Advies van het Europees Economisch en Sociaal Comité over het voorstel voor een verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EU) nr. 910/2014 betreffende een Europees kader voor een digitale identiteit

(COM(2021) 281 final — 2021/0136 (COD))

(2022/C 105/12)

Rapporteur:

Tymoteusz Adam ZYCH

Raadpleging	Europees Parlement, 8.7.2021 Raad, 15.7.2021
Rechtsgrondslag	Artikel 114 van het Verdrag betreffende de werking van de Europese Unie
Bevoegde afdeling	Interne Markt, Productie en Consumptie
Goedkeuring door de afdeling	30.9.2021
Goedkeuring door de voltallige vergadering	20.10.2021
Zitting nr.	564
Stemuitslag (voor/tegen/onthoudingen)	229/2/5

1.   Conclusies en aanbevelingen

1.1.

Het Europees Economisch en Sociaal Comité (EESC) is ingenomen met het voorstel van de Europese Commissie voor een instrument tot wijziging van de eIDAS-verordening betreffende een Europees kader voor een digitale identiteit, waarbij deze rechtshandeling wordt aangepast aan de huidige marktbehoeften. Uit de evaluatie van de bestaande verordening is gebleken dat er behoefte is aan betere oplossingen voor digitaledienstverlening die de toegang tot zowel particuliere als publieke diensten verruimen en die voor de overgrote meerderheid van de Europese burgers en ingezetenen beschikbaar zijn.

1.2.

Het EESC merkt echter op dat de voorgestelde digitalisering van diensten kan leiden tot uitsluiting van delen van de Europese samenleving, met name ouderen, mensen met een geringe digitale geletterdheid en personen met een handicap. Het EESC roept de Europese Commissie en de lidstaten daarom op het noodzakelijke kader te scheppen voor digitale educatie en voorlichtingscampagnes op digitaal gebied, wat tegelijkertijd moet bijdragen tot een grotere bewustwording op het gebied van de bescherming van persoonsgegevens.

1.3.

Het EESC is ingenomen met het feit dat het gebruik van de Europese portemonnee voor digitale identiteit (“European Digital Identity Wallet”) facultatief en kosteloos zal zijn. De invoering van nieuwe digitale oplossingen gaat echter onvermijdelijk gepaard met een aanzienlijke investering van tijd en geld. Om negatieve gevolgen voor de markt te voorkomen, verzoekt het EESC de Commissie om nader te onderzoeken hoeveel tijd er nodig is voor de daadwerkelijke uitvoering van de nieuwe verordening, en om in de verordening dieper in te gaan op en meer duidelijkheid te verschaffen over de verwachte uitvoeringskosten.

1.4.

Het EESC merkt op dat de voorgestelde afdeling 9 van de verordening voorziet in de verplichte grensoverschrijdende erkenning van gekwalificeerde elektronische attesteringen van attributen die in een lidstaat zijn afgegeven. Gezien de vaak aanzienlijke verschillen tussen de nationale wetgevingen van de verschillende lidstaten acht het EESC het evenwel noodzakelijk te verduidelijken dat de erkenning van een in een lidstaat afgegeven gekwalificeerde elektronische attestering van attributen beperkt blijft tot de bevestiging van de feiten, naar analogie met artikel 2, lid 4, van Verordening (EU) 2016/1191 van het Europees Parlement en de Raad (1) ter bevordering van het vrije verkeer van burgers door vereenvoudigde overlegging van bepaalde openbare documenten in de Europese Unie: “Deze verordening is niet van toepassing op de erkenning in een lidstaat van rechtsgevolgen die verbonden zijn aan de inhoud van openbare documenten die door de autoriteiten van een andere lidstaat zijn afgegeven.”

1.5.

Volgens het EESC moet een doeltreffende gegevensbescherming in de eerste plaats worden gezien tegen de achtergrond van de bescherming van de grondrechten, met name het recht op privacy en het recht op bescherming van persoonsgegevens. Het EESC staat dan ook volledig achter de eis dat het Europees kader voor digitale identiteit gebruikers de middelen moet geven om te controleren wie toegang heeft tot hun digitale tweeling en welke gegevens dan precies kunnen worden ingezien. Het EESC dringt er bij de Commissie en de lidstaten op aan om, na overleg over de technische aspecten van het Europees kader voor digitale identiteit, de invoering te overwegen van een register waarmee gebruikers elke toegang tot hun gegevens kunnen traceren.

