52012SC0136

WERKDOCUMENT VAN DE DIENSTEN VAN DE COMMISSIE

SAMENVATTING VAN DE EFFECTBEOORDELING

Begeleidend document

Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt

1.           Beleidscontext, procedurele kwesties en raadpleging van belanghebbende partijen

Vertrouwen wekken in een online-omgeving is een voorwaarde voor economische ontwikkeling. Consumenten, bedrijven en overheden die dit vertrouwen niet hebben, stellen zich terughoudend op ten aanzien van elektronische transacties en de invoering van nieuwe diensten. Het voorgestelde initiatief voor een regelgevingskader beoogt veilige en naadloze elektronische transacties mogelijk te maken tussen bedrijven, burgers en overheden en zo de doelmatigheid van openbare en particuliere diensten, e-business en e-handel te verbeteren.

Bestaande obstakels voor grensoverschrijdende e-diensten moeten worden opgeheven. Elektronische identificatie, authentificatie, handtekeningen en verwante vertrouwensdiensten (eIAS) moeten dan ook in de hele EU wederzijds worden erkend en aanvaard zodat ze productief kunnen zijn en geen obstakel vormen.

Op dit moment is er nog geen algemeen grens- en sectoroverschrijdend EU-kader voor eIAS-diensten. Op EU-niveau is er alleen een juridisch kader voor elektronische handtekeningen maar niet voor e-identificatie en -authentificatie of voor verwante vertrouwensdiensten. De Commissie kondigde in de Digitale agenda voor Europa aan dat zij regelgeving wil voorstellen inzake e-authentificatie en wil zorgen voor wederzijdse erkenning van e-identificatie (eID) en e-authentificatie om zo een eind te maken aan de fragmentering en het gebrek aan interoperabiliteit, het digitale burgerschap te bevorderen en cybercriminaliteit te voorkomen.

Om deze effectbeoordeling uit te voeren heeft de Commissie tijdens discussies, workshops en conferenties feedback verzameld bij de lidstaten, het Europees Parlement en belanghebbenden. Voorts werd opdracht gegeven voor een aantal studies in verband met eIAS en werd literatuur over dit onderwerp bestudeerd. In 2011 vond een openbare raadpleging plaats om informatie te verzamelen over de manier waarop e-identificatie, -authentificatie en digitale handtekeningen een bijdrage kunnen leveren aan de interne markt. Deze raadpleging werd aangevuld door een doelgericht onderzoek om de specifieke meningen en behoeften van kmo's in kaart te brengen.

2.           Probleemstelling

Gebruikers van eIAS-diensten kunnen bij grensoverschrijdend gebruik op problemen stuiten. De voornaamste obstakels voor betrouwbare en naadloze grensoverschrijdende eIAS-diensten zijn:

1 — fragmentering van de markt: voor providers van diensten gelden verschillende voorschriften, afhankelijk van de lidstaat waar de dienst wordt verleend.

Elektronische handtekeningen: aan de harmonisering die het resultaat is van de Richtlijn elektronische handtekeningen (1999/93/EG) schort nog het een en ander. Er zijn vier knelpunten vastgesteld: de tenuitvoerlegging op nationaal niveau loopt niet gelijk omdat de lidstaten een verschillende uitleg geven aan de richtlijn, voor toepassingen voor de overheidssector wordt de facto gebruik gemaakt van een uitzonderingsregel, verouderde normen en vage verplichtingen in verband met toezicht leiden tot problemen in verband met grensoverschrijdende interoperabiliteit, een gesegmenteerd EU-landschap en verstoringen op de interne markt.

Elektronische identificatie: verschillende technologische oplossingen voor persoonsidentificatie in individuele lidstaten, het gebrek aan rechtszekerheid over het grensoverschrijdend gebruik van elektronische identificatie en het ontbreken van duidelijke aansprakelijkheid voor de juistheid van identiteitsgegevens leiden alle tot interoperabiliteitsproblemen.

Verwante vertrouwensdiensten: het ontbreken van een EU-rechtskader betekent dat in bepaalde lidstaten nationale regelgeving wordt vastgesteld voor een aantal van deze diensten en dat providers die hun diensten in verschillende lidstaten willen aanbieden, geconfronteerd worden met hoge kosten. Dit leidt in beide gevallen tot obstakels op de interne markt en tot fragmentering.

