van die attributen kunnen ontvangen;

(c)aan de voorwaarden van artikel 8 voldoen wat het betrouwbaarheidsniveau “hoog” betreft, met name betreffende de vereisten voor het bewijzen en verifiëren van identiteit, en het beheer en de authenticatie van elektronische identificatiemiddelen;

(d)een mechanisme bieden waarmee de vertrouwende partij de gebruiker kan authenticeren en elektronische attesteringen van attributen kan ontvangen;

(e)waarborgen dat de in artikel 12, lid 4, punt d), bedoelde persoonsidentificatiegegevens uniek en permanent de daarmee verbonden natuurlijke of rechtspersonen vertegenwoordigen.

5.    De lidstaten voorzien valideringsmechanismen voor de Europese portemonnees voor digitale identiteit, zodat:

(a)de authenticiteit en de geldigheid ervan kunnen worden geverifieerd;

(b)de vertrouwende partijen kunnen verifiëren dat de attesteringen van attributen geldig zijn;

(c)de vertrouwende partijen en gekwalificeerde verleners van vertrouwensdiensten de authenticiteit en de geldigheid van gekoppelde persoonsidentificatiegegevens kunnen verifiëren.

6.    De Europese portemonnees voor digitale identiteit worden uitgegeven op grond van een aangemeld stelsel voor elektronische identificatie met een “hoog” betrouwbaarheidsniveau. Het gebruik van Europese portemonnees voor digitale identiteit is gratis voor natuurlijke personen.

7.    De gebruiker heeft volledige controle over de Europese portemonnee voor digitale identiteit. De afgever van de Europese portemonnee voor digitale identiteit verzamelt geen informatie over het gebruik van de portemonnee die niet noodzakelijk is voor de levering van de portemonneediensten, noch combineert hij persoonsidentificatiegegevens en andere persoonsgegevens die zijn opgeslagen of betrekking hebben op het gebruik van de Europese portemonnee voor digitale identiteit met persoonsgegevens van andere door deze afgever of derden aangeboden diensten als die niet noodzakelijk zijn voor de levering van de portemonneediensten, tenzij de gebruiker daar uitdrukkelijk om heeft gevraagd. Persoonsgegevens met betrekking tot de verstrekking van de Europese portemonnees voor digitale identiteit worden fysiek en logisch gescheiden van andere opgeslagen gegevens. Indien de Europese portemonnee voor digitale identiteit wordt verstrekt door particuliere partijen overeenkomstig lid 2, punten b) en c), is artikel 45 septies, lid 4, van overeenkomstige toepassing.

8.    Artikel 11 is van overeenkomstige toepassing op de Europese portemonnee voor digitale identiteit.

9.    Artikel 24, lid 2, punten b), e), g), en h), is van overeenkomstige toepassing op de lidstaten die Europese portemonnees voor digitale identiteit afgeven.

10.    De Europese portemonnee voor digitale identiteit wordt toegankelijk gemaakt voor personen met een handicap overeenkomstig de toegankelijkheidsvoorschriften van bijlage I bij Richtlijn (EU) 2019/882.

11.    Binnen zes maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van een uitvoeringshandeling betreffende de uitvoering van de Europese portemonnee voor digitale identiteit technische en operationele specificaties en referentienormen inzake de in de leden 3, 4, en 5, bedoelde voorschriften vast. Deze uitvoeringshandeling wordt volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 6 ter

Vertrouwende partijen voor Europese portemonnees voor digitale identiteit

1.    Als vertrouwende partijen voornemens zijn om overeenkomstig deze verordening uitgegeven Europese portemonnees voor digitale identiteit te gebruiken, delen zij dit mee aan de lidstaat waar de vertrouwende partij is gevestigd met het oog op de naleving van de vereisten krachtens Unierecht of nationaal recht voor de levering van specifieke diensten. Als ze hun voornemen om gebruik te maken van Europese portemonnees voor digitale identiteit kenbaar maken, delen ze ook mee welk gebruik ze hiervan willen maken.

2.    De lidstaten implementeren een gemeenschappelijk mechanisme voor de authenticatie van vertrouwende partijen.

3.    Vertrouwende partijen zijn verantwoordelijk voor de uitvoering van de procedure voor de authenticatie van uit de Europese portemonnee voor digitale identiteit afkomstige persoonsidentificatiegegevens en elektronische attesteringen van attributen.

4.    Binnen zes maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van een uitvoeringshandeling betreffende de uitvoering van de Europese portemonnees voor digitale identiteit in de zin van artikel 6 bis, lid 10, technische en operationele specificaties voor de in de leden 1 en 2 bedoelde voorschriften vast.

Artikel 6 quater

Certificering van de Europese portemonnees voor digitale identiteit

1.    Europese portemonnees voor digitale identiteit die zijn gecertificeerd of waarvoor een conformiteitsverklaring is uitgegeven krachtens een cyberbeveiligingsregeling overeenkomstig Verordening (EU) 2019/881 en waarvan de referenties in het Publicatieblad van de Europese Unie zijn bekendgemaakt, worden geacht in overeenstemming te zijn met de toepasselijke cyberbeveiligingsvereisten van artikel 6 bis, leden 3, 4 en 5, voor zover het cyberbeveiligingscertificaat of de conformiteitsverklaring of delen daarvan onder deze vereisten vallen.

2.    De naleving van de vereisten in artikel 6 bis, leden 3, 4 en 5, ten aanzien van de verwerking van persoonsgegevens door de afgever van de Europese portemonnees voor digitale identiteit wordt gecertificeerd overeenkomstig Verordening (EU) 2016/679.

3.    De overeenstemming van de Europese portemonnees voor digitale identiteit met de vereisten van artikel 6 bis, leden 3, 4 en 5, wordt gecertificeerd door vanwege de lidstaten aangewezen geaccrediteerde openbare of private organen.

4.    Binnen zes maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen een lijst op van normen inzake de certificering van de Europese portemonnees voor digitale identiteit in de zin van lid 3.

5.    De lidstaten verstrekken aan de Commissie de namen en adressen van de in lid 3 bedoelde openbare of private organen. De Commissie stelt deze informatie beschikbaar aan de lidstaten.

6.    De Commissie is bevoegd overeenkomstig artikel 47 gedelegeerde handelingen vast te stellen met betrekking tot het opstellen van specifieke criteria waaraan de in lid 3 bedoelde aangewezen organen moeten voldoen.

Artikel 6 quinquies

Bekendmaking van een lijst van gecertificeerde Europese portemonnees voor digitale identiteit

1.    De lidstaten verstrekken de Commissie onverwijld informatie over de overeenkomstig artikel 6 bis afgegeven en door de in artikel 6 quater, lid 3, bedoelde organen gecertificeerde Europese portemonnees voor digitale identiteit. Zij stellen de Commissie er onverwijld van in kennis als de certificering wordt geannuleerd.

2.    De Commissie stelt op basis van de ontvangen informatie een lijst op van gecertificeerde Europese portemonnees voor digitale identiteit, publiceert deze lijst en houdt haar bij.

3.    Binnen zes maanden na de inwerkingtreding van deze verordening legt de Commissie door middel van een uitvoeringshandeling betreffende de uitvoering van de Europese portemonnees voor digitale identiteit in de zin van artikel 6 bis, lid 10, de formaten en procedures voor de toepassing van lid 1 vast.”;

(8)vóór artikel 7 wordt het volgende opschrift ingevoegd:

“AFDELING II

STELSELS VOOR ELEKTRONISCHE IDENTIFICATIE”;

(9)de inleidende zin van artikel 7 komt als volgt te luiden:

“Overeenkomstig artikel 9, lid 1, melden de lidstaten binnen 12 maanden na de inwerkingtreding van deze verordening ten minste één stelsel voor elektronische identificatie met inbegrip van ten minste één identificatiemiddel aan.”;

(10)in artikel 9 worden de leden 2 en 3 vervangen door:

“2.    De Commissie maakt in het Publicatieblad van de Europese Unie een lijst bekend van de stelsels voor elektronische identificatie die overeenkomstig lid 1 zijn aangemeld alsmede de hiermee verband houdende basisinformatie.

3.    De Commissie maakt de wijzigingen van de in lid 2 bedoelde lijst bekend in het Publicatieblad van de Europese Unie binnen een maand na de datum van ontvangst van die aanmelding.”;

(11)het volgende artikel 10 bis wordt ingevoegd:

“Artikel 10 bis

Inbreuk op de beveiliging van de Europese portemonnees voor digitale identiteit

1.    Indien Europese portemonnees voor digitale identiteit overeenkomstig artikel 6 bis zijn afgegeven en de in artikel 6 bis, lid 5, punten a), b) en c), bedoelde valideringsmechanismen zijn geschonden of ten dele zijn aangetast, waardoor de betrouwbaarheid ervan of de betrouwbaarheid van de andere Europese portemonnees voor digitale identiteit in gevaar komt, schort de afgevende lidstaat onverwijld de afgifte op, trekt hij de geldigheid van de Europese portemonnee voor digitale identiteit in en stelt hij de andere lidstaten en de Commissie daarvan in kennis.

