EUROPESE COMMISSIE

Straatsburg, 13.12.2022

COM(2022) 729 final

2022/0424(COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende de verzameling en de doorgifte van vooraf te verstrekken passagiersgegevens (API) met het oog op het versterken en vergemakkelijken van de controles aan de buitengrenzen, tot wijziging van Verordening (EU) 2019/817 en Verordening (EU) 2018/1726, en tot intrekking van Richtlijn 2004/82/EG van de Raad

{SEC(2022) 444 final} - {SWD(2022) 421 final} - {SWD(2022) 422 final} - {SWD(2022) 423 final}

TOELICHTING

1.ACHTERGROND VAN HET VOORSTEL

•Motivering en doel van het voorstel

De afgelopen decennia is het aantal luchtreizigers toegenomen en zijn de vliegtuigen als gevolg van efficiëntiegerichte innovatie groter geworden. Daardoor is het zaak de passagiersstromen op de luchthavens efficiënter te verwerken. In 2019 meldde de Internationale Burgerluchtvaartorganisatie (ICAO) wereldwijd 4,5 miljard luchtpassagiers op geregelde diensten 1 . Met jaarlijks meer dan een half miljard passagiers die de EU binnenkomen of verlaten 2 , komen de luchtbuitengrenzen onder druk te staan.

De verwerking van vooraf te verstrekken passagiersgegevens (Advance Passenger Information – API) overeenkomstig de huidige API-richtlijn 3 en dit voorstel, is een instrument voor grensbeheer dat de passagiersafhandeling vergemakkelijkt en versnelt en daardoor de grenscontroles doeltreffender en efficiënter maakt, alsook een instrument om illegale immigratie tegen te gaan. API-gegevens bestaan uit een combinatie van identiteitsgegevens uit de reisdocumenten van de passagiers en vluchtgegevens die bij het inchecken worden verzameld en aan de grensautoriteiten van het land van bestemming worden doorgegeven. Omdat deze autoriteiten de API-gegevens vóór de aankomst van de vlucht ontvangen, kunnen zij de reizigers vooraf overeenkomstig de toepasselijke wetgeving screenen aan de hand van risicoprofielen, observatielijsten en databanken. Daardoor kunnen zij de grenscontroles voor bonafide reizigers versnellen en meer middelen en tijd besteden aan het identificeren van aankomende reizigers die nader onderzoek vergen.

De invoering van systemen voor het verzamelen en doorgeven van API-gegevens is sinds 2017 een internationale norm in het kader van het Verdrag inzake de internationale burgerluchtvaart 4 (Verdrag van Chicago). In de EU zijn de regels in dit verband vastgesteld bij de API-richtlijn. De richtlijn verplicht luchtvaartmaatschappijen om op verzoek API-gegevens aan de grensautoriteiten van het land van bestemming door te geven voordat de vlucht vertrekt. De richtlijn verplicht de lidstaten echter niet om API-gegevens op te vragen bij de luchtvaartmaatschappijen. Daardoor zijn er leemten en inconsistenties ontstaan in de manier waarop de gegevens worden verzameld en gebruikt, en verzamelen sommige lidstaten de API-gegevens systematisch en andere niet 5 . Naar schatting worden, voor alle lidstaten samen, API-gegevens verzameld over 65 % van de inkomende vluchten 6 . Daardoor kunnen personen die de controles willen vermijden, routes waarop consequent API-gegevens worden verzameld, gemakkelijk omzeilen en naar hun bestemming reizen via een vliegroute waarop minder vaak of helemaal nooit gebruik wordt gemaakt van API-gegevens.

•Verenigbaarheid met bestaande bepalingen op het beleidsterrein

De voorgestelde verordening zal deel blijven uitmaken van het Schengenacquis. De bevoegde grensautoriteiten van de lidstaten zullen de API-gegevens uitsluitend met het oog op de doeleinden waarvoor de API-gegevens in het kader van de voorgestelde verordening zijn verzameld, met name grensbeheer en bestrijding van illegale immigratie, blijven ontvangen en verder verwerken.

2.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

•Rechtsgrondslag

Gezien de doelstelling van dit voorstel voor een verordening betreffende de verzameling en de doorgifte van API-gegevens met het oog op grensbeheer en bestrijding van illegale immigratie en de in het voorstel vervatte maatregelen, is de passende rechtsgrondslag artikel 77, lid 2, punten b) en d), en artikel 79, lid 2, punt c), van het Verdrag betreffende de werking van de Europese Unie (VWEU).

Krachtens artikel 77, lid 2, respectievelijk punt b) en punt d), VWEU is de Unie bevoegd om maatregelen vast te stellen voor de controles waaraan personen bij het overschrijden van de buitengrenzen worden onderworpen, en voor de geleidelijke invoering van een geïntegreerd systeem van beheer van de buitengrenzen. Op grond van artikel 79, lid 2, punt c), VWEU is de Unie bevoegd om maatregelen vast te stellen met betrekking tot illegale immigratie.

Op deze manier is de consistentie met de huidige API-richtlijn, die op dezelfde bepalingen is gebaseerd, verzekerd.

•Subsidiariteit

Het VWEU verleent de Unie uitdrukkelijk de bevoegdheid om een gemeenschappelijk beleid te ontwikkelen inzake de controles waaraan personen bij het overschrijden van de buitengrenzen worden onderworpen. Dit is een duidelijke doelstelling die op EU-niveau moet worden nagestreefd. Tegelijkertijd is dit een gebied dat onder de gedeelde bevoegdheid van de EU en de lidstaten valt.

Dat precies nu EU-maatregelen op het gebied van API-gegevens nodig zijn, heeft ook te maken met de recente ontwikkelingen op het gebied van wetgeving inzake het beheer van de Schengenbuitengrenzen, met name:

–Dankzij de interoperabiliteitsverordening van 2019 18 zullen systematische controles van personen die de buitengrenzen overschrijden, kunnen worden uitgevoerd aan de hand van alle beschikbare en relevante informatie in de gecentraliseerde EU-informatiesystemen voor veiligheid, grens- en migratiebeheer. De invoering van een gecentraliseerd mechanisme voor de doorzending van API-gegevens op EU-niveau is een logische voortzetting van dit concept. Volgens de concepten van de interoperabiliteitsverordeningen zou de gecentraliseerde doorzending van API-gegevens er in de toekomst toe kunnen leiden dat deze gegevens worden gebruikt voor het doorzoeken van verschillende databanken (SIS, Europol-gegevens) via het Europees zoekportaal.

–Het gebruik van API-gegevens aan de buitengrenzen zou een doeltreffende aanvulling zijn op het Europees systeem voor reisinformatie en -autorisatie (Etias) en het inreis-uitreissysteem (EES), die beide over afzienbare tijd worden ingevoerd. Het gebruik van API-gegevens zou noodzakelijk blijven voor het beheer van de buitengrenzen, omdat de grenswachters dankzij die gegevens vooraf weten of de betrokken reiziger daadwerkelijk aan boord van het vliegtuig is gegaan en dus het Schengengebied zal binnenkomen. Dit vergemakkelijkt de grenscontrole die zal plaatsvinden zodra de reiziger aan de buitengrenzen aankomt.

•Evenredigheid

Overeenkomstig het evenredigheidsbeginsel dat is vervat in artikel 5, lid 4, VEU, moeten de aard en de intensiteit van een bepaalde maatregel worden afgestemd op het geconstateerde probleem. De in dit wetgevingsinitiatief omschreven problemen vragen in alle gevallen om wetgevende maatregelen op EU-niveau waarmee de lidstaten die problemen doeltreffend kunnen aanpakken, zonder daarbij verder te gaan dan voor het oplossen van die problemen strikt noodzakelijk is.

Met dit voorstel zal het rechtskader voor het verzamelen en doorgeven van API-gegevens met het oog op het beheer van de buitengrenzen en de bestrijding van illegale immigratie worden versterkt. Het voorstel zal van de API-gegevens een krachtiger instrument maken voor het vooraf controleren van reizigers aan de buitengrenzen. Daardoor draagt het bij aan de doeltreffendheid en efficiëntie van de controles zelf, maar ook aan het doel illegale immigratie aan te pakken, met name in de context van grensoverschrijdend luchtvervoer en de verantwoordelijkheden van de luchtvaartmaatschappijen in dit verband. In overeenstemming met de internationale normen en aanbevolen praktijken verplicht dit voorstel de luchtvaartmaatschappijen om API-gegevens te verzamelen en door te geven over alle vluchten naar de Unie, zoals gedefinieerd in het voorstel. De in dit voorstel vervatte verplichtingen zijn beperkt tot wat nodig is om deze doelstelling te verwezenlijken. Meer in het bijzonder bevat dit voorstel duidelijke regels, onder meer over wat API-gegevens zijn, over welke luchtvaartmaatschappijen API-gegevens moeten verzamelen en over de doorgifte van die gegevens. Doordat het voorstel de vorm van een verordening heeft gekregen, voorziet het in een consistente aanpak ten aanzien van het gebruik van API-gegevens voor het beheer van de buitengrenzen en de bestrijding van illegale immigratie. Door de API-vereisten op die manier te standaardiseren in de verschillende lidstaten, wordt zowel de rechtszekerheid als de voorspelbaarheid bevorderd en zal bijgevolg ook de naleving door de luchtvaartmaatschappijen verbeteren.

Andere elementen in de voorgestelde verordening die borg staan voor de evenredigheid, zijn onder meer de beperking van het toepassingsgebied tot inkomende vluchten, de beperking van het verplichte gebruik van geautomatiseerde procedés tot bepaalde API-gegevens, en waarborgen inzake de manier waarop en het doel waarvoor de API-gegevens worden verwerkt.

Op grond van de voorgestelde verordening zou een router worden opgezet als enig verbindingspunt tussen de lidstaten en de luchtvaartmaatschappijen, overeenkomstig internationale aanbevelingen, en zou een EU-aanpak voor het verzamelen en doorgeven van API-gegevens worden vastgesteld. De doorzending van de API-gegevens via de router moet de kosten voor de luchtvaartsector verlagen en ervoor zorgen dat de grenswachters snel en naadloos toegang hebben tot de API-gegevens die voor voorafgaande grenscontroles vereist zijn. Hierdoor zullen de lidstaten fors minder verbindingen tot stand moeten brengen en onderhouden en zal het voor de luchtvaartmaatschappijen eenvoudiger worden om verbindingen met de bevoegde grensautoriteiten te onderhouden en schaalvoordelen te behalen. Een EU-agentschap, eu-LISA, krijgt de verantwoordelijkheid voor het ontwerpen, het ontwikkelen, het hosten en het technisch beheer van de router. De doorgifte van de API-gegevens via de router zal de vluchtmonitoring ondersteunen en zo de kans verkleinen dat een luchtvaartmaatschappij niet heeft voldaan aan de verplichting om API-gegevens overeenkomstig dit voorstel mee te delen.

•Keuze van het instrument

Als instrument wordt een verordening voorgesteld. Aangezien de voorgestelde maatregelen rechtstreeks toepasselijk moeten zijn en in alle lidstaten uniform moeten worden toegepast, is een verordening de juiste keuze voor het rechtsinstrument, zoals ook blijkt uit de effectbeoordeling bij dit voorstel.

3.EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING

•Ex-postevaluaties van bestaande wetgeving

•Raadpleging van belanghebbenden

Bij de voorbereiding van dit voorstel zijn belanghebbenden uit verschillende hoeken geraadpleegd, waaronder de autoriteiten van de lidstaten (bevoegde grensautoriteiten, passagiersinformatie-eenheden), vertegenwoordigers van de vervoerssector en individuele luchtvaartmaatschappijen. Ook EU-agentschappen, zoals het Europees Grens- en kustwachtagentschap (Frontex), het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol), het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) en het Bureau van de Europese Unie voor de grondrechten (FRA), hebben in het licht van hun opdracht en expertise input geleverd. In dit initiatief is daarnaast ook rekening gehouden met de standpunten en de reacties die zijn binnengekomen tijdens de openbare raadpleging die eind 2019 in het kader van de evaluatie van de API-richtlijn heeft plaatsgevonden 21 .

Bij raadplegingsactiviteiten in het kader van de voorbereiding van de effectbeoordeling ter ondersteuning van dit voorstel zijn aan de hand van verschillende methoden reacties van belanghebbenden verzameld. Deze activiteiten omvatten met name een aanvangseffectbeoordeling, een externe ondersteunende studie en een reeks technische workshops.

Op de aanvangseffectbeoordeling kon van 5 juni 2020 tot en met 14 augustus 2020 worden gereageerd. De zeven reacties hadden betrekking op de uitbreiding van het toepassingsgebied van de toekomstige API-richtlijn, de kwaliteit van de gegevens, sancties, het verband tussen API-gegevens en PNR-gegevens en de bescherming van persoonsgegevens 22 .

De externe ondersteunende studie werd uitgevoerd op basis van bureauonderzoek, enquêtes en gesprekken met deskundigen, waarbij werd onderzocht hoe API-gegevens kunnen worden verwerkt volgens duidelijke regels die legaal reizen vergemakkelijken en in overeenstemming zijn met de interoperabiliteit van de EU-informatiesystemen, de EU-voorschriften inzake de bescherming van persoonsgegevens en andere bestaande EU-instrumenten en internationale normen.

De diensten van de Commissie hebben verder een reeks technische workshops georganiseerd met deskundigen uit de lidstaten en de geassocieerde Schengenlanden. Deze workshops waren bedoeld om deskundigen bijeen te brengen voor een gedachtewisseling over de mogelijke opties om het toekomstige API-kader te versterken met het oog op grensbeheer, bestrijding van illegale immigratie en bestrijding van criminaliteit en terrorisme.

De bijgevoegde effectbeoordeling (bijlage 2) bevat een uitvoerigere beschrijving van de raadpleging van belanghebbenden.

•Effectbeoordeling

•Grondrechten en bescherming van persoonsgegevens

4.GEVOLGEN VOOR DE BEGROTING

5.OVERIGE ELEMENTEN

•Uitvoeringsplanning en regelingen betreffende monitoring, evaluatie en rapportage

De Commissie zal ervoor zorgen dat de nodige regelingen worden getroffen om de werking van de voorgestelde maatregelen te monitoren en aan de belangrijkste beleidsdoelstellingen te toetsen. Vier jaar na de inwerkingtreding van de voorgestelde verordening, en vervolgens om de vier jaar, zal de Commissie bij het Europees Parlement en de Raad een verslag indienen met een beoordeling van de uitvoering van de verordening en de toegevoegde waarde ervan. In het verslag zal ook melding worden gemaakt van eventuele directe of indirecte gevolgen voor de betrokken grondrechten. In het verslag zullen de behaalde resultaten worden getoetst aan de doelstellingen en zal worden nagegaan of de uitgangspunten nog steeds geldig zijn en of er conclusies met het oog op toekomstige opties moeten worden getrokken.

Als gevolg van de verplichte verzameling van API-gegevens en de invoering van de API-router zal duidelijker worden wat de stand van zaken is op het vlak van de verzameling en de doorgifte van API-gegevens door luchtvaartmaatschappijen en het daaropvolgende gebruik van API-gegevens door de lidstaten overeenkomstig de toepasselijke nationale en Uniewetgeving. Hierdoor krijgt de Commissie betrouwbare statistieken in handen over het volume van de doorgegeven gegevens en over de vluchten waarover API-gegevens zouden worden opgevraagd, wat haar zal helpen bij haar evaluatie- en handhavingstaken.