1.6.

Het EESC vestigt de aandacht op de veiligheidsproblemen in verband met digitalisering; met name grootschalige systemen voor de opslag en verwerking van gegevens zijn gevoelig voor fraude en gegevensverlies. Het EESC is zich er ook van bewust dat er momenteel geen beveiligingssysteem bestaat dat volledige gegevensbescherming biedt. Daarom is het EESC van mening dat gebruikers van Europese portemonnees voor digitale identiteit een schadevergoeding moeten kunnen krijgen wanneer zich een ongewenste situatie voordoet met betrekking tot hun gegevens (bv. diefstal of openbaarmaking van gegevens). Deze aansprakelijkheid moet los staan van de vraag of de dienstverrichter schuld treft.

2.   Inleiding

2.1.

Het onderwerp van dit advies is het voorstel van de Europese Commissie voor een verordening tot wijziging van Verordening (EU) nr. 910/2014,van het Europees Parlement en de Raad (2) (de “eIDAS-verordening”) betreffende een Europees kader voor een digitale identiteit.

2.2.

Zoals uiteengezet in de toelichting bij het voorstel, zou de eIDAS-verordening de volgende bescherming en voordelen bieden: 1) toegang tot sterk beveiligde en betrouwbare elektronische identiteitsoplossingen; 2) dat openbare en particuliere diensten betrouwbare en veilige digitale-identiteitsoplossingen kunnen gebruiken; 3) dat natuurlijke en rechtspersonen digitale-identiteitsoplossingen kunnen gebruiken; 4) dat deze oplossingen verbonden zijn met een reeks attributen en dat daarmee identiteitsgegevens gericht kunnen worden gedeeld, binnen de grenzen van hetgeen voor de gevraagde specifieke dienst nodig is, en 5) dat gekwalificeerde vertrouwensdiensten in de EU worden aanvaard en dat gelijke voorwaarden gelden voor de verlening daarvan. De voorgestelde wijzigingen zijn een antwoord op de groeiende vraag naar betrouwbare digitale grensoverschrijdende oplossingen, vanuit de behoefte om gebruikers met een hoge mate van zekerheid te kunnen identificeren en authenticeren.

3.   Algemene opmerkingen

3.1.

Het EESC is zich bewust van de nieuwe vereisten op de interne markt met betrekking tot de ontwikkeling van elektronische identificatie- en vertrouwensdiensten voor elektronische grensoverschrijdende transacties. De bestaande oplossingen waarin de eIDAS-verordening voorziet, die vanaf juli 2016 in verschillende fasen in werking is getreden, voldoen niet aan deze eisen, wat wordt bevestigd door het feit dat op dit moment slechts 59 % van de inwoners van de EU toegang heeft tot betrouwbare en veilige eID-oplossingen. Bovendien is de grensoverschrijdende toegang tot dergelijke diensten beperkt vanwege het gebrek aan interoperabiliteit tussen de systemen die door de verschillende lidstaten worden aangeboden.

3.2.

Het EESC is dan ook ingenomen met het nieuwe voorstel van de Commissie voor een instrument tot wijziging van de eIDAS-verordening betreffende een Europees kader voor een digitale identiteit, waarbij deze rechtshandeling wordt aangepast aan de huidige marktbehoeften. Verwacht wordt dat de oplossingen in het voorstel van de Commissie ertoe bijdragen dat het aantal gebruikers van digitale identiteitsbewijzen stijgt tot 80 % of zelfs 100 % van alle burgers en ingezetenen van de EU.

3.3.

Het EESC is met name te spreken over de oplossingen die erop gericht zijn de persoonsgegevens van gebruikers beter te beveiligen door discretionaire gegevensdeling te garanderen en de mogelijkheid te bieden om de aard en de hoeveelheid van de gegevens die aan vertrouwende partijen worden verstrekt, te controleren. Aangezien de lidstaten volgens het voorstel de controle over digitaledienstverleners behouden, garanderen zij dat gevoelige gegevens (bijvoorbeeld met betrekking tot gezondheid, religie of overtuigingen, politieke opvattingen, ras of etnische afstamming) alleen op verzoek van dienstverleners worden verstrekt nadat de bezitter van de identiteit een geïnformeerd besluit heeft gemaakt overeenkomstig het toepasselijke nationaal recht.

