51999AG0028

GEMEENSCHAPPELIJK STANDPUNT (EG) Nr. 28/1999

door de Raad vastgesteld op 28 juni 1999

met het oog op de aanneming van Richtlijn 1999/.../EG van het Europees Parlement en de Raad betreffende een gemeenschappelijk kader voor elektronische handtekeningen

(1999/C 243/02)

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 47, lid 2, artikel 55 en artikel 95,

Gezien het voorstel van de Commissie(1),

Gezien het advies van het Economisch en Sociaal Comité(2),

Gezien het advies van het Comité van de Regio's(3),

Volgens de procedure van artikel 251 van het Verdrag(4),

(1) Overwegende dat de Commissie op 16 april 1997 bij het Europees Parlement, de Raad, het Economisch en Sociaal Comité van de Regio's een mededeling heeft ingediend over een Europees initiatief inzake elektronische handel;

(2) Overwegende dat de Commissie op 8 oktober 1997 bij het Europees Parlement, de Raad, het Economisch en Sociaal Comité en het Comité van de Regio's een mededeling heeft ingediend "Zorgen voor veiligheid en vertrouwen in elektronische communicatie - Naar een Europees kader voor digitale handtekeningen en encryptie";

(3) Overwegende dat de Raad op 1 december 1997 de Commissie heeft opgeroepen zo spoedig mogelijk een voorstel in te dienen voor een richtlijn van het Europees Parlement en van de Raad betreffende digitale handtekeningen;

(4) Overwegende dat voor elektronische communicatie en handel "elektronische handtekeningen" en daarmee verwante diensten die authentificatie mogelijk maken, vereist zijn; dat uiteenlopende regels voor de wettelijke erkenning van elektronische handtekeningen en voor de accreditatie van certificatiedienstverleners in de lidstaten grote belemmeringen kunnen opwerpen voor het gebruik van elektronische communicatie en voor de elektronische handel; dat duidelijke gemeenschappelijke randvoorwaarden voor elektronische handtekeningen anderzijds het vertrouwen in en de algemene aanvaarding van de nieuwe technologieën zullen bevorderen; dat wetgeving in de lidstaten het vrije verkeer van goederen en diensten binnen de interne markt niet mag belemmeren;

(5) Overwegende dat de interoperabiliteit van producten voor elektronische handtekeningen moet worden bevorderd; dat, in overeenstemming met artikel 14 van het Verdrag, de interne markt een gebied is zonder binnengrenzen waarin het vrije verkeer van goederen moet worden gewaarborgd; dat moet worden voldaan aan essentiële eisen die specifiek zijn voor producten voor elektronische handtekeningen, zodat het vrije verkeer in de interne markt wordt gewaarborgd en het vertrouwen in elektronische handtekeningen kan worden opgebouwd, onverminderd Verordening (EG) nr. 3381/94 van de Raad van 19 december 1994 tot instelling van een communautaire regeling voor exportcontrole op goederen voor tweeërlei gebruik(5) en Besluit 94/942/GBVB van de Raad van 19 december 1994 betreffende het gemeenschappelijke optreden door de Raad vastgesteld op grond van artikel J.3 van het Verdrag betreffende de Europese Unie ten aanzien van de controle op de uitvoer uit de Gemeenschap van goederen voor tweeërlei gebruik(6);

(6) Overwegende dat deze richtlijn niet ziet op de harmonisatie van het leveren van diensten met betrekking tot de vertrouwelijkheid van gegevens, wanneer die diensten onder nationale regelgeving inzake de openbare orde of openbare veiligheid vallen;

(7) Overwegende dat de interne markt ook het vrije verkeer van personen verzekert, waardoor burgers en ingezetenen van de Europese Unie steeds meer moeten omgaan met de autoriteiten van andere lidstaten dan die waar zij verblijven; dat de beschikbaarheid van elektronische communicatie in dit verband grote diensten kan bewijzen;

(8) Overwegende dat de snelle technologische ontwikkelingen en de wereldwijde omvang van het Internet een aanpak vereisen die openstaat voor de verschillende technologieën en diensten die elektronische authentificatie mogelijk maken;

(9) Overwegende dat elektronische handtekeningen in zeer uiteenlopende omstandigheden en toepassingen zullen worden gebruikt, hetgeen zal resulteren in een breed scala van nieuwe producten en diensten die verband houden met elektronische handtekening; dat de definitie van dergelijke producten en diensten niet beperkt mag blijven tot afgifte en beheer van certificaten, maar ook alle producten en diensten moet omvatten die gebruik maken van of een hulpmiddel zijn voor elektronische handtekeningen, zoals registratiediensten, tijdstempeldiensten, directorydiensten, computerdiensten of adviesverlening inzake elektronische handtekeningen;

(10) Overwegende dat de interne markt het certificatiedienstverleners mogelijk maakt grensoverschrijdende activiteiten te ontwikkelen om hun concurrentiepositie te verbeteren, en aldus consumenten en bedrijven nieuwe mogelijkheden te bieden inzake veilige elektronische informatie-uitwisseling en handel, over de grenzen heen; dat, teneinde in de hele Gemeenschap het leveren, via open netwerken, van certificatiediensten te bevorderen, de certificatiedienstverleners hun diensten vrij zonder voorafgaande machtiging moeten kunnen aanbieden; dat onder voorafgaande machtiging niet alleen elke vergunning wordt verstaan waarvoor de certificatiedienstverlener een besluit van de nationale autoriteiten moet verkrijgen voordat hij zijn certificatiediensten mag verlenen, maar ook alle andere maatregelen met hetzelfde effect;

(11) Overwegende dat vrijwillige-accreditatieregelingen, die beogen de dienstverlening te verbeteren, certificatiedienstverleners een passend kader kunnen bieden om hun diensten verder te ontwikkelen en het door de markt verlangde niveau van vertrouwen, veiligheid en kwaliteit te bereiken; dat dergelijke regelingen de ontwikkeling dienen te bevorderen van beste praktijken van certificatiedienstverleners; dat het certificatiedienstverleners vrij moet staan zich te laten accrediteren en van dergelijke accreditatieregelingen gebruik te maken;