•Variabele geometrie

Dit voorstel bouwt voort op en strekt tot ontwikkeling van het Schengenacquis inzake de buitengrenzen, in die zin dat het de overschrijding van de buitengrenzen betreft. Daarom moeten de hieronder uiteengezette implicaties worden overwogen in verband met Protocol nr. 19 betreffende het Schengenacquis dat is opgenomen in het kader van de Europese Unie, gehecht aan het VEU en aan het VWEU, en Protocol nr. 22 betreffende de positie van Denemarken, gehecht aan het VEU en het VWEU.

Het voorstel valt onder de maatregelen van het Schengenacquis waaraan Ierland deelneemt overeenkomstig artikel 6, lid 2, van Besluit 2002/192/EG van de Raad van 28 februari 2002 betreffende het verzoek van Ierland deel te mogen nemen aan bepalingen van het Schengenacquis 28 . De deelname van Ierland aan dit voorstel heeft met name betrekking op de verantwoordelijkheid van de Unie voor het nemen van maatregelen ter ontwikkeling van de bepalingen van het Schengenacquis ter bestrijding van illegale immigratie, waaraan Ierland deelneemt. Ierland neemt met name deel gezien de opneming, in artikel 1, lid 1, van dat besluit van de Raad, van een verwijzing naar artikel 26 van de Schengenuitvoeringsovereenkomst, dat betrekking heeft op de verantwoordelijkheid van luchtvervoerders ten aanzien van vreemdelingen aan wie de toegang wordt geweigerd en het in het bezit van de vreemdelingen zijn van de vereiste reisdocumenten. Ierland neemt deel aan de gehele voorgestelde verordening.

Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 betreffende de positie van Denemarken, gehecht aan het VEU en het VWEU, neemt Denemarken niet deel aan de vaststelling van deze verordening, die derhalve niet bindend is voor, noch, na vaststelling ervan, van toepassing is in deze lidstaat. Aangezien de voorgestelde verordening zal voortbouwen op het Schengenacquis, moet Denemarken overeenkomstig artikel 4 van het bovengenoemde protocol binnen een termijn van zes maanden nadat de Raad heeft beslist over deze verordening, beslissen of het deze in zijn interne recht zal omzetten.

Wat Cyprus, Bulgarije, Roemenië en Kroatië betreft, vormt de voorgestelde verordening een handeling die op het Schengenacquis voortbouwt of anderszins daaraan is gerelateerd in de zin van respectievelijk artikel 3, lid 1, van de Toetredingsakte van 2003, artikel 4, lid 1, van de Toetredingsakte van 2005 en artikel 4, lid 1, van de Toetredingsakte van 2011.

Wat IJsland, Noorwegen, Zwitserland en Liechtenstein betreft, zal de voorgestelde verordening een ontwikkeling inhouden van de bepalingen van het Schengenacquis in de zin van hun respectieve associatieovereenkomsten.

•Artikelsgewijze toelichting

Hoofdstuk 1 bevat de algemene bepalingen van deze verordening, te beginnen met regels over het onderwerp en het toepassingsgebied. Het bevat ook een lijst van definities.

Hoofdstuk 2 bevat de bepalingen voor het verzamelen en doorgeven van API-gegevens, namelijk een duidelijke reeks regels voor het verzamelen van API-gegevens door de luchtvaartmaatschappijen, regels over de doorgifte van de API-gegevens aan de router, de verwerking van de API-gegevens door de bevoegde grensautoriteiten en de opslag en wissing van API-gegevens door de luchtvaartmaatschappijen en die autoriteiten.

Hoofdstuk 3 bevat bepalingen voor de doorzending van API-gegevens via de router. Het bevat met name bepalingen waarin de belangrijkste kenmerken van de router worden beschreven, regels over het gebruik van de router, de procedure voor de doorzending van de API-gegevens via de router naar de bevoegde grensautoriteiten, de wissing van API-gegevens van de router, het aanleggen van logbestanden en de procedures bij een technische storing die het gebruik van de router geheel of gedeeltelijk belet. 

Hoofdstuk 4 bevat een reeks specifieke bepalingen inzake de bescherming van persoonsgegevens. Meer in het bijzonder wordt gespecificeerd wie beschouwd moet worden als verwerkingsverantwoordelijke en gegevensverwerker voor de verwerking van API-gegevens die overeenkomstig deze verordening persoonsgegevens zijn. Het hoofdstuk bevat ook maatregelen die eu-LISA moet nemen om de beveiliging van de gegevensverwerking te waarborgen overeenkomstig Verordening (EU) 2018/1725, alsook maatregelen die de luchtvaartmaatschappijen en de bevoegde grensautoriteiten moeten nemen om hun interne naleving van de betrokken bepalingen van deze verordening en de regels inzake audits te monitoren.

Hoofdstuk 5 regelt bepaalde specifieke kwesties in verband met de router. Het bevat voorschriften inzake de verbindingen van de bevoegde grensautoriteiten en de luchtvaartmaatschappijen met de router. Het zet ook de taken van eu-LISA uiteen op het gebied van het ontwerpen, ontwikkelen, hosten en technisch beheren van de router en gaat in op andere ondersteuningstaken in verband met de router. Daarnaast bevat het hoofdstuk bepalingen inzake de kosten die deze verordening met zich brengt voor eu-LISA en de lidstaten, met name wat betreft de verbindingen en de integratie met de router, en bepalingen betreffende de aansprakelijkheid voor schade aan de router, de ingebruikneming van de router en de mogelijkheid voor de luchtvaartmaatschappijen om de router onder bepaalde voorwaarden vrijwillig te gebruiken.

Hoofdstuk 6 bevat bepalingen inzake toezicht, mogelijke sancties voor luchtvaartmaatschappijen die hun verplichtingen uit hoofde van deze verordening niet nakomen, regels over statistische rapportage door eu-LISA en de opstelling van een praktische handleiding door de Commissie.

Hoofdstuk 7 bevat bepalingen in verband met de impact van deze verordening op andere rechtshandelingen van de Unie, meer bepaald betreffende de intrekking van Richtlijn 2004/82/EG en de vereiste wijzigingen van andere bestaande instrumenten, met name Verordening (EU) 2018/1726 29 en Verordening (EU) 2019/817 30 .

Hoofdstuk 8 bevat de slotbepalingen van deze verordening, inzake de vaststelling van gedelegeerde en uitvoeringshandelingen, monitoring en evaluatie van deze verordening en de inwerkingtreding en toepassing ervan.

2022/0424 (COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende de verzameling en de doorgifte van vooraf te verstrekken passagiersgegevens (API) met het oog op het versterken en vergemakkelijken van de controles aan de buitengrenzen, tot wijziging van Verordening (EU) 2019/817 en Verordening (EU) 2018/1726, en tot intrekking van Richtlijn 2004/82/EG van de Raad

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 77, lid 2, punten b) en d), en artikel 79, lid 2, punt c),

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité 31 ,

Handelend volgens de gewone wetgevingsprocedure,

Overwegende hetgeen volgt:

(1)De uitvoering van personencontroles aan de buitengrenzen draagt in aanzienlijke mate bij tot het garanderen van de veiligheid op lange termijn van de Unie en haar lidstaten en burgers en blijft daarom een belangrijke waarborg, met name in de ruimte zonder binnengrenstoezicht (“het Schengengebied”). Efficiënte en doeltreffende controles aan de buitengrenzen, in voorkomend geval uitgevoerd overeenkomstig met name Verordening (EU) 2016/399 van het Europees Parlement en de Raad 32 , helpen illegale immigratie te bestrijden en bedreigingen voor de binnenlandse veiligheid, de openbare orde, de volksgezondheid en de internationale betrekkingen van de lidstaten te voorkomen.

(2)Het gebruik van voorafgaand aan de aankomst van de reizigers doorgegeven reizigersgegevens en vluchtinformatie – de zogenaamde API-gegevens of “advance passenger data” (vooraf te verstrekken passagiersgegevens) – draagt bij tot een snellere uitvoering van de vereiste controles bij het overschrijden van de grens. Voor de toepassing van dit proces in het kader van deze verordening wordt met het overschrijden van de grens meer bepaald bedoeld het overschrijden van grens tussen een derde land of een lidstaat die niet aan deze verordening deelneemt, enerzijds, en een lidstaat die aan deze verordening deelneemt, anderzijds. Het gebruik van deze gegevens versterkt de controles aan die buitengrenzen door dat er dan voldoende tijd vrijkomt om alle reizigers grondig en uitgebreid te controleren zonder dat dit onevenredige negatieve gevolgen heeft voor bonafide reizigers. Daarom moet, met het oog op de doeltreffendheid en efficiëntie van de controles aan de buitengrenzen, een passend rechtskader worden vastgesteld om ervoor te zorgen dat de bevoegde grensautoriteiten van de lidstaten bij dergelijke doorlaatposten aan de buitengrenzen toegang hebben tot API-gegevens voordat de reizigers aankomen.

(3)Het bestaande rechtskader inzake API-gegevens, dat bestaat uit Richtlijn 2004/82/EG van de Raad 33 en de nationale wetgeving tot omzetting van die richtlijn, is belangrijk gebleken voor de verbetering van de grenscontroles, met name doordat het voorziet in een raamwerk waarbinnen lidstaten luchtvaartmaatschappijen kunnen verplichten API-gegevens over naar hun grondgebied vervoerde passagiers door te geven. Er bestaan echter nog steeds verschillen op nationaal niveau. Met name worden er niet systematisch API-gegevens bij de luchtvaartmaatschappijen opgevraagd en krijgen de luchtvaartmaatschappijen te maken met verschillende vereisten met betrekking tot het soort informatie dat moet worden verzameld en de voorwaarden waaronder de API-gegevens aan de bevoegde grensautoriteiten moeten worden doorgegeven. Deze verschillen leiden niet alleen tot onnodige kosten en complicaties voor de luchtvaartmaatschappijen, maar doen ook afbreuk aan de doeltreffendheid en de efficiëntie van de voorafgaande controles van bij de buitengrenzen aankomende personen.

(4)Het bestaande rechtskader moet daarom worden geactualiseerd en vervangen om te zorgen voor duidelijke, geharmoniseerde en doeltreffende regels over het verzamelen en doorgeven van API-gegevens met het oog op het verbeteren en vergemakkelijken van de doeltreffendheid en efficiëntie van de grenscontroles aan de buitengrenzen en met het oog op de bestrijding van illegale immigratie.

(5)Ten behoeve van een zo consistent mogelijke aanpak op internationaal niveau en in het licht van de op dat niveau geldende regels over de verzameling van API-gegevens, moet in het bij deze verordening vastgestelde geactualiseerde rechtskader rekening worden gehouden met de relevante praktijken die internationaal zijn overeengekomen met de luchtvaartsector en die zijn overeengekomen in het kader van richtsnoeren over vooraf te verstrekken passagiersgegevens van de Werelddouaneorganisatie, de Internationale Luchtvaartorganisatie en de Internationale Burgerluchtvaartorganisatie.

(6)Het verzamelen en doorgeven van API-gegevens heeft gevolgen voor de persoonlijke levenssfeer van natuurlijke personen en gaat gepaard met de verwerking van persoonsgegevens. Met het oog op de volledige eerbiediging van de grondrechten, met name het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens, overeenkomstig het Handvest van de grondrechten van de Europese Unie (“Handvest”), moeten passende beperkingen en waarborgen worden vastgesteld. Met name moet de verwerking van API-gegevens, in het bijzonder van API-gegevens die persoonsgegevens zijn, beperkt blijven tot wat noodzakelijk is voor en evenredig is aan de verwezenlijking van de doelstellingen van deze verordening. Daarnaast moet ervoor worden gezorgd dat de uit hoofde van deze verordening verzamelde en doorgegeven API-gegevens geen aanleiding geven tot op grond van het Handvest verboden discriminatie.

(7)Om de doelstellingen van deze verordening te verwezenlijken, moet deze verordening van toepassing zijn op alle luchtvaartmaatschappijen die vluchten naar de Unie, zoals gedefinieerd in deze verordening, uitvoeren, ongeacht of het geregelde of niet-geregelde vluchten betreft en ongeacht de plaats van vestiging van de luchtvaartmaatschappijen die deze vluchten uitvoeren.

(8)Omwille van de doeltreffendheid en de rechtszekerheid moeten de op grond van deze verordening te verzamelen en door te geven gegevenselementen – een datareeks bestaande uit gegevens over de reiziger en informatie over de vlucht van die reiziger die, in haar geheel genomen, de API-gegevens vormt – duidelijk en volledig worden opgesomd in deze verordening. Wat de vlucht betreft, moet deze informatie gegevens omvatten over de grensdoorlaatpost van binnenkomst op het grondgebied van de betrokken lidstaat in alle gevallen die onder deze verordening vallen, maar die informatie mag alleen worden verzameld indien van toepassing in het kader van Verordening (EU) [API-gegevens voor rechtshandhaving], dat wil zeggen niet wanneer de API-gegevens betrekking hebben op vluchten binnen de EU.

(9)Om flexibiliteit en innovatie mogelijk te maken, moet het in beginsel aan elke luchtvaartmaatschappij worden overgelaten te bepalen hoe zij voldoet aan haar verplichtingen met betrekking tot het verzamelen van API-gegevens uit hoofde van deze verordening. Aangezien geschikte technologische oplossingen voorhanden zijn die het mogelijk maken bepaalde API-gegevens automatisch te verzamelen en tegelijkertijd garanderen dat deze gegevens juist, volledig en actueel zijn, en aangezien het gebruik van deze technologie voordelen biedt op het vlak van doeltreffendheid en efficiëntie, moeten luchtvaartmaatschappijen worden verplicht die API-gegevens met behulp van geautomatiseerde procedés te verzamelen door informatie uit de machineleesbare gegevens van het reisdocument te halen.

(10)Met geautomatiseerde procedés kunnen de reizigers tijdens het online inchecken zelf bepaalde API-gegevens verstrekken, bijvoorbeeld via een beveiligde app op hun smartphone, computer of webcam die de machineleesbare gegevens van het reisdocument kan lezen. Reizigers die niet online inchecken, moeten van de luchtvaartmaatschappijen de mogelijkheid krijgen om de betrokken machineleesbare API-gegevens tijdens het inchecken op de luchthaven te verstrekken via een zelfbedieningskiosk of met de hulp van het personeel van de luchtvaartmaatschappij aan de balie.

(11)Wat het gebruik van geautomatiseerde procedés voor het verzamelen van machineleesbare API-gegevens uit hoofde van deze verordening betreft, moet de Commissie de bevoegdheid krijgen om, met het oog op de duidelijkheid, de rechtszekerheid, de gegevenskwaliteit en het verantwoordelijke gebruik van deze procedés, technische voorschriften en procedurele regels voor de luchtvaartmaatschappijen vast te stellen.