2.    Wanneer de in lid 1 bedoelde schending of aantasting verholpen is, herstelt de afgevende lidstaat de afgifte van de Europese portemonnee voor digitale identiteit en stelt hij de andere lidstaten en de Commissie daarvan onverwijld op de hoogte.

3.    Indien de in lid 1 bedoelde schending of aantasting niet binnen drie maanden na de opschorting of intrekking is verholpen, trekt de betrokken lidstaat de betreffende Europese portemonnee voor digitale identiteit terug en stelt hij de andere lidstaten en de Commissie daarvan in kennis. Indien de ernst van de inbreuk dat rechtvaardigt, wordt de Europese portemonnee voor digitale identiteit onverwijld teruggetrokken.

4.    De Commissie maakt de overeenkomstige wijzigingen aan de in artikel 6 quinquies bedoelde lijst onverwijld bekend in het Publicatieblad van de Europese Unie.

5.    Binnen zes maanden na de inwerkingtreding van deze verordening specificeert de Commissie door middel van een uitvoeringshandeling betreffende de uitvoering van de Europese portemonnees voor digitale identiteit in de zin van artikel 6 bis, lid 10, de in de leden 1 en 3 bedoelde nadere maatregelen.”;

(12)het volgende artikel 11 bis wordt ingevoegd:

“Artikel 11 bis

Unieke identificatie

1.    Indien aangemelde elektronische identificatiemiddelen en de Europese portemonnees voor digitale identiteit worden gebruikt voor authenticatie, waarborgen de lidstaten een unieke identificatie.

2.    Voor de toepassing van deze verordening nemen de lidstaten in de minimale reeks gegevens van de in artikel 12, lid 4, punt d), bedoelde persoonsidentificatiegegevens een unieke en permanente identificatiecode overeenkomstig het Unierecht op, om de gebruiker op hun verzoek te identificeren in die gevallen waarin gebruikersidentificatie wettelijk voorgeschreven is.

3.    Binnen zes maanden na de inwerkingtreding van deze verordening specificeert de Commissie door middel van een uitvoeringshandeling betreffende de uitvoering van de Europese portemonnees voor digitale identiteit in de zin van artikel 6 bis, lid 10, de in de leden 1 en 2 bedoelde nadere maatregelen.”;

(13)artikel 12 wordt als volgt gewijzigd:

(a)in lid 3 worden de punten c) en d) geschrapt;

(b)in lid 4 wordt punt d) vervangen door:

“d)    een verwijzing naar een minimale reeks persoonsidentificatiegegevens die nodig is om een natuurlijke of rechtspersoon op unieke en permanente wijze te vertegenwoordigen;”;

(c)in lid 6 wordt punt a) vervangen door:

“a)    de uitwisseling van informatie, ervaring en goede werkwijzen wat betreft stelsels voor elektronische identificatie en in het bijzonder wat betreft de technische vereisten inzake interoperabiliteit, unieke identificatie en betrouwbaarheidsniveaus;”;

(14)het volgende artikel 12 bis wordt ingevoegd:

“Artikel 12 bis

Certificering van stelsels voor elektronische identificatie

1.    De overeenstemming van aangemelde stelsels voor elektronische identificatie met de vereisten van de artikelen 6 bis, 8 en 10, kan worden gecertificeerd door vanwege de lidstaten aangewezen openbare of private organen.

2.    De collegiale toetsing van de in artikel 12, lid 6, punt c), bedoelde stelsels voor elektronische identificatie geldt niet voor stelsels voor elektronische identificatie of delen daarvan die overeenkomstig lid 1 zijn gecertificeerd. De lidstaten mogen gebruikmaken van een certificaat of een EU-conformiteitsverklaring die is uitgegeven op grond van een overeenkomstig Verordening (EU) 2019/881 opgezette relevante Europese cyberbeveiligingsregeling, om aan te tonen dat die regelingen voldoen aan de vereisten van artikel 8, lid 2, ten aanzien van de betrouwbaarheidsniveaus van stelsels voor elektronische identificatie.

3.    De lidstaten verstrekken aan de Commissie de namen en adressen van de in lid 1 bedoelde openbare of private organen. De Commissie stelt deze informatie beschikbaar aan de lidstaten.”;

(15)na artikel 12 bis wordt het volgende opschrift ingevoegd:

“AFDELING III

GRENSOVERSCHRIJDEND GEBRUIK VAN ELEKTRONISCHE IDENTIFICATIEMIDDELEN”;

(16)de volgende artikelen 12 ter en 12 quater worden ingevoegd:

“Artikel 12 ter

Grensoverschrijdend gebruik van Europese portemonnees voor digitale identiteit

1.    Indien de lidstaten elektronische identificatie met gebruikmaking van een elektronisch identificatiemiddel en authenticatie op grond van nationaal recht of bestuursrechtelijke praktijken vereisen om toegang tot een door een openbare instantie aangeboden onlinedienst te krijgen, aanvaarden ze ook Europese portemonnees voor digitale identiteit die overeenkomstig deze verordening zijn afgegeven.

2.    Indien particuliere vertrouwende partijen die diensten verlenen krachtens nationaal of Unierecht, sterke gebruikersauthenticatie voor online-identificatie moeten gebruiken, of indien sterke gebruikersauthenticatie vereist is op grond van een contractuele verbintenis, waaronder op het gebied van vervoer, energie, financiële dienstverlening, sociale zekerheid, gezondheidszorg, drinkwatervoorziening, postdiensten, digitale infrastructuur, onderwijs of telecommunicatie, aanvaarden particuliere vertrouwende partijen ook het gebruik van Europese portemonnees voor digitale identiteit die overeenkomstig artikel 6 bis zijn afgegeven.

3.    Indien zeer grote onlineplatforms, als gedefinieerd in artikel 25, lid 1, van Verordening [referentie verordening inzake digitale diensten] verlangen dat gebruikers zich authenticeren om toegang tot onlinediensten te krijgen, aanvaarden ze ook het gebruik van Europese portemonnees voor digitale identiteit die overeenkomstig artikel 6 bis zijn afgegeven; zij het uitsluitend op vrijwillig verzoek van de gebruiker en met inachtneming van de minimaal benodigde attributen voor de specifieke onlinedienst waarvoor authenticatie vereist is, zoals een bewijs van leeftijd.

4.    De Commissie stimuleert en faciliteert dat op Unieniveau zelfregulerende gedragscodes (“gedragscodes”) worden ontwikkeld om bij te dragen tot de brede beschikbaarheid en bruikbaarheid van Europese portemonnees voor digitale identiteit binnen het toepassingsgebied van deze verordening. Deze gedragscodes zorgen voor brede aanvaarding van elektronische identificatiemiddelen, inclusief de Europese portemonnee voor digitale identiteit, binnen het toepassingsgebied van deze verordening, met name door dienstverleners die voor gebruikersauthenticatie gebruikmaken van elektronische identificatiediensten van derden. De Commissie faciliteert de ontwikkeling van dergelijke gedragscodes in nauwe samenwerking met alle belanghebbenden, en stimuleert dienstverleners om de ontwikkeling van de gedragscodes binnen 12 maanden na de vaststelling van deze verordening te voltooien en die binnen 18 maanden na de vaststelling van de verordening daadwerkelijk te implementeren.

5.    De Commissie beoordeelt binnen 18 maanden na de invoering van de Europese portemonnee voor digitale identiteit of, op basis van bewijsmateriaal inzake de beschikbaarheid en de bruikbaarheid van de Europese portemonnee voor digitale identiteit, aan extra particuliere aanbieders van onlinediensten zal worden opgelegd om, uitsluitend op vrijwillig verzoek van de gebruiker, het gebruik van de Europese portemonnee voor digitale identiteit te aanvaarden. De beoordelingscriteria kunnen betrekking hebben op de omvang van de gebruikersbasis, de grensoverschrijdende aanwezigheid van dienstverleners, technologische ontwikkelingen en de ontwikkeling van gebruikspatronen. De Commissie wordt gemachtigd op basis van deze beoordeling gedelegeerde handelingen vast te stellen met betrekking tot een herziening van de vereisten voor erkenning van een Europese portemonnee voor digitale identiteit overeenkomstig de leden 1 tot en met 4.

6.    Voor de toepassing van dit artikel zijn de in de artikelen 7 en 9 bedoelde voorwaarden niet van toepassing op de Europese portemonnees voor digitale identiteit.