3.4.

Het EESC wijst erop dat het tijdschema voor de uitvoering van diverse bepalingen van de nieuwe verordening nogal optimistisch is, en verzoekt de Commissie om bij de vaststelling van de definitieve uitvoeringstermijnen ook rekening te houden met de tijd die dienstverleners nodig hebben om hun IT-systemen aan de nieuwe verplichtingen aan te passen. Het EESC verzoekt de Commissie derhalve de tijd die nodig is voor de daadwerkelijke tenuitvoerlegging van de nieuwe verordening nader te analyseren en de termijn voor de uitvoering ervan dienovereenkomstig te verlengen, zodat de markt in kwestie niet wordt verstoord. De inwerkingtreding van de verordening vereist bijvoorbeeld dat bestaande gekwalificeerde verleners van vertrouwensdiensten die handtekeningen op afstand aanbieden op basis van een gekwalificeerd middel voor het aanmaken van handtekeningen op afstand, gekwalificeerde verleners voor deze specifieke dienst worden. Zowel de uitvoering van de technische aspecten als de vergunningprocedure vergen tijd.

3.5.

Het EESC merkt op dat de voorgestelde digitalisering van diensten, ongeacht de voordelen ervan, ook kan leiden tot uitsluiting van delen van de Europese samenleving, met name ouderen, mensen met een geringe digitale geletterdheid en personen met een handicap. Het EESC erkent dat onderwijs aan de Europese burgers een sleutelrol speelt bij de bestrijding van dergelijke uitsluiting; onderwijs moet ook bijdragen tot een groter bewustzijn op het gebied van de bescherming van persoonsgegevens.

4.   Beschikbaarheid en discretionair gebruik van een Europees kader voor digitale identiteit

4.1.

Het EESC is ingenomen met het idee om betere oplossingen voor digitaledienstverlening te bieden die de toegang tot zowel particuliere als publieke diensten verruimen. Ook is het EESC ingenomen met de pogingen van de Europese Commissie om een Europees kader voor digitale identiteit beschikbaar te maken voor de overgrote meerderheid van de Europese burgers. Wegens de bestaande belemmeringen voor de grensoverschrijdende toegang tot eID-diensten (bv. gebrek aan interoperabiliteit tussen de door de lidstaten ontwikkelde eID-systemen) maken veel inwoners van de EU er helemaal geen gebruik. De nieuwe oplossingen op basis van Europese portemonnees voor digitale identiteit kunnen ertoe bijdragen dat betrouwbare onlinediensten beschikbaar worden gesteld aan ten minste 80 % van de Europeanen.

4.2.

Daarom steunt het EESC het voorstel om van de lidstaten te eisen dat zij een Europese portemonnee voor digitale identiteit uitgeven, een instrument waarmee gebruikers: 1) op een transparante en door de gebruiker traceerbare wijze veilig de nodige wettelijke persoonsidentificatiegegevens en elektronische attesteringen van attributen kunnen aanvragen, verkrijgen, opslaan, selecteren, combineren en delen, zodat zij zich online en offline kunnen authenticeren om openbare en particuliere onlinediensten te gebruiken, en 2) documenten kunnen ondertekenen middels gekwalificeerde elektronische handtekeningen die in de hele EU wordt aanvaard.

4.3.

Bovendien is het EESC ingenomen met het voorstel om ervoor te zorgen dat de Europese portemonnee voor digitale identiteit gelijkelijk toegankelijk wordt gemaakt voor personen met een handicap overeenkomstig de bepalingen van bijlage I bij Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad (3), wat in overeenstemming is met het non-discriminatiebeginsel dat is vastgelegd in artikel 21 van het Handvest van de grondrechten van de Europese Unie. Om digitale uitsluiting in dit kader te voorkomen, stelt het EESC voor om in samenwerking met de betrokken instellingen en ngo’s oplossingen voor personen met een handicap uit te werken vanuit een multistakeholderbenadering.