(12) Overwegende dat certificatiediensten kunnen worden aangeboden door hetzij een dienst, hetzij een natuurlijke of rechtspersoon zodra die overeenkomstig de nationale wetgeving gevestigd is; dat de lidstaten de certificatiedienstverleners niet mogen verbieden buiten dergelijke accreditatieregelingen te werken; dat ervoor moet worden gezorgd dat accreditatieregelingen de concurrentie voor certificatiediensten niet beperken;

(13) Overwegende dat de lidstaten kunnen bepalen hoe zij het toezicht op de naleving van deze richtlijn zullen waarborgen; dat deze richtlijn niet uitsluit dat vanuit de particuliere sector toezichtsystemen worden opgezet; dat deze richtlijn de certificatiedienstverleners er niet toe verplicht om toezicht in het kader van een geldende accreditatieregeling te verzoeken;

(14) Overwegende dat het van belang is een evenwicht te vinden tussen de behoeften van de consumenten en die van het bedrijfsleven;

(15) Overwegende dat bijlage III betrekking heeft op eisen voor veilige middelen voor het aanmaken van handtekeningen die moeten instaan voor de functionaliteit van geavanceerde elektronische handtekeningen; dat bijlage III niet de hele systeemomgeving bestrijkt waarbinnen dergelijke middelen functioneren; dat de werking van de interne markt vereist dat de Commissie en de lidstaten snel de aanwijzing mogelijk maken van de instanties die belast worden met de overeenstemmingsbeoordeling van veilige middelen voor het aanmaken van handtekeningen met bijlage III; dat de overeenstemming met gepaste spoed en doeltreffend moet worden beoordeeld teneinde te voldoen aan de behoeften van de markt;

(16) Overwegende dat deze richtlijn bijdraagt tot het gebruik en de wettelijke erkenning van elektronische handtekeningen in de Gemeenschap; dat er geen behoefte bestaat aan een regelgevend kader voor elektronische handtekeningen die uitsluitend in gesloten systemen worden gebruikt; dat elektronische handtekeningen die voldoen aan de eisen van deze richtlijn en die gebruikt worden binnen gesloten gebruikersgroepen wettelijk moeten worden erkend; dat de vrijheid van partijen om onderling voorwaarden overeen te komen voor het aanvaarden van elektronisch ondertekende gegevens moet worden geëerbiedigd in de mate die door het nationale recht wordt toegestaan;

(17) Overwegende dat deze richtlijn niet is gericht op de harmonisatie van nationale regels met betrekking tot het contractenrecht, en in het bijzonder betreffende het aangaan en uitvoeren van contracten, of andere niet-contractuele formaliteiten waarvoor handtekeningen vereist zijn; dat derhalve de bepalingen betreffende de rechtsgevolgen van elektronische handtekeningen geen afbreuk mogen doen aan de nationale wettelijke vormvereisten met betrekking tot het sluiten van contracten of de regels die bepalen waar een contract gesloten wordt;

(18) Overwegende dat het opslaan of kopiëren van gegevens voor het aanmaken van handtekeningen een ernstige bedreiging voor de rechtsgeldigheid van elektronische handtekeningen zou kunnen vormen;

(19) Overwegende dat elektronische handtekeningen door de openbare sector zullen worden gebruikt in de ambtelijke diensten van de lidstaten en van de Gemeenschap, alsmede bij de communicatie tussen deze diensten en met de burgers en met de economische actoren, bijvoorbeeld in het kader van overheidsopdrachten, belastingen, sociale zekerheid, gezondheid en justitie;

(20) Overwegende dat geharmoniseerde criteria in verband met de rechtsgevolgen van elektronische handtekeningen een samenhangend wettelijk kader in de gehele Gemeenschap zullen garanderen; dat de nationale wetgeving verschillende voorschriften inzake de rechtsgeldigheid van handgeschreven handtekeningen bevat; dat certificaten kunnen worden gebruikt om de dienst te bevestigen van een persoon die elektronisch ondertekent; dat geavanceerde elektronische handtekeningen die zijn gebaseerd op gekwalificeerde certificaten bedoeld zijn om de veiligheid te vergroten; dat geavanceerde elektronische handtekeningen die zijn gebaseerd op een gekwalificeerd certificaat en die zijn aangemaakt met een veilig middel voor het aanmaken van handtekeningen alleen als juridisch gelijkwaardig met handgeschreven handtekeningen kunnen worden beschouwd indien aan deze voorschriften voor handgeschreven handtekeningen is voldaan;

(21) Overwegende dat, teneinde bij te dragen tot de algemene aanvaarding van elektronische authentificatiemethodes, ervoor moet worden gezorgd dat elektronische handtekeningen in alle lidstaten in rechtszaken als bewijsmiddel kunnen worden gebruikt; dat de wettelijke erkenning van elektronische handtekeningen moet worden gebaseerd op objectieve criteria en niet mag worden gekoppeld aan de machtiging van de betrokken dienstverlener; dat de nationale wetgeving van toepassing is op het gebruik van elektronische documenten en elektronische handtekeningen; dat deze richtlijn geen afbreuk doet aan de mogelijkheid voor een nationale rechtbank om uitspraak te doen over de overeenstemming met de eisen van de richtlijn en dat zij de nationale regels in verband met de vrije beoordeling van bewijsmiddelen door de rechter onverlet laat;

(22) Overwegende dat certificatiedienstverleners die aan het publiek certificatiediensten aanbieden, zijn onderworpen aan de nationale aansprakelijkheidsregels;

(23) Overwegende dat voor de ontwikkeling van de internationale handel grensoverschrijdende afspraken met derde landen vereist zijn;