Artikel 12 quater

Wederzijdse erkenning van elektronische identificatiemiddelen

1.    Wanneer elektronische identificatie met gebruikmaking van een elektronisch identificatiemiddel en authenticatie vereist is op grond van nationaal recht of bestuursrechtelijke praktijken om toegang te krijgen tot een door een openbare instantie in een lidstaat aangeboden onlinedienst, moet het elektronisch identificatiemiddel dat uitgegeven is in een andere lidstaat, ten behoeve van de grensoverschrijdende authenticatie van die onlinedienst in de eerste lidstaat worden erkend, mits aan de volgende voorwaarden is voldaan:

(a)het elektronisch identificatiemiddel is uitgegeven op grond van een stelsel voor elektronische identificatie dat is opgenomen in de in artikel 9 bedoelde lijst;

(b)het betrouwbaarheidsniveau van het elektronisch identificatiemiddel is gelijk aan of hoger dan het betrouwbaarheidsniveau dat de bevoegde openbare instantie als voorwaarde stelt voor toegang tot die onlinedienst in de betrokken lidstaat, en in geen geval lager dan een “substantieel” betrouwbaarheidsniveau;

(c)de openbare instantie in de betrokken lidstaat gebruikt het betrouwbaarheidsniveau “substantieel” of “hoog” voor de toegang tot die onlinedienst.

Die erkenning vindt plaats uiterlijk zes maanden nadat de Commissie de in de eerste alinea, punt a), bedoeld lijst heeft bekendgemaakt.

2.    Een elektronisch identificatiemiddel dat is uitgegeven op grond van een op de lijst van artikel 9 opgenomen stelsel voor elektronische identificatie en het betrouwbaarheidsniveau “laag” heeft, kan door openbare instanties worden erkend ten behoeve van de grensoverschrijdende authenticatie voor de onlinediensten die door die instanties worden geleverd.”;

(17)artikel 13, lid 1, wordt vervangen door:

“1.    Onverminderd lid 2 zijn verleners van vertrouwensdiensten aansprakelijk voor schade die opzettelijk of uit onachtzaamheid wordt veroorzaakt aan natuurlijke of rechtspersonen vanwege een niet-naleving van de verplichtingen krachtens deze verordening of de verplichtingen inzake het risicobeheer op het gebied van cyberbeveiliging krachtens artikel 18 van Richtlijn XXXX/XXXX [NIS2].”;

(18)artikel 14 wordt vervangen door:

“Artikel 14

Internationale aspecten

1.    De Commissie kan overeenkomstig artikel 48, lid 2, uitvoeringshandelingen vaststellen waarin de voorwaarden worden vastgesteld op grond waarvan de eisen van een derde land die van toepassing zijn op de verleners van vertrouwensdiensten die op zijn grondgebied zijn gevestigd en op de vertrouwensdiensten die zij verlenen, kunnen worden beschouwd als gelijkwaardig aan de eisen die gelden voor gekwalificeerde verleners van vertrouwensdiensten die in de Unie zijn gevestigd en voor de gekwalificeerde vertrouwensdiensten die zij verlenen.

2.    Indien de Commissie overeenkomstig lid 1 een uitvoeringshandeling heeft vastgesteld of een internationale overeenkomst inzake de wederzijdse erkenning van vertrouwensdiensten overeenkomstig artikel 218 VWEU heeft gesloten, worden vertrouwensdiensten verstrekt door in een derde land gevestigde verleners van vertrouwensdiensten beschouwd als gelijkwaardig aan gekwalificeerde vertrouwensdiensten verstrekt door gekwalificeerde, in de Unie gevestigde verleners van vertrouwensdiensten.”;

(19)artikel 15 wordt vervangen door:

“Artikel 15

Toegankelijkheid voor personen met een handicap

Vertrouwensdiensten en voor de levering van die diensten gebruikte eindgebruikersproducten worden toegankelijk gemaakt voor personen met een handicap overeenkomstig de toegankelijkheidsvoorschriften van bijlage I bij Richtlijn (EU) 2019/882 betreffende de toegankelijkheidsvoorschriften voor producten en diensten.”;

(20)artikel 17 wordt als volgt gewijzigd:

(a)lid 4 wordt als volgt gewijzigd:

(1)in lid 4 wordt punt c) vervangen door:

“c)    andere betrokken nationale bevoegde organen van de overeenkomstig Richtlijn (EU) XXXX/XXXX [NIS2] aangewezen betrokken lidstaten op de hoogte brengen van significante beveiligingsinbreuken of integriteitsverlies waarvan zij bij de uitvoering van hun taken kennis krijgen. Indien de significante beveiligingsinbreuken of het integriteitsverlies andere lidstaten betreft, stelt het toezichthoudend orgaan het centrale contactpunt van de overeenkomstig Richtlijn (EU) XXXX/XXXX (NIS2) aangewezen lidstaat daarvan in kennis;”;

(2)punt f) wordt vervangen door:

“f)    samenwerken met de overeenkomstig Verordening (EU) 2016/679 opgerichte toezichthoudende autoriteiten en in het bijzonder deze instanties onverwijld informeren over de resultaten van de audits van gekwalificeerde verleners van vertrouwensdiensten indien er regels inzake de bescherming van persoonsgegevens zijn overtreden, en over beveiligingsinbreuken die inbreuken op persoonsgegevens vormen;”;

(b)lid 6 wordt vervangen door:

“6.    Elk toezichthoudend orgaan legt de Commissie jaarlijks uiterlijk op 31 maart een verslag voor over zijn hoofdactiviteiten in het voorgaande kalenderjaar.”;

(c)lid 8 wordt vervangen door:

“8.    Binnen 12 maanden na de inwerkingtreding van deze verordening legt de Commissie door middel van uitvoeringshandelingen de taken van de in lid 4 bedoelde toezichthoudende autoriteiten nader vast en bepaalt zij de formaten en procedures voor het in lid 6 bedoelde verslag. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(21)artikel 18 wordt als volgt gewijzigd:

(a)de titel van artikel 18 wordt vervangen door:

“Wederzijdse bijstand en samenwerking”;

(b)lid 1 wordt vervangen door:

“1.    Toezichthoudende organen werken samen met het oog op de uitwisseling van goede praktijken en informatie met betrekking tot het verlenen van vertrouwensdiensten.”;

(c)de volgende leden 4 en 5 worden toegevoegd:

“4.    Toezichthoudende organen en nationale bevoegde instanties op grond van Richtlijn (EU) XXXX/XXXX van het Europees Parlement en de Raad [NIS2] werken samen en verlenen elkaar bijstand om te waarborgen dat verleners van vertrouwensdiensten voldoen aan de vereisten van deze verordening en van Richtlijn (EU) XXXX/XXXX [NIS2]. Het toezichthoudende orgaan verzoekt de nationale bevoegde autoriteit op grond van Richtlijn (EU) XXXX/XXXX [NIS2] om toezichtmaatregelen uit te voeren om na te gaan of de verleners van vertrouwensdiensten voldoen aan de vereisten van Richtlijn XXXX/XXXX [NIS2]; om van de verleners van vertrouwensdiensten te eisen dat zij niet-naleving van die vereisten verhelpen; om de resultaten van toezichtactiviteiten in verband met verleners van vertrouwensdiensten tijdig te verstrekken; en om de toezichthoudende organen in kennis te stellen van overeenkomstig Richtlijn XXXX/XXXX [NIS2] gemelde incidenten.

5.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen de noodzakelijke procedureregels vast om de samenwerking tussen de in lid 1 bedoelde toezichthoudende organen te faciliteren.”;

(22)artikel 20 wordt als volgt gewijzigd:

(a)lid 1 wordt vervangen door:

“1.    Gekwalificeerde verleners van vertrouwensdiensten worden minstens eens in de 24 maanden op hun kosten aan een audit door een conformiteitsbeoordelingsorgaan onderworpen. Het doel van deze audit is te bevestigen dat de gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die door hen worden verleend, voldoen aan de in deze verordening en de in artikel 18 van Richtlijn (EU) XXXX/XXXX [NIS2] vastgestelde eisen. De gekwalificeerde verleners van vertrouwensdiensten dienen het conformiteitsbeoordelingsverslag binnen een termijn van drie werkdagen na ontvangst in bij het toezichthoudend orgaan.”;

(b)in lid 2 wordt de laatste zin vervangen door:

“Indien er sprake blijkt te zijn van een inbreuk op de regels voor de bescherming van persoonsgegevens brengt het toezichthoudend orgaan de toezichthoudende autoriteiten op grond van Verordening (EU) 2016/679 op de hoogte van de resultaten van de audits.”;

(c)de leden 3 en 4 worden vervangen door:

“3.    Indien de gekwalificeerde verlener van vertrouwensdiensten de vereisten van deze verordening niet naleeft, eist het toezichthoudend orgaan dat deze de niet-naleving rechtzet, binnen een bepaalde tijdspanne, indien van toepassing.

Bij ontstentenis van een rechtzetting, en indien van toepassing binnen een door het toezichthoudend orgaan bepaalde tijdspanne, kan het toezichthoudend orgaan, gelet op in het bijzonder de mate, de duur en de gevolgen van die niet-naleving, de status van gekwalificeerde van die verlener of van de door hem verleende betrokken dienst intrekken en eisen dat deze, indien van toepassing binnen een bepaalde tijdspanne, aan de vereisten van Richtlijn XXXX/XXXX [NIS2] voldoet. Het toezichthoudend orgaan brengt het in artikel 22, lid 3, bedoelde orgaan daarvan op de hoogte met als doel de actualisering van de in artikel 22, lid 1, bedoelde vertrouwenslijsten.

