This document is an excerpt from the EUR-Lex website
Document 32019D0971
Commission Delegated Decision (EU) 2019/971 of 26 February 2019 on the definition of the requirements of the secure account service pursuant to Article 6(4) of Regulation (EU) 2018/1240 of the European Parliament and of the Council, enabling applicants to provide any additional information or documentation required (Text with EEA relevance.)
Gedelegeerd Besluit (EU) 2019/971 van de Commissie van 26 februari 2019 betreffende de vaststelling van de vereisten van de beveiligdeaccountdienst, overeenkomstig artikel 6, lid 4, van Verordening (EU) 2018/1240 van het Europees Parlement en de Raad, waarmee aanvragers vereiste aanvullende informatie of documentatie kunnen verstrekken (Voor de EER relevante tekst.)
Gedelegeerd Besluit (EU) 2019/971 van de Commissie van 26 februari 2019 betreffende de vaststelling van de vereisten van de beveiligdeaccountdienst, overeenkomstig artikel 6, lid 4, van Verordening (EU) 2018/1240 van het Europees Parlement en de Raad, waarmee aanvragers vereiste aanvullende informatie of documentatie kunnen verstrekken (Voor de EER relevante tekst.)
C/2019/1695
PB L 156 van 13.6.2019, p. 20–24
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
13.6.2019 |
NL |
Publicatieblad van de Europese Unie |
L 156/20 |
GEDELEGEERD BESLUIT (EU) 2019/971 VAN DE COMMISSIE
van 26 februari 2019
betreffende de vaststelling van de vereisten van de beveiligdeaccountdienst, overeenkomstig artikel 6, lid 4, van Verordening (EU) 2018/1240 van het Europees Parlement en de Raad, waarmee aanvragers vereiste aanvullende informatie of documentatie kunnen verstrekken
(Voor de EER relevante tekst)
DE EUROPESE COMMISSIE,
Gezien het Verdrag betreffende de werking van de Europese Unie,
Gezien Verordening (EU) 2018/1240 van het Europees Parlement en de Raad van 12 september 2018 tot oprichting van een Europees reisinformatie en -autorisatiesysteem (Etias) en tot wijziging van de Verordeningen (EU) nr. 1077/2011, (EU) nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 en (EU) 2017/2226 (1), en met name artikel 6, lid 4,
Overwegende hetgeen volgt:
|
(1) |
Bij Verordening (EU) 2018/1240 is voor onderdanen van derde landen die zijn vrijgesteld van de verplichting om in het bezit te zijn van een visum wanneer zij de buitengrenzen overschrijden, een Europees reisinformatie en -autorisatiesysteem (Etias) opgericht. Bij die verordening werden de voorwaarden en procedures voor het verlenen of weigeren van een reisautorisatie vastgesteld. |
|
(2) |
De nationale Etias-eenheden die Etias-aanvragen handmatig verwerken, kunnen aanvragers verzoeken om aanvullende informatie of documentatie te verstrekken. Bij dit besluit moeten de voorwaarden worden vastgesteld voor de wijze waarop aanvragers die aanvullende documenten of informatie met een speciaal instrument kunnen verstrekken. |
|
(3) |
De beveiligdeaccountdienst dient toegankelijk te zijn via een speciale openbare website en een app voor mobiele apparaten en via een beveiligde koppeling. |
|
(4) |
De beveiligdeaccountdienst dient het mogelijk te maken de identiteit van de aanvrager te bevestigen en te zorgen voor beveiligde toegang tot het instrument. Derhalve moeten de authenticatievereisten worden vastgesteld, waaronder de verstrekking van een unieke code aan de aanvrager. |
|
(5) |
Ook moet de procedure voor de indiening van aanvullende informatie of documentatie worden vastgesteld en moet de output van de beveiligdeaccountdienst worden bepaald. |
|
(6) |
Aanvragers moeten te allen tijde aanvullende informatie of documentatie kunnen indienen, binnen de overeenkomstig artikel 27, lid 2, of artikel 44, lid 3, toegewezen termijn na de datum van ontvangst van het verzoek om aanvullende informatie of documentatie. Aanvragers moeten binnen die termijn hun werk kunnen opslaan en hervatten. Na het verstrijken van de termijn dienen aanvragers geen toegang meer te hebben tot de beveiligdeaccountdienst. |
|
(7) |
De communicatiekanalen tussen de beveiligdeaccountdienst en het centrale Etias-systeem moeten worden vastgesteld. Voorts moeten het berichtformaat, de normen en protocollen, alsook de veiligheidseisen worden bepaald. |