(12)Gezien de voordelen van het gebruik van geautomatiseerde procedés voor het verzamelen van machineleesbare API-gegevens en gezien de duidelijkheid die de uit hoofde van deze verordening vast te stellen technische voorschriften bieden, moet worden verduidelijkt dat luchtvaartmaatschappijen die besluiten de op grond van Richtlijn 2004/82/EG door te geven gegevens te verzamelen aan de hand van geautomatiseerde procedés, de mogelijkheid hebben, maar niet verplicht zijn, om die voorschriften toe te passen zodra deze zijn vastgesteld, voor zover die richtlijn dit toestaat. Vrijwillige toepassing van die specificaties in het kader van de toepassing van Richtlijn 2004/82/EG doet op geen enkele wijze afbreuk aan de verplichtingen waaraan de luchtvaartmaatschappijen en de lidstaten uit hoofde van die richtlijn moeten voldoen.

(13)Om ervoor te zorgen dat de vooraf door de bevoegde grensautoriteiten uitgevoerde controles doeltreffend en efficiënt zijn, moeten de API-gegevens die aan die autoriteiten worden doorgegeven, gegevens bevatten van reizigers die daadwerkelijk de buitengrenzen zullen overschrijden, dat wil zeggen reizigers die daadwerkelijk aan boord van het luchtvaartuig zijn. Daarom moeten de luchtvaartmaatschappijen de API-gegevens onmiddellijk na beëindiging van het inchecken doorgeven. Bovendien helpen de API-gegevens de bevoegde grensautoriteiten om een onderscheid te maken tussen bonafide reizigers en reizigers die wellicht extra aandacht en extra verificatie vereisen en voor wie bij aankomst follow-upmaatregelen zouden moeten worden genomen waarvoor voorafgaande voorbereiding en coördinatie vereist is. Deze situatie kan zich bijvoorbeeld voordoen wanneer het aantal reizigers die extra aandacht vereisen, onverwacht groot is en het fysiek controleren van deze reizigers aan de grenzen negatieve gevolgen heeft voor de grenscontroles en de wachttijden van de bonafide reizigers aan de grenzen. Om de bevoegde grensautoriteiten in de gelegenheid te stellen passende en evenredige maatregelen aan de grens voor te bereiden, zoals het tijdelijk versterken of elders inzetten van personeel, met name wanneer zij tussen de beëindiging van het inchecken van een vlucht en de aankomst van de betrokken reizigers aan de buitengrenzen onvoldoende tijd hebben om de meest passende respons voor te bereiden, moet worden bepaald dat de API-gegevens ook moeten worden doorgegeven bij het inchecken, en dus vóór het aan boord gaan, van de reiziger.

(14)Om duidelijkheid te verschaffen over de technische voorschriften die van toepassing zijn op de luchtvaartmaatschappijen en die ervoor moeten zorgen dat de API-gegevens die zij uit hoofde van deze verordening verzamelen, op een beveiligde, doeltreffende en snelle manier aan de router worden doorgegeven, moet de Commissie de bevoegdheid krijgen om specificaties vast te stellen voor de gemeenschappelijke protocollen en de ondersteunde gegevensformaten die voor die doorgiften moeten worden gebruikt. 

(15)Om elk risico op misbruik te voorkomen en de inachtneming van het beginsel van doelbinding te waarborgen, moet het de bevoegde grensautoriteiten uitdrukkelijk verboden worden de API-gegevens die zij uit hoofde van deze verordening ontvangen, voor andere doeleinden te verwerken dan het versterken en vergemakkelijken van de doeltreffendheid en efficiëntie van de grenscontroles aan de buitengrenzen en het bestrijden van illegale immigratie.

(16)Teneinde ervoor te zorgen dat de bevoegde grensautoriteiten voldoende tijd hebben om alle reizigers, ook op langeafstandsvluchten en op aansluitende vluchten, doeltreffend te controleren en om na te gaan of de door de luchtvaartmaatschappijen verzamelde en doorgegeven API-gegevens volledig, juist en actueel zijn, en om zo nodig de luchtvaartmaatschappijen om aanvullende verduidelijkingen, correcties of aanvullingen te verzoeken, moeten de bevoegde grensautoriteiten de API-gegevens die zij uit hoofde van deze verordening hebben ontvangen, opslaan gedurende een vaste periode die niet langer mag zijn dan wat strikt noodzakelijk is voor het bereiken van die specifieke doeleinden. Om op dergelijke verzoeken te kunnen reageren, moeten de luchtvaartmaatschappijen de API-gegevens die zij uit hoofde van deze verordening hebben doorgegeven, gedurende dezelfde vaste en strikt noodzakelijke periode opslaan.

(17)Om te voorkomen dat de luchtvaartmaatschappijen voor de doorgifte van de uit hoofde van deze verordening verzamelde API-gegevens meerdere verbindingen met de bevoegde grensautoriteiten van de lidstaten moeten tot stand brengen en onderhouden en dat als gevolg daarvan inefficiënties en veiligheidsrisico’s ontstaan, moet worden voorzien in één enkele router die op het niveau van de Unie wordt opgezet en geëxploiteerd en die dient als verbindings- en distributiepunt voor die doorgifte. Met het oog op efficiëntie en kosteneffectiviteit moeten voor de router technische componenten van andere relevante systemen die in het kader van het Unierecht zijn opgezet, worden gebruikt, voor zover dat technisch mogelijk is en mits de regels van deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving] daarbij volledig in acht worden genomen.

(18)De router moet de API-gegevens op geautomatiseerde wijze doorgeven aan de betrokken bevoegde grensautoriteiten; welke autoriteiten dat zijn, wordt bepaald op basis van de in de betrokken API-gegevens vermelde grensdoorlaatpost van binnenkomst op het grondgebied van de lidstaat. Om de distributie te vergemakkelijken, moet elke lidstaat aangeven welke grensautoriteiten bevoegd zijn om de via de router doorgeven API-gegevens te ontvangen. Met het oog op de goede werking van deze verordening en in het belang van de transparantie moet die informatie openbaar worden gemaakt.

(19)De router dient alleen om het voor de luchtvaartmaatschappijen gemakkelijker te maken API-gegevens overeenkomstig deze verordening aan de bevoegde grensautoriteiten en overeenkomstig Verordening (EU) [API-gegevens voor rechtshandhaving] aan de PIE’s door te zenden, en dient niet voor de opslag van API-gegevens. Om daarmee rekening te houden, alsook om het risico op ongeoorloofde toegang of ander misbruik tot een minimum te beperken en om het beginsel van minimale gegevensverwerking in acht te nemen, moet de opslag van API-gegevens op de router beperkt blijven tot wat strikt noodzakelijk is voor technische doeleinden in verband met de doorzending, en moeten de API-gegevens onmiddellijk, definitief en op een geautomatiseerde manier van de router worden gewist zodra de doorzending heeft plaatsgevonden of, in voorkomend geval op grond van Verordening (EU) [API-gegevens voor rechtshandhaving], wanneer de API-gegevens helemaal niet mogen worden doorgezonden.

(20)Om ervoor te zorgen dat de doorzending van API-gegevens via de router goed werkt, moet de Commissie de bevoegdheid krijgen om gedetailleerde technische en procedurele voorschriften over die doorzending vast te stellen. Deze regels moeten van dien aard zijn dat de doorzending op een beveiligde, doeltreffende en snelle manier verloopt en de impact ervan op de reis van de passagiers en op de luchtvaartmaatschappijen niet groter is dan noodzakelijk.

(21)Om ervoor te zorgen dat de luchtvaartmaatschappijen zo snel mogelijk kunnen profiteren van de voordelen van het gebruik van de door eu-LISA overeenkomstig deze verordening ontwikkelde router en ervaring kunnen opdoen met het gebruik van de router, moeten zij de mogelijkheid krijgen, maar niet verplicht worden, om tijdens een overgangsperiode de router te gebruiken voor het doorzenden van de krachtens Richtlijn 2004/82/EG vereiste gegevens. Die overgangsperiode moet beginnen wanneer de router in gebruik wordt genomen, en moet aflopen wanneer de verplichtingen uit hoofde van die richtlijn vervallen. Om ervoor te zorgen dat dit vrijwillige gebruik van de router op een verantwoordelijke manier plaatsvindt, is de voorafgaande schriftelijke toestemming van de bevoegde autoriteit die de informatie moet ontvangen, vereist; zij moet daartoe door de luchtvaartmaatschappij worden verzocht en moet eerst de nodige verificaties verrichten en waarborgen krijgen. Om te voorkomen dat luchtvaartmaatschappijen herhaaldelijk beginnen en weer stoppen met het gebruik van de router, moeten luchtvaartmaatschappijen die de router vrijwillig in gebruik hebben genomen, worden verplicht deze te blijven gebruiken, tenzij er objectieve redenen zijn om het gebruik van de router voor het verstrekken van de informatie aan de betrokken bevoegde autoriteit stop te zetten, bijvoorbeeld omdat is gebleken dat de informatie niet op een rechtmatige, beveiligde, doeltreffende en snelle manier wordt verstrekt. Om ervoor te zorgen dat deze mogelijkheid om de router op vrijwillige basis te gebruiken, correct wordt toegepast, met inachtneming van de rechten en belangen van alle betrokken partijen, moeten de nodige regels inzake raadpleging en informatieverstrekking worden vastgesteld. Vrijwillig gebruik van de router in het kader van Richtlijn 2004/82/EG overeenkomstig deze verordening doet op geen enkele wijze afbreuk aan de verplichtingen waaraan de luchtvaartmaatschappijen en de lidstaten uit hoofde van die richtlijn moeten voldoen.

(22)De technische verbindingen voor de doorgifte van de API-gegevens moeten door de router die op grond van deze verordening wordt opgezet en geëxploiteerd, worden verminderd in aantal, vereenvoudigd en beperkt tot één verbinding per luchtvaartmaatschappij en per bevoegde grensautoriteit. Daarom verplicht deze verordening de bevoegde grensautoriteiten en de luchtvaartmaatschappijen om elk zo een verbinding op te zetten die met de router kan worden geïntegreerd, zodat het bij deze verordening ingestelde systeem voor de doorgifte van API-gegevens naar behoren kan functioneren. Deze verplichtingen moeten, met het oog op het effect dat zij sorteren en met het oog op de goede werking van het bij deze verordening ingestelde systeem, worden aangevuld met gedetailleerde regels.

(23)Gezien de belangen van de Unie die op het spel staan, moeten de kosten voor de router die eu-LISA maakt met het oog op de uitvoering van zijn taken uit hoofde van deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving], ten laste komen van de begroting van de Unie. Met inachtneming van bepaalde uitzonderingen moet hetzelfde gelden voor passende kosten die de lidstaten maken voor de verbindingen en de integratie met de router op grond van deze verordening en overeenkomstig de toepasselijke wetgeving. De kosten die onder deze uitzonderingen vallen, moet de betrokken lidstaat zelf dragen.

(24)Het kan niet worden uitgesloten dat in uitzonderlijke omstandigheden en ondanks alle redelijke maatregelen die overeenkomstig deze verordening zijn getroffen, de router of een systeem of de infrastructuur waarmee de bevoegde grensautoriteiten en de luchtvaartmaatschappijen onderling verbonden zijn, niet naar behoren functioneert, waardoor het technisch onmogelijk is de router te gebruiken om API-gegevens door te zenden. Als de router niet beschikbaar is en het normaal gezien voor de luchtvaartmaatschappijen redelijkerwijs niet mogelijk is de API-gegevens die hinder ondervinden van de storing, op een rechtmatige, veilige, doeltreffende en snelle wijze via alternatieve procedés door te geven, moet de verplichting voor de luchtvaartmaatschappijen om die API-gegevens aan de router door te geven, vervallen zolang die doorgifte technisch onmogelijk is. Om de duur en de negatieve gevolgen van dergelijke technische storingen tot een minimum te beperken, moeten de betrokken partijen elkaar onmiddellijk ervan op de hoogte brengen en onmiddellijk alle nodige maatregelen nemen om deze te verhelpen. Aangezien API-gegevens over reeds aangekomen vluchten niet nuttig zijn voor de grenscontroles, is er in een dergelijk geval geen reden om de luchtvaartmaatschappijen te verplichten de API-gegevens te verzamelen en op te slaan. Deze regeling mag geen afbreuk doen aan de uit deze verordening voortvloeiende verplichtingen op grond waarvan alle betrokken partijen ervoor moeten zorgen dat de router en hun respectieve systemen en infrastructuur naar behoren functioneren, noch aan het feit dat aan luchtvaartmaatschappijen sancties worden opgelegd wanneer zij deze verplichtingen niet nakomen, ook wanneer zij ten onrechte gebruik willen maken van deze regeling. Om dergelijk misbruik tegen te gaan en het toezicht en, waar nodig, het opleggen van sancties te vergemakkelijken, moeten luchtvaartmaatschappijen die vanwege een storing in hun eigen systeem en infrastructuur gebruik maken van deze regeling, hierover verslag uitbrengen aan de bevoegde toezichthoudende autoriteit.

(25)Met het oog op de naleving van het grondrecht op bescherming van persoonsgegevens moet in deze verordening worden bepaald wie de verwerkingsverantwoordelijke en de verwerker zijn en welke regels gelden op het gebied van audits. Met het oog op doeltreffende monitoring, adequate bescherming van persoonsgegevens en optimale beperking van de beveiligingsrisico’s moeten ook regels worden vastgesteld over het aanleggen van logbestanden, de beveiliging van de verwerking en interne controle. Wanneer die bepalingen betrekking hebben op de verwerking van persoonsgegevens, moeten ze worden opgevat als een aanvulling op de algemeen toepasselijke handelingen van het Unierecht inzake de bescherming van persoonsgegevens, met name Verordening (EU) 2016/679 van het Europees Parlement en de Raad 34 en Verordening (EU) 2018/1725 van het Europees Parlement en de Raad 35 . De onderhavige verordening mag geen afbreuk doen aan die handelingen, die ook van toepassing zijn op de verwerking van persoonsgegevens in het kader van deze verordening overeenkomstig de bepalingen ervan.

(26)De verwerkingsactiviteiten in het kader van deze verordening, namelijk de doorzending van de door de luchtvaartmaatschappijen doorgeven API-gegevens via de router naar de bevoegde grensautoriteiten van de lidstaten, hebben tot doel die autoriteiten te helpen om hun verplichtingen op het gebied van grensbeheer na te komen en hun taken op het gebied van de bestrijding van illegale immigratie te vervullen. Daarom moeten de bevoegde grensautoriteiten die de API-gegevens ontvangen, verwerkingsverantwoordelijken zijn voor de doorzending, via de router, van API-gegevens die persoonsgegevens zijn, voor de opslag van die gegevens op de router, voor zover die opslag noodzakelijk is voor technische doeleinden, en voor elke verwerking van die gegevens waarbij die gegevens vervolgens worden gebruikt om de grenscontroles aan de buitengrenzen te versterken en te vergemakkelijken. De luchtvaartmaatschappijen moeten op hun beurt afzonderlijke verwerkingsverantwoordelijken zijn voor de van hen op grond van deze verordening vereiste verwerking van API-gegevens die persoonsgegevens zijn. De luchtvaartmaatschappijen en de bevoegde grensautoriteiten moeten dus afzonderlijke verwerkingsverantwoordelijken zijn voor hun eigen verwerking van API-gegevens in het kader van deze verordening.