Het toezichthoudend orgaan stelt de gekwalificeerde verlener van vertrouwensdiensten in kennis van het feit dat zijn status van gekwalificeerde of de status van gekwalificeerde van de betrokken dienst is ingetrokken.

4.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers vast voor de volgende normen:

(a)de accreditering van de conformiteitsbeoordelingsinstanties en voor het conformiteitsbeoordelingsverslag bedoeld in lid 1;

(b)de auditvereisten volgens welke de conformiteitsbeoordelingsinstanties hun conformiteitsbeoordeling van de gekwalificeerde verleners van vertrouwensdiensten, bedoeld in lid 1, uitvoeren;

(c)de conformiteitsbeoordelingsregelingen volgens welke de conformiteitsbeoordelingsinstanties de conformiteitsbeoordeling van de gekwalificeerde verleners van vertrouwensdiensten uitvoeren en het in lid 1 bedoelde conformiteitsbeoordelingsverslag leveren.

Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(23)artikel 21 wordt als volgt gewijzigd:

(a)lid 2 wordt vervangen door:

“2.    Het toezichthoudend orgaan verifieert of de verlener van vertrouwensdiensten en de door hem verleende vertrouwensdiensten overeenkomstig de in deze verordening vastgestelde eisen zijn, en in het bijzonder conform de eisen die worden gesteld aan gekwalificeerde verleners van vertrouwensdiensten en aan de gekwalificeerde vertrouwensdiensten die zij verlenen.

Om te controleren of de verlener van vertrouwensdiensten de eisen van artikel 18 van Richtlijn XXXX/XXXX [NIS2] naleeft, verzoekt het toezichthoudend orgaan de bevoegde autoriteiten op grond van Richtlijn (EU) XXXX/XXXX [NIS2] om toezichtmaatregelen ter zake uit te voeren en binnen drie dagen na afronding informatie over de uitkomst te verstrekken.

Indien het toezichthoudend orgaan tot het oordeel komt dat de verlener van vertrouwensdiensten en de door hem verleende vertrouwensdiensten in overeenstemming met de in de eerste alinea bedoelde eisen zijn, kent het toezichthoudend orgaan de status van gekwalificeerde toe aan de verlener van vertrouwensdiensten en aan de door hem verleende vertrouwensdiensten en stelt het toezichthoudend orgaan het in artikel 22, lid 3, bedoelde orgaan hiervan in kennis, zodat de in artikel 22, lid 1, bedoelde vertrouwenslijsten bijgewerkt worden, en wel binnen drie maanden na kennisgeving overeenkomstig lid 1.

Indien de verificatie niet binnen drie maanden na de kennisgeving is afgerond, brengt het toezichthoudend orgaan de verlener van vertrouwensdiensten op de hoogte van de redenen voor de vertraging en van de termijn waarbinnen de verificatie afgerond zal zijn.”;

(b)lid 4 wordt als volgt vervangen:

“4.    Voor de toepassing van de leden 1 en 2 omschrijft de Commissie binnen 12 maanden na de inwerkingtreding van deze verordening door middel van uitvoeringshandelingen de formaten en procedures voor de aanmelding en de verificatie. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(24)in artikel 23 wordt het volgende lid 2 bis ingevoegd:

“2 bis    De leden 1 en 2 zijn ook van toepassing op in derde landen gevestigde verleners van vertrouwensdiensten en op de door hen geleverde diensten, mits zij overeenkomstig artikel 14 in de Unie zijn erkend.”;

(25)artikel 24 wordt als volgt gewijzigd:

(a)lid 1 wordt vervangen door:

“1.    Wanneer een gekwalificeerde verlener van vertrouwensdiensten een gekwalificeerd certificaat of een gekwalificeerde elektronische attestering van attributen voor een vertrouwensdienst afgeeft, moet hij de identiteit en in voorkomend geval de specifieke attributen verifiëren van de natuurlijke persoon of de rechtspersoon aan wie het gekwalificeerde certificaat of de gekwalificeerde elektronische attestering van een attribuut wordt afgegeven.

De in de eerste alinea bedoelde informatie wordt door de gekwalificeerde verlener van vertrouwensdiensten geverifieerd, hetzij rechtstreeks, hetzij door een beroep te doen op een derde partij, op een van de volgende wijzen:

(a)door middel van aangemelde elektronische identificatiemiddelen die voldoen aan de vereisten van artikel 8 wat betreft de betrouwbaarheidsniveaus “substantieel” of “hoog”;

(b)door middel van gekwalificeerde elektronische attesteringen van attributen of een certificaat van een gekwalificeerde elektronische handtekening of van een gekwalificeerd elektronisch zegel, afgegeven overeenkomstig punt a), c) of d);

(c)door middel van andere identificatiemethoden ter waarborging van de identificatie van de natuurlijke persoon met een hoge mate van betrouwbaarheid, waarvan de overeenstemming wordt bevestigd door een conformiteitsbeoordelingsorgaan;

(d)door de fysieke aanwezigheid van de natuurlijke persoon of van een gemachtigde vertegenwoordiger van de rechtspersoon volgens passende procedures en overeenkomstig nationaal recht, indien er geen andere middelen beschikbaar zijn.”;

(b)het volgende lid 1 bis wordt ingevoegd:

“1 bis    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen minimale technische specificaties, normen en procedures vast met betrekking tot de verificatie van de identiteit en de attributen overeenkomstig lid 1, punt c). Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(c)lid 2 wordt als volgt gewijzigd:

(1)punt d) wordt vervangen door:

“d)    verstrekt individueel aan personen die gebruik wensen te maken van een gekwalificeerde vertrouwensdienst duidelijke, volledige en gemakkelijk toegankelijke informatie in een voor het publiek toegankelijke plaats over de precieze voorwaarden betreffende het gebruik van die dienst, met inbegrip van eventuele beperkingen op het gebruik ervan, alvorens een contractuele verbintenis aan te gaan;”;

(2)de nieuwe punten f bis) en f ter) worden ingevoegd:

“f bis)    heeft passend beleid en treft overeenkomstige maatregelen om juridische, zakelijke, operationele en andere directe of indirecte risico’s met betrekking tot de levering van de gekwalificeerde vertrouwensdienst te beheersen. Onverminderd artikel 18 van Richtlijn (EU) XXXX/XXXX [NIS2] omvatten die maatregelen ten minste het volgende:

i) maatregelen inzake de registratie en instapprocedures voor een dienst;

ii) maatregelen inzake procedurele of administratieve controles;

iii) maatregelen inzake het beheer en de uitvoering van diensten.

f ter)    stelt het toezichthoudende orgaan en, indien van toepassing, andere betrokken organen op de hoogte van alle daarmee verband houdende inbreuken of verstoringen met aanzienlijke gevolgen voor de verleende vertrouwensdienst of voor de persoonsgegevens die daarmee worden beheerd, tijdens de uitvoering van de in de in lid f bis, punten i), ii), of iii) bedoelde maatregelen;”;

(3)de punten g) en h) worden vervangen door:

“g)    neemt passende maatregelen tegen vervalsing, diefstal of verduistering van gegevens, of het onrechtmatig wissen, wijzigen of ontoegankelijk maken van gegevens;

h)    legt zo lang als nodig, nadat de gekwalificeerde verlener van vertrouwensdiensten zijn activiteiten heeft gestaakt, alle relevante informatie vast met betrekking tot de gegevens die de gekwalificeerde verlener van vertrouwensdiensten heeft afgegeven en ontvangen, en houdt deze informatie toegankelijk, om ten behoeve van gerechtelijke procedures bewijzen te kunnen leveren en om de continuïteit van de dienst te waarborgen. Dit vastleggen mag elektronisch plaatsvinden;”;

(4)punt j) wordt geschrapt;

(d)het volgende lid 4 bis wordt ingevoegd:

“4 bis    De leden 3 en 4 zijn van overeenkomstige toepassing op de intrekking van elektronische attesteringen van attributen.”;

(e)lid 5 wordt vervangen door:

“5.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake de in lid 2 bedoelde eisen vast. Indien betrouwbare systemen en producten aan die normen voldoen, wordt aangenomen dat er overeenstemming is met de in dit artikel vastgestelde eisen. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(f)het volgende lid 6 wordt ingevoegd:

“6.    De Commissie is bevoegd gedelegeerde handelingen met betrekking tot de in lid 2 f bis) bedoelde extra maatregelen vast te stellen.”;

(26)artikel 28, lid 6, wordt vervangen door:

“6.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake gekwalificeerde certificaten voor elektronische handtekeningen vast. Indien een gekwalificeerd certificaat voor elektronische handtekeningen aan dergelijke normen voldoet, wordt aangenomen dat er overeenstemming is met de in bijlage I vastgestelde eisen. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(27)aan artikel 29 wordt het volgende nieuwe lid 1 bis toegevoegd:

“1 bis    Het genereren, beheren en dupliceren van de gegevens voor het aanmaken van elektronische handtekeningen namens de ondertekenaar kan alleen worden uitgevoerd door een gekwalificeerde verlener van vertrouwensdiensten die een gekwalificeerde vertrouwensdienst voor het beheer van middelen voor het aanmaken van elektronische handtekeningen op afstand verleent.”;

(28)het volgende artikel 29 bis wordt ingevoegd:

“Artikel 29 bis

Eisen voor een gekwalificeerde dienst voor het beheer van middelen voor het aanmaken van elektronische handtekeningen op afstand

1.    Het beheer van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen op afstand als gekwalificeerde vertrouwensdienst kan alleen worden uitgevoerd door een gekwalificeerde verlener van vertrouwensdiensten die:

(a)middelen voor het aanmaken van elektronische handtekeningen namens de ondertekenaar aanmaakt of beheert;

(b)onverminderd punt 1, d), van bijlage II, de gegevens voor het aanmaken van elektronische handtekeningen alleen voor back-updoeleinden dupliceert, op voorwaarde dat aan de volgende eisen wordt voldaan:

de beveiliging van de gedupliceerde gegevensverzamelingen moet van hetzelfde niveau zijn als de beveiliging van de originele gegevensverzamelingen;

het aantal gedupliceerde gegevensverzamelingen mag niet hoger zijn dan het minimum dat nodig is om de continuïteit van de dienst te waarborgen.

(c)aan de voorwaarden uit het certificeringsverslag van het overeenkomstig artikel 30 afgegeven specifieke middel voor het aanmaken van elektronische handtekeningen op afstand voldoet.

2.    Voor de toepassing van lid 1 stelt de Commissie binnen 12 maanden na de inwerkingtreding van deze verordening door middel van uitvoeringshandelingen technische specificaties en referentienummers van normen vast.”;

(29)in artikel 30 wordt het volgende lid 3 bis ingevoegd:

“3 bis    De in lid 1 bedoelde certificering is vijf jaar geldig, op voorwaarde van een regelmatige tweejaarlijkse kwetsbaarheidsbeoordeling. Indien kwetsbaarheden worden vastgesteld en niet worden verholpen, wordt de certificering ingetrokken.”;

(30)artikel 31, lid 3, wordt vervangen door:

“3.    Voor de toepassing van lid 1 stelt de Commissie binnen 12 maanden na de inwerkingtreding van deze verordening door middel van uitvoeringshandelingen de formaten en procedures vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(31)artikel 32 wordt als volgt gewijzigd:

(a)aan lid 1 wordt de volgende alinea toegevoegd:

“Indien de validering van gekwalificeerde elektronische handtekeningen aan de in lid 3 bedoelde normen voldoet, wordt aangenomen dat er overeenstemming is met de in de eerste alinea bedoelde vastgestelde eisen.”;

(b)lid 3 wordt vervangen door:

“3.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake de validering van gekwalificeerde elektronische handtekeningen vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(32)artikel 34 wordt vervangen door:

“Artikel 34

Gekwalificeerde bewaringsdienst voor gekwalificeerde elektronische handtekeningen

1.    Een gekwalificeerde bewaringsdienst voor gekwalificeerde elektronische handtekeningen kan uitsluitend worden verleend door een gekwalificeerde verlener van vertrouwensdiensten die procedures en technologieën hanteert welke het mogelijk maken de betrouwbaarheid van de gekwalificeerde elektronische handtekeningen te verlengen tot na de technologische geldigheidsduur.

2.    Indien de voorzieningen voor de gekwalificeerde bewaringsdienst voor gekwalificeerde elektronische handtekeningen aan de in lid 3 bedoelde normen voldoen, wordt aangenomen dat er overeenstemming is met de in lid 1 vastgestelde eisen.

3.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake de gekwalificeerde bewaringsdienst voor gekwalificeerde elektronische handtekeningen vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(33)artikel 37 wordt als volgt gewijzigd:

(a)het volgende lid 2 bis wordt ingevoegd:

“2 bis    Indien een geavanceerd elektronisch zegel aan de in lid 4 bedoelde normen voldoet, wordt het geacht in overeenstemming te zijn met de in artikel 36 en lid 5 bedoelde vereisten voor geavanceerde elektronische zegels.”;

(b)lid 4 wordt vervangen door:

“4.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake geavanceerde elektronische zegels vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(34)artikel 38 wordt als volgt gewijzigd:

(a)lid 1 wordt vervangen door:

“1.    Gekwalificeerde certificaten voor elektronisch zegels voldoen aan de in bijlage III vastgestelde eisen. Indien een gekwalificeerd certificaat voor elektronisch zegels aan de in lid 6 bedoelde normen voldoet, wordt aangenomen dat er overeenstemming is met de in bijlage III vastgestelde eisen.”;

(b)lid 6 wordt vervangen door:

“6.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake gekwalificeerd certificaten voor elektronische zegels vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(35)het volgende artikel 39 bis wordt ingevoegd:

“Artikel 39 bis

Eisen voor een gekwalificeerde dienst voor het beheer van middelen voor het aanmaken van elektronische zegels op afstand

Artikel 29 bis is van overeenkomstige toepassing op een gekwalificeerde dienst voor het beheer van middelen voor het aanmaken van elektronische zegels op afstand.”;

(36)artikel 42 wordt als volgt gewijzigd:

(a)het volgende nieuwe lid 1 bis wordt ingevoegd:

“1 bis    Indien de koppeling van datum en tijdstip aan gegevens en de nauwkeurige tijdsbron aan de in lid 2 bedoelde normen voldoen, wordt aangenomen dat er overeenstemming is met de in lid 1 vastgestelde eisen.”;

(b)lid 2 wordt vervangen door:

“2.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake de koppeling van datum en tijdstip aan gegevens en de nauwkeurige tijdsbron vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(37)artikel 44 wordt als volgt gewijzigd:

(a)het volgende lid 1 bis wordt ingevoegd:

“1 bis    Indien het proces voor het verzenden en ontvangen van gegevens aan de in lid 2 bedoelde normen voldoet, wordt aangenomen dat er overeenstemming is met de in lid 1 vastgestelde eisen.”;

(b)lid 2 wordt vervangen door:

“2.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake processen voor het verzenden en ontvangen van gegevens vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(38)artikel 45 wordt vervangen door:

“Artikel 45

Eisen voor gekwalificeerde certificaten voor websiteauthenticatie

1.    Gekwalificeerde certificaten voor websiteauthenticatie voldoen aan de in bijlage IV vastgestelde eisen. Indien een gekwalificeerd certificaat voor websiteauthenticatie aan de in lid 3 bedoelde normen voldoet, wordt aangenomen dat er overeenstemming is met de in bijlage IV vastgestelde eisen.

2.    De in lid 1 bedoelde gekwalificeerde certificaten voor websiteauthenticatie worden herkend door webbrowsers. Daartoe waarborgen webbrowsers dat de met behulp van alle identificatiemethoden verstrekte identiteitsgegevens gebruiksvriendelijk worden weergegeven. Webbrowsers zorgen voor ondersteuning van en interoperabiliteit met de in lid 1 bedoelde gekwalificeerde certificaten voor websiteauthenticatie, met uitzondering van ondernemingen die overeenkomstig Aanbeveling 2003/361/EG van de Commissie tijdens de eerste vijf jaar als aanbieders van webbrowserdiensten als kleine en micro-ondernemingen worden beschouwd.

3.    Binnen 12 maanden na de inwerkingtreding van deze verordening biedt de Commissie door middel van uitvoeringshandelingen de specificaties en referentienummers voor normen inzake de in lid 1 bedoelde gekwalificeerde certificaten voor websiteauthenticatie. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(39)de volgende delen 9, 10 en 11 worden ingevoegd na artikel 45:

“AFDELING 9

ELEKTRONISCHE ATTESTERING VAN ATTRIBUTEN

Artikel 45 bis

Rechtsgevolgen van elektronische attesteringen van attributen

1.    Het rechtsgevolg van een elektronische attestering van attributen en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontzegd louter op grond van het feit dat het document elektronisch is.

2.    Een gekwalificeerde elektronische attestering van attributen heeft dezelfde rechtsgevolgen als wettelijk uitgegeven attesteringen op papier.

3.    Een gekwalificeerde elektronische attestering van attributen, afgegeven in een lidstaat, wordt in alle lidstaten als een gekwalificeerde elektronische attestering van attributen erkend.

