Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32021R2103

Gedelegeerde Verordening (EU) 2021/2103 van de Commissie van 19 augustus 2021 tot vaststelling van gedetailleerde voorschriften inzake het beheer van het webportaal, krachtens artikel 49, lid 6, van Verordening (EU) 2019/818 van het Europees Parlement en de Raad

C/2021/5051

PB L 429 van 1.12.2021, p. 65–71 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_del/2021/2103/oj

1.12.2021   

NL

Publicatieblad van de Europese Unie

L 429/65


GEDELEGEERDE VERORDENING (EU) 2021/2103 VAN DE COMMISSIE

van 19 augustus 2021

tot vaststelling van gedetailleerde voorschriften inzake het beheer van het webportaal, krachtens artikel 49, lid 6, van Verordening (EU) 2019/818 van het Europees Parlement en de Raad

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) 2019/818 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van politiële en justitiële samenwerking, asiel en migratie en tot wijziging van Verordeningen (EU) 2018/1726, (EU) 2018/1862 en (EU) 2019/816 (1), en met name artikel 49, lid 6,

Overwegende hetgeen volgt:

(1)

Bij Verordening (EU) 2019/818 is, samen met Verordening (EU) 2019/817 van het Europees Parlement en de Raad (2), een kader vastgesteld om ervoor te zorgen dat de Unie-informatiesystemen op het gebied van grenzen, visa, politiële en justitiële samenwerking en asiel en migratie interoperabel zijn.

(2)

Dat kader omvat een aantal interoperabiliteitscomponenten die gepaard gaan met de verwerking van aanzienlijke hoeveelheden gevoelige persoonsgegevens. Het is belangrijk dat personen van wie gegevens aan de hand van deze componenten worden verwerkt, hun rechten als betrokkenen daadwerkelijk kunnen uitoefenen, zoals is vereist uit hoofde van Verordening (EU) 2016/679 (3), Richtlijn (EU) 2016/680 (4) en Verordening (EU) 2018/1725 (5) van het Europees Parlement en de Raad.

(3)

Om de uitoefening van het recht op informatie en op toegang tot of rectificatie, wissing of beperking van de verwerking van persoonsgegevens te vergemakkelijken, is bij Verordening (EU) 2019/818 een webportaal opgericht.

(4)

Dit webportaal moet personen van wie gegevens in de detector van meerdere identiteiten zijn verwerkt en die in kennis zijn gesteld van de aanwezigheid van een rode of witte link, in staat stellen de informatie op te vragen van de bevoegde autoriteit van de lidstaat die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

(5)

Om communicatie tussen de portaalgebruiker en de bevoegde autoriteit van de lidstaat die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten te vergemakkelijken, moet het webportaal een model-e-mail bevatten die beschikbaar is in de bij deze verordening vastgestelde talen. Het moet ook een keuzemogelijkheid bieden met betrekking tot de taal of talen die voor een antwoord moeten worden gebruikt.

(6)

Met het oog op een verduidelijking van de respectieve verantwoordelijkheden van het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), de Commissie en de lidstaten met betrekking tot het webportaal moeten deze in deze verordening worden gespecificeerd.

(7)

Met het oog op een veilige en soepele werking van dit webportaal moeten bij deze verordening regels worden vastgesteld met betrekking tot de beveiliging van de informatie op het webportaal. Bovendien moet de toegang tot het webportaal in een logbestand worden vastgelegd om misbruik te voorkomen.

(8)

Aangezien Verordening (EU) 2019/818 voortbouwt op het Schengenacquis, heeft Denemarken overeenkomstig artikel 4 van Protocol nr. 22 betreffende de positie van Denemarken, dat aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie is gehecht, kennisgegeven van de omzetting van Verordening (EU) 2019/818 in zijn nationale wetgeving. Denemarken is derhalve door deze verordening gebonden.

(9)

Deze verordening houdt een ontwikkeling in van de bepalingen van het Schengenacquis waaraan Ierland niet deelneemt (6). Ierland neemt derhalve niet deel aan de vaststelling van deze verordening en deze is niet bindend voor, noch van toepassing op deze lidstaat.

(10)

Wat IJsland en Noorwegen betreft, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie en de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (7) die vallen onder het gebied bedoeld in artikel 1, punt A, van Besluit 1999/437/EG van de Raad (8).

(11)

Wat Zwitserland betreft, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (9) die vallen onder het gebied bedoeld in artikel 1, punt A, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2008/146/EG van de Raad (10).

(12)

Wat Liechtenstein betreft, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (11) die vallen onder het gebied bedoeld in artikel 1, punt A, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2011/350/EU van de Raad (12).