|
(8) |
Overeenkomstig de artikelen 1 en 2 van het Protocol (nr. 22) betreffende de positie van Denemarken, gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, heeft Denemarken niet deelgenomen aan de vaststelling van Verordening (EU) 2017/2226 en is deze niet bindend voor, noch van toepassing op deze lidstaat. Omdat Verordening (EU) 2018/1240 echter voortbouwt op het Schengenacquis, heeft Denemarken op 21 december 2018 overeenkomstig artikel 4 van dat protocol zijn besluit meegedeeld dat het Verordening (EU) 2018/1240 in zijn nationale wetgeving zal omzetten. |
|
(9) |
Dit besluit houdt een ontwikkeling in van de bepalingen van het Schengenacquis waaraan het Verenigd Koninkrijk niet deelneemt, overeenkomstig Besluit 2000/365/EG van de Raad (2); het Verenigd Koninkrijk neemt derhalve niet deel aan de vaststelling van dit besluit en dit is niet bindend voor, noch van toepassing op deze lidstaat. |
|
(10) |
Dit besluit houdt een ontwikkeling in van de bepalingen van het Schengenacquis waaraan Ierland niet deelneemt, overeenkomstig Besluit 2002/192/EG van de Raad (3); Ierland neemt derhalve niet deel aan de vaststelling van dit besluit en dit is niet bindend voor, noch van toepassing op deze lidstaat. |
|
(11) |
Wat IJsland en Noorwegen betreft, houdt dit besluit een ontwikkeling in van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie en de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (4) die vallen onder het gebied bedoeld in artikel 1, onder A, van Besluit 1999/437/EG van de Raad (5). |
|
(12) |
Wat Zwitserland betreft, houdt dit besluit een ontwikkeling in van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (6) die vallen onder het gebied bedoeld in artikel 1, onder A, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2008/146/EG van de Raad (7). |
|
(13) |
Wat Liechtenstein betreft, houdt dit besluit een ontwikkeling in van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (8) die vallen onder het gebied bedoeld in artikel 1, onder A, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2011/350/EU van de Raad (9). |
|
(14) |
De Europese Toezichthouder voor gegevensbescherming is op 28 januari 2019 geraadpleegd en heeft op 8 februari 2019 een advies uitgebracht, |
HEEFT HET VOLGENDE BESLUIT VASTGESTELD:
Artikel 1
Toegang tot de beveiligdeaccountdienst
1. De beveiligdeaccountdienst is toegankelijk via:
|
a) |
de speciale openbare website bedoeld in artikel 16 van Verordening (EU) 2018/1240; |
|
b) |
de app voor mobiele apparatuur bedoeld in artikel 16 van Verordening (EU) 2018/1240; |
|
c) |
een koppeling verstrekt via de in artikel 6, lid 2, onder f), van Verordening (EU) 2018/1240 bedoelde e-maildienst van Etias. |
2. De beveiligdeaccountdienst is toegankelijk totdat:
|
a) |
de aanvrager heeft bevestigd dat de indiening van aanvullende informatie of documentatie definitief is, of |
|
b) |
de termijn bedoeld in artikel 27, lid 2, van Verordening (EU) 2018/1240 is verstreken, of |
|
c) |
de krachtens artikel 44 van Verordening (EU) 2018/1240 door de nationale Etias-eenheid vastgestelde duur is verstreken. |
Artikel 2
Tweefactorauthenticatie voor toegang tot de beveiligdeaccountdienst
1. Om een verbinding te maken met de beveiligdeaccountdienst wordt gebruikgemaakt van tweefactorauthenticatie.
2. De eerste authenticatie bestaat uit het invoeren van de volgende gegevens:
|
a) |
nummer van de aanvraag; |
|
b) |
nummer van het reisdocument. |
3. Als de aanvrager zijn aanvraagnummer niet opgeeft, bestaat de eerste authenticatie uit het invoeren van de volgende gegevens:
|
a) |
nummer van het reisdocument; |
|
b) |
land van afgifte van het reisdocument, te selecteren uit een vooraf bepaalde lijst; |
|
c) |
datum van afgifte en uiterste geldigheidsdatum van het reisdocument, en |
|
d) |
de voornamen van beide ouders. |
4. Het aanvraagnummer is het nummer dat aan aanvragers is verstrekt via de e-maildienst van Etias bij de indiening van hun aanvraag. De in lid 2 of lid 3 bedoelde overige gegevens die de aanvragers indienen, zijn de gegevens die de aanvragers ook hebben verstrekt bij de indiening van in hun aanvraag.