Artikel 45 ter

Elektronische attestering van attributen in publieke diensten

Wanneer een elektronische identificatie met gebruikmaking van een elektronisch identificatiemiddel en authenticatie vereist is op grond van nationaal recht om toegang te krijgen tot een door een openbare instantie aangeboden onlinedienst, vervangen de persoonsidentificatiegegevens in de elektronische attestering van attributen niet de elektronische identificatie met gebruikmaking van een elektronisch identificatiemiddel en authenticatie voor elektronische identificatie, tenzij de lidstaat of de overheidsinstantie daarvoor uitdrukkelijk toestemming heeft verleend. In een dergelijk geval wordt een gekwalificeerde elektronische attestering van andere lidstaten ook aanvaard.

Artikel 45 quater

Eisen voor elektronische attestering van attributen

1.    Gekwalificeerde elektronische attesteringen van attributen voldoen aan de in bijlage V vastgestelde eisen. Indien een gekwalificeerde elektronische attestering van attributen aan de in lid 4 bedoelde normen voldoet, wordt aangenomen dat er overeenstemming is met de in bijlage V vastgestelde eisen.

2.    Voor gekwalificeerde elektronische attesteringen van attributen gelden geen dwingende eisen naast de in bijlage V vastgestelde eisen.

3.    Indien een gekwalificeerde elektronische attestering van attributen na initiële afgifte wordt ingetrokken, verliest zij haar geldigheid vanaf het moment van de intrekking en kan de status ervan in geen geval worden hersteld.

4.    Binnen zes maanden na de inwerkingtreding van deze verordening legt de Commissie door middel van een uitvoeringshandeling betreffende de uitvoering van de Europese portemonnees voor digitale identiteit in de zin van artikel 6 bis, lid 10, referentienummers voor normen inzake gekwalificeerde elektronische attesteringen van attributen vast.

Artikel 45 quinquies

Verificatie van attributen aan de hand van authentieke bronnen

1.    De lidstaten waarborgen dat er, ten minste voor de in bijlage VI vermelde attributen, voor zover die attributen authentieke bronnen binnen de publieke sector gebruiken, maatregelen worden genomen zodat gekwalificeerde verleners van elektronische attesteringen van attributen op verzoek van de gebruiker langs elektronische weg de authenticiteit van het attribuut rechtstreeks kunnen verifiëren aan de hand van de relevante authentieke bron op nationaal niveau of via op nationaal niveau overeenkomstig nationaal of Unierecht erkende aangewezen intermediairs.

2.    Binnen zes maanden na de inwerkingtreding van deze verordening en met inachtneming van de toepasselijke internationale normen legt de Commissie door middel van een uitvoeringshandeling betreffende de uitvoering van de Europese portemonnees voor digitale identiteit in de zin van artikel 6 bis, lid 10, minimale technische specificaties, normen en procedures vast met betrekking tot de catalogus van attributen en regelingen voor de attestering van attributen en verificatieprocedures voor gekwalificeerde elektronische attesteringen van attributen.

Artikel 45 sexies

Uitgifte van elektronische attesteringen van attributen aan Europese portemonnees voor digitale identiteit

Verleners van gekwalificeerde elektronische attesteringen van attributen bieden een interface met de overeenkomstig artikel 6 bis afgegeven Europese portemonnees voor digitale identiteit.

Artikel 45 septies

Aanvullende voorschriften voor de levering van diensten voor elektronische attestering van attributen

1.    Verleners van gekwalificeerde en niet-gekwalificeerde diensten voor elektronische attestering van attributen mogen persoonsgegevens met betrekking tot de verlening van die diensten niet combineren met persoonsgegevens van andere door hen aangeboden diensten.

2.    Persoonsgegevens met betrekking tot de verlening van elektronische attestering van attributen worden logisch gescheiden van andere opgeslagen gegevens.

3.    Persoonsgegevens met betrekking tot de verlening van gekwalificeerde elektronische attestering van attributen worden fysiek en logisch gescheiden van andere opgeslagen gegevens.

4.    Verleners van gekwalificeerde diensten van elektronische attestering van attributen verlenen dergelijke diensten via een afzonderlijke juridische entiteit.

AFDELING 10

GEKWALIFICEERDE ELEKTRONISCHE ARCHIEFDIENSTEN

Artikel 45 octies

Gekwalificeerde elektronische archiefdiensten

Een gekwalificeerde elektronische archiefdienst voor elektronische documenten kan uitsluitend worden verleend door een gekwalificeerde verlener van vertrouwensdiensten die procedures en technologieën hanteert welke het mogelijk maken de betrouwbaarheid van het elektronische document te verlengen tot na de technologische geldigheidsduur.

Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake gekwalificeerde elektronische archiefdiensten vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

AFDELING 11

ELEKTRONISCHE REGISTERS

Artikel 45 nonies

Rechtsgevolgen van elektronische registers

1.    Het rechtsgevolg van een elektronisch register en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontzegd louter op grond van het feit dat het elektronisch is of niet aan de eisen voor gekwalificeerde elektronische register voldoet.

2.    De in een gekwalificeerd elektronisch register opgenomen gegevens, de juistheid van de datum en het tijdstip, en de chronologische volgorde binnen een register worden uniek en authentiek geacht.

Artikel 45 decies

Eisen voor gekwalificeerde elektronische registers

1. Gekwalificeerde elektronische registers voldoen aan de volgende eisen:

(a)zij worden aangemaakt door een of meer gekwalificeerde verleners van vertrouwensdiensten;

(b)zij verzekeren het unieke karakter, de authenticiteit en de juiste volgorde van de in het register ingevoerde gegevens;

(c)zij verzekeren de juiste chronologische volgorde van de gegevens in het register en de juistheid van de datum en het tijdstip van de ingevoerde gegevens;

(d)zij slaan de gegevens op zodanige wijze op dat elke wijziging achteraf van de gegevens onmiddellijk kan worden opgespoord.

2.    Indien het elektronische register aan de in lid 3 bedoelde normen voldoet, wordt aangenomen dat er overeenstemming is met de in lid 1 vastgestelde eisen.

3.    De Commissie kan door middel van uitvoeringshandelingen referentienummers voor normen inzake de processen voor de uitvoering en de registratie van een reeks gegevens in, en de aanmaak van een gekwalificeerd elektronisch register vaststellen. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(40)het volgende artikel 48 bis wordt ingevoegd:

“Artikel 48 bis

Verslagleggingsvereisten

1.    De lidstaten waarborgen dat statistieken worden verzameld over de werking van de Europese portemonnees voor digitale identiteit en de gekwalificeerde vertrouwensdiensten.

2.    De overeenkomstig lid 1 verzamelde statistieken omvatten de volgende elementen:

(a)het aantal natuurlijke en rechtspersonen met een geldige Europese portemonnee voor digitale identiteit;

(b)het soort en het aantal diensten die het gebruik van de Europese portemonnee voor digitale identiteit aanvaarden;

(c)de incidenten en de storingstijd van de infrastructuur op nationaal niveau waardoor portemonnee-apps voor digitale identiteit niet beschikbaar zijn.

3.    De in lid 2 bedoelde statistieken worden publiekelijk beschikbaar gesteld in een open en gangbaar machineleesbaar formaat.

4.    De lidstaten leggen de Commissie jaarlijks uiterlijk in maart een verslag voor over de overeenkomstig lid 2 verzamelde statistieken.”;

(41)artikel 49 wordt vervangen door:

“Artikel 49

Evaluatie

1.    De Commissie evalueert de toepassing van deze verordening en brengt daarover binnen 24 maanden na de inwerkingtreding ervan verslag uit bij het Europees Parlement en de Raad. De Commissie evalueert met name of het gepast is het toepassingsgebied van deze verordening dan wel de specifieke bepalingen ervan te wijzigen, rekening houdend met de ervaring met de toepassing van deze verordening, alsook met technologische, marktgebonden en juridische ontwikkelingen. Dat verslag gaat zo nodig vergezeld van een voorstel tot wijziging van deze verordening.

2.    Het evaluatieverslag omvat een beoordeling van de beschikbaarheid en de bruikbaarheid van de identificatiemiddelen, inclusief de Europese portemonnees voor digitale identiteit, binnen het toepassingsgebied van deze verordening, en beoordeelt of alle particuliere onlinedienstverleners die voor gebruikersauthenticatie gebruikmaken van elektronische identificatiediensten van derden, is opgelegd om het gebruik van aangemelde elektronische identificatiemiddelen en Europese portemonnees voor digitale identiteit te aanvaarden.

3.    Daarnaast dient de Commissie elke vier jaar na het in de eerste alinea bedoelde verslag een verslag over de vooruitgang bij de verwezenlijking van de doelstellingen van deze verordening in bij het Europees Parlement en de Raad.”;

(42)artikel 51 wordt vervangen door:

“Artikel 51

Overgangsmaatregelen

1.    Veilige middelen voor het aanmaken van handtekeningen waarvan de overeenstemming bepaald is overeenkomstig artikel 3, lid 4, van Richtlijn 1999/93/EG, blijven beschouwd als gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen in de zin van de onderhavige verordening tot en met [date — OJ please insert period of four years following the entry into force of this Regulation].