(24) Overwegende dat, teneinde het vertrouwen van de gebruiker in elektronische communicatie en elektronische handel te bevorderen, de certificatiedienstverleners de wetgeving inzake gegevensbescherming en bescherming van de persoonlijke levenssfeer moeten naleven;

(25) Overwegende dat de bepaling inzake het gebruik van pseudoniemen in certificaten de lidstaten niet belet op grond van de communautaire of de nationale wetgeving de identificatie van personen te eisen;

(26) Overwegende dat de Commissie voor de toepassing van deze richtlijn moet worden bijgestaan door een beheerscomité;

(27) Overwegende dat de Commissie twee jaar na de uitvoering van deze richtlijn een evaluatie daarvan zal uitvoeren, onder andere om te waarborgen dat de vooruitgang van de techniek of wijzigingen in het juridische kader geen belemmeringen voor de verwezenlijking van de in deze richtlijn vervatte doelstellingen hebben opgeworpen; dat zij de implicaties van verwante technische sectoren moet onderzoeken en daarover een verslag aan het Parlement en de Raad moet voorleggen;

(28) Overwegende dat in overeenstemming met de beginselen van subsidiariteit en evenredigheid zoals bedoeld in artikel 5 van het Verdrag, de doelstelling een geharmoniseerd juridisch kader te creëren voor elektronische handtekeningen en daarmee verband houdende diensten niet in voldoende mate door de lidstaten kan worden verwezenlijkt en derhalve beter door de Gemeenschap kan worden verwezenlijkt; dat deze richtlijn niet verder gaat dan wat nodig is om deze doelstelling te verwezenlijken,

HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:

Artikel 1

Toepassingsgebied

Deze richtlijn heeft tot doel het gebruik van elektronische handtekeningen te vergemakkelijken en tot de wettelijke erkenning ervan bij te dragen. Zij brengt een juridisch kader tot stand voor elektronische handtekeningen en voor bepaalde certificatiediensten, teneinde de goede werking van de interne markt te garanderen.

Deze richtlijn heeft geen betrekking op aspecten die verband houden met de totstandkoming of geldigheid van contracten of andere wettelijke verbintenissen waarvoor het nationale of het Gemeenschapsrecht vormvereisten voorschrijven en laat de regels en beperkingen onverlet die het nationale of het Gemeenschapsrecht voorschrijven voor het gebruik van documenten.

Artikel 2

Definities

Voor de toepassing van deze richtlijn wordt verstaan onder:

1. "elektronische handtekening": elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authentificatie;

2. "geavanceerde elektronische handtekening": een elektronische handtekening die voldoet aan de volgende eisen:

a) zij is op unieke wijze aan de ondertekenaar verbonden;

b) zij maakt het mogelijk de ondertekenaar te identificeren;

c) zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; en

d) zij is op zodanige wijze aan de gegevens waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord;

3. "ondertekenaar": een persoon die de beschikking heeft over een middel voor het aanmaken van handtekeningen en handelt hetzij uit eigen naam hetzij uit naam van de dienst of de natuurlijke of rechtspersoon die hij vertegenwoordigt;

4. "gegevens voor het aanmaken van handtekeningen": unieke gegevens, zoals codes of cryptografische privé-sleutels, die door de ondertekenaar worden gebruikt om een elektronische handtekening aan te maken;

5. "middel voor het aanmaken van handtekeningen": geconfigureerde software of hardware die wordt gebruikt om de gegevens voor het aanmaken van handtekeningen te implementeren;

6. "veilig middel voor het aanmaken van handtekeningen": een middel voor het aanmaken van handtekeningen dat voldoet aan de eisen van bijlage III;

7. "gegevens voor het verifiëren van een handtekening": gegevens, zoals codes of cryptografische openbare sleutels, die worden gebruikt voor het verifiëren van een elektronische handtekening;

8. "middel voor het verifiëren van een handtekening": geconfigureerde software of hardware die wordt gebruikt om de gegevens voor het verifiëren van een handtekening te implementeren;

9. "certificaat": een elektronische bevestiging die gegevens voor het verifiëren van een handtekening aan een bepaalde persoon verbindt en de identiteit van die persoon bevestigt;

10. "gekwalificeerd certificaat": een certificaat dat voldoet aan de eisen van bijlage I en is afgegeven door een certificatiedienstverlener die voldoet aan de eisen van bijlage II;

11. "certificatiedienstverlener": een dienst of een natuurlijke of rechtspersoon die certificaten afgeeft of andere diensten in verband met elektronische handtekeningen verleent;

12. "product voor elektronische handtekeningen": software of hardware, of relevante componenten daarvan, die door certificatiedienstverleners kunnen worden gebruikt om diensten op het gebied van elektronische handtekeningen te verlenen of die voor het aanmaken of verifiëren van elektronische handtekeningen kunnen worden gebruikt;

13. "vrijwillige accreditatie": een vergunning waarin de rechten en verplichtingen betreffende de verlening van certificatiediensten zijn vermeld en die op verzoek van de betrokken certificatiedienstverlener wordt afgegeven door de openbare of particuliere instantie die belast is met de vastlegging en de handhaving van die rechten en verplichtingen, wanneer de certificatiedienstverlener de uit de vergunning voortvloeiende rechten niet kan uitoefenen zolang hij het besluit van die instantie niet heeft ontvangen.

Artikel 3

Markttoegang

1. De lidstaten stellen het verlenen van certificatiediensten niet afhankelijk van voorafgaande machtiging.

2. Onverminderd het bepaalde in lid 1, mogen de lidstaten vrijwillige-accreditatieregelingen invoeren of handhaven die op verbetering van de certificatiediensten zijn gericht. Alle voorwaarden betreffende dergelijke regelingen moeten objectief, transparant, evenredig en niet-discriminerend zijn. De lidstaten mogen het aantal geaccrediteerde certificatiedienstverleners niet beperken om redenen die onder het toepassingsgebied van deze richtlijn vallen.

3. De lidstaten zorgen voor een passend systeem voor toezicht op de op hun grondgebied gevestigde certificatiedienstverleners die gekwalificeerde certificaten aan het publiek afgeven.