4.4.

Het EESC vindt het ook een goede zaak dat burgers en ingezetenen zelf mogen beslissen of zij een Europese portemonnee voor digitale identiteit willen gebruiken. Het EESC is van mening dat gebruikers in geen geval verplicht mogen worden om deze portemonnee te gebruiken om toegang te krijgen tot particuliere of openbare diensten; zij moeten daartoe alleen de mogelijkheid hebben.

4.5.

Wat de betaalbaarheid betreft, is het EESC ingenomen met het feit dat het gebruik van de Europese portemonnee voor digitale identiteit gratis zal zijn voor gebruikers. Het EESC verzoekt de Europese Commissie echter om de volgende aspecten nader te analyseren en in de verordening te verduidelijken: i) de uitgiftekosten voor natuurlijke personen; ii) de kosten (uitgifte en gebruik) voor rechtspersonen, en iii) de kosten voor het toevoegen van digitale identiteitsattributen aan een dergelijke portemonnee, aangezien elke toevoeging volgens het EESC een vertrouwensdienst zou inhouden, met de bijbehorende kosten voor de eigenaar van de portemonnee.

5.   Bruikbaarheidsaspecten van een Europees kader voor digitale identiteit

5.1.

Het EESC is ingenomen met het initiatief van de Commissie om de bruikbaarheid van elektronische identificatiemiddelen te verbeteren door de totstandbrenging van een gemeenschappelijk Europees kader voor digitale identiteit gebaseerd op het grensoverschrijdend gebruik van een Europese portemonnee voor digitale identiteit.

5.2.

Volgens het voorstel kan de bruikbaarheid worden verbeterd met de middelen waarin wordt voorzien in het nieuwe artikel 12 ter van de eIDAS-verordening, dat een reeks vereisten bevat met betrekking tot de erkenning van Europese portemonnees voor digitale identiteit, die niet alleen gericht zijn tot de lidstaten, maar ook tot particuliere vertrouwende partijen die diensten verlenen en “zeer grote onlineplatforms”, als gedefinieerd in artikel 25, lid 1, van de voorgestelde wet inzake digitale diensten (4). Op basis van deze nieuwe bepalingen moeten sommige particuliere sectoren (vervoer, energie, financiële dienstverlening, sociale zekerheid, gezondheidszorg, drinkwatervoorziening, postdiensten, digitale infrastructuur, onderwijs, telecommunicatie) het gebruik van Europese portemonnees voor digitale identiteit aanvaarden voor de verlening van diensten waarvoor op grond van nationale of Uniewetgeving of contractuele verplichtingen sterke gebruikersauthenticatie voor online-identificatie vereist is. Volgens het voorstel van de Commissie zou dezelfde eis gelden voor zeer grote onlineplatforms (bv. sociale netwerken), die het gebruik van Europese portemonnees voor digitale identiteit zouden moeten aanvaarden met inachtneming van de minimaal benodigde attributen voor de specifieke onlinedienst waarvoor authenticatie vereist is, zoals een bewijs van leeftijd.

5.3.

Om de brede beschikbaarheid en bruikbaarheid van elektronische identificatiemiddelen, met inbegrip van Europese portemonnees voor digitale identiteit, te waarborgen, zouden particuliere aanbieders van onlinediensten (die niet als “zeer grote platforms” worden aangemerkt) volgens het EESC moeten worden betrokken bij de ontwikkeling van zelfregulerende gedragscodes om te zorgen voor een brede aanvaarding van elektronische identificatiemiddelen. De Europese Commissie zou moeten worden belast met het beoordelen van de doeltreffendheid en bruikbaarheid van dergelijke bepalingen voor de gebruikers van Europese portemonnees voor digitale identiteit.

6.   Kwesties in verband met de rechtsgevolgen van Europese portemonnees voor digitale identiteit

6.1.

Het EESC steunt het voorstel wat betreft de verbetering van de toegang tot digitale overheidsdiensten, ook in grensoverschrijdende situaties.

6.2.

In de voorgestelde nieuwe afdeling 9 van de eIDAS-verordening is bepaald dat een gekwalificeerde elektronische attestering van attributen die in de ene lidstaat is afgegeven, ook in elke andere lidstaat als dusdanig moet worden erkend.