2 — gebrek aan vertrouwen: door het gebrek aan vertrouwen in elektronische systemen, de beschikbare instrumenten en het juridische kader kan de indruk worden gewekt dat er minder rechtsbescherming is dan bij fysieke interactie.

Voor elektronische handtekeningen lopen de nationale inhoudelijke eisen in verband met toezicht per lidstaat uiteen, zodat het voor belanghebbenden die op een elektronische handtekening moeten vertrouwen moeilijk is in te schatten hoe een provider wordt gecontroleerd.

Voor elektronische identificatie en verwante vertrouwendiensten: heterogene nationale wetgeving maakt het voor gebruikers moeilijk om grensoverschrijdende onlinetransacties met een gevoel van zekerheid uit te voeren.

De vier voornaamste redenen voor deze problemen zijn:

A: Ontoereikend toepassingsgebied van het bestaande juridische kader

Voor tal van elektronische interacties zoals elektronisch bankieren, elektronische overheid of elektronische gezondheidsdiensten zijn eIAS-diensten absoluut onontbeerlijk. Het wettelijk kader op EU-niveau is beperkt en onvolkomen en is in wezen toegespitst op elektronische handtekeningen. Een specifiek kader voor wederzijdse erkenning en aanvaarding van elektronische identificatie of vertrouwensdiensten zoals het exacte moment waarop financiële transacties worden vastgelegd (time stamping) of elektronische zegels ontbreekt.

B: Gebrekkige coördinatie tussen de ontwikkeling van elektronische handtekeningen en eID

De nationale eIAS-infrastructuren werden onafhankelijk van elkaar ontwikkeld zonder enige coördinatie op EU-niveau. Hierdoor werd niet gelet op grensoverschrijdende interoperabiliteit van technische oplossingen zodat weer belemmeringen werden gecreëerd voor elektronische transacties. Het gebrek aan wederzijdse erkenning en aanvaarding is een van de redenen waarom zowel gebruikers als providers van elektronische diensten zich sceptisch opstellen ten aanzien van de invoering van eIAS.

C: Gebrek aan transparantie bij veiligheidsgaranties

Sterke en geharmoniseerde beveiligingsmaatregelen zijn van fundamenteel belang voor het creëren van betrouwbare oplossingen. Dit geldt met name voor de toegang tot diensten wanneer het gaat om gevoelige persoonsgegevens zoals voor elektronische gezondheidsdiensten. Volgens Richtlijn 99/93/EG is er alleen sprake van rechtszekerheid bij elektronische handtekeningen wanneer bepaalde veiligheidswaarborgen worden geboden zodat zij voldoende beschermd zijn tegen vervalsing of fraude (geavanceerde en gekwalificeerde elektronische handtekeningen).

Het ontbreken van veilige systemen voor elektronische identificatie wordt door gebruikers beschouwd als een belangrijk obstakel. Het feit dat er geen geharmoniseerd rechtskader bestaat voor elektronische identificatie betekent dat het objectief onmogelijk is de veiligheid en betrouwbaarheid van officiële elektronische identificatie grensoverschrijdend vast te stellen. Dit creëert obstakels voor grensoverschrijdende interactie, beschadigt het vertrouwen en leidt tot een gefragmenteerde markt.

Een ander probleem is identiteitsroof. Veilige elektronische identificatie kan helpen dit risico te verlagen. Slecht beveiligde systemen voor elektronische identificatie maken het daarentegen makkelijker voor criminelen om de hand te leggen op valse eID's of eID's waarmee is geknoeid

D: Gebrek aan bewustzijn/aanvaarding door gebruikers

Als gevolg van de complexiteit van de technologieën die gebruikt worden voor elektronische transacties en de sleutelrol die daarbij gespeeld wordt door betrouwbare derde partijen, ontstaat er een omgeving waarin het moeilijk is de betrouwbaarheid te beoordelen. Met name eindgebruikers die over het algemeen niet over voldoende kennis beschikken, moeten kunnen afgaan op voorschriften die duidelijke rechten en verantwoordelijkheden voor alle belanghebbenden bepalen (providers van vertrouwensdiensten, eindgebruikers en beheersinstanties).

3.           Basisscenario

Het basisscenario houdt in dat wordt afgezien van nieuwe regelgeving. Uitgaande van dit scenario zouden de huidige problemen zich als volgt ontwikkelen:

Problemen in verband met fragmentering en interoperabiliteit zouden niet worden opgelost: de lidstaten blijven Richtlijn 99/93/EG waarschijnlijk verder toepassen en toezien op de naleving ervan.