5. De tweede authenticatie bestaat uit het invoeren van een unieke code in de beveiligdeaccountdienst ter bevestiging van de authenticatie.
6. Bij de indiening van de informatie bedoeld in lid 2 of lid 3 wordt automatisch de in lid 4 bedoelde unieke code gegenereerd en aan de aanvrager toegezonden door middel van de e-maildienst bedoeld in artikel 6, lid 2, onder f), van Verordening (EU) 2018/1240.
7. De unieke code wordt verzonden naar het e-mailadres dat is opgegeven in de ingediende aanvraag.
8. De unieke code verstrijkt na een korte periode. Bij verzending van een nieuwe unieke code worden de unieke codes die eerder aan dezelfde aanvrager zijn verzonden, ongeldig.
9. De unieke code is slechts eenmaal bruikbaar.
Artikel 3
Indiening van aanvullende informatie of documentatie bij de beveiligdeaccountdienst
1. Voor de toepassing van artikel 27 van Verordening (EU) 2018/1240 verstrekken Etias-aanvragers aanvullende informatie of documentatie in een van de volgende formaten:
|
a) |
Portable Document Format (PDF); |
|
b) |
Joint Photographic Experts Group (JPEG), of |
|
c) |
Portable Network Graphics (PNG). |
2. Uiteindelijk kunnen op de beveiligdeaccountdienst maximaal 20 bestanden worden geüpload en mag in totaal niet meer dan 50 MB worden ingediend.
3. Binnen de toegewezen termijn bedoeld in artikel 27, lid 2, van Verordening (EU) 2018/1240 of de termijn die is bepaald door de nationale Etias-eenheid bij toepassing van artikel 44 van die verordening, kunnen aanvragers de aanvullende informatie of documentatie die zij willen indienen, opslaan en uitwerken in de beveiligdeaccountdienst. De beveiligdeaccountdienst biedt aanvragers de mogelijkheid om duidelijk aan te geven of de indiening al dan niet definitief is. De beveiligdeaccountdienst biedt aanvragers de mogelijkheid om te controleren of alle documenten correct zijn geüpload alvorens de indiening te bevestigen.
4. Aanvragers mogen documenten die zijn geüpload vóór de definitieve indiening, wissen binnen de toegewezen termijn bedoeld in artikel 27, lid 2, van Verordening (EU) 2018/1240, of de termijn die is bepaald door de nationale Etias-eenheid bij toepassing van artikel 44 van die verordening.
5. Aanvragers wordt verzocht om hun indiening te bevestigen door het betrokken vakje in de beveiligdeaccountdienst aan te vinken.
Artikel 4
Input van de beveiligdeaccountdienst
1. Bij de definitieve indiening van de aanvullende informatie en/of documentatie:
|
a) |
is een alleen uitleesbare versie van de ingediende aanvullende informatie en/of documentatie beschikbaar, met de vermelding "ingediend"; |
|
b) |
ontvangt de aanvrager via de e-maildienst van Etias een e-mailbericht om te bevestigen dat aanvullende informatie en/of documentatie is ingediend, met inbegrip van de aanduidingen en formaten van de geüploade documenten, het datumstempel van de definitieve indiening en een alfanumeriek identificatiekenmerk met vaste lengte (hashwaarde) voor de ingediende bestanden. |
2. Na de indiening van de aanvullende informatie en/of documentatie hebben aanvragers geen toegang meer tot de beveiligdeaccountdienst.
3. De beveiligdeaccountdienst bevat een ingebouwde technische oplossing die mede waarborgt dat elk document dat in het aanvraagdossier wordt opgeslagen, hetzelfde document is als de aanvrager via de beveiligdeaccountdienst heeft geüpload.
Artikel 5
Communicatie tussen de beveiligdeaccountdienst en het centrale Etias-systeem
1. Overeenkomstig de artikelen 27 of 44 van Verordening (EU) 2018/1240 stelt het centrale Etias-systeem de beveiligdeaccountdienst onmiddellijk via de beveiligde webdienst bedoeld in artikel 6, lid 2, onder l), van Verordening (EU) 2018/1240 in kennis van een verzoek om aanvullende informatie of documentatie van een nationale Etias-eenheid.
2. Bij de indiening van aanvullende informatie of documentatie door de aanvrager gaat de beveiligdeaccountdienst ertoe over:
|
a) |
hashwaarden van de ingediende bestanden te berekenen, en |
|
b) |
de aanvullende informatie of documentatie door te sturen naar het centrale Etias-systeem via de beveiligde webdienst. |
3. De beveiligde webdienst voert de nodige verificatieprocedures uit om te waarborgen dat de documenten veilig en beveiligd zijn alvorens ze naar het centrale Etias-systeem door te sturen.