4. De overeenstemming van veilige middelen voor het aanmaken van handtekeningen met de eisen van bijlage III wordt vastgesteld door passende openbare of particuliere instanties die door de lidstaten worden aangewezen. De Commissie stelt volgens de procedure van artikel 9 de criteria vast aan de hand waarvan de lidstaten bepalen of een instantie voor aanwijzing geschikt is.

De bevindingen van de in de eerste alinea bedoelde instanties met betrekking tot de overeenstemming met de eisen van bijlage III worden door alle lidstaten erkend.

5. De Commissie kan, volgens de procedure van artikel 9, referentienummers van algemeen erkende normen voor producten voor elektronische handtekeningen vaststellen en in het Publicatieblad van de Europese Gemeenschappen bekendmaken. Wanneer een product voor elektronische handtekeningen aan dergelijke normen voldoet, gaan de lidstaten ervan uit dat het met de eisen van bijlage II, punt f), en bijlage III, in overeenstemming is.

6. De lidstaten en de Commissie werken samen om de ontwikkeling en het gebruik van middelen voor het verifiëren van handtekeningen te bevorderen en houden daarbij de in bijlage IV opgenomen aanbevelingen voor het veilig verifiëren van handtekeningen alsmede het belang van de consument voor ogen.

7. De lidstaten kunnen voor het gebruik van elektronische handtekeningen in de openbare sector eventuele aanvullende eisen stellen. Deze eisen moeten objectief, transparant, evenredig en niet-discriminerend zijn en mogen slechts op de specifieke kenmerken van de betrokken toepassing betrekking hebben. Zij mogen geen belemmering vormen voor grensoverschrijdende diensten.

Artikel 4

Beginselen betreffende de interne markt

1. Elke lidstaat past de nationale bepalingen die hij krachtens deze richtlijn vaststelt toe ten aanzien van de op zijn grondgebied gevestigde certificatiedienstverleners en van de diensten die zij verrichten. De lidstaten mogen het verlenen van certificatiediensten vanuit een andere lidstaat op gebieden die onder deze richtlijn vallen niet beperken.

2. De lidstaten waarborgen het vrije verkeer in de interne markt van producten voor elektronische handtekeningen die aan deze richtlijn voldoen.

Artikel 5

Rechtsgevolgen van elektronische handtekeningen

1. De lidstaten zorgen ervoor dat geavanceerde elektronische handtekeningen die zijn gebaseerd op een gekwalificeerd certificaat en die door een veilig middel zijn aangemaakt:

a) ten aanzien van gegevens in elektronische vorm voldoen aan alle wettelijke eisen voor een handtekening, net zoals een handgeschreven handtekening zulks doet voor gegevens op een papieren drager, alsmede

b) als bewijsmiddel in gerechtelijke procedures worden toegelaten.

2. De lidstaten zorgen ervoor dat een elektronische handtekening geen rechtsgevolgen wordt ontzegd en dat zij niet als bewijsmiddel in gerechtelijke procedures kan worden geweigerd louter op grond van het feit dat:

- de handtekening in elektronische vorm is gesteld, of

- niet is gebaseerd op een gekwalificeerd certificaat, of

- niet is gebaseerd op een door een geaccrediteerd certificatiedienstverlener afgegeven certificaat, of

- niet met een veilig middel is aangemaakt.

Artikel 6

Aansprakelijkheid

1. De lidstaten zorgen er ten minste voor dat een certificatiedienstverlener die een certificaat als gekwalificeerd certificaat aan het publiek afgeeft, of die zich publiekelijk borg stelt voor een dergelijk certificaat, aansprakelijk is voor schade die diensten of natuurlijke of rechtspersonen die in redelijkheid op dit certificaat vertrouwen ondervinden, in samenhang met:

a) de juistheid, op het tijdstip van afgifte, van alle gegevens in het gekwalificeerde certificaat;

b) de garantie dat de in het gekwalificeerd certificaat geïdentificeerde ondertekenaar, op het tijdstip van de afgifte van het certificaat, houder was van de gegevens voor het aanmaken van de handtekening, die met de in het certificaat gegeven of geïdentificeerde gegevens voor het verifiëren van een handtekening overeenstemmen;

c) de garantie dat de gegevens voor het aanmaken van de handtekening en die voor het verifiëren van de handtekening, ingeval zij beide door de certificatiedienstverlener worden gegenereerd, complementair kunnen worden gebruikt;

tenzij de certificatiedienstverlener bewijst dat hij niet nalatig heeft gehandeld.

2. De lidstaten zorgen er ten minste voor dat een certificatiedienstverlener die een certificaat als gekwalificeerd certificaat aan het publiek heeft afgegeven, aansprakelijk is voor de schade die bij diensten of natuurlijke of rechtspersonen die in redelijkheid op het certificaat hebben vertrouwd, is ontstaan doordat de intrekking van het certificaat niet werd geregistreerd; de certificatiedienstverlener bewijst dat hij niet nalatig heeft gehandeld.

3. De lidstaten zorgen ervoor dat een certificatiedienstverlener in een gekwalificeerd certificaat beperkingen betreffende het gebruik van dat certificaat kan aangeven, doch met dien verstande dat die beperkingen voor derden herkenbaar moeten zijn. De certificatiedienstverlener is niet aansprakelijk voor schade die voortvloeit uit gebruik van een gekwalificeerd certificaat waarbij de op het certificaat aangegeven beperkingen worden overschreden.

4. De lidstaten zorgen ervoor dat certificatiedienstverleners in het gekwalificeerd certificaat een grens kunnen aangeven voor de waarde van de transacties waarvoor het certificaat kan worden gebruikt, doch met dien verstande dat die grens voor derden herkenbaar moet zijn.