(13)

Wat Cyprus, Bulgarije en Roemenië, en Kroatië betreft, vormt deze verordening een handeling die op het Schengenacquis voortbouwt of anderszins daaraan is gerelateerd in de zin van respectievelijk artikel 3, lid 1, van de Toetredingsakte van 2003, artikel 4, lid 1, van de Toetredingsakte van 2005 en artikel 4, lid 1, van de Toetredingsakte van 2011.

(14)

De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 en heeft op 31 maart 2021 een advies uitgebracht,

HEEFT DE VOLGENDE VERORDENING VASTGESTELD:

Artikel 1

Domein en toegang

1.   Het webportaal maakt gebruik van de domeinnaam “europa.eu” van de Europese Unie.

2.   De beschrijving van het webportaal wordt beschikbaar gesteld voor indexering door de voornaamste openbare zoekmachines.

3.   Het webportaal is niet alleen openbaar beschikbaar in de officiële talen van de lidstaten, maar ten minste ook in de volgende talen: Russisch, Arabisch, Japans, Chinees, Albanees, Bosnisch, Macedonisch, Hindi en Turks.

4.   Het webportaal bevat de in de artikelen 47 en 48 van Verordening (EU) 2019/818 bedoelde informatie en een zoekinstrument voor het opvragen van de contactgegevens van de bevoegde autoriteit van de lidstaat die verantwoordelijk is voor het aanmaken van een rode of witte link naar aanleiding van de manuele verificatie van meerdere identiteiten. Het webportaal kan ook andere noodzakelijke informatie bevatten die de uitoefening van de in de artikelen 47 en 48 van Verordening (EU) 2019/818 bedoelde rechten vergemakkelijkt.

5.   Het webportaal is in overeenstemming met de regels, richtsnoeren en informatie van de Europa Web Guide van de Europese Commissie, met inbegrip van de richtsnoeren inzake toegankelijkheid.

6.   Het webportaal voorkomt dat de contactgegevens van de autoriteiten beschikbaar worden gesteld voor zoekmachines en andere automatische instrumenten voor het verzamelen van contactgegevens.

Artikel 2

Belanghebbenden en verantwoordelijkheden

1.   Eu-LISA zorgt voor de ontwikkeling en het technische beheer van het webportaal, zoals bedoeld in artikel 49, lid 5, van Verordening (EU) 2019/818; daarbij gaat het onder meer om het hosten, de werking en het onderhoud van het webportaal.

2.   De Commissie verstrekt eu-LISA de inhoud van het in artikel 1, lid 4, bedoelde webportaal, alsook eventuele noodzakelijke correcties of updates.

3.   De lidstaten verstrekken eu-LISA tijdig de contactgegevens van de autoriteiten die bevoegd zijn om verzoeken als bedoeld in de artikelen 47 en 48 van Verordening (EU) 2019/818 te beoordelen en te beantwoorden, zodat de inhoud van het webportaal als bedoeld in artikel 49, lid 4, van Verordening (EU) 2019/818 regelmatig kan worden geüpload en bijgewerkt.

4.   De lidstaten stellen eu-LISA voor controle- en onderhoudsdoeleinden een centraal contactpunt ter beschikking.

5.   Eu-LISA beoordeelt de verstrekte contactgegevens en verzoekt alle lidstaten de beschikbare informatie te controleren zodat de lijst kan worden bijgewerkt met eventuele wijzigingen of aanvullingen. Deze controle vindt ten minste éénmaal per jaar plaats.

6.   Met betrekking tot de verwerking van gegevens op het webportaal zijn de autoriteiten van de lidstaten verwerkingsverantwoordelijken in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 of artikel 3, punt 8, van Richtlijn (EU) 2016/680.

7.   Met betrekking tot de verwerking van persoonsgegevens op het webportaal is eu-LISA de verwerker in de zin van artikel 3, punt 12, van Verordening (EU) 2018/1725.

Artikel 3

Gebruikersinterface

1.   Het webportaal bevat een zoekinstrument waarmee gebruikers de referentie kunnen invoeren van de voor de manuele verificatie van de verschillende identiteiten verantwoordelijke autoriteit als bedoeld in artikel 34, punt d), van Verordening (EU) 2019/818, om de contactgegevens van die autoriteit op te vragen.

2.   Na verificatie van de geldigheid en volledigheid van de ingevoerde gegevens vraagt het webportaal de contactgegevens van die autoriteit op overeenkomstig artikel 49, lid 3, van Verordening (EU) 2019/818.

3.   Het webportaal biedt de gebruiker de mogelijkheid via een webformulier een verzoek om informatie op te stellen aan de hand van een model-e-mail om de communicatie met de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten te vergemakkelijken. Het model bevat een veld voor het unieke identificatienummer als bedoeld in artikel 34, punt c), van Verordening (EU) 2019/818, zodat die autoriteit de desbetreffende gegevens over de link en de bijbehorende bestanden kan opvragen.