4. Het centrale Etias-systeem registreert en bewaart de aanvullende informatie en/of documentatie over het aanvraagdossier overeenkomstig artikel 27, lid 9, en artikel 44, lid 3, van Verordening (EU) 2018/1240.
Artikel 6
Berichtformaat, normen en protocollen
Het berichtformaat en de toe te passen protocollen worden vastgelegd in de in artikel 73, lid 3, van Verordening (EU) 2018/1240 bedoelde technische specificaties.
Artikel 7
Specifieke overwegingen inzake beveiliging
1. De beveiligdeaccountdienst wordt zodanig opgezet en uitgevoerd dat onrechtmatige toegang is uitgesloten. Daartoe is het toegestane aantal pogingen om met hetzelfde reisdocument, hetzelfde aanvraagnummer of dezelfde unieke code toegang te krijgen tot de beveiligdeaccountdienst, beperkt. De beveiligdeaccountdienst omvat tevens maatregelen ter bescherming tegen handelingen die niet door mensen worden verricht.
2. Na enige minuten van inactiviteit past de beveiligdeaccountdienst time-outmaatregelen toe.
3. Nadere details over de vertrouwelijkheid, integriteit en beschikbaarheid van de verwerkte gegevens worden vastgesteld in de technische specificaties bedoeld in artikel 73, lid 3, van Verordening (EU) 2018/1240.
Artikel 8
Logbestanden
1. De beveiligdeaccountdienst houdt activiteitenlogbestanden bij met:
|
a) |
authenticatiegegevens, bijvoorbeeld of de authenticatie is gelukt; |
|
b) |
de datum en het tijdstip waarop de unieke code is verzonden; |
|
c) |
de datum en het tijdstip van toegang; |
|
d) |
het aantal geüploade documenten; |
|
e) |
de controle van de veiligheid en beveiliging van de documenten. |
2. Bovendien worden voor elk document de volgende gegevens bijgehouden in logbestanden:
|
a) |
de datum en het tijdstip waarop de documenten zijn geüpload; |
|
b) |
de documentnaam/-namen; |
|
c) |
de omvang van de documenten; |
|
d) |
de hashwaarden van de geüploade documenten. |
3. Logbestanden voor activiteiten en documenten worden van de beveiligdeaccountdienst naar het centrale systeem gekopieerd. Deze bestanden worden niet langer dan één jaar na het verstrijken van de bewaringstermijn van het aanvraagdossier bewaard, tenzij zij nodig zijn voor reeds aangevangen monitoringprocedures. Na die periode worden zij automatisch gewist.
Dergelijke logbestanden kunnen alleen worden gebruikt voor het in artikel 69, lid 4, van Verordening (EU) 2018/1240 genoemde doel.
Artikel 9
Dit besluit treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Gedaan te Brussel, 26 februari 2019.
Voor de Commissie
De voorzitter
Jean-Claude JUNCKER
(1) PB L 236 van 19.9.2018, blz. 1.
(2) Besluit 2000/365/EG van de Raad van 29 mei 2000 betreffende het verzoek van het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland deel te mogen nemen aan enkele van de bepalingen van het Schengenacquis (PB L 131 van 1.6.2000, blz. 43).
(3) Besluit 2002/192/EG van de Raad van 28 februari 2002 betreffende het verzoek van Ierland deel te mogen nemen aan bepalingen van het Schengenacquis (PB L 64 van 7.3.2002, blz. 20).
(4) PB L 176 van 10.7.1999, blz. 36.
(5) Besluit 1999/437/EG van de Raad van 17 mei 1999 inzake bepaalde toepassingsbepalingen van de door de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen gesloten overeenkomst inzake de wijze waarop deze twee staten worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (PB L 176 van 10.7.1999, blz. 31).
(6) PB L 53 van 27.2.2008, blz. 52.
(7) Besluit 2008/146/EG van de Raad van 28 januari 2008 betreffende de sluiting namens de Europese Gemeenschap van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (PB L 53 van 27.2.2008, blz. 1).
(8) PB L 160 van 18.6.2011, blz. 21.
(9) Besluit 2011/350/EU van de Raad van 7 maart 2011 betreffende de sluiting namens de Europese Unie van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis betreffende de afschaffing van controles aan de binnengrenzen en het verkeer van personen (PB L 160 van 18.6.2011, blz. 19).