(27)Om ervoor te zorgen dat de luchtvaartmaatschappijen de regels van deze verordening daadwerkelijk toepassen, moet worden voorzien in de aanwijzing en machtiging van nationale autoriteiten die belast zijn met het toezicht op die regels. De in deze verordening vastgestelde regels over dit toezicht, ook wat het opleggen van sancties waar nodig betreft, mogen geen afbreuk doen aan de taken en bevoegdheden van de overeenkomstig Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten, onder meer op het gebied van de verwerking van persoonsgegevens in het kader van deze verordening.

(28)Ten aanzien van luchtvaartmaatschappijen die hun verplichtingen inzake de verzameling en de doorgifte van API-gegevens op grond van deze verordening niet nakomen, dienen de lidstaten te voorzien in doeltreffende, evenredige en afschrikkende sancties, met inbegrip van geldboetes.

(29)Aangezien bij deze verordening nieuwe regels worden vastgesteld betreffende de verzameling en de doorgifte van API-gegevens door de bevoegde grensautoriteiten met het oog op het versterken en vergemakkelijken van de doeltreffendheid en efficiëntie van de grenscontroles aan de buitengrenzen, moet Richtlijn 2004/82/EG worden ingetrokken.

(30)Aangezien de router moet worden ontworpen, ontwikkeld, gehost en technisch beheerd door eu-LISA, het agentschap dat is opgericht bij Verordening (EU) 2018/1726 van het Europees Parlement en de Raad 36 , moet die verordening worden gewijzigd door die taak aan de taken van eu-LISA toe te voegen. Met het oog op de opslag van verslagen en statistieken met betrekking tot de router in het centrale register voor rapportage en statistieken moet Verordening (EU) 2019/817 van het Europees Parlement en de Raad 37 worden gewijzigd.

(31)Met het oog op de vaststelling van maatregelen inzake de technische voorschriften en operationele regels voor de geautomatiseerde procedés voor het verzamelen van machineleesbare API-gegevens, inzake de gemeenschappelijke protocollen en formaten voor de doorgifte van API-gegevens door de luchtvaartmaatschappijen, inzake de technische en procedurele regels voor de doorzending van de API-gegevens via de router naar de bevoegde grensautoriteiten en naar de PIE’s en inzake de verbindingen en de integratie van de PIE’s en de luchtvaartmaatschappijen met de router, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen met betrekking tot respectievelijk de artikelen 5, 6, 11, 20 en 21. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen plaatsvinden in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven 38 . Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

(32)Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening, met name wat de ingebruikneming van de router betreft, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad 39 .

(33)Alle belanghebbende partijen, en met name de luchtvaartmaatschappijen en de bevoegde grensautoriteiten, moeten voldoende tijd krijgen om de nodige voorbereidingen te treffen om aan hun respectieve verplichtingen uit hoofde van deze verordening te kunnen voldoen, temeer daar sommige van die voorbereidingen, zoals die betreffende de verplichtingen inzake de verbinding en integratie met de router, pas kunnen worden voltooid als de router ontworpen en ontwikkeld is en in gebruik is genomen. Daarom mag de toepassing van deze verordening pas ingaan op een passende datum na de door de Commissie overeenkomstig deze verordening gespecificeerde datum van ingebruikneming van de router.

(34)De ontwerp- en de ontwikkelingsfase van de router moeten zo snel mogelijk worden aangevat en voltooid, zodat de router zo snel mogelijk in gebruik kan worden genomen; hiertoe moeten de nodige, in deze verordening bedoelde uitvoerings- en gedelegeerde handelingen worden vastgesteld. De in deze verordening bedoelde verduidelijking over de toepassing van specificaties betreffende het gebruik van geautomatiseerde procedés overeenkomstig Richtlijn 2004/82/EG moet eveneens onverwijld worden verstrekt. Daarom moeten de desbetreffende artikelen van toepassing zijn met ingang van de datum van inwerkingtreding van deze verordening. Om ervoor te zorgen dat de router zo snel mogelijk op vrijwillige basis kan worden gebruikt, moeten het artikel over dat gebruik en bepaalde andere artikelen inzake verantwoordelijk vrijwillig gebruik zo snel mogelijk van toepassing worden, dat wil zeggen zodra de router in gebruik wordt genomen.

(35)Deze verordening mag de lidstaten niet beperken in hun mogelijkheid om krachtens hun nationale recht te voorzien in een systeem voor het verzamelen van API-gegevens van andere dan de in deze verordening genoemde vervoerders, mits dat nationale recht in overeenstemming is met het Unierecht.

(36)Aangezien de doelstellingen van deze verordening, met name het versterken en vergemakkelijken van de doeltreffendheid en efficiëntie van de grenscontroles aan de buitengrenzen en het bestrijden van illegale immigratie, betrekking hebben op aangelegenheden die inherent grensoverschrijdend zijn, kunnen zij niet voldoende door de lidstaten afzonderlijk, maar beter door de Unie worden verwezenlijkt. Daarom kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel, gaat deze verordening niet verder dan nodig is om deze doelstelling te verwezenlijken.

(37)Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 betreffende de positie van Denemarken, dat aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie is gehecht, neemt Denemarken niet deel aan de vaststelling van deze verordening, die derhalve niet bindend is voor, noch van toepassing is op deze lidstaat. Aangezien deze verordening voortbouwt op het Schengenacquis, beslist Denemarken overeenkomstig artikel 4 van het bovengenoemde protocol binnen een termijn van zes maanden nadat de Raad heeft beslist over deze verordening of het deze in zijn interne recht zal omzetten.

(38)Ierland neemt aan deze verordening deel overeenkomstig artikel 5, lid 1, van Protocol nr. 19 betreffende het Schengenacquis dat is opgenomen in het kader van de Europese Unie, gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, en overeenkomstig artikel 6, lid 2, van Besluit 2002/192/EG van de Raad 40 .

(39) De deelname van Ierland aan deze verordening overeenkomstig artikel 6, lid 2, van Besluit 2002/192/EG heeft betrekking op de verantwoordelijkheid van de Unie voor het nemen van maatregelen ter ontwikkeling van de bepalingen van het Schengenacquis ter bestrijding van illegale immigratie, waaraan Ierland deelneemt.

(40)Wat IJsland en Noorwegen betreft, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie en de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis 41 die vallen onder het gebied bedoeld in artikel 1, punt A, van Besluit 1999/437/EG van de Raad 42 .

(41)Wat Zwitserland betreft, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis 43 die vallen onder het gebied bedoeld in artikel 1, punt A, van Besluit 1999/437/EG van de Raad, in samenhang met artikel 3 van Besluit 2008/146/EG van de Raad 44 .

(42)Wat Liechtenstein betreft, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis 45 die vallen onder het gebied bedoeld in artikel 1, punt A, van Besluit 1999/437/EG van de Raad, in samenhang met artikel 3 van Besluit 2011/350/EU van de Raad 46 .

(43)Wat Cyprus, Bulgarije, Roemenië en Kroatië betreft, vormt deze verordening een handeling die op het Schengenacquis voortbouwt of anderszins daaraan is gerelateerd in de zin van respectievelijk artikel 3, lid 1, van de Toetredingsakte van 2003, artikel 4, lid 1, van de Toetredingsakte van 2005 en artikel 4, lid 1, van de Toetredingsakte van 2011.

(44)De Europese Toezichthouder voor gegevensbescherming is overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 geraadpleegd en heeft op [XX] een advies uitgebracht 47 ,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK 1

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp

Om de doeltreffendheid en de efficiëntie van de grenscontroles aan de buitengrenzen te versterken en te vergemakkelijken en om illegale immigratie te bestrijden, worden in deze verordening de regels vastgesteld inzake:

a)de verzameling, door de luchtvaartmaatschappijen, van vooraf te verstrekken passagiersgegevens (“API-gegevens”) over vluchten naar de Unie;

b)de doorgifte, door de luchtvaartmaatschappijen, van de API-gegevens aan de router;

c)de doorzending van de API-gegevens via de router naar de bevoegde grensautoriteiten.

Artikel 2

Toepassingsgebied

Deze verordening is van toepassing op luchtvaartmaatschappijen die geregelde of niet-geregelde vluchten naar de Unie uitvoeren.

Artikel 3

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

a)“luchtvaartmaatschappij”: een luchtvervoersonderneming zoals gedefinieerd in artikel 3, punt 1, van Richtlijn (EU) 2016/681;

b)“grenscontroles”: de controles zoals gedefinieerd in artikel 2, punt 11, van Verordening (EU) 2016/399;

c)“vluchten naar de Unie”: vluchten die vanaf het grondgebied van een derde land of van een lidstaat die niet aan deze verordening deelneemt, zullen vertrekken en volgens plan zullen aankomen op het grondgebied van een lidstaat die aan deze verordening deelneemt;

d)“grensdoorlaatpost”: een doorlaatpost zoals gedefinieerd in artikel 2, punt 8, van Verordening (EU) 2016/399;

e)“geregelde vlucht”: een vlucht die volgens een vaste dienstregeling wordt uitgevoerd en waarvoor het grote publiek tickets kan kopen;

f)“niet-geregelde vlucht”: een vlucht die niet volgens een vaste dienstregeling wordt uitgevoerd en die niet noodzakelijk deel uitmaakt van een regelmatige of geregelde route;

g)“bevoegde grensautoriteit”: de autoriteit die door een lidstaat is belast met het uitvoeren van grenscontroles en die door die lidstaat is aangewezen en aangemeld overeenkomstig artikel 11, lid 2;

h)“passagier”: een persoon, met uitsluiting van de bemanningsleden, die met toestemming van de luchtvaartmaatschappij in een luchtvaartuig wordt vervoerd of zal worden vervoerd, waarbij die toestemming blijkt uit de vermelding van die persoon op de passagierslijst;

i)“bemanning”: alle personen, met uitsluiting van de passagiers, die zich tijdens de vlucht aan boord van een luchtvaartuig bevinden en die in het luchtvaartuig werkzaamheden uitvoeren of het luchtvaartuig besturen, met inbegrip van cockpit- en cabinepersoneel;

j)“reiziger”: een passagier of een bemanningslid;

k)“vooraf te verstrekken passagiersgegevens” of “API-gegevens”: de in artikel 4, lid 2, bedoelde reizigersgegevens en de in artikel 4, lid 3, bedoelde vluchtinformatie;

l)“passagiersinformatie-eenheid” of “PIE”: de in artikel 3, punt i), van Verordening (EU) [API-gegevens voor rechtshandhaving] bedoelde bevoegde autoriteit;

m)“de router”: de in artikel 9 bedoelde router;

n)“persoonsgegevens”: gegevens zoals gedefinieerd in artikel 4, punt 1, van Verordening (EU) 2016/679.

HOOFDSTUK 2

VERZAMELING EN DOORGIFTE VAN API-GEGEVENS

Artikel 4

Door de luchtvaartmaatschappijen te verzamelen API-gegevens

1.De luchtvaartmaatschappijen verzamelen met betrekking tot de in artikel 2 bedoelde vluchten API-gegevens van reizigers, bestaande uit de in de leden 2 en 3 van dit artikel gespecificeerde reizigersgegevens en vluchtinformatie, teneinde deze API-gegevens overeenkomstig artikel 6 door te geven aan de router.

2.De API-gegevens omvatten de volgende reizigersgegevens over elke reiziger op de vlucht:

a)achternaam (familienaam), voornaam of voornamen;

b)geboortedatum, geslacht en nationaliteit;

c)het type en het nummer van het reisdocument en de drielettercode van het land dat het reisdocument heeft afgegeven;

d)de datum waarop de geldigheidstermijn van het reisdocument verstrijkt;

e)de status van de reiziger (passagier of bemanningslid);

f)het identificatienummer van de PNR (“Passenger Name Record”) dat door de luchtvaartmaatschappij wordt gebruikt om de passagier in haar informatiesysteem te lokaliseren (PNR-bestandslocatie);

g)informatie over de zitplaats, zoals het nummer van de stoel in het luchtvaartuig die aan de passagier is toegewezen, indien de luchtvaartmaatschappij deze informatie verzamelt;

h)informatie over de bagage, zoals het aantal ingecheckte koffers, indien de luchtvaartmaatschappij deze informatie verzamelt.

3.De API-gegevens omvatten ook de volgende vluchtinformatie over de vlucht van elke reiziger:

a)het vluchtidentificatienummer of, indien een dergelijk nummer niet bestaat, een andere duidelijke en geschikte indicator om de vlucht te identificeren;

b)in voorkomend geval, de grensdoorlaatpost van binnenkomst op het grondgebied van de lidstaat;

c)de code van de luchthaven van binnenkomst op het grondgebied van de lidstaat;

d)het eerste instappunt;

e)lokale datum en geschat lokaal tijdstip van vertrek;

f)lokale datum en geschat lokaal tijdstip van aankomst. 

Artikel 5

Procedés voor de verzameling van API-gegevens

1.De luchtvaartmaatschappijen verzamelen de API-gegevens overeenkomstig artikel 4 op zodanige wijze dat de API-gegevens die zij overeenkomstig lid 6 doorgeven, juist, volledig en actueel zijn.

2.De luchtvaartmaatschappijen verzamelen de in artikel 4, lid 2, punten a) tot en met d), bedoelde API-gegevens met behulp van geautomatiseerde procedés voor de verzameling van de machineleesbare gegevens van het reisdocument van de betrokken reiziger. Zij doen dit overeenkomstig de in lid 4 bedoelde gedetailleerde technische voorschriften en operationele regels, indien dergelijke regels zijn vastgesteld en van toepassing zijn.

Als het reisdocument geen machineleesbare gegevens bevat en er daarom geen gebruik kan worden gemaakt van een dergelijk geautomatiseerd procedé, verzamelen de luchtvaartmaatschappijen die gegevens handmatig en op zulke wijze dat lid 1 in acht wordt genomen.

3.De geautomatiseerde procedés die de luchtvaartmaatschappijen voor de verzameling van API-gegevens op grond van deze verordening gebruiken, moeten betrouwbaar, beveiligd en actueel zijn.

4.De Commissie is bevoegd overeenkomstig artikel 37 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met gedetailleerde technische voorschriften en operationele regels voor het verzamelen van de in artikel 4, lid 2, punten a) tot en met d), bedoelde API-gegevens met behulp van geautomatiseerde procedés overeenkomstig de leden 2 en 3 van het onderhavige artikel.

5.Luchtvaartmaatschappijen die geautomatiseerde procedés gebruiken om de in artikel 3, lid 1, van Richtlijn 2004/82/EG bedoelde informatie te verzamelen, hebben het recht om dat te doen aan de hand van de in lid 4 bedoelde technische voorschriften betreffende dat gebruik, overeenkomstig die richtlijn.

Artikel 6

Verplichtingen van de luchtvaartmaatschappijen betreffende de doorgifte van API-gegevens

1.De luchtvaartmaatschappijen geven de API-gegevens elektronisch door aan de router. Zij doen dit overeenkomstig de in lid 3 bedoelde gedetailleerde regels, indien dergelijke regels zijn vastgesteld en van toepassing zijn.