4.   De model-e-mail bevat een gestandaardiseerd verzoek om nadere informatie, dat beschikbaar is in de in artikel 1, lid 3, bedoelde talen. De model-e-mail is opgenomen in de bijlage. De model-e-mail biedt ook een keuzemogelijkheid met betrekking tot de taal of talen die voor een antwoord moeten worden gebruikt; deze bevat ten minste twee door elke lidstaat te kiezen talen. De taal van de model-e-mail kan door de gebruiker worden gekozen.

5.   Na indiening van de ingevulde model-e-mail via het webformulier wordt aan de gebruiker een automatische bevestigingsmail gestuurd, die de contactgegevens bevat van de voor de verdere behandeling van dit verzoek verantwoordelijke autoriteit en die het voor de betrokkene mogelijk maakt zijn rechten uit te oefenen overeenkomstig artikel 48, lid 1, van Verordening (EU) 2019/818.

Artikel 4

Inhoudsbeheer

1.   Op het webportaal zijn de webpagina’s met informatie voor het grote publiek gescheiden van de zoekmachine en de webpagina’s waarmee de gebruiker de contactgegevens kan opvragen van de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

2.   Om het beheer van de inhoud door eu-LISA mogelijk te maken, bevat het webportaal een beveiligde beheerinterface. De toegang tot deze interface en de uitgevoerde wijzigingen worden vastgelegd in een logbestand overeenkomstig artikel 7.

3.   De beheerinterface verleent eu-LISA het recht om inhoud aan het webportaal toe te voegen en bestaande inhoud te wijzigen of te verwijderen. Deze interface biedt eu-LISA in geen geval toegang tot gegevens die betrekking hebben op onderdanen van derde landen en in de EU-informatiesystemen zijn opgeslagen.

4.   De oplossing voor het beheer van de inhoud moet voorzien in een faseringssysteem waar alle wijzigingen kunnen worden voorbereid, bekeken en doorgestuurd naar het onlinesysteem voor publicatie op een bepaald tijdstip. De fasering moet ook tools omvatten om het beheer van de inhoud te vergemakkelijken en een voorbeeldweergave van het resultaat van wijzigingen te bekijken.

Artikel 5

Overwegingen in verband met beveiliging

1.   Het webportaal wordt zodanig ontworpen en gerealiseerd dat de vertrouwelijkheid, integriteit en beschikbaarheid van de diensten en de onweerlegbaarheid van transacties worden gewaarborgd door ten minste de volgende beveiligingsbeginselen toe te passen:

a)

verdediging in de diepte (gelaagde beveiligingsmechanismen);

b)

positief beveiligingsmodel (definiëren wat toegestaan is en al het overige verwerpen);

c)

veilige foutafhandeling (beveiligde afhandeling van fouten);

d)

het principe van het minste voorrecht;

e)

beveiliging eenvoudig houden (complexe architecturen vermijden wanneer een eenvoudigere aanpak sneller en eenvoudiger zou zijn);

f)

inbraak opsporen en voorkomen (alle voor beveiliging relevante informatie vastleggen in een logbestand en beheren) door proactieve controles toe te passen op de bescherming van de informatie op het webportaal en de contactgegevens van de lidstaten tegen cyberaanvallen en data leakage;

g)

infrastructuur niet vertrouwen (de applicatie moet elke actie die uitgaat van andere systemen authenticeren en toestaan);

h)

diensten niet vertrouwen (geen enkel extern systeem wordt vertrouwd);

i)

voor veilige standaardinstellingen zorgen (software- en besturingssysteemomgevingen moeten worden versterkt overeenkomstig de beste praktijken en normen van de bedrijfstak).

2.   Het webportaal wordt tevens zodanig ontworpen en gerealiseerd dat de beschikbaarheid en integriteit van de opgeslagen logbestanden wordt gewaarborgd.

3.   Met het oog op beveiliging en gegevensbescherming bevat het webportaal een kennisgeving waarin de gebruikers worden geïnformeerd over de regels voor het gebruik van het webportaal en over de gevolgen van het verstrekken van onjuiste informatie. De kennisgeving bevat een akkoordverklaringsformulier met de regels voor het gebruik van het webportaal, dat door de gebruiker moet worden ingediend voordat hij het webportaal mag gebruiken.

De technische en organisatorische realisatie van het webportaal is in overeenstemming met het veiligheidsplan, het bedrijfscontinuïteitsplan en het uitwijkplan als bedoeld in artikel 42, lid 3, van Verordening (EU) 2019/818.

Artikel 6

Gegevensbescherming en rechten van betrokkenen

1.   Het webportaal voldoet aan de voorschriften inzake gegevensbescherming van Verordening (EU) 2016/679, Verordening (EU) 2018/1725 en Richtlijn (EU) 2016/680.