Geen rechtszekerheid: de problemen als gevolg van het ontbreken van wederzijdse erkenning van elektronische handtekeningen en het ontbreken van een juridisch kader voor de wederzijdse erkenning en aanvaarding van eID en verwante vertrouwensdiensten zouden de juridische erkenning van talrijke grensoverschrijdende interacties belemmeren.

Er wordt niet volledig voorzien in de behoeften van de gebruikers: het is met het huidige kader niet mogelijk ten volle te profiteren van de mogelijkheden die geboden worden door de technologische ontwikkelingen.

Belangrijke Europese initiatieven worden niet optimaal benut: EU-beleid zoals de richtlijnen met betrekking tot diensten, overheidsopdrachten of btw (elektronische facturen) of de grootschalige ICT-PSP proefprojecten[1] waarin gezocht wordt naar oplossingen voor problemen in verband met interoperabiliteit en grensoverschrijdende erkenning met betrekking tot bepaalde soorten elektronische interacties zouden niet verder kunnen gaan dan het stadium van een proefproject omdat een sectoroverschrijdend juridisch kader ontbreekt.

4.           Beleidsdoelstellingen

Er zijn vier algemene doelstellingen vastgesteld: zorgen voor de ontwikkeling van een digitale interne markt; bevorderen van de ontwikkeling van belangrijke grensoverschrijdende overheidsdiensten; stimuleren en versterken van de mededinging op de interne markt, verbeteren van de gebruiksvriendelijkheid (voor burgers en bedrijven). Deze doelstellingen sporen met strategisch EU-beleid als de EU 2020‑Strategie, de Digitale Agenda voor Europa, de Single Market Act en de routekaart voor stabiliteit en groei.

Specifieke doelstellingen hebben betrekking op de gewenste resultaten voor de eIAS-markt ("wat") van de tenuitvoerlegging van de operationele doelstelling ("hoe"). Voor elke specifieke doelstelling is een aantal operationele doelstellingen gedefinieerd.

5.           Beleidsopties

Om een oplossing te vinden voor deze problemen en de hierboven vermelde doelstellingen te kunnen verwezenlijken werden drie categorieën opties bekeken: (1) het toepassingsgebied van het geplande kader, (2) het rechtsinstrument en (3) het niveau van toezicht:

· Wat het eerste aspect, het "toepassingsgebied van het kader" betreft, werden vier opties onderzocht:

Optie 0:         Richtlijn 99/93/EG wordt ingetrokken en er wordt afgezien van regelgeving ten aanzien van eID of verwante vertrouwensdiensten

Deze optie houdt in dat alle EU-activiteiten op het gebied van elektronische handtekeningen worden gestaakt. Richtlijn 99/93/EG wordt ingetrokken en er worden geen wetgevende maatregelen voorgesteld voor wederzijdse erkenning van eID.

· Optie 1: Geen beleidswijzigingen (basisscenario)

Richtlijn 99/93/EG blijft ongewijzigd. Er worden geen voorstellen geformuleerd inzake wetgeving met betrekking tot eID.

· Optie 2:         Rechtszekerheid verbeteren, coördinatie van nationaal toezicht versterken en zorgen voor wederzijdse erkenning en aanvaarding van eID's

Het toepassingsgebied van Richtlijn 99/93/EG wordt uitgebreid met bepalingen die de grensoverschrijdende erkenning en aanvaarding van "aangemelde eID-regelingen"[2] bestrijken. De bepalingen van de richtlijn met betrekking tot elektronische handtekeningen worden herzien om de bestaande leemten aan te pakken en de nationale supervisiemodellen meer op elkaar af te stemmen.

· Optie 3:         Uitbreiding met verschillende verwante vertrouwensdiensten

Deze optie houdt uitbreiding in van de tweede optie door verwante vertrouwensdiensten en identificatiegegevens op te nemen in het toepassingsgebied van het voorstel.

Verwante vertrouwensdiensten die door de wetgeving moeten worden bestreken zijn: tijdstempeldiensten, elektronische zegels, langdurige bewaring van informatie, levering van gecertificeerde elektronische documenten, ontvankelijkheid van elektronische documenten en website‑authentificatie.