6.3.

Met betrekking tot het nationale recht van de lidstaten, dat in sommige gevallen aanzienlijk kan verschillen, wijst het EESC er echter op dat de attributen die in één lidstaat aan de hand van authentieke bronnen zijn geverifieerd, beperkt moeten blijven tot de bevestiging van feitelijke omstandigheden en geen rechtsgevolgen mogen hebben in andere lidstaten, tenzij de geattesteerde attributen in overeenstemming zijn met het nationale recht van die lidstaat. In wezen mogen de voorgestelde juridische oplossingen geen gevolgen hebben voor de erkenning in een lidstaat van rechtsgevolgen met betrekking tot de inhoud van de attributen die aan de hand van authentieke bronnen zijn geattesteerd in een andere lidstaat, naar analogie met de bepalingen van Verordening (EU) 2016/1191. Sommige persoonsgegevens (met betrekking tot iemands religie of overtuigingen) kunnen hier als voorbeeld dienen. In sommige EU-landen heeft dit soort informatie rechtsgevolgen (in Duitsland bijvoorbeeld bevatten akten van de burgerlijke stand informatie over geloofsovertuiging, op basis waarvan wordt bepaald of het verplicht is kerkbelasting te betalen voor een kerkelijk huwelijk), terwijl dat in andere landen (bijvoorbeeld Polen) niet het geval is.

6.4.

Daarom verzoekt het EESC de Europese Commissie te overwegen de tekst van afdeling 9 te verduidelijken, om duidelijk te maken dat de erkenning van een gekwalificeerde elektronische attestering van attributen in een andere lidstaat beperkt blijft tot de bevestiging van de feitelijke omstandigheden in verband met het attribuut in kwestie en geen rechtsgevolgen heeft in andere lidstaten, tenzij de geattesteerde attributen in overeenstemming zijn met de nationale wetgeving van de lidstaat in kwestie.

7.   Veiligheidsaspecten

A.   Gegevensbescherming in het kader van de grondrechten

7.1.

Het EESC merkt op dat burgers en andere ingezetenen door het ontbreken van een gemeenschappelijk Europees kader voor een digitale identiteit in de meeste gevallen belemmeringen ondervinden wanneer zij informatie in verband met hun identiteit digitaal willen uitwisselen over de grenzen heen, vooral als deze uitwisseling veilig en met een hoog niveau van gegevensbescherming moet plaatsvinden.

7.2.

Het EESC is dan ook ingenomen met de pogingen om op basis van Europese portemonnees voor digitale identiteit een interoperabel en veilig systeem op te zetten waarmee de uitwisseling van informatie tussen de lidstaten over onder meer de arbeidsstatus en sociale rechten kan worden verbeterd. In dit verband verwacht het EESC dat het nieuwe Europees kader voor een digitale identiteit bijvoorbeeld mogelijkheden zal scheppen voor een snelle toename van de grensoverschrijdende arbeidskansen en voor een uitbreiding van de automatische toekenning van sociale rechten zonder extra aanvraagprocedures of andere administratieve rompslomp.

7.3.

Het EESC is echter van mening dat doeltreffende gegevensbescherming het belangrijkste aandachtspunt is in het kader van de bescherming van de grondrechten, met name het recht op privacy en het recht op bescherming van persoonsgegevens.

7.4.

Het EESC staat dan ook volledig achter de eis dat het Europese kader voor een digitale identiteit iedereen de middelen moet bieden om te controleren wie toegang heeft tot zijn digitale tweeling en tot welke gegevens precies toegang kan worden verkregen (ook wanneer het gaat om toegang door de overheid). Zoals in het voorstel wordt opgemerkt, vereist dit een hoog niveau van beveiliging met betrekking tot alle aspecten van de levering van een digitale identiteit, met inbegrip van de uitgifte van een Europese portemonnee voor digitale identiteit, en de infrastructuur voor het verzamelen, opslaan en vrijgeven van digitale identiteitsgegevens.

7.5.