2.   Het webportaal bevat een privacyverklaring. De verklaring is toegankelijk via een speciale link. Zij is tevens toegankelijk vanaf elke pagina van het webportaal. De verklaring wordt duidelijk en volledig geformuleerd.

Artikel 7

Logbestanden

1.   Onverminderd de in artikel 48, lid 10, van Verordening (EU) 2019/818 bedoelde schriftelijke documenten wordt alle toegang tot het webportaal vastgelegd in een logbestand met de volgende informatie:

a)

het IP-adres van het door de verzoeker gebruikte systeem;

b)

de datum en het tijdstip van het verzoek;

c)

technische informatie over de omgeving die voor het verzoek is gebruikt, zoals het type apparaat, de versie van het besturingssysteem, het model en de versie van de browser.

2.   De vastgelegde informatie wordt uitsluitend gebruikt voor statistische doeleinden en om het gebruik van het webportaal te monitoren ter voorkoming van misbruik.

3.   Bij toegang tot de beheerinterface van het webportaal worden naast de in lid 1 bedoelde gegevens ook de volgende gegevens in een logbestand vastgelegd:

a)

identificatie van de gebruiker die toegang heeft gekregen tot de beheerinterface;

b)

handelingen op het webportaal (toevoeging, wijziging of verwijdering van inhoud).

4.   Aanvullende anonieme technische informatie kan tijdens het gebruik van het webportaal in een logbestand worden vastgelegd om het gebruik en de prestaties ervan te optimaliseren, zolang dergelijke informatie geen persoonsgegevens bevat.

5.   De overeenkomstig de leden 1 en 3 vastgelegde informatie wordt gedurende ten hoogste twee jaar bewaard.

6.   Eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op het webportaal.

7.   Eu-LISA, de autoriteiten van de lidstaten en de agentschappen van de Unie stellen elk een lijst op van de personeelsleden die naar behoren gemachtigd zijn om toegang te krijgen tot de logbestanden van de gegevensverwerkingsverrichtingen van het webportaal.

Artikel 8

Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in de lidstaten overeenkomstig de Verdragen.

Gedaan te Brussel, 19 augustus 2021.

Voor de Commissie

De voorzitter

Ursula VON DER LEYEN


(1)   PB L 135 van 22.5.2019, blz. 85.

(2)  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad (PB L 135 van 22.5.2019, blz. 27).

(3)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(4)  Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).

(5)  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(6)  Deze verordening valt niet onder de werkingssfeer van de maatregelen waarin is voorzien bij Besluit 2002/192/EG van de Raad van 28 februari 2002 betreffende het verzoek van Ierland deel te mogen nemen aan bepalingen van het Schengenacquis (PB L 64 van 7.3.2002, blz. 20).

(7)   PB L 176 van 10.7.1999, blz. 36.

(8)  Besluit 1999/437/EG van de Raad van 17 mei 1999 inzake bepaalde toepassingsbepalingen van de door de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen gesloten overeenkomst inzake de wijze waarop deze twee staten worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (PB L 176 van 10.7.1999, blz. 31).

(9)   PB L 53 van 27.2.2008, blz. 52.

(10)  Besluit 2008/146/EG van de Raad van 28 januari 2008 betreffende de sluiting namens de Europese Gemeenschap van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (PB L 53 van 27.2.2008, blz. 1).

(11)   PB L 160 van 18.6.2011, blz. 21.

(12)  Besluit 2011/350/EU van de Raad van 7 maart 2011 betreffende de sluiting namens de Europese Unie van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis betreffende de afschaffing van controles aan de binnengrenzen en het verkeer van personen (PB L 160 van 18.6.2011, blz. 19).


BIJLAGE

Model-e-mail voor verzoek om informatie

Het model voor de e-mail is als volgt:

 

AAN: < de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit waarvan de gegevens via het portaal zijn opgevraagd >

 

VAN: < e-mailadres van de gebruiker >

 

BETREFT: Verzoek om informatie in verband met de detector van meerdere identiteiten [rode link/witte link]: < uniek identificatienummer >

Tekstgedeelte:

Geachte mevrouw, geachte heer,

Ik heb schriftelijk, via een formulier, bericht gekregen over mogelijke verschillen in mijn persoonsgegevens.

Deze mogelijke verschillen in mijn identiteitsgegevens hebben geleid tot de aanmaak van een dossier met referentie < uniek identificatienummer >.

Ik wens graag alle verdere informatie over deze zaak uiterlijk < datum door het portaal te berekenen > in het < taal  (1) > op dit e-mailadres te ontvangen.


(1)  Uitklapmenu met door elke lidstaat te bepalen taalopties.


Top