2.De luchtvaartmaatschappijen geven de API-gegevens door zowel bij het inchecken als onmiddellijk na beëindiging van het inchecken, dat wil zeggen wanneer de passagiers aan boord zijn gegaan van het vliegtuig dat klaar staat voor vertrek en er geen passagiers meer aan of van boord kunnen gaan.

3.De Commissie is bevoegd overeenkomstig artikel 37 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde regels inzake de gemeenschappelijke protocollen en ondersteunde dataformaten voor de doorgifte van API-gegevens aan de router als bedoeld in lid 1.

4.Wanneer een luchtvaartmaatschappij, na de gegevens aan de router te hebben doorgegeven, merkt dat de API-gegevens onjuist, onvolledig of niet meer actueel zijn of onrechtmatig zijn verwerkt, of dat de gegevens geen API-gegevens zijn, stelt zij het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) daarvan onmiddellijk in kennis. Bij ontvangst van deze informatie stelt eu-LISA de bevoegde grensautoriteit die de via de router doorgezonden API-gegevens heeft ontvangen, onmiddellijk van die informatie in kennis.

Artikel 7

Verwerking van de ontvangen API-gegevens

De bevoegde grensautoriteiten verwerken de API-gegevens die overeenkomstig deze verordening aan hen zijn doorgegeven, uitsluitend voor de in artikel 1 genoemde doeleinden.

Artikel 8

Opslag en wissing van API-gegevens

1.De luchtvaartmaatschappijen slaan de passagiersgerelateerde API-gegevens die zij krachtens artikel 4 hebben verzameld, op gedurende een periode van 48 uur vanaf het tijdstip van vertrek van de vlucht. Zij wissen die API-gegevens onmiddellijk en definitief zodra deze termijn verstrijkt.

2.De bevoegde grensautoriteiten slaan de passagiersgerelateerde API-gegevens die zij krachtens artikel 11 via de router hebben ontvangen, op gedurende een periode van 48 uur vanaf het tijdstip van vertrek van de vlucht. Zij wissen die API-gegevens onmiddellijk en definitief zodra deze termijn verstrijkt.

3.Wanneer een luchtvaartmaatschappij of bevoegde grensautoriteit merkt dat de gegevens die zij uit hoofde van deze verordening heeft verzameld, doorgegeven of ontvangen, onjuist, onvolledig of niet meer actueel zijn of onrechtmatig zijn verwerkt, of dat de gegevens geen API-gegevens zijn, zorgt zij ervoor dat die API-gegevens onmiddellijk worden gecorrigeerd, aangevuld of bijgewerkt of definitief worden gewist. Dit doet geen afbreuk aan de mogelijkheid die luchtvaartmaatschappijen hebben om de gegevens te bewaren en te gebruiken wanneer dat voor de normale bedrijfsvoering overeenkomstig de toepasselijke wetgeving nodig is.

HOOFDSTUK 3

BEPALINGEN BETREFFENDE DE ROUTER

Artikel 9

De router

1.Teneinde het voor de luchtvaartmaatschappijen gemakkelijker te maken API-gegevens aan de bevoegde grensautoriteiten en aan de PIE’s door te geven overeenkomstig deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving], wordt door eu-LISA overeenkomstig de artikelen 22 en 23 een router ontworpen, ontwikkeld, gehost en technisch beheerd.

2.De router bestaat uit:

a)een centrale infrastructuur, met inbegrip van een reeks technische componenten voor de doorzending van de API-gegevens;

b)een beveiligd communicatiekanaal tussen de centrale infrastructuur en de bevoegde grensautoriteiten en de PIE’s, en een beveiligd communicatiekanaal tussen de centrale infrastructuur en de luchtvaartmaatschappijen, bestemd voor de doorgifte van de API-gegevens en voor alle daarmee verband houdende communicatie.

3.Onverminderd artikel 10 van deze verordening worden voor de router, voor zover dat technisch mogelijk is, de technische componenten, met inbegrip van hardware- en softwarecomponenten, gebruikt en hergebruikt van de in artikel 13 van Verordening (EU) 2017/2226 van het Europees Parlement en de Raad 48 bedoelde webdienst, het in artikel 6, lid 2, punt k), van Verordening (EU) 2018/1240 bedoelde toegangsportaal voor vervoerders en het in artikel 2 bis, punt h), van Verordening (EG) nr. 767/2008 van het Europees Parlement en de Raad 49 bedoelde toegangsportaal voor vervoerders.

Artikel 10

Exclusief gebruik van de router

De router wordt alleen gebruikt door luchtvaartmaatschappijen, voor het doorgeven van de API-gegevens, en door bevoegde grensautoriteiten en PIE’s, voor het ontvangen van de API-gegevens, overeenkomstig respectievelijk deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving]. 

Artikel 11

Doorzending van API-gegevens via de router naar de bevoegde grensautoriteiten

1.De router zendt de API-gegevens die krachtens artikel 6 aan de router zijn doorgegeven, onmiddellijk en op geautomatiseerde wijze door naar de bevoegde grensautoriteiten van de lidstaat als bedoeld in artikel 4, lid 3, punt c). De router doet dit overeenkomstig de in lid 4 van dit artikel bedoelde gedetailleerde regels, indien dergelijke regels zijn vastgesteld en van toepassing zijn.

Met het oog op deze doorzending wordt door eu-LISA een concordantietabel van de verschillende luchthavens van herkomst en bestemming en de landen waartoe deze luchthavens behoren, opgesteld en bijgehouden.

2.De lidstaten wijzen de bevoegde grensautoriteiten aan die gemachtigd zijn om de API-gegevens te ontvangen die overeenkomstig deze verordening via de router naar hen worden doorgezonden. Zij stellen eu-LISA en de Commissie uiterlijk op de in artikel 39, tweede alinea, bedoelde datum van toepassing van deze verordening in kennis van de naam en de contactgegevens van deze bevoegde grensautoriteiten en werken de meegedeelde informatie zo nodig bij.

De Commissie stelt op basis van die kennisgevingen en bijwerkingen een lijst van de aangemelde bevoegde grensautoriteiten, met inbegrip van hun contactgegevens, op en maakt deze lijst openbaar.

3.De lidstaten zorgen ervoor dat alleen de naar behoren gemachtigde personeelsleden van de bevoegde grensautoriteiten toegang hebben tot de API-gegevens die via de router naar hen worden doorgezonden. Zij stellen de daartoe vereiste regels vast. Die regels omvatten regels over het opstellen en regelmatig bijwerken van een lijst van deze personeelsleden en hun profielen.

4.De Commissie is bevoegd overeenkomstig artikel 37 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde technische en procedurele regels inzake de doorzending van API-gegevens via de router als bedoeld in lid 1.

Artikel 12

Wissing van API-gegevens van de router

De API-gegevens die op grond van deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving] aan de router worden doorgegeven, worden alleen op de router opgeslagen voor zover dat nodig is om de doorzending naar de betrokken bevoegde grensautoriteiten of PIE’s, naargelang het geval, overeenkomstig die verordeningen te voltooien, en worden in de twee volgende situaties onmiddellijk, definitief en op geautomatiseerde wijze van de router gewist:

a)als de doorzending van de API-gegevens naar de betrokken bevoegde grensautoriteiten of PIE’s, naargelang het geval, is voltooid;

b)met betrekking tot Verordening (EU) [API-gegevens voor rechtshandhaving], als de API-gegevens betrekking hebben op andere vluchten binnen de EU dan die welke zijn opgenomen in de in artikel 5, lid 2, van die verordening bedoelde lijsten.

Artikel 13

Bijhouden van logbestanden

1.eu-LISA houdt logbestanden bij van alle verwerkingsactiviteiten die verband houden met de doorgifte van API-gegevens via de router uit hoofde van deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving]. In deze logbestanden wordt het volgende vermeld:

a)de luchtvaartmaatschappij die de API-gegevens aan de router heeft doorgegeven;

b)de bevoegde grensautoriteiten en PIE’s waarnaar de API-gegevens via de router zijn doorgezonden;

c)de datum, het tijdstip en de plaats van de in de punten a) en b) bedoelde doorgifte;

d)voor het onderhoud van de router vereiste toegang van eu-LISA-personeel, als bedoeld in artikel 23, lid 3;

e)alle andere gegevens met betrekking tot de verwerkingsactiviteiten die nodig zijn om de beveiliging en de integriteit van de API-gegevens en de rechtmatigheid van die verwerkingsactiviteiten te monitoren.

Deze logbestanden bevatten geen andere persoonsgegevens dan de in de eerste alinea, punt d), bedoelde informatie ter identificatie van het betrokken personeelslid van eu-LISA.

2.De luchtvaartmaatschappijen leggen logbestanden aan van alle verwerkingsactiviteiten die in het kader van deze verordening met behulp van de in artikel 5, lid 2, bedoelde geautomatiseerde procedés worden uitgevoerd. Deze logbestanden bevatten de datum, het tijdstip en de plaats van doorgifte van de API-gegevens.

3.De in de leden 1 en 2 bedoelde logbestanden worden uitsluitend gebruikt om de beveiliging en de integriteit van de API-gegevens en de rechtmatigheid van de verwerking te waarborgen, met name wat betreft de naleving van de voorschriften van deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving], met inbegrip van sanctieprocedures voor inbreuken op die voorschriften overeenkomstig de artikelen 29 en 30 van deze verordening.

4.eu-LISA en de luchtvaartmaatschappijen nemen passende maatregelen om de logbestanden die zij op grond van de leden 1 en 2 hebben aangelegd, te beschermen tegen ongeoorloofde toegang en andere beveiligingsrisico’s.

5.eu-LISA en de luchtvaartmaatschappijen bewaren de logbestanden die zij op grond van de leden 1 en 2 hebben aangelegd, gedurende één jaar vanaf het moment waarop de bestanden zijn aangelegd. Zij wissen de logbestanden onmiddellijk en definitief zodra deze termijn verstrijkt.

Indien de logbestanden echter nodig zijn voor procedures met het oog op het monitoren of waarborgen van de beveiliging en de integriteit van de API-gegevens of de rechtmatigheid van de verwerkingsactiviteiten overeenkomstig lid 2, en die procedures reeds zijn gestart voor het verstrijken van de in de eerste alinea genoemde termijn, mogen eu-LISA en de luchtvaartmaatschappijen de logbestanden zo lang bewaren als nodig is voor die procedures. In dat geval wissen zij de logbestanden zodra deze niet langer nodig zijn voor die procedures.

Artikel 14

Maatregelen ingeval het gebruik van de router technisch onmogelijk is

1.Wanneer het vanwege een storing van de router technisch onmogelijk is de router te gebruiken om API-gegevens door te zenden, stelt eu-LISA de luchtvaartmaatschappijen en de bevoegde grensautoriteiten daarvan onmiddellijk op geautomatiseerde wijze in kennis. In dat geval neemt eu-LISA onmiddellijk maatregelen om de technische storing die het gebruik van de router belet, te verhelpen en stelt het, wanneer de storing verholpen is, de betrokken partijen daarvan onmiddellijk in kennis.

Artikel 6, lid 1, is gedurende de tijd tussen deze kennisgevingen niet van toepassing, voor zover de technische storing de doorgifte van API-gegevens aan de router belet. Voor zover dat het geval is, zijn gedurende die tijd artikel 4, lid 1, en artikel 8, lid 1, evenmin van toepassing op de betrokken API-gegevens.

2.Wanneer het vanwege een storing van de in artikel 20 bedoelde systemen of infrastructuur van een lidstaat technisch onmogelijk is de router te gebruiken om API-gegevens door te zenden, stellen de bevoegde grensautoriteiten van die lidstaat de luchtvaartmaatschappijen, de bevoegde autoriteiten van de andere lidstaten, eu-LISA en de Commissie daarvan onmiddellijk op geautomatiseerde wijze in kennis. In dat geval neemt die lidstaat onmiddellijk maatregelen om de technische storing die het gebruik van de router belet, te verhelpen en stelt hij, wanneer de storing verholpen is, de betrokken partijen daarvan onmiddellijk in kennis.

Artikel 6, lid 1, is gedurende de tijd tussen deze kennisgevingen niet van toepassing, voor zover de technische storing de doorgifte van API-gegevens aan de router belet. Voor zover dat het geval is, zijn gedurende die tijd artikel 4, lid 1, en artikel 8, lid 1, evenmin van toepassing op de betrokken API-gegevens.

3.Wanneer het vanwege een storing van de in artikel 21 bedoelde systemen of infrastructuur van een luchtvaartmaatschappij technisch onmogelijk is de router te gebruiken om API-gegevens door te zenden, stelt die luchtvaartmaatschappij de bevoegde grensautoriteiten, eu-LISA en de Commissie daarvan onmiddellijk op geautomatiseerde wijze in kennis. In dat geval neemt de luchtvaartmaatschappij onmiddellijk maatregelen om de technische storing die het gebruik van de router belet, te verhelpen en stelt zij, wanneer de storing verholpen is, de betrokken partijen daarvan onmiddellijk in kennis.

Artikel 6, lid 1, is gedurende de tijd tussen deze kennisgevingen niet van toepassing, voor zover de technische storing de doorgifte van API-gegevens aan de router belet. Voor zover dat het geval is, zijn gedurende die tijd artikel 4, lid 1, en artikel 8, lid 1, evenmin van toepassing op de betrokken API-gegevens.

Wanneer de technische storing die het gebruik van de router belet, is verholpen, dient de betrokken luchtvaartmaatschappij bij de in artikel 29 bedoelde bevoegde nationale toezichthoudende autoriteit onverwijld een verslag in met alle nodige details over de technische storing, met inbegrip van de redenen voor de storing, de omvang en de gevolgen van de storing en de maatregelen die zijn genomen om de storing te verhelpen.

HOOFDSTUK 4

SPECIFIEKE BEPALINGEN BETREFFENDE DE BESCHERMING VAN PERSOONSGEGEVENS

Artikel 15

Verwerkingsverantwoordelijken voor persoonsgegevens

De bevoegde grensautoriteiten zijn verwerkingsverantwoordelijken in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 voor de verwerking, via de router, van API-gegevens die persoonsgegevens zijn, ook wat de doorzending van die gegevens via de router en de opslag om technische redenen van die gegevens op de router betreft, alsook voor de door hen uitgevoerde verwerking van API-gegevens die persoonsgegevens zijn, als bedoeld in artikel 7 van deze verordening.

De luchtvaartmaatschappijen zijn verwerkingsverantwoordelijken in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 voor de verwerking van API-gegevens die persoonsgegevens zijn, met betrekking tot de verzameling van die gegevens en de doorgifte ervan aan de router uit hoofde van deze verordening.

Artikel 16

Verwerker voor persoonsgegevens

eu-LISA is de verwerker in de zin van artikel 3, punt 12, van Verordening (EU) 2018/1725 voor de verwerking, via de router, van API-gegevens die persoonsgegevens zijn, overeenkomstig deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving].

Artikel 17

Beveiliging

1.eu-LISA zorgt voor de beveiliging van de API-gegevens die het op grond van deze verordening en Verordening (EU) [API-gegevens voorrechtshandhaving] verwerkt, in het bijzonder API-gegevens die persoonsgegevens zijn. De bevoegde grensautoriteiten en de luchtvaartmaatschappijen zorgen voor de beveiliging van de API-gegevens die ze op grond van deze verordening verwerken, in het bijzonder API-gegevens die persoonsgegevens zijn. eu-LISA, de bevoegde grensautoriteiten en de luchtvaartmaatschappijen werken, overeenkomstig hun respectieve verantwoordelijkheden en met inachtneming van het Unierecht, met elkaar samen om die beveiliging te waarborgen.