2.    Aan natuurlijke personen afgegeven gekwalificeerde certificaten overeenkomstig Richtlijn 1999/93/EG blijven beschouwd als gekwalificeerde certificaten voor elektronische handtekeningen in de zin van de onderhavige verordening tot en met [date — PO please insert period of four years following the entry into force of this Regulation].”.

(43)bijlage I wordt gewijzigd overeenkomstig bijlage I bij deze verordening;

(44)bijlage II wordt vervangen door de tekst die is opgenomen in bijlage II bij deze verordening;

(45)bijlage III wordt gewijzigd overeenkomstig bijlage III bij deze verordening;

(46)bijlage IV wordt gewijzigd overeenkomstig bijlage IV bij deze verordening;

(47)een nieuwe bijlage V wordt toegevoegd zoals opgenomen in bijlage V bij deze verordening;

(48)een nieuwe bijlage VI wordt aan deze verordening toegevoegd.

Artikel 2

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel,

FINANCIEEL MEMORANDUM

1.KADER VAN HET VOORSTEL/INITIATIEF 

1.1.Benaming van het voorstel/initiatief

1.2.Betrokken beleidsterrein(en) 

1.3.Het voorstel/initiatief betreft: 

 een nieuwe actie 

 een nieuwe actie na een proefproject / voorbereidende actie 28  

 de verlenging van een bestaande actie 

 de samenvoeging of ombuiging van een of meer acties naar een andere/een nieuwe actie 

1.4.Doelstelling(en)

1.4.1.Algemene doelstelling(en)

1.4.2.Specifieke doelstelling(en)

1.4.3.Verwachte resulta(a)t(en) en gevolg(en)

Vermeld de gevolgen die het voorstel/initiatief zou moeten hebben voor de begunstigden/doelgroepen.

1.4.4.Prestatie-indicatoren

Vermeld de indicatoren voor de monitoring van de voortgang en de beoordeling van de resultaten.

1.5.Motivering van het voorstel/initiatief 

1.5.1.Behoefte(n) waarin op korte of lange termijn moet worden voorzien, met een gedetailleerd tijdschema voor de uitrol van het initiatief

1.5.2.Toegevoegde waarde van de deelname van de Unie (deze kan het resultaat zijn van verschillende factoren, bijvoorbeeld coördinatiewinst, rechtszekerheid, grotere doeltreffendheid of complementariteit). Voor de toepassing van dit punt wordt onder “toegevoegde waarde van de deelname van de Unie” verstaan de waarde die een optreden van de Unie oplevert bovenop de waarde die door een optreden van alleen de lidstaat zou zijn gecreëerd.

1.5.3.Nuttige ervaring die bij soortgelijke activiteiten in het verleden is opgedaan

1.5.4.Verenigbaarheid met het meerjarige financiële kader en eventuele synergie met andere passende instrumenten

1.5.5.Beoordeling van de verschillende beschikbare financieringsopties, waaronder mogelijkheden voor herschikking

1.6.Duur en financiële gevolgen van het voorstel/initiatief

 beperkte geldigheidsduur

    van kracht vanaf [DD/MM]JJJJ tot en met [DD/MM]JJJJ

    Financiële gevolgen vanaf JJJJ tot en met JJJJ voor vastleggingskredieten en vanaf JJJJ tot en met JJJJ voor betalingskredieten.

 onbeperkte geldigheidsduur

Uitvoering met een opstartperiode vanaf JJJJ tot en met JJJJ,

gevolgd door een volledige uitvoering.

1.7.Beheersvorm(en) 29  

 Direct beheer door de Commissie

 door haar diensten, waaronder het personeel in de delegaties van de Unie;

    door de uitvoerende agentschappen;

 Gedeeld beheer met de lidstaten

 Indirect beheer door begrotingsuitvoeringstaken te delegeren aan:

 derde landen of de door hen aangewezen organen;

 internationale organisaties en hun agentschappen (geef aan welke);

 de EIB en het Europees Investeringsfonds;

 de in de artikelen 70 en 71 van het Financieel Reglement bedoelde organen;

 publiekrechtelijke organen;

 privaatrechtelijke organen met een openbare dienstverleningstaak, voor zover zij voldoende financiële garanties bieden;

 privaatrechtelijke organen van een lidstaat waaraan de uitvoering van een publiek-privaat partnerschap is toevertrouwd en die voldoende financiële garanties bieden;

 personen aan wie de uitvoering van specifieke maatregelen op het gebied van het GBVB in het kader van titel V van het VEU is toevertrouwd en die worden genoemd in de betrokken basishandeling.

Verstrek, indien meer dan een beheersvorm is aangekruist, extra informatie onder “Opmerkingen”.

Opmerkingen

2.BEHEERSMAATREGELEN 

2.1.Regels inzake het toezicht en de verslagen 

Vermeld frequentie en voorwaarden.

2.2.Beheers- en controlesyste(e)m(en) 

2.2.1.Rechtvaardiging van de voorgestelde beheersvorm(en), uitvoeringsmechanisme(n) voor financiering, betalingsvoorwaarden en controlestrategie

2.2.2.Informatie over de geïdentificeerde risico's en het (de) systeem (systemen) voor interne controle dat is (die zijn) opgezet om die risico's te beperken

2.2.3.Raming en motivering van de kosteneffectiviteit van de controles (verhouding van de controlekosten tot de waarde van de desbetreffende financiële middelen) en evaluatie van het verwachte foutenrisico (bij betaling en bij afsluiting) 

2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden 

Vermeld de bestaande en geplande preventie- en beschermingsmaatregelen, bijvoorbeeld in het kader van de fraudebestrijdingsstrategie.

3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF 

3.1.Rubriek(en) van het meerjarige financiële kader en betrokken begrotingsonderde(e)l(en) voor uitgaven 

Bestaande begrotingsonderdelen

In volgorde van de rubrieken van het meerjarig financieel kader en de begrotingsonderdelen.

Te creëren nieuwe begrotingsonderdelen

In volgorde van de rubrieken van het meerjarig financieel kader en de begrotingsonderdelen.

3.2.Geraamde financiële gevolgen van het voorstel inzake kredieten 

3.2.1.Samenvatting van de geraamde gevolgen voor de beleidskredieten 

 Voor het voorstel/initiatief zijn geen beleidskredieten nodig

 Voor het voorstel/initiatief zijn beleidskredieten nodig, zoals hieronder nader wordt beschreven:

miljoen EUR (tot op drie decimalen)

Dit deel moet worden ingevuld aan de hand van de “administratieve begrotingsgegevens”, die eerst moeten worden opgenomen in de bijlage bij het financieel memorandum (Bijlage V bij de interne voorschriften), te uploaden in DECIDE met het oog op overleg tussen de diensten.

miljoen EUR (tot op drie decimalen)

miljoen EUR (tot op drie decimalen)

3.2.2.Geraamde output, gefinancierd met operationele kredieten 

Vastleggingskredieten, in miljoenen euro's (tot op drie decimalen)

3.2.3.Samenvatting van de geraamde gevolgen voor de administratieve kredieten 

 Voor het voorstel/initiatief zijn geen administratieve kredieten nodig

 Voor het voorstel/initiatief zijn administratieve kredieten nodig, zoals hieronder nader wordt beschreven:

miljoen EUR (tot op drie decimalen)

De benodigde kredieten voor personeel en andere administratieve uitgaven zullen worden gefinancierd uit de kredieten van het DG die reeds voor het beheer van deze actie zijn toegewezen en/of binnen het DG zijn herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

3.2.4.Geraamde personeelsbehoeften

 Voor het voorstel/initiatief zijn geen personele middelen nodig.

 Voor het voorstel/initiatief zijn personele middelen nodig, zoals hieronder nader wordt beschreven:

Raming in voltijdequivalenten

XX is het beleidsterrein of de begrotingstitel.

Voor de benodigde personele middelen zal een beroep worden gedaan op het personeel van het DG dat reeds voor het beheer van deze actie is toegewezen en/of binnen het DG is herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

Beschrijving van de uit te voeren taken:

3.2.5.Verenigbaarheid met het huidige meerjarige financiële kader 

Het voorstel/initiatief:

 kan volledig worden gefinancierd door middel van herschikking binnen de relevante rubriek van het meerjarig financieel kader (MFK).

 hiervoor moet een beroep worden gedaan op de niet-toegewezen marge in de desbetreffende rubriek van het MFK en/of op de speciale instrumenten zoals gedefinieerd in de MFK-verordening.

 hiervoor is een herziening van het MFK nodig.

3.2.6.Bijdragen van derden 

Het voorstel/initiatief:

 voorziet niet in medefinanciering door derden

 voorziet in medefinanciering door derden, zoals hieronder wordt geraamd:

Kredieten in miljoen EUR (tot op drie decimalen)

3.3.Geraamde gevolgen voor de ontvangsten 

 Het voorstel/initiatief heeft geen financiële gevolgen voor de ontvangsten

 Het voorstel/initiatief heeft de hieronder beschreven financiële gevolgen:

 voor de eigen middelen

 voor overige ontvangsten

Geef aan of de ontvangsten worden toegewezen aan de begrotingsonderdelen voor uitgaven     

miljoen EUR (tot op drie decimalen)

Vermeld voor de toegewezen ontvangsten het (de) betrokken begrotingsonderde(e)l(en) voor uitgaven.