5. De leden 1 tot en met 4 doen geen afbreuk aan Richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten(7).

Artikel 7

Internationale aspecten

1. De lidstaten zorgen ervoor, dat certificaten die door een in een derde land gevestigde certificatiedienstverlener als gekwalificeerd certificaat aan het publiek worden afgegeven, worden gelijkgesteld met certificaten die door een in de Gemeenschap gevestigde certificatiedienstverlener worden afgegeven, indien

a) de certificatiedienstverlener voldoet aan de eisen van deze richtlijn en in het kader van een in een lidstaat van de Europese Gemeenschap ingestelde vrijwillige-accreditatieregeling is geaccrediteerd; dan wel

b) een in de Gemeenschap gevestigde certificatiedienstverlener die voldoet aan de eisen van deze richtlijn, zich voor het certificaat borg stelt; dan wel

c) het certificaat of de certificatiedienstverlener is erkend in het kader van een bilaterale of multilaterale overeenkomst tussen de Gemeenschap en derde landen of internationale organisaties.

2. Teneinde grensoverschrijdende certificatiediensten waarbij derde landen zijn betrokken en de wettelijke erkenning van geavanceerde elektronische handtekeningen afkomstig uit derde landen te vergemakkelijken, doet de Commissie passende voorstellen om de effectieve uitvoering van normen en internationale overeenkomsten inzake certificatiediensten te bereiken. Met name, en indien nodig, dient zij bij de Raad voorstellen in voor passende onderhandelingsmandaten voor bilaterale en multilaterale overeenkomsten met derde landen en internationale organisaties. De Raad besluit met gekwalificeerde meerderheid van stemmen.

3. Wordt de Commissie in kennis gesteld van moeilijkheden die ondernemingen uit de Gemeenschap ondervinden om toegang te verkrijgen tot de markt van derde landen, dan kan zij zo nodig aan de Raad voorstellen doen voor een passend mandaat voor onderhandelingen over vergelijkbare rechten voor ondernemingen uit de Gemeenschap in die derde landen. De Raad besluit met gekwalificeerde meerderheid van stemmen.

Overeenkomstig dit lid genomen maatregelen laten de krachtens de toepasselijke internationale overeenkomsten op de Gemeenschap en de lidstaten rustende verplichtingen onverlet.

Artikel 8

Gegevensbescherming

1. De lidstaten zorgen ervoor dat de certificatiedienstverleners en de met accreditatie of toezicht belaste nationale instanties voldoen aan de eisen van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(8).

2. De lidstaten zorgen ervoor dat een certificatiedienstverlener die certificaten aan het publiek afgeeft persoonsgegevens niet anders kan verkrijgen dan rechtstreeks van de betrokkene zelf of met diens uitdrukkelijke toestemming, en slechts voor zover de afgifte en het beheer van het certificaat zulks vereisen. Zonder uitdrukkelijke toestemming van de betrokkene mogen gegevens niet voor andere doeleinden worden verzameld of verwerkt.

3. Onverminderd de rechtsgevolgen van pseudoniemen in het nationale recht, mogen de lidstaten niet verhinderen dat certificatiedienstverleners op het certificaat een pseudoniem vermelden in plaats van de werkelijke naam van de ondertekenaar.

Artikel 9

Comité

1. Er wordt een Comité voor elektronische handtekeningen ingesteld (hierna "het comité" te noemen). Het comité bestaat uit vertegenwoordigers van de lidstaten en wordt voorgezeten door de vertegenwoordiger van de Commissie.

2. De Commissie wordt bijgestaan door het comité.

3. De vertegenwoordiger van de Commissie legt het comité een ontwerp voor van de te nemen maatregelen. Het comité brengt binnen een termijn die de voorzitter kan vaststellen naargelang van de urgentie van de materie advies uit over dit ontwerp. Het comité spreekt zich uit met de meerderheid van stemmen die in artikel 205, lid 2, van het Verdrag is voorgeschreven voor de aanneming van de besluiten die de Raad op voorstel van de Commissie dient te nemen. Bij de stemming in het comité worden de stemmen van de vertegenwoordigers van de lidstaten gewogen overeenkomstig genoemd artikel. De voorzitter neemt niet aan de stemming deel.

4. De Commissie stelt maatregelen vast die onmiddellijk van toepassing zijn. Indien deze maatregelen echter niet in overeenstemming zijn met het advies dat het comité heeft uitgebracht, worden zij onverwijld door de Commissie ter kennis van de Raad gebracht. In dat geval:

- stelt de Commissie de toepassing van de maatregelen uit met drie maanden, te rekenen vanaf de datum van kennisgeving, en

- kan de Raad binnen de na het vorige streepje genoemde termijn met een gekwalificeerde meerderheid van stemmen een andersluidend besluit nemen.

Artikel 10

Taken van het comité

Het comité geeft toelichtingen bij de in de bijlagen bij deze richtlijn genoemde eisen, de in artikel 3, lid 4, bedoelde criteria en de in artikel 3, lid 5, bedoelde algemeen erkende normen voor producten voor elektronische handtekeningen. Het volgt daarbij de procedure van artikel 9.

Artikel 11

Kennisgeving

1. De lidstaten verstrekken de Commissie en de andere lidstaten:

a) informatie over nationale vrijwillige-accreditatieregelingen, met inbegrip van eventuele aanvullende eisen overeenkomstig artikel 3, lid 7;

b) de namen en adressen van de nationale instanties die belast zijn met accreditatie en toezicht alsmede van de in artikel 3, lid 4, genoemde instanties;

c) de namen en adressen van alle geaccrediteerde nationale certificatiedienstverleners.

2. De lidstaten delen de overeenkomstig lid 1 verstrekte informatie en wijzigingen daarvan zo spoedig mogelijk mede.

Artikel 12

Beoordeling

1. De Commissie beoordeelt de werking van deze richtlijn en brengt uiterlijk op ...(9) daarover verslag uit aan het Europees Parlement en aan de Raad.