2.eu-LISA neemt met name de nodige maatregelen om de beveiliging van de router en de via de router doorgezonden API-gegevens, met name API-gegevens die persoonsgegevens zijn, te waarborgen, onder meer door een beveiligingsplan, een bedrijfscontinuïteitsplan en een uitwijkplan op te stellen, uit te voeren en regelmatig te actualiseren, teneinde:

a)de router fysiek te beschermen, onder meer met noodplannen voor de bescherming van kritieke componenten van de router;

b)onrechtmatige verwerking van de API-gegevens, met inbegrip van ongeoorloofde toegang tot deze gegevens en het kopiëren, wijzigen of verwijderen ervan, met name door middel van passende versleutelingstechnieken te voorkomen, zowel tijdens de doorgifte van de API-gegevens aan en via de router als tijdens de eventuele opslag van de API-gegevens op de router, indien die opslag nodig is om de doorzending te voltooien;

c)ervoor te zorgen dat kan worden geverifieerd en vastgesteld naar welke bevoegde grensautoriteiten of PIE’s de API-gegevens via de router worden doorgezonden;

d)eventuele functionele storingen in de router correct te signaleren bij de raad van bestuur van eu-LISA;

e)de doeltreffendheid van de op grond van dit artikel en Verordening (EU) 2018/1725 vereiste beveiligingsmaatregelen te monitoren en deze beveiligingsmaatregelen te beoordelen en te actualiseren wanneer dat in het licht van technologische of operationele ontwikkelingen nodig is.

De in de eerste alinea van dit lid bedoelde maatregelen laten artikel 33 van Verordening (EU) 2018/1725 en artikel 32 van Verordening (EU) 2016/679 onverlet.

Artikel 18

Interne monitoring

De luchtvaartmaatschappijen en de bevoegde autoriteiten monitoren, onder meer door frequente verificatie van de in artikel 13 bedoelde logbestanden, of zij de op hen rustende verplichtingen van deze verordening nakomen, met name wat betreft de verwerking van API-gegevens die persoonsgegevens zijn.

Artikel 19

Audits inzake de bescherming van persoonsgegevens

1.De in artikel 51 van Verordening (EU) 2016/679 bedoelde bevoegde nationale gegevensbeschermingsautoriteiten zorgen ervoor dat ten minste om de vier jaar overeenkomstig de desbetreffende internationale auditnormen een audit wordt uitgevoerd van de verwerkingsactiviteiten die de bevoegde grensautoriteiten met het oog op de toepassing van deze verordening verrichten met betrekking tot API-gegevens die persoonsgegevens zijn.

2.De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat ten minste eenmaal per jaar overeenkomstig de desbetreffende internationale auditnormen een audit wordt uitgevoerd van de verwerkingsactiviteiten die eu-LISA met het oog op de toepassing van deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving] verricht met betrekking tot API-gegevens die persoonsgegevens zijn. Een verslag over deze audit wordt toegezonden aan het Europees Parlement, de Raad, de Commissie, de lidstaten en eu-LISA. Voordat de verslagen worden aangenomen, wordt eu-LISA in de gelegenheid gesteld opmerkingen te maken.

3.Met betrekking tot de in lid 2 bedoelde verwerkingsactiviteiten krijgt de Europese Toezichthouder voor gegevensbescherming van eu-LISA, op verzoek, informatie, alsook toegang tot alle documenten waarom hij verzoekt, toegang tot de in artikel 13, lid 1, bedoelde logbestanden, en te allen tijde toegang tot alle gebouwen en terreinen van eu-LISA.

HOOFDSTUK 5

VERBINDINGEN EN AANVULLENDE BEPALINGEN BETREFFENDE DE ROUTER

Artikel 20

Verbindingen van de bevoegde grensautoriteiten met de router

1.De lidstaten zorgen ervoor dat hun bevoegde grensautoriteiten verbonden zijn met de router. Zij zorgen ervoor dat de systemen en infrastructuur van de bevoegde grensautoriteiten die bestemd zijn voor de ontvangst van de op grond van deze verordening doorgegeven API-gegevens, worden geïntegreerd met de router.

De lidstaten zorgen ervoor dat de verbinding en de integratie met de router van dien aard zijn dat hun bevoegde grensautoriteiten de API-gegevens kunnen ontvangen en verder verwerken en alle daarmee verband houdende communicatie op een rechtmatige, beveiligde, doeltreffende en snelle wijze kunnen uitwisselen.

2.De Commissie is bevoegd overeenkomstig artikel 37 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde regels inzake de verbinding en integratie met de router als bedoeld in lid 1.

Artikel 21

Verbindingen van de luchtvaartmaatschappijen met de router

1.De luchtvaartmaatschappijen zorgen ervoor dat zij verbonden zijn met de router. Zij zorgen ervoor dat hun systemen en infrastructuur voor de doorgifte van API-gegevens aan de router op grond van deze verordening, worden geïntegreerd met de router.

De luchtvaartmaatschappijen zorgen ervoor dat de verbinding en de integratie met de router van dien aard zijn dat zij de API-gegevens kunnen doorgeven en alle daarmee verband houdende communicatie op een rechtmatige, beveiligde, doeltreffende en snelle wijze kunnen uitwisselen.

2.De Commissie is bevoegd overeenkomstig artikel 37 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde regels inzake de verbinding en integratie met de router als bedoeld in lid 1.

Artikel 22

Taken van eu-LISA met betrekking tot het ontwerp en de ontwikkeling van de router

1.eu-LISA is verantwoordelijk voor het ontwerp van de fysieke architectuur van de router, met inbegrip van het vaststellen van de technische specificaties.

2.eu-LISA is verantwoordelijk voor de ontwikkeling van de router , met inbegrip van alle technische aanpassingen die nodig zijn voor de werking van de router.

De ontwikkeling van de router omvat de uitwerking en implementatie van de technische specificaties, het testen, het algemeen projectbeheer en het coördineren van de ontwikkelingsfase.

3.eu-LISA zorgt ervoor dat de router zodanig wordt ontworpen en ontwikkeld dat de router de in deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving] gespecificeerde functionaliteiten heeft en dat deze in gebruik wordt genomen zo spoedig mogelijk nadat de Commissie de in artikel 5, lid 4, artikel 6, lid 3, artikel 11, lid 4, artikel 20, lid 2, en artikel 21, lid 2, bedoelde gedelegeerde handelingen heeft vastgesteld.

4.Als eu-LISA van oordeel is dat de ontwikkelingsfase is voltooid, voert het, in samenwerking met de bevoegde grensautoriteiten, de PIE’s, de andere relevante autoriteiten van de lidstaten en de luchtvaartmaatschappijen, zonder onnodige vertraging een uitgebreide test van de router uit en stelt het de Commissie in kennis van het resultaat van die test.

Artikel 23

Taken van eu-LISA met betrekking tot het hosten en het technisch beheer van de router

1.eu-LISA host de router op zijn technische locaties.

2.eu-LISA is verantwoordelijk voor het technisch beheer van de router, met inbegrip van het onderhoud en de technische ontwikkeling ervan, en zorgt er daarbij voor dat de API-gegevens beveiligd, doeltreffend en snel via de router worden doorgezonden, in overeenstemming met deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving].

Het technisch beheer van de router bestaat uit de uitvoering van alle taken en technische oplossingen die nodig zijn om de router zeven dagen per week en 24 uur per dag ononderbroken naar behoren te laten functioneren overeenkomstig deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving]. Het omvat de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een toereikende technische kwaliteit van de werking van de router, in het bijzonder wat betreft de beschikbaarheid, juistheid en betrouwbaarheid van de doorzending van de API-gegevens, in overeenstemming met de technische specificaties en, voor zover mogelijk, met de operationele behoeften van de bevoegde grensautoriteiten, de PIE’s en de luchtvaartmaatschappijen.

3.eu-LISA heeft geen toegang tot de API-gegevens die via de router worden doorgezonden. Strikt voor het onderhoud van de router vereiste toegang door eu-LISA valt evenwel niet onder dit verbod.

4.Onverminderd artikel 3 van dit artikel en artikel 17 van Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad 50 past eu-LISA passende voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op zijn personeelsleden die moeten werken met de via de router doorgezonden API-gegevens. Deze geheimhoudingsplicht blijft ook gelden nadat deze personeelsleden hun functie of dienstverband hebben beëindigd of hun werkzaamheden hebben stopgezet.

Artikel 24

Ondersteunende taken van eu-LISA met betrekking tot de router

1.eu-LISA geeft op verzoek opleiding over het technische gebruik van de router aan bevoegde grensautoriteiten, PIE’s, andere relevante autoriteiten van de lidstaten en luchtvaartmaatschappijen.

2.eu-LISA biedt ondersteuning aan de bevoegde grensautoriteiten en de PIE’s met betrekking tot de ontvangst van de API-gegevens via de router overeenkomstig deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving], met name wat betreft de toepassing van de artikelen 11 en 20 van deze verordening en de artikelen 5 en 10 van Verordening (EU) [API-gegevens voor rechtshandhaving].

Artikel 25

Kosten van eu-LISA en van de lidstaten

1.De kosten die eu-LISA maakt in verband met het ontwerpen, ontwikkelen, hosten en technisch beheren van de router uit hoofde van deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving] komen ten laste van de algemene begroting van de Unie.

2.De kosten die de lidstaten maken in verband met de in artikel 20 bedoelde verbindingen en integratie met de router, komen ten laste van de algemene begroting van de Unie.

De volgende kosten vormen evenwel een uitzondering en worden gedragen door de lidstaten:

a)kosten voor de dienst voor projectbeheer, met inbegrip van kosten voor vergaderingen, dienstreizen en kantoren;

b)kosten voor het hosten van nationale informatietechnologiesystemen (IT-systemen), met inbegrip van kosten voor ruimte, implementatie, elektriciteit en koeling;

c)kosten voor de exploitatie van nationale IT-systemen, met inbegrip van kosten voor operatoren en contracten voor ondersteuning;

d)kosten voor het ontwerp, de ontwikkeling, de implementatie, de exploitatie en het onderhoud van nationale communicatienetwerken.

3.De lidstaten dragen ook de kosten in verband met de administratie, het gebruik en het onderhoud van hun verbindingen en de integratie met de router.

Artikel 26

Aansprakelijkheid voor de router

Indien de router schade oploopt omdat een lidstaat of een luchtvaartmaatschappij de uit deze verordening voortvloeiende verplichtingen niet is nagekomen, is die lidstaat of die luchtvaartmaatschappij aansprakelijk voor die schade, tenzij en voor zover eu-LISA heeft nagelaten redelijke stappen te ondernemen om het optreden van de schade te voorkomen of de omvang ervan zo veel mogelijk te beperken.

Artikel 27

Ingebruikneming van de router

Zodra eu-LISA de Commissie heeft meegedeeld dat de in artikel 22, lid 4, bedoelde uitgebreide test van de router met succes is voltooid, stelt de Commissie zonder onnodige vertraging aan de hand van een uitvoeringshandeling vast op welke datum de router in gebruik wordt genomen. Die uitvoeringshandeling wordt volgens de in artikel 36, lid 2, bedoelde onderzoeksprocedure vastgesteld.

De Commissie stelt de in de eerste alinea bedoelde datum vast uiterlijk 30 dagen na de vaststelling van die uitvoeringshandeling.

Artikel 28

Vrijwillig gebruik van de router overeenkomstig Richtlijn 2004/81/EG

1.Luchtvaartmaatschappijen hebben het recht de router te gebruiken om de in artikel 3, lid 1, van Richtlijn 2004/82/EG bedoelde informatie overeenkomstig die richtlijn te verstrekken aan een of meer van de in die bepaling bedoelde bevoegde autoriteiten, op voorwaarde dat de betrokken autoriteit met dat gebruik heeft ingestemd en met ingang van een door die bevoegde autoriteit vastgestelde passende datum. Deze autoriteit geeft haar toestemming pas nadat zij heeft vastgesteld dat, met name gezien haar eigen verbinding met de router en die van de betrokken luchtvaartmaatschappij, de informatie op een rechtmatige, beveiligde, doeltreffende en snelle wijze kan worden verstrekt.

2.Wanneer een luchtvaartmaatschappij de router overeenkomstig lid 1 in gebruik neemt, blijft zij de router gebruiken voor het verstrekken van deze informatie aan de betrokken bevoegde autoriteit, tot de in artikel 39, tweede alinea, bedoelde datum van toepassing van deze verordening. Dat gebruik wordt echter met ingang van een door die autoriteit bepaalde, passende datum stopgezet wanneer die autoriteit de stopzetting op objectieve gronden noodzakelijk acht en zij de luchtvaartmaatschappij daarvan in kennis heeft gesteld.

3.De betrokken bevoegde autoriteit:

a)raadpleegt eu-LISA alvorens in te stemmen met het vrijwillige gebruik van de router overeenkomstig lid 1;

b)biedt de betrokken luchtvaartmaatschappij, behalve in naar behoren gemotiveerde spoedeisende situaties, de kans om opmerkingen over het voornemen van de autoriteit tot stopzetting van dat gebruik overeenkomstig lid 2 te maken en, in voorkomend geval, om eu-LISA hierover te raadplegen;

c)stelt eu-LISA en de Commissie onmiddellijk in kennis van elk vrijwillig gebruik waarmee ze heeft ingestemd en van elke eventuele stopzetting van dat gebruik, en verstrekt daarbij alle nodige informatie, met inbegrip van, al naargelang het geval, de datum waarop het gebruik is begonnen, de datum van stopzetting en de redenen voor de stopzetting, in voorkomend geval.

HOOFDSTUK 6

TOEZICHT, SANCTIES, STATISTIEKEN EN HANDLEIDING

Artikel 29

Nationale toezichthoudende autoriteit

1.De lidstaten wijzen een of meer nationale toezichthoudende autoriteiten aan die belast worden met de taak toezicht te houden op de wijze waarop de luchtvaartmaatschappijen de bepalingen van deze verordening toepassen op hun grondgebied, en de naleving van die bepalingen te waarborgen.

2.De lidstaten zorgen ervoor dat de nationale toezichthoudende autoriteiten over de nodige middelen en de nodige onderzoeks- en handhavingsbevoegdheden beschikken om hun taken uit hoofde van deze verordening uit te voeren en om in dat verband, in voorkomend geval, ook de in artikel 30 bedoelde sancties op te leggen. Zij stellen gedetailleerde regels over de uitvoering van die taken en de uitoefening van die bevoegdheden vast en zorgen ervoor dat de uitvoering en de uitoefening doeltreffend, evenredig en afschrikkend zijn en onderworpen zijn aan waarborgen die in overeenstemming zijn met de door het Unierecht beschermde grondrechten.