· Bij de tweede reeks, "rechtsinstrument", worden vier opties overwogen:

Een algemeen wetgevend instrument (optie A) of twee afzonderlijke instrumenten (optie B)

De wetgeving zou kunnen bestaan uit een algemene maatregel die elektronische identificatie, authentificatie en handtekeningen bestrijkt, met name een besluit van de Commissie inzake elektronische identificatie en herziening van de richtlijn elektronische handtekeningen.

Een richtlijn (optie C) of een verordening (optie D):

De wetgeving zou kunnen bestaan uit een richtlijn of een verordening.

· Op het derde, "supervisie" niveau, worden twee opties overwogen:

Optie i): handhaving nationale supervisieregelingen

De huidige nationale supervisieregelingen worden gehandhaafd maar de harmonisering wordt verder doorgevoerd door middel van gemeenschappelijke eisen.

Optie ii): oprichting van een EU-supervisiesysteem

Een EU-supervisiesysteem wordt opgericht om de verschillen tussen de nationale supervisieregelingen uit de weg te ruimen of te reduceren. Dit kan op twee manieren gebeuren:

Suboptie a:      vervanging van de bestaande nationale supervisieregelingen door één EU-supervisiesysteem en -instantie.

Suboptie b:      oprichting van een EU-supervisiesysteem en -instantie naast de nationale supervisieregelingen (elke lidstaat kan kiezen voor zijn eigen regeling of voor het EU-systeem).

6.           Vergelijking van beleidsopties en effecten

De beleidsopties werden getoetst aan en vergeleken met het basisscenario (optie 1) wat betreft doelmatigheid, efficiëntie en samenhang.

6.1.        Draagwijdte van het kader

Optie 0 draagt niet bij aan de verwezenlijking van de doelstellingen die zijn vastgesteld in het verslag over de effectbeoordeling. Deze optie zou de beschikbaarheid en invoering van grens- en sectoroverschrijdende eIAS-diensten niet verhogen, niet zorgen voor een optimaal governanceniveau, de ontwikkeling van de markt niet stimuleren, niet bijdragen aan de versterking van het concurrentievermogen van het Europese bedrijfsleven en de dienstensector en er evenmin voor zorgen dat alle eindgebruikers kunnen profiteren van de voordelen van de eIAS-diensten. Deze optie zou daarentegen de technologische ontwikkelingen in de eIAS-markt belemmeren, het huidige proces van een evolutie naar de invoering van grensoverschrijdende elektronische diensten verstoren en een gefragmenteerde EU-markt in stand houden met een ongelijk vertrouwensklimaat.

Met optie 1 kunnen de doelstellingen niet worden verwezenlijkt. De bestaande dubbelzinnigheden blijven bestaan en het vertrouwenslandschap met betrekking tot supervisie blijft ongelijk. De onzekerheid ten aanzien van de regelgeving blijft aanhouden en er zou een gesegmenteerd EU-landschap ontstaan, dat zou leiden tot ongelijke concurrentievoorwaarden op de interne markt en verschillende aanpakken op nationaal niveau.

Optie 2 verhoogt de rechtszekerheid, bevordert supervisie en zorgt voor wederzijdse erkenning van eID's. Bovendien draagt deze optie in belangrijke mate bij aan de verwezenlijking van elk van de in het verslag over de effectbeoordeling vastgestelde doelstellingen en levert ze positieve resultaten op wat betreft het economisch, sociaal en milieubeleid.

eIAS-diensten worden dan ook aantrekkelijker, waardoor investeringen in eIAS-infrastructuur en ‑diensten een hoger rendement opleveren. eIAS wordt bovendien beschikbaar voor alle soorten en alle sectoren van bedrijven terwijl grensoverschrijdende obstakels uit de weg worden geruimd. Nieuwe markten en nieuwe investeringen worden geopend hetgeen innovatie zou stimuleren.

De huidige fragmentering van de markt zou verminderen omdat verwijzing naar technische normen zou leiden tot een verbetering van de grensoverschrijdende interoperabiliteit.

Wederzijdse erkenning en aanvaarding van eID kan de bestaande belemmeringen voor de interne markt verder ontmantelen. Verder zal de homogeniteit van supervisie die zou voortvloeien uit gemeenschappelijke fundamentele eisen waarschijnlijk zorgen voor meer vertrouwen, de opsporing van fraude vergemakkelijken en bijdragen aan de preventie van identiteitsroof.

Met optie 3 worden eIAS-diensten met de uitbreiding van het kader met bepaalde verwante vertrouwensdiensten nog aantrekkelijker en wordt het positieve effect ervan verhoogd.