2. Bij deze beoordeling wordt onder andere bezien of, rekening houdend met de technologische, commerciële en juridische ontwikkelingen, het toepassingsgebied van de richtlijn moet worden gewijzigd. Het verslag dient met name een beoordeling te bevatten, op basis van de opgedane ervaringen, van aspecten van harmonisatie. Het verslag gaat, in voorkomend geval, vergezeld van wetgevingsvoorstellen.

Artikel 13

Omzetting

1. De lidstaten doen de nodige wettelijke en bestuursrechtelijke bepalingen in werking treden om voor ...(10) aan deze richtlijn te voldoen en stellen de Commissie daarvan onverwijld in kennis.

Wanneer de lidstaten die bepalingen aannemen, wordt in die bepalingen zelf of bij de officiële bekendmaking daarvan naar deze richtlijn verwezen. De regels voor deze verwijzing worden vastgesteld door de lidstaten.

2. De lidstaten stellen de Commissie in kennis van alle belangrijke bepalingen van intern recht die zij op het onder deze richtlijn vallende gebied vaststellen.

Artikel 14

Inwerkingtreding

Deze richtlijn treedt in werking op de dag van de bekendmaking ervan in het Publicatieblad van de Europese Gemeenschappen.

Artikel 15

Adressaten

Deze richtlijn is gericht tot de lidstaten.

Gedaan te ...

Voor het Europees Parlement

De Voorzitter

...

Voor de Raad

De Voorzitter

...

(1) PB C 325 van 23.10.1998, blz. 5.

(2) PB C 40 van 15.2.1999, blz. 29.

(3) Advies van 13 en 14 januari 1999 (PB C 93 van 6.4.1999, blz. 33).

(4) Advies van het Europees Parlement van 13 januari 1999 (PB C 104 van 14.4.1999, blz. 49), gemeenschappelijk standpunt van de Raad van 28 juni 1999 en besluit van het Europees Parlement van ... (nog niet in het Publicatieblad bekendgemaakt).

(5) PB L 367 van 31.12.1994, blz. 1. Verordening gewijzigd bij Verordening (EG) nr. 837/95 (PB L 90 van 21.4.1995, blz. 1).

(6) PB L 367 van 31.12.1994, blz. 8. Besluit laatstelijk gewijzigd bij Besluit 99/193/GBVB (PB L 73 van 19.3.1999, blz. 1).

(7) PB L 95 van 21.4.1993, blz. 29.

(8) PB L 281 van 23.11.1995, blz. 31.

(9) Drie jaar en zes maanden na de datum van inwerkingtreding van deze richtlijn.

(10) Een jaar en zes maanden na de datum van inwerkingtreding van deze richtlijn.

BIJLAGE I

Eisen voor gekwalificeerde certificaten

Gekwalificeerde certificaten moeten het volgende bevatten:

a) de vermelding dat het certificaat als gekwalificeerd certificaat wordt afgegeven;

b) de identificatie en het land van vestiging van de afgevende certificatiedienstverlener;

c) de naam van de ondertekenaar of een als zodanig geïdentificeerd pseudoniem;

d) ruimte voor een specifiek attribuut van de ondertekenaar, dat indien nodig, afhankelijk van het doel van het certificaat, kan worden vermeld;

e) gegevens voor het verifiëren van de handtekening die overeenstemmen met de gegevens voor het aanmaken van de handtekening die onder controle van de houder staan;

f) begin en einde van de geldigheidsduur van het certificaat;

g) de identiteitscode van het certificaat;

h) de geavanceerde elektronische handtekening van de afgevende certificatiedienstverlener;

i) voorzover van toepassing, beperkingen betreffende het gebruik van het certificaat; en

j) voorzover van toepassing, grenzen met betrekking tot de waarde van de transacties waarvoor het certificaat kan worden gebruikt.

BIJLAGE II

Eisen ten aanzien van certificatiedienstverleners die gekwalificeerde certificaten afgeven

Certificatiedienstverleners moeten:

a) aantonen dat zij voldoen aan de betrouwbaarheidseisen voor het aanbieden van certificatiediensten;

b) zorgen voor een snelle en veilige directorydienst alsook voor prompte en veilige intrekking;

c) ervoor zorgen dat datum en tijdstip van afgifte of intrekking van een certificaat precies kunnen worden vastgesteld;

d) met daartoe geschikte middelen en overeenkomstig de nationale wetgeving, de identiteit en in voorkomend geval de specifieke attributen verifiëren van de persoon aan wie een gekwalificeerd certificaat wordt afgegeven;

e) personeel in dienst hebben dat beschikt over de deskundige kennis, ervaring en kwalificaties die noodzakelijk zijn voor de aangeboden diensten, met name competentie op het gebied van beheer, alsmede over expertise inzake technologie voor elektronische handtekeningen, en dat bekend is met goede beveiligingsprocedures; het personeel moet ook adequate procedures en processen op het gebied van administratie en beheer toepassen die voldoen aan erkende normen;

f) gebruikmaken van betrouwbare systemen en producten die beschermd zijn tegen wijziging en die de technische en cryptografische veiligheid garanderen van de processen die zij ondersteunen;

g) maatregelen nemen tegen het vervalsen van certificaten en, wanneer de certificatiedienstverlener gegevens voor het aanmaken van handtekeningen genereert, de vertrouwelijkheid van dat proces garanderen;

h) voldoende financiële middelen tot hun beschikking houden om in overeenstemming met de eisen van deze richtlijn te kunnen functioneren, met name met het oog op de gevolgen van aansprakelijkheid wegens schade, bijvoorbeeld door middel van een geëigende verzekering;

i) gedurende een gepaste periode alle relevante informatie met betrekking tot een gekwalificeerd certificaat vastleggen, met name om ten behoeve van gerechtelijke procedures de certificatie te kunnen bewijzen. Dit vastleggen mag elektronisch plaatsvinden;

j) afzien van het opslaan of kopiëren van gegevens voor het aanmaken van elektronische handtekeningen van de personen aan wie de certificatiedienstverlener sleutelbeheerdiensten heeft aangeboden;

k) alvorens een contractuele verbintenis aan te gaan met een persoon die een certificaat ter ondersteuning van zijn elektronische handtekening wenst, deze met behulp van een duurzaam communicatiemiddel op de hoogte brengen van de exacte voorwaarden voor het gebruik van het certificaat, met inbegrip van eventuele beperkingen inzake dit gebruik, het bestaan van een vrijwillige accreditatie en de procedures voor klachtenbehandeling en geschillenbeslechting. Deze informatie moet schriftelijk en in gemakkelijk te begrijpen taal worden opgesteld; eventueel kan zij langs elektronische weg worden toegezonden. Relevante delen van die informatie dienen op verzoek eveneens te worden meegedeeld aan derden die op het certificaat vertrouwen;

l) gebruikmaken van betrouwbare systemen voor de opslag van certificaten in verifieerbare vorm, zodat:

- alleen bevoegde personen gegevens kunnen invoeren en wijzigen;

- de authenticiteit van de informatie kan worden gecontroleerd;

- de certificaten uitsluitend publiekelijk beschikbaar zijn in die gevallen waarvoor de certificaathouder toestemming heeft gegeven; en

- elke technische wijziging die de bovengenoemde beveiligingsvoorschriften in gevaar kan brengen, voor de gebruiker duidelijk is.

BIJLAGE III

Eisen voor veilige middelen voor het aanmaken van elektronische handtekeningen

1. Veilige middelen voor het aanmaken van elektronische handtekeningen waarborgen via passende technieken en procedures ten minste, dat

a) de gegevens voor het aanmaken van handtekeningen in de praktijk slechts één keer kunnen voorkomen en de vertrouwelijkheid daarvan redelijkerwijs gegarandeerd is;

b) de gegevens voor het aanmaken van handtekeningen, met redelijke zekerheid, niet kunnen worden afgeleid en dat de handtekening beschermd is tegen vervalsing met de thans beschikbare technieken;

c) de gegevens voor het aanmaken van handtekeningen door de legitieme ondertekenaar op betrouwbare wijze kunnen worden beschermd tegen gebruik door anderen.

2. Veilige middelen voor het aanmaken van handtekeningen laten de te ondertekenen gegevens ongewijzigd en beletten niet dat die gegevens vóór de ondertekening aan de ondertekenaar worden voorgelegd.

BIJLAGE IV

Aanbevelingen voor het veilig verifiëren van handtekeningen

Tijdends het proces voor het verifiëren van handtekeningen wordt met zekerheid gewaarborgd, dat:

a) de voor het verifiëren van een handtekening gebruikte gegevens overeenstemmen met de gegevens die de verifieerder te zien krijgt;

b) de handtekening op betrouwbare wijze wordt geverifieerd en het resultaat daarvan correct wordt weergegeven;

c) de verifieerder, zo nodig, op betrouwbare wijze de inhoud van de ondertekende gegevens kan vaststellen;

d) de authenticiteit en de geldigheid van het certificaat dat bij het verifiëren van de handtekening vereist is, op betrouwbare wijze worden gecontroleerd;

e) dat het resultaat van de verificatie en de identiteit van de ondertekenaar correct worden weergegeven;

f) het gebruik van een pseudoniem duidelijk wordt aangegeven; en

g) elke wijziging die invloed heeft op de beveiliging kan worden opgespoord.

MOTIVERING VAN DE RAAD

I. INLEIDING

1. De Commissie heeft op 16 juni 1998 een voorstel voor een richtlijn van het Europees Parlement en de Raad over een gemeenschappelijk kader voor elektronische handtekeningen ingediend.

2. Het Europees Parlement heeft zijn advies in eerste lezing uitgebracht op 13 januari 1999; het Economisch en Sociaal Comité en het Comité van de Regio's deden dat op resp. 3 december 1998 en 14 januari 1999.

3. De Raad heeft op 28 juni 1999 zijn gemeenschappelijk standpunt vastgesteld overeenkomstig artikel 251 van het Verdrag.

II. DOEL

Dit voorstel beoogt een goed functioneren van de interne markt op het gebied van elektronische handtekeningen door het totstandbrengen van een geharmoniseerd kader.

Dit kader, dat bestaat uit een verzameling criteria die de basis vormt voor de juridische erkenning van elektronische handtekeningen, zal het gebruik van deze handtekeningen vergemakkelijken en aldus de consumenten en de ondernemingen in Europa in staat stellen ten volle gebruik te maken van de door de elektronische communicatie geboden mogelijkheden.

III. ANALYSE VAN HET GEMEENSCHAPPELIJK STANDPUNT

A. ALGEMENE OPMERKINGEN

Hoewel de Raad achter de door de Commissie voorgestelde en door het Parlement gesteunde aanpak en doelstellingen staat, vond hij het hij de opstelling van zijn gemeenschappelijk standpunt nodig een aantal inhoudelijke en redactionele wijzigingen in de tekst van het richtlijnvoorstel aan te brengen.

Daarbij stond de Raad met name het volgende voor ogen:

- de lezing van de bepalingen van de nieuwe richtlijn te verduidelijken en vergemakkelijken;

- te zorgen voor meer veiligheid in de elektronische communicatie;

- beter rekening te houden met de diverse technologieën en diensten om de via elektronische weg doorgestuurde gegevens authentiek te maken;

- meer rekening te houden met de diversiteit van de nationale situaties.

B. SPECIFIEKE OPMERKINGEN

1. Voornaamste wijzigingen in het Commissievoorstel

a) Onderscheid tussen geavanceerde elektronische handtekeningen en andere elektronische handtekeningen

Volgens de door de Raad gekozen benadering is een geavanceerde elektronische handtekening een handtekening die een hoog veiligheidsniveau biedt en die daardoor eenzelfde rechtsgeldigheid krijgt als een met de hand geschreven handtekening (zie artikel 2, lid 2, en artikel 5, lid 1).