3.Uiterlijk op de in artikel 21, tweede alinea, bedoelde datum van toepassing van deze verordening stellen de lidstaten de Commissie in kennis van de naam en de contactgegevens van de autoriteiten die zij op grond van lid 1 hebben aangewezen, alsook van de gedetailleerde regels die zij op grond van lid 2 hebben vastgesteld. Zij stellen de Commissie onverwijld in kennis van latere veranderingen of wijzigingen in dat verband.

4.Dit artikel doet geen afbreuk aan de bevoegdheden van de toezichthoudende autoriteiten als bedoeld in artikel 51 van Verordening (EU) 2016/679.

Artikel 30

Sancties

De lidstaten stellen voorschriften vast ten aanzien van de sancties die van toepassing zijn op inbreuken op deze verordening en nemen alle nodige maatregelen om ervoor te zorgen dat deze sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.

De lidstaten stellen de Commissie uiterlijk op de in artikel 39, tweede alinea, bedoelde datum van toepassing van deze verordening in kennis van deze voorschriften en maatregelen en stellen haar onverwijld in kennis van latere wijzigingen.

Artikel 31

Statistieken

1.eu-LISA publiceert elk kwartaal statistieken over de werking van de router, met name over het aantal reizigers, hun nationaliteit en hun land van vertrek, en meer bepaald over reizigers die aan boord van het luchtvaartuig zijn gegaan met onjuiste, onvolledige of niet bijgewerkte API-gegevens, met een niet erkend reisdocument, zonder geldig visum of zonder geldige reisautorisatie, of die als verblijfsduuroverschrijder gemeld staan.

2.eu-LISA slaat de dagelijkse statistieken op in het bij artikel 39 van Verordening (EU) 2019/817 ingestelde centrale register voor rapportage en statistieken.

3.Aan het eind van ieder jaar verzamelt eu-LISA de statistische gegevens in een jaarverslag voor dat jaar. eu-LISA publiceert dat jaarverslag en zendt het toe aan het Europees Parlement, de Raad, de Commissie, de Europese Toezichthouder voor gegevensbescherming, het Europees Grens- en kustwachtagentschap en de in artikel 29 bedoelde nationale toezichthoudende autoriteiten.

4.Op verzoek van de Commissie verstrekt eu-LISA de Commissie statistieken over specifieke aspecten in verband met de uitvoering van deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving], alsook de in lid 3 bedoelde statistieken.

5.eu-LISA heeft, uitsluitend met het oog op de in artikel 38 bedoelde rapportage en met het oog op het genereren van statistieken overeenkomstig dit artikel, recht op toegang tot de volgende, via de router doorgezonden API-gegevens, mits deze toegang het niet mogelijk maakt de betrokken reizigers te identificeren:

a)de status van de reiziger (passagier of bemanningslid);

b)nationaliteit, geslacht en geboortejaar van de reiziger;

c)de instapdatum, het eerste instappunt en de datum en luchthaven van binnenkomst op het grondgebied van een lidstaat;

d)het type reisdocument, de drielettercode van het land dat het reisdocument heeft afgegeven, en de datum waarop de geldigheidstermijn van het reisdocument verstrijkt;

e)het aantal op de vlucht ingecheckte reizigers;

f)de status van de vlucht (geregeld of niet-geregeld);

g)de status van de persoonsgegevens van de reiziger (juist, volledig en actueel).

6.Met het oog op de in artikel 38 bedoelde rapportage en met het oog het genereren van statistieken overeenkomstig dit artikel slaat eu-LISA de in lid 5 van dit artikel bedoelde gegevens op in het bij artikel 39 van Verordening (EU) 2019/817 ingestelde centrale register voor rapportage en statistieken. Aan de hand van de in artikel 39, lid 1, van die verordening bedoelde systeemoverschrijdende statistische gegevens en analytische verslagen kunnen de bevoegde grensautoriteiten en andere relevante autoriteiten van de lidstaten op maat gesneden verslagen en statistieken krijgen voor de in artikel 1 van deze verordening bedoelde doeleinden.

7.De door eu-LISA ingevoerde procedures voor het monitoren van de ontwikkeling en de werking van de router als bedoeld in artikel 39, lid 1, van Verordening (EU) 2019/817 omvatten de mogelijkheid om regelmatig statistieken op te stellen voor het waarborgen van die monitoring.

Artikel 32

Praktische handleiding

De Commissie stelt in nauwe samenwerking met de bevoegde grensautoriteiten, andere relevante autoriteiten van de lidstaten, de luchtvaartmaatschappijen en de relevante agentschappen van de Unie een praktische handleiding met richtsnoeren, aanbevelingen en beste praktijken voor de uitvoering van deze verordening op en maakt deze openbaar beschikbaar.

In de praktische handleiding wordt rekening gehouden met de bestaande handleidingen ter zake.

De Commissie stelt de praktische handleiding vast in de vorm van een aanbeveling.

HOOFDSTUK 7

VERBAND MET ANDERE BESTAANDE INSTRUMENTEN

Artikel 33

Intrekking van Richtlijn 2004/82/EG

Richtlijn 2004/82/EG wordt ingetrokken met ingang van de in artikel 39, tweede alinea, bedoelde datum van toepassing van deze verordening.

Artikel 34

Wijzigingen van Verordening (EU) 2018/1726

Verordening (EU) 2018/1726 wordt als volgt gewijzigd:

(1)Het volgende artikel 13 ter wordt ingevoegd:

“Artikel 13 ter

Taken in verband met de router 

Met betrekking tot Verordening (EU) …/… van het Europees Parlement en de Raad* [deze verordening] en Verordening (EU) [API-gegevens voor rechtshandhaving] voert het Agentschap de hem bij die verordeningen opgedragen taken uit die verband houden met de router.

___________

*    Verordening (EU) [nummer] van het Europees Parlement en de Raad van xy betreffende [officieel vastgestelde titel] (PB L …).”.

(1)Artikel 17, lid 3, wordt vervangen door:

“3. De zetel van het Agentschap is in Tallinn, Estland.

De in artikel 1, leden 4 en 5, de artikelen 3 tot en met 9 en de artikelen 11, [13 bis] en 13 ter bedoelde taken in verband met ontwikkeling en operationeel beheer worden verricht in de technische locatie in Straatsburg, Frankrijk.

In Sankt Johann im Pongau, Oostenrijk, wordt een back-uplocatie gevestigd die kan zorgen voor het operationeel blijven van een grootschalig IT-systeem in geval van falen van een dergelijk systeem.”.

(2)Artikel 19, lid 1, wordt als volgt gewijzigd:

a)het volgende punt ee ter) wordt ingevoegd:

“ee ter) verslagen vast te stellen over de stand van zaken met betrekking tot de ontwikkeling van de router overeenkomstig artikel 38, lid 2, van Verordening (EU).../... van het Europees Parlement en de Raad* [deze verordening];

___________

*    Verordening (EU) [nummer] van het Europees Parlement en de Raad van xy betreffende [officieel vastgestelde titel] (PB L …).”.

b)punt ff) wordt vervangen door:

“ff) verslagen vast te stellen over de technische werking van:

(1)het SIS overeenkomstig artikel 60, lid 7, van Verordening (EU) 2018/1861 van het Europees Parlement en de Raad* en artikel 74, lid 8, van Verordening (EU) 2018/1862 van het Europees Parlement en de Raad**;

(2)het VIS overeenkomstig artikel 50, lid 3, van Verordening (EG) nr. 767/2008 en artikel 17, lid 3, van Besluit 2008/633/JBZ;

(3)het EES overeenkomstig artikel 72, lid 4, van Verordening (EU) 2017/2226;

(4)het Etias overeenkomstig artikel 92, lid 4, van Verordening (EU) 2018/1240;

(5)het Ecris-TCN en de Ecris-referentie-implementatie overeenkomstig artikel 36, lid 8, van Verordening (EU) 2019/816;

(6)de interoperabiliteitscomponenten overeenkomstig artikel 78, lid 3, van Verordening (EU) 2019/817, artikel 74, lid 3, van Verordening (EU) 2019/818 en de router overeenkomstig artikel 79, lid 5, van Verordening (EU).../... van het Europees Parlement en de Raad* [Prüm II-verordening] en artikel 38, lid 5, van Verordening (EU).../... van het Europees Parlement en de Raad* [deze verordening];

(3)e-Codex overeenkomstig artikel 16, lid 1, van Verordening (EU) 2022/850.

___________

*Verordening (EU) 2018/1861 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van grenscontroles, tot wijziging van de Overeenkomst ter uitvoering van het Akkoord van Schengen en tot wijziging en intrekking van Verordening (EG) nr. 1987/2006 (PB L 312 van 7.12.2018, blz. 14).

**Verordening (EU) 2018/1862 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van politiële en justitiële samenwerking in strafzaken, tot wijziging en intrekking van Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EG) nr. 1986/2006 van het Europees Parlement en de Raad en Besluit 2010/261/EU van de Commissie ( PB L 312 van 7.12.2018, blz. 56 ).”.

c) punt hh) wordt vervangen door:

“hh) formeel opmerkingen vast te stellen over de verslagen van de Europese Toezichthouder voor gegevensbescherming betreffende zijn audits op grond van artikel 56, lid 2, van Verordening (EU) 2018/1861, artikel 42, lid 2, van Verordening (EG) nr. 767/2008, artikel 31, lid 2, van Verordening (EU) nr. 603/2013, artikel 56, lid 2, van Verordening (EU) 2017/2226, artikel 67 van Verordening (EU) 2018/1240, artikel 29, lid 2, van Verordening (EU) 2019/816, artikel 52 van de Verordeningen (EU) 2019/817 en (EU) 2019/818, artikel 60, lid 1, van Verordening (EU).../... van het Europees Parlement en de Raad* [Prüm II-verordening] en artikel 19, lid 3, van Verordening (EU).../... van het Europees Parlement en de Raad* [deze verordening] en ervoor te zorgen dat aan die audits het passende gevolg wordt gegeven;

___________

(4)* Verordening (EU) [nummer] van het Europees Parlement en de Raad van xy betreffende [officieel vastgestelde titel] (PB L …)”.

Artikel 35

Wijzigingen van Verordening (EU) 2019/817

___________

(1)In artikel 39 worden de leden 1 en 2 vervangen door:

“1. Er wordt een centraal register voor rapportage en statistieken (CRRS) ingesteld om de doelstellingen van het EES, VIS, ETIAS en SIS in overeenstemming met de voor die systemen respectievelijk geldende rechtsinstrumenten te ondersteunen en om te voorzien in systeemoverschrijdende statistische gegevens en analytische verslagen voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit. Het CRRS dient ook ter ondersteuning van de doelstellingen van Verordening (EU).../... van het Europees Parlement en de Raad* [deze verordening].

*    Verordening (EU) [nummer] van het Europees Parlement en de Raad van xy betreffende [officieel vastgestelde titel] (PB L …).

 2. eu-LISA zorgt op zijn technische locaties voor het opstellen, implementeren en hosten van het CRRS met daarin de logisch per EU-informatiesysteem gescheiden gegevens en statistieken als bedoeld in artikel 63 van Verordening (EU) 2017/2226, artikel 17 van Verordening (EG) nr. 767/2008, artikel 84 van Verordening (EU) 2018/1240, artikel 60 van Verordening (EU) 2018/1861 en artikel 16 van Verordening (EU) 2018/1860. eu-LISA verzamelt ook de gegevens en statistieken van de router als bedoeld in artikel 31, lid 1, van Verordening (EU) .../... * [deze verordening]. Toegang tot het CRRS wordt uitsluitend met het oog op het opstellen van rapporten en statistieken verleend aan de in artikel 63 van Verordening (EU) 2017/2226, artikel 17 van Verordening (EG) nr. 767/2008, artikel 84 van Verordening (EU) 2018/1240, artikel 60 van Verordening (EU) 2018/1861 en artikel 38, lid 2, van Verordening (EU) .../... [deze verordening] bedoelde autoriteiten door middel van een gecontroleerde en beveiligde toegang en specifieke gebruikersprofielen.”.

HOOFDSTUK 8

SLOTBEPALINGEN

Artikel 36

Comitéprocedure

1.De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing. Indien door het comité geen advies wordt uitgebracht, neemt de Commissie de ontwerpuitvoeringshandeling niet aan en is artikel 5, lid 4, derde alinea, van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 37

Uitoefening van de bevoegdheidsdelegatie

1.De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2.De in artikel 5, lid 4, artikel 6, lid 3, artikel 11, lid 4, artikel 20, lid 2, en artikel 21, lid 2, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van [datum van vaststelling van deze verordening]. De Commissie stelt uiterlijk negen maanden voor het einde van de termijn van vijf jaar een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.

3.Het Europees Parlement of de Raad kan de in artikel 5, lid 4, artikel 6, lid 3, artikel 11, lid 4, artikel 20, lid 2, en artikel 21, lid 2, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5.Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

Artikel 38

Monitoring en evaluatie

1.eu-LISA zorgt ervoor dat er procedures zijn om de ontwikkeling van de router te monitoren in het licht van de doelstellingen inzake planning en kosten, en om de werking van de router te monitoren in het licht van de doelstellingen inzake technische resultaten, kosteneffectiviteit, beveiliging en kwaliteit van de dienstverlening.

2.Uiterlijk [een jaar na de datum van inwerkingtreding van deze verordening], en vervolgens ieder jaar tijdens de ontwikkelingsfase van de router, stelt eu-LISA een verslag over de stand van zaken van de ontwikkeling van de router op en dient het dit verslag in bij het Europees Parlement en de Raad. In dat verslag wordt gedetailleerde informatie opgenomen over de gemaakte kosten en over eventuele risico’s die van invloed kunnen zijn op de totale kosten die overeenkomstig artikel 25 ten laste komen van de algemene begroting van de Unie.

3.Zodra de router in gebruik is genomen, stelt eu-LISA een verslag op waarin uitvoerig wordt uiteengezet hoe de doelstellingen, met name met betrekking tot planning en kosten, zijn bereikt en waarin eventuele afwijkingen worden gerechtvaardigd, en dient het dit verslag in bij het Europees Parlement en de Raad.

4.Uiterlijk [vier jaar na de datum van inwerkingtreding van deze verordening] en vervolgens om de vier jaar stelt de Commissie een verslag met een algemene evaluatie van deze verordening op, met daarin onder meer een beoordeling van:

a)de toepassing van deze verordening;

b)de mate waarin deze verordening haar doelstellingen heeft bereikt;

c)de gevolgen van deze verordening voor de betrokken, krachtens het Unierecht beschermde grondrechten.

5.De Commissie zendt het verslag van de evaluatie toe aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten. In voorkomend geval dient de Commissie in het licht van de evaluatie een wetgevingsvoorstel tot wijziging van deze verordening in bij het Europees Parlement en de Raad.

6.De lidstaten en de luchtvaartmaatschappijen verstrekken eu-LISA en de Commissie op verzoek de informatie die nodig is om de in de leden 2, 3 en 4 bedoelde verslagen op te stellen, met inbegrip van informatie die geen persoonsgegevens vormt en betrekking heeft op de resultaten van de voorafgaande controles die aan de buitengrenzen aan de hand van de informatiesystemen van de Unie en de nationale databanken met API-gegevens worden verricht. De lidstaten kunnen echter afzien van het verstrekken van dergelijke informatie indien, en voor zover, dat nodig is om te beletten dat vertrouwelijke werkmethoden openbaar worden of lopende, door de bevoegde grensautoriteiten uitgevoerde onderzoeken in het gedrang komen. De Commissie ziet erop toe dat alle verstrekte vertrouwelijke informatie adequaat wordt beschermd.