Andere opmerkingen (bv. over de methode/formule voor de berekening van de gevolgen voor de ontvangsten of andere informatie).

BIJLAGE 
bij het FINANCIEEL MEMORANDUM

Benaming van het voorstel/initiatief:

1.NODIG GEACHTE PERSONELE MIDDELEN EN KOSTEN DAARVAN

2.KOSTEN VAN ANDERE ADMINISTRATIEVE UITGAVEN

3.TOTAAL ADMINISTRATIEVE KOSTEN

4.VOOR KOSTENRAMINGEN GEBRUIKTE BEREKENINGSMETHODEN

4.1.Personeel

4.2.Andere administratieve uitgaven

(1)Kosten van nodig geachte personeel

 Voor het voorstel/initiatief zijn geen personele middelen nodig.

 Voor het voorstel/initiatief zijn personele middelen nodig, zoals hieronder nader wordt beschreven:

miljoen EUR (tot op drie decimalen)

4.3.Voor de benodigde personele middelen zal een beroep worden gedaan op het personeel van het DG dat reeds voor het beheer van deze actie is toegewezen en/of binnen het DG is herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

4.4.

4.5.

Voor de benodigde personele middelen zal een beroep worden gedaan op het personeel van het DG dat reeds voor het beheer van deze actie is toegewezen en/of binnen het DG is herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

4.6.Kosten van andere administratieve uitgaven

4.7. Voor het voorstel/initiatief zijn geen administratieve kredieten nodig

4.8. Voor het voorstel/initiatief zijn administratieve kredieten nodig, zoals hieronder nader wordt beschreven:

miljoen EUR (tot op drie decimalen)

miljoen EUR (tot op drie decimalen)

5.Totale administratieve kosten (alle MFK-rubrieken)

miljoen EUR (tot op drie decimalen)

(1)In de benodigde administratieve kredieten zal worden voorzien door de kredieten die reeds voor het beheer van deze actie zijn toegewezen en/of zijn herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de bestaande budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

6.Voor kostenramingen gebruikte berekeningsmethoden

(a) Personeel

In dit deel wordt de berekeningsmethode toegelicht die is gebruikt om de benodigde personele middelen te ramen (veronderstelde werklast, bijzondere taken (Sysper 2 taakprofielen), personeelscategorieën en overeenkomstige gemiddelde kosten)

7.Andere administratieve uitgaven

Verstrek gegevens over de voor elk begrotingsonderdeel gebruikte berekeningsmethode,

en meer in het bijzonder over de achterliggende aannamen (bv. aantal vergaderingen per jaar, gemiddelde kosten, enz.)

(1)    PB L 257 van 28.8.2014, blz. 73.

(2)    [voeg referentie toe na vaststelling]

(3)    https://www.consilium.europa.eu/media/45915/021020-euco-final-conclusions-nl.pdf

(4)    Toespraak over de Staat van de Unie, 16 september 2020, zie https://ec.europa.eu/commission/presscorner/detail/nl/SPEECH_20_1655

(5)    Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's — De digitale toekomst van Europa vormgeven.

(6)    Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s — Het digitale kompas 2030: de Europese aanpak voor het digitale decennium.

(7)    Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (PB L 119 van 4.5.2016, blz. 1).

(8)    https://ec.europa.eu/commission/presscorner/detail/nl/IP_20_2391

(9)    Verordening (EU) 2018/1724 van het Europees Parlement en de Raad van 2 oktober 2018 tot oprichting van één digitale toegangspoort voor informatie, procedures en diensten voor ondersteuning en probleemoplossing (PB L 295 van 21.11.2018, blz. 1).

(10)    Actieplan voor Europese democratie (COM/2020/790 final).

(11)    Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van Richtlijn 2002/92/EG en Richtlijn 2011/61/EU (Voor de EER relevante tekst), PB L 173 van 12.6.2014, blz. 349.

(12)    Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG, 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG, PB L 337 van 23.12.2015, blz. 35.

(13)    Voorstel voor een verordening van het Europees Parlement en de Raad betreffende markten voor cryptoactiva en tot wijziging van Richtlijn (EU) 2019/1937, COM(2020) 593 final.

(14)    Gartner, Blockchain Evolution, 2020.

(15)    PB C , blz. .

(16)    COM/2020/67 final.

(17)    https://www.consilium.europa.eu/nl/press/press-releases/2020/10/02/european-council-conclusions-1-2-october-2020/

(18)    COM/2021/118 final/2.

(19)    Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(20)    Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PB L 151 van 7.6.2019, blz. 15).

(21)    Verordening (EU) 2019/1157 van het Europees Parlement en de Raad van 20 juni 2019 betreffende de versterking van de beveiliging van identiteitskaarten van burgers van de Unie en van verblijfsdocumenten afgegeven aan burgers van de Unie en hun familieleden die hun recht van vrij verkeer uitoefenen (PB L 188 van 12.7.2019, blz. 67).

(22)    Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad van 17 april 2019 betreffende de toegankelijkheidsvoorschriften voor producten en diensten (PB L 151 van 7.6.2019, blz. 70).

(23)    Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van Richtlijn 2002/92/EG en Richtlijn 2011/61/EU (Voor de EER relevante tekst), PB L 173 van 12.6.2014, blz. 349.

(24)    Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG, 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG, PB L 337 van 23.12.2015, blz. 35.

(25)    Voorstel voor een verordening van het Europees Parlement en de Raad betreffende markten voor cryptoactiva en tot wijziging van Richtlijn (EU) 2019/1937, COM(2020) 593 final.

(26)    [voeg referentie in na vaststelling]

(27)    Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(28)    In de zin van artikel 58, lid 2, punt a) of b), van het Financieel Reglement.

(29)    Nadere gegevens over de beheersvormen en verwijzingen naar het Financieel Reglement zijn beschikbaar op BudgWeb: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx  

(30)    GK = gesplitste kredieten / NGK = niet-gesplitste kredieten.

(31)    EVA: Europese Vrijhandelsassociatie.

(32)    Kandidaat-lidstaten en, in voorkomend geval, aspirant-kandidaten van de Westelijke Balkan.

(33)    Mochten de feitelijke kosten hoger zijn dan de aangegeven bedragen, dan worden de kosten gefinancierd uit 02 04 05 01.

(34)    Volgens de officiële begrotingsnomenclatuur.

(35)    Technische en/of administratieve bijstand en uitgaven ter ondersteuning van de uitvoering van programma’s en/of acties van de EU (vroegere “BA”-onderdelen), onderzoek door derden, eigen onderzoek.

(36)    Outputs zijn de te verstrekken producten en diensten (bv. aantal gefinancierde studentenuitwisselingen, aantal km aangelegde wegen enz.).

(37)    Zoals beschreven in punt 1.4.2. “Specifieke doelstelling(en)…”

(38)    Technische en/of administratieve bijstand en uitgaven ter ondersteuning van de uitvoering van programma’s en/of acties van de EU (vroegere “BA”-onderdelen), onderzoek door derden, eigen onderzoek.

(39)    Subplafond voor extern personeel uit beleidskredieten (vroegere “BA”-onderdelen).

(40)    Het jaar N is het jaar waarin met de uitvoering van het voorstel/initiatief wordt begonnen. Vervang “N” door het verwachte eerste jaar van uitvoering (bijvoorbeeld: 2021). Hetzelfde voor de volgende jaren.

(41)    Voor traditionele eigen middelen (douanerechten en suikerheffingen) moeten nettobedragen worden vermeld, d.w.z. na aftrek van 20 % aan inningskosten.

(42)    Betrokken begrotingsonderdeel kiezen, of een ander aanduiden, indien nodig; indien het om meer begrotingsonderdelen gaat, moet het personeel per betrokken begrotingsonderdeel worden uitgesplitst.

(43)    Betrokken begrotingsonderdeel kiezen, of een ander aanduiden, indien nodig; indien het om meer begrotingsonderdelen gaat, moet het personeel per betrokken begrotingsonderdeel worden uitgesplitst.

(44)    Specificeer het soort comité en de groep waartoe het behoort.

(45)    Hiervoor is advies van DG DIGIT – IT Investments Team vereist (zie de Guidelines on Financing of IT, C(2020)6126 final van 10.9.2020, blz. 7)

(46)    Hiervoor is advies van DG DIGIT – IT Investments Team vereist (zie de Guidelines on Financing of IT, C(2020)6126 final van 10.9.2020, blz. 7)

(47)    Dit omvat lokale administratieve systemen en bijdragen aan de cofinanciering van IT-bedrijfssystemen (zie de Guidelines on Financing of IT, C(2020)6126 final van 10.9.2020)