Een dergelijke handtekening dient namelijk gebaseerd te zijn op een gekwalificeerd certificaat dat is opgesteld en afgegeven onder naleving van een aantal eisen (zie in bijlage I de eisen met betrekking tot het gekwalificeerd certificaat en in bijlage II met betrekking tot de dienstverleners), en moet voorts zijn aangemaakt door een beveiligd middel voor het aanmaken van elektronische handtekeningen (zie de eisen in bijlage III).

De andere elektronische handtekeningen moeten ten minste aanspraak kunnen maken op het beginsel van niet-discriminatie en zij mogen dus niet worden beschouwd als ontdaan van rechtsgeldigheid op grond van het feit dat zij in elektronische vorm zijn of niet voldoen aan de eisen die gelden voor geavanceerde elektronische handtekeningen (artikel 2, lid 1, en artikel 5, lid 5).

b) Aanvullende maatregelen ter verbetering van het niveau van de certificatiedienst die door de verleners van die dienst wordt verricht

In zijn gemeenschappelijk standpunt staat de Raad wel achter het beginsel van het verbod op de voorafgaande machtiging voor het verrichten van certificatiediensten, maar steunt hij de instelling op nationaal niveau van vrijwillige accreditatieregelingen die op verbetering van het niveau van deze diensten zijn gericht, en legt hij de lidstaten de verplichting op om een passend systeem in te stellen van toezicht op de certificatiedienstverleners die gekwalificeerde certificaten aan het publiek afgeven (artikel 3, leden 2 en 3).

Voorts wordt in het gemeenschappelijk standpunt de aansprakelijkheid van de dienstverleners uitgebreid voor wat betreft de geldigheid van de inhoud van de gekwalificeerde certificaten die zij afgeven, om het vertrouwen van de gebruikers in deze certificaten te verhogen (artikel 6). Deze aansprakelijkheid dekt met name de intrekking van de certificaten (artikel 6, lid 2).

c) Comité dat de Commissie bijstaat

De Raad achtte het wenselijk om voor dit Comité een regelgevende procedure van het type IIb) te kiezen, gelet op het belang van de taken die haar worden toevertrouwd (artikelen 9 en 10).

Dit Comité zal namelijk als taak hebben:

- de eisen in de bijlage bij de richtlijn te verduidelijken,

- de criteria op te stellen voor de aanwijzing van de nationale organen die moeten verifiëren of de beveiligde middelen voor het aanmaken van handtekeningen die voor geavanceerde handtekeningen gebruikt worden, stroken met de bepalingen van de richtlijn (artikel 3, lid 4),

- de algemeen erkende normen vast te stellen voor de producten voor elektronische handtekeningen, waarvan de naleving een vermoeden van overeenstemming van deze producten met de eisen van de richtlijn zal geven (artikel 3, lid 5).

d) Aanbevelingen met betrekking tot de middelen voor het verifiëren van handtekeningen

In het gemeenschappelijk standpunt wordt een aantal aanbevelingen gedaan om de verificatie van de geavanceerde elektronische handtekening zo veilig mogelijk te maken en worden de lidstaten en de Commissie verzocht samen te werken om op basis van deze aanbevelingen de opstelling en het gebruik van veilige middelen voor het verifiëren van handtekeningen te bevorderen (artikel 3, lid 6, en bijlage IV).

2. Standpunt van de Raad over de amendementen van het Europees Parlement

a) Amendementen die volledig of gedeeltelijk in het gemeenschappelijk standpunt zijn overgenomen

De Raad nam de amendementen nrs. 3, 11, 12, 14, 18, 20, 31, 32, 33 en 34 letterlijk en de amendementen nrs. 2, 13, 21, 22 en 25 in beginsel over.

De Raad nam de amendementen nrs. 4, 9 en 17 gedeeltelijk over, waarbij hij zich schaarde achter het standpunt van de Commissie.

b) Amendementen die niet in het gemeenschappelijk standpunt zijn overgenomen

Door de amendementen nrs. 1, 6, 7, 10, 15, 23, 24, 26, 28 en 29 niet over te nemen, volgde de Raad het negatief advies van de Commissie.

Bij het niet overnemen van de amendementen nrs. 5, 16, 27 en 30 baseerde de Raad zich op de volgende overwegingen:

- ad amendement nr. 5, met betrekking tot de gemakkelijker toegang van de burgers van de Unie tot de administratieve diensten van een andere lidstaat dan die waarin zij woonachtig zijn (nieuwe overweging).

De Raad was van oordeel dat in artikel 3, lid 7, waarbij de lidstaten in de regelgeving voor het gebruik van elektronische handtekeningen in de overheidssector geen belemmeringen mogen creëren voor de grensoverschrijdende diensten voor de burgers, rekening wordt gehouden met de desbetreffende wensen van het Europees Parlement;

- ad amendement nr. 16, met betrekking tot de erkenning van de accreditatieregelingen die beheerd worden door niet-gouvernementele lichamen (artikel 3, lid 2).

De Raad was van oordeel dat met de problemen van het Europees Parlement rekening is gehouden in de definitie van "vrijwillige accreditatie" in artikel 2, lid 13;

- ad amendement nr. 27, met betrekking tot de overdracht van gegevens aan de overheid over de identiteit van personen die een pseudoniem gebruiken (artikel 8, lid 4).

De Raad was van oordeel dat het voorstel om deze overdracht alleen in het geval van een onderzoek naar strafbare feiten of een rechtsvordering toe te staan, te beperkend is, en met name het risico kan inhouden dat het illegaal gebruik van elektronische communicatie wordt aangemoedigd;

- ad amendement nr. 30, dat erop gericht is gegevens te verstrekken over de nationale "erkende" lichamen die voor accreditatie en toezicht verantwoordelijk zijn (artikel 11).

De Raad was van oordeel dat de uitdrukking "erkende lichamen", waarover in de rest van de richtlijn geen enkele definitie bestaat of waarvan geen enkele melding wordt gemaakt, aanleiding kan geven tot interpretatieproblemen.