Artikel 39

Inwerkingtreding en toepassing

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

De toepassing ervan gaat in twee jaar na de door de Commissie overeenkomstig artikel 27 gespecificeerde datum van ingebruikneming van de router.

Niettemin geldt het volgende:

a)artikel 5, leden 4 en 5, artikel 6, lid 3, artikel 11, lid 4, artikel 20, lid 2, artikel 21, lid 2, artikel 22, artikel 25, lid 1, artikel 27, artikel 36 en artikel 37 zijn echter van toepassing met ingang van [datum van inwerkingtreding van deze verordening];

b)artikel 10, artikel 13, leden 1, 3 en 4, artikel 15, artikel 16, artikel 17, artikel 23, artikel 24, artikel 26 en artikel 28 zijn van toepassing vanaf de datum van ingebruikneming van de router, zoals bepaald door de Commissie overeenkomstig artikel 27.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in de lidstaten overeenkomstig de Verdragen.

Gedaan te Straatsburg,

FINANCIEEL MEMORANDUM

1.KADER VAN HET VOORSTEL/INITIATIEF

1.1.Benaming van het voorstel/initiatief

1.2.Betrokken beleidsterrein(en)

1.3.Het voorstel/initiatief betreft:

1.4.Doelstelling(en)

1.4.1.Algemene doelstelling(en)

1.4.2.Specifieke doelstelling(en)

1.4.3.Verwachte resulta(a)t(en) en gevolg(en)

1.4.4.Prestatie-indicatoren

1.5.Motivering van het voorstel/initiatief

1.5.1.Behoefte(n) waarin op korte of lange termijn moet worden voorzien, met een gedetailleerd tijdschema voor de uitrol van het initiatief

1.5.2.Toegevoegde waarde van de deelname van de Unie (deze kan het resultaat zijn van verschillende factoren, bijvoorbeeld coördinatiewinst, rechtszekerheid, grotere doeltreffendheid of complementariteit). Voor de toepassing van dit punt wordt onder “toegevoegde waarde van de deelname van de Unie” verstaan de waarde die een optreden van de Unie oplevert bovenop de waarde die door een optreden van alleen de lidstaat zou zijn gecreëerd.

1.5.3.Nuttige ervaring die bij soortgelijke activiteiten in het verleden is opgedaan

1.5.4.Verenigbaarheid met het meerjarige financiële kader en eventuele synergie met andere passende instrumenten

1.5.5.Beoordeling van de verschillende beschikbare financieringsopties, waaronder mogelijkheden voor herschikking

1.6.Duur en financiële gevolgen van het voorstel/initiatief

1.7.Geplande beheersvorm(en)

2.BEHEERSMAATREGELEN

2.1.Regels inzake monitoring en rapportage

2.2.Beheers- en controlesyste(e)m(en)

2.2.1.Rechtvaardiging van de voorgestelde beheersvorm(en), uitvoeringsmechanisme(n) voor financiering, betalingsvoorwaarden en controlestrategie

2.2.2.Informatie over de geïdentificeerde risico’s en het (de) systeem (systemen) voor interne controle dat is (die zijn) opgezet om die risico’s te beperken

2.2.3.Raming en motivering van de kosteneffectiviteit van de controles (verhouding van de controlekosten tot de waarde van de desbetreffende financiële middelen) en evaluatie van het verwachte foutenrisico (bij betaling en bij afsluiting).

2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden

3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF

3.1.Rubriek(en) van het meerjarig financieel kader en betrokken begrotingsonderde(e)l(en) voor uitgaven

3.2.Geraamde financiële gevolgen van het voorstel inzake kredieten

3.2.1.Samenvatting van de geraamde gevolgen voor de beleidskredieten

3.2.2.Geraamde output, gefinancierd met beleidskredieten

3.2.3.Samenvatting van de geraamde gevolgen voor de administratieve kredieten

3.2.4.Verenigbaarheid met het huidige meerjarig financieel kader

3.2.5.Bijdragen van derden

3.3.Geraamde gevolgen voor de ontvangsten

1.KADER VAN DE VOORSTELLEN

1.1.Benaming van de voorstellen

1.2.Betrokken beleidsterrein(en) 

1.3.Het voorstel/initiatief betreft: 

◻ een nieuwe actie 

◻ een nieuwe actie na een proefproject / voorbereidende actie 51  

⌧ de verlenging van een bestaande actie 

◻ de samenvoeging of ombuiging van een of meer acties naar een andere/een nieuwe actie 

1.4.Doelstelling(en)

1.4.1.Algemene doelstelling(en)

1.4.2.Specifieke doelstelling(en)

1.4.3.Verwachte resulta(a)t(en) en gevolg(en)

Vermeld de gevolgen die het voorstel/initiatief zou moeten hebben op de begunstigden/doelgroepen.

1.4.4.Prestatie-indicatoren

Vermeld de indicatoren voor de monitoring van de voortgang en de beoordeling van de resultaten.

–datum van ingebruikneming (volgens de raming en regelmatige rapportage van de raad van bestuur van eu-LISA) (streefdoel T0+5 jaar)

–Percentage luchtvaartmaatschappijen die verbonden zijn met de centrale router en vluchten naar en vanuit niet-Schengenlanden uitvoeren (streefdoel 100 %)

–Aantal nationale grensbeheerautoriteiten die informatie van de centrale router ontvangen

–Aantal rechtstreekse verbindingen tussen luchtvaartmaatschappijen en nationale grensbeheerautoriteiten voor API-gegevens (streefdoel 0)

–Verhouding: Aantal API-datasets die rechtstreeks aan de nationale grensbeheerautoriteiten zijn doorgezonden/aantal API-datasets die aan de router zijn doorgegeven (streefdoel 0 %)

–Percentage vluchten waarover de nationale grensbeheerautoriteiten API-datasets hebben ontvangen (streefdoel 100 %)

–Percentage vluchten waarover de nationale grensbeheerautoriteiten minder dan 30 minuten na het vertrek van de vlucht API-datasets hebben ontvangen (100 %)

–Aantal en bedrag van de boetes die aan luchtvaartmaatschappijen zijn opgelegd voor het instappen van een reiziger op basis van een reisdocument waarvan de machineleesbare gegevens niet authentiek zijn (streefdoel 0)

–Aantal en bedrag van de boetes die aan luchtvaartmaatschappijen zijn opgelegd wegens onjuiste of onvolledige datasets (streefdoel 0)

–Aantal en bedrag van de boetes die aan luchtvaartmaatschappijen zijn opgelegd wegens het ontbreken van datasets (streefdoel 0)

–Percentage API-datasets met een volledige set identiteitsgegevens (100 %)

–Percentage syntactisch correcte API-datasets (100 %)

–Aantal reizigers dat vooraf is gecontroleerd op betrokken inkomende vluchten: (gelijk aan het aantal inkomende reizigers)

–Percentage aan de grens geconstateerde treffers die reeds bij de voorafgaande controles voor inkomende vluchten werden geconstateerd: streefdoel 100 %

–Percentage luchtvaartmaatschappijen die verbonden zijn met de centrale interface/router en vluchten op routes binnen de EU uitvoeren (streefdoel 100 %)

–Aantal met de centrale router verbonden PIE’s (streefdoel 26)

–Aantal rechtstreekse verbindingen tussen luchtvaartmaatschappijen en PIE’s voor API-gegevens (streefdoel 0)

–Verhouding: Aantal API-datasets die rechtstreeks aan de PIE’s zijn doorgezonden / aantal API-datasets die aan de router zijn doorgegeven (streefdoel 0 %)

–Percentage PNR-gegevens die werden ontvangen met bijbehorende API-gegevens (streefdoel 100 %)

–Aantal geautomatiseerde matches en treffers (alleen met PNR-gegevens, alleen met API-gegevens, met zowel PNR- als API-gegevens)

1.5.Motivering van het voorstel/initiatief 

1.5.1.Behoefte(n) waarin op korte of lange termijn moet worden voorzien, met een gedetailleerd tijdschema voor de uitrol van het initiatief

–voor de luchtvaartmaatschappijen: verbinding met de vervoerdersinterface en doorgifte van de API-gegevens aan de vervoerdersinterface, systematische verzameling van gegevens aan de hand van geautomatiseerde procedés;

–voor de lidstaten: verzameling van API-gegevens via de router.

1.5.2.Toegevoegde waarde van de deelname van de Unie (deze kan het resultaat zijn van verschillende factoren, bijvoorbeeld coördinatiewinst, rechtszekerheid, grotere doeltreffendheid of complementariteit). Voor de toepassing van dit punt wordt onder “toegevoegde waarde van de deelname van de Unie” verstaan de waarde die een optreden van de Unie oplevert bovenop de waarde die door een optreden van alleen de lidstaat zou zijn gecreëerd.

1.5.3.Nuttige ervaring die bij soortgelijke activiteiten in het verleden is opgedaan

1.5.4.Verenigbaarheid met het meerjarige financiële kader en eventuele synergie met andere passende instrumenten

1.5.5.Beoordeling van de verschillende beschikbare financieringsopties, waaronder mogelijkheden voor herschikking

1.6.Duur en financiële gevolgen van het voorstel/initiatief

◻ beperkte geldigheidsduur

–◻ van kracht vanaf [DD/MM]JJJJ tot en met [DD/MM]JJJJ

–◻ Financiële gevolgen vanaf JJJJ tot en met JJJJ voor vastleggingskredieten en vanaf JJJJ tot en met JJJJ voor betalingskredieten.

⌧ onbeperkte geldigheidsduur

–Uitvoering met een opstartperiode vanaf 2024 tot en met 2028,

–gevolgd door een volledige uitvoering vanaf 2029

1.7.Geplande beheersvorm(en) 54   

◻ Direct beheer door de Commissie

–◻ door haar diensten, waaronder het personeel in de delegaties van de Unie;

–◻    door de uitvoerende agentschappen;

⌧ Gedeeld beheer met lidstaten

⌧ Indirect beheer door begrotingsuitvoeringstaken te delegeren aan:

–◻ derde landen of de door hen aangewezen organen;

–◻ internationale organisaties en hun agentschappen (geef aan welke);

–◻ de EIB en het Europees Investeringsfonds;

–⌧ de in de artikelen 70 en 71 van het Financieel Reglement bedoelde organen;

–◻ publiekrechtelijke organen;

–◻ privaatrechtelijke organen met een openbare dienstverleningstaak, voor zover zij voldoende financiële garanties bieden;

–◻ privaatrechtelijke organen van een lidstaat, waaraan de uitvoering van een publiek-privaat partnerschap is toevertrouwd en die voldoende financiële garanties bieden;

–◻ personen aan wie de uitvoering van specifieke maatregelen op het gebied van het GBVB in het kader van titel V van het VEU is toevertrouwd en die worden genoemd in de betrokken basishandeling.

–Verstrek, indien meer dan een beheersvorm is aangekruist, extra informatie onder “Opmerkingen”.

Opmerkingen

2.BEHEERSMAATREGELEN 

2.1.Regels inzake monitoring en rapportage 

Vermeld de frequentie en de voorwaarden.

2.2.Beheers- en controlesyste(e)m(en) 

2.2.1.Rechtvaardiging van de voorgestelde beheersvorm(en), uitvoeringsmechanisme(n) voor financiering, betalingsvoorwaarden en controlestrategie

2.2.2.Informatie over de geïdentificeerde risico’s en het (de) systeem (systemen) voor interne controle dat is (die zijn) opgezet om die risico’s te beperken

2.2.3.Raming en motivering van de kosteneffectiviteit van de controles (verhouding van de controlekosten tot de waarde van de desbetreffende financiële middelen) en evaluatie van het verwachte foutenrisico (bij betaling en bij afsluiting). 

2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden 

Vermeld de bestaande en geplande preventie- en beschermingsmaatregelen, bijvoorbeeld in het kader van de fraudebestrijdingsstrategie.

3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF 

3.1.Rubriek(en) van het meerjarig financieel kader en betrokken begrotingsonderde(e)l(en) voor uitgaven 

·Bestaande begrotingsonderdelen

In volgorde van de rubrieken van het meerjarig financieel kader en de begrotingsonderdelen.

·Te creëren nieuwe begrotingsonderdelen

In volgorde van de rubrieken van het meerjarig financieel kader en de begrotingsonderdelen.

3.2.Geraamde financiële gevolgen van het voorstel inzake kredieten 

3.2.1.Samenvatting van de geraamde gevolgen voor de beleidskredieten 

–◻    Voor het voorstel/initiatief zijn geen beleidskredieten nodig

–⌧    Voor het voorstel/initiatief zijn beleidskredieten nodig, zoals hieronder nader wordt beschreven:

in miljoenen euro’s (tot op drie decimalen)

Dit deel moet worden ingevuld aan de hand van de “administratieve begrotingsgegevens”, die eerst moeten worden opgenomen in de bijlage bij het financieel memorandum (bijlage V bij de interne voorschriften), te uploaden in DECIDE met het oog op overleg tussen de diensten.

in miljoenen euro’s (tot op drie decimalen)

in miljoenen euro’s (tot op drie decimalen)

3.2.2.Geraamde output, gefinancierd met beleidskredieten 

Vastleggingskredieten in miljoenen euro’s (tot op drie decimalen)

3.2.3.Geraamde gevolgen voor de personele middelen van eu-LISA 

3.2.3.1.Samenvatting 

–◻    Voor het voorstel/initiatief zijn geen administratieve kredieten nodig

–⌧    Voor het voorstel/initiatief zijn administratieve kredieten nodig, zoals hieronder nader wordt beschreven:

in miljoenen euro’s (tot op drie decimalen)

Personeelsvereisten (vte):

Het personeel van eu-LISA moet DG HOME ondersteunen bij het opstellen van de secundaire wetgeving begin 2024; daarom moet het personeel zo spoedig mogelijk operationeel zijn. De aanwervingsprocedures beginnen in januari 2024. Een factor van 50 % wordt toegepast voor de aanwerving van 2 vte’s in 2024 en 21 vte’s in 2025. Voor het inzetten van de overige personeelsleden worden andere projecten herschikt.

3.2.4.Samenvatting van de geraamde gevolgen voor de administratieve kredieten (voor DG HOME)

–◻    Voor het voorstel/initiatief zijn geen administratieve kredieten nodig

–⌧    Voor het voorstel/initiatief zijn administratieve kredieten nodig, zoals hieronder nader wordt beschreven:

in miljoenen euro’s (tot op drie decimalen)

De benodigde kredieten voor personeel en andere administratieve uitgaven zullen worden gefinancierd uit de kredieten van het DG die reeds voor het beheer van deze actie zijn toegewezen en/of binnen het DG zijn herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

3.2.4.1.Geraamde behoefte aan personele middelen (voor DG HOME)

–◻    Voor het voorstel/initiatief zijn geen personele middelen nodig.

–⌧    Voor het voorstel/initiatief zijn personele middelen nodig, zoals hieronder nader wordt beschreven:

Raming in voltijdequivalenten