Optie 3 zal waarschijnlijk meer aanwijsbare voordelen opleveren dan opties 0, 1 en 2 voor betrouwbare en gebruiksvriendelijke e-transacties.

6.2.        Rechtsinstrument

Door binnen één instrument een algemeen kader te verschaffen, kan ervoor worden gezorgd dat de voorschriften die verschillende aspecten van eIAS regelen, goed op elkaar zijn afgestemd. Bij twee afzonderlijke instrumenten kunnen wellicht verschillen optreden bij de juridische bepalingen die worden vastgesteld voor elektronische handtekeningen en e-identificatie en, hetgeen zwaarder weegt, bij de aanpak van de initiatieven.

Vaststelling van een richtlijn zou niet bijdragen aan het vinden van een oplossing voor het huidige gebrek aan interoperabiliteit bij elektronische handtekeningen die voortvloeien uit verschillen in de omzetting van Richtlijn 99/93/EG. Een verordening kan onmiddellijk worden toegepast zonder enige interpretatie, biedt dus meer harmonisatie en is derhalve meer geschikt om de doelstellingen van de voorgestelde wetgeving te verwezenlijken.

Vaststelling van één verordening lijkt de meest doelmatige manier om de doelstellingen te verwezenlijken.

6.3.        Supervisieniveau

Bij optie i worden de huidige nationale supervisieregelingen gehandhaafd en worden providers gemeenschappelijke fundamentele eisen opgelegd. Een geharmoniseerde aanpak op EU-niveau voor zowel elektronische handtekeningen als verwante vertrouwensdiensten zorgt voor een doeltreffende supervisie, meer rechtszekerheid en verhoogt het vertrouwen in en de zekerheid van elektronische transacties.

Bij optie ii wordt gezorgd voor homogene, doeltreffende en kwalitatief hoogstaande supervisie in de hele EU. Suboptie b biedt meer flexibiliteit dan de centrale EU-toezichthoudende instantie (suboptie a): voor lidstaten waar geen of weinig providers van vertrouwensdiensten zijn, kan het voordeliger zijn de supervisietaken over te dragen aan een EU-instantie. Andere lidstaten kunnen eventueel hun eigen regeling voor toezicht aanhouden. Een gecentraliseerd EU-model voor toezicht werpt echter subsidiariteitsvragen op.

Met het oog op het subsidiariteitsbeginsel zou (optie i) de aangewezen oplossing zijn.

7.           Motivering voor EU-maatregelen, meerwaarde en subsidiariteit

Net als bij Richtlijn 99/93/EG vormt artikel 114 VWEU over de interne markt de rechtsgrond voor het wetsvoorstel omdat dit artikel beoogt de bestaande obstakels voor de werking van de interne markt uit de weg te ruimen door wederzijdse erkenning en aanvaarding van elektronische identificatie, authentificatie, handtekeningen en vertrouwensdiensten over de grenzen wanneer deze nodig zijn voor elektronische transacties.

Omdat de eIAS-diensten van nature niet-territoriaal zijn, is een optreden op EU-niveau adequaat en evenredig om de digitale interne markt tot stand te brengen. Een zelfde resultaat kan niet worden bereikt met door de lidstaten vastgestelde regelgeving. Een EU-optreden is derhalve vereist, aangewezen en gerechtvaardigd.

8.           Toezicht en evaluatie

De Commissie houdt toezicht op de toepassing van de wetgeving door voortdurende dialoog met de belanghebbenden en het verzamelen van statistieken; zij brengt vier jaar na de inwerkingtreding van de nieuwe wetgeving verslag uit aan het Europees Parlement en de Raad over de gevolgen ervan.

[1]               http://ec.europa.eu/information_society/activities/ict_psp/about

[2]               "Aangemelde eID": een eID-regeling die door een lidstaat is aangemeld bij de Commissie zodat deze ook in andere lidstaten kan worden erkend en aanvaard. Het begrip van aangemelde eID is niet beperkt tot door de overheid afgegeven eID's: lidstaten kunnen ook door de privésector afgegeven eID's, die zij voor gebruik bij hun eigen overheidsdiensten aanvaarden, aanmelden. Deze aanpak is noodzakelijk omdat niet alle autoriteiten van de lidstaten eID's afgeven. Met deze sectoroverschrijdende aanpak van de wetgeving kan de privésector het gebruik van aangemelde eID's integreren in e-diensten waar betrouwbare elektronische identificatie nodig is.