In dit verband is het EESC ingenomen met het voorstel dat gebruikers het recht krijgen om hun attributen op selectieve wijze vrij te geven, binnen de grenzen van hetgeen in een bepaalde situatie noodzakelijk is. Volgens het voorstel heeft de gebruiker, wanneer hij zich bedient van een Europese portemonnee voor digitale identiteit, controle over hoeveel gegevens aan vertrouwende partijen worden verstrekt, en moet hij worden geïnformeerd over de attributen die voor de levering van een specifieke dienst vereist zijn.

7.6.

Het EESC steunt het voorstel om persoonsgegevens die verband houden met de verstrekking van Europese portemonnees voor digitale identiteit, fysiek en logisch gescheiden te houden van andere gegevens die door de afgevers van deze Europese portemonnees worden opgeslagen, en stemt in met de eis dat verleners van gekwalificeerde diensten van elektronische attestering van attributen dergelijke diensten via een afzonderlijke juridische entiteit verlenen.

7.7.

Naast het waarborgen van doeltreffende gegevensbescherming is ook de controle van gebruikers over hun gegevens van essentieel belang. In dit verband zou het EESC ook voorstander zijn van de totstandbrenging van een Europees kader voor digitale identiteit dat voortbouwt op door de lidstaten uitgegeven wettelijke identiteiten en op de verstrekking van gekwalificeerde en niet-gekwalificeerde digitale identiteitsattributen.

7.8.

Om een hoog niveau van rechtsbescherming van de gegevens van gebruikers te waarborgen, moeten gebruikers meer controle krijgen over hun Europese portemonnees voor digitale identiteit, met inbegrip van de traceerbaarheid van de toegang tot de gegevens van elke gebruiker. Daartoe moet de bespreking over de technische aspecten die volgt op de goedkeuring van het voorstel onder meer betrekking hebben op de oprichting van een register waarmee de gebruiker op verzoek elke toegang tot zijn gegevens kan controleren.

B.   Andere beveiligings- en aansprakelijkheidsaspecten

7.9.

Volgens het voorstel zal het nieuwe Europees kader voor digitale identiteit voorzien in mechanismen ter voorkoming van fraude en ter waarborging van de authenticatie van persoonsidentificatiegegevens. Aangezien het voorstel een bepaling bevat om middelen in te voeren om attributen te verifiëren aan de hand van authentieke bronnen, zou dit bijvoorbeeld de veiligheid van kinderen op het internet kunnen vergroten door te voorkomen dat zij toegang krijgen tot inhoud die ongeschikt is voor hun leeftijd. Het EESC stelt vast dat een dergelijke doeltreffende bescherming momenteel op nationaal niveau niet bestaat of uiterst ondoeltreffend is.

7.10.

Het EESC staat achter het idee dat webbrowsers moeten zorgen voor ondersteuning van en interoperabiliteit met gekwalificeerde certificaten voor websiteauthenticatie overeenkomstig de eIDAS-verordening. Zij moeten gekwalificeerde certificaten voor websiteauthenticatie herkennen en weergeven om een hoge mate van zekerheid te bieden, waardoor de eigenaren van websites hun identiteit als eigenaar van een website kunnen bevestigen en gebruikers de eigenaren van websites met een hoge mate van zekerheid kunnen identificeren. Tegelijkertijd is het EESC van mening dat er behoefte is aan eenvoudige, snelle en doeltreffende verhaalmechanismen om de blokkering van een website ongedaan te maken als deze ten onrechte als gevaarlijk is aangemerkt. Er moeten ook aansprakelijkheidsregels worden vastgesteld voor gevallen waarin een website ten onrechte als gevaarlijk is aangemerkt.

7.11.

Het EESC wijst erop dat elke digitalisering van gegevens veiligheidsproblemen met zich meebrengt; met name grootschalige systemen voor opslag en verwerking van gegevens zijn een bron van informatie die gevoelig is voor fraude en gegevensverlies. Het EESC is zich er ook van bewust dat er momenteel geen volledig doeltreffend beveiligingssysteem (d.w.z. zonder lacunes of fouten) bestaat dat dergelijke risico’s volledig zou uitsluiten.

7.12.

Het EESC wijst er daarom op dat, om alle ongewenste situaties met betrekking tot gebruikersgegevens tot een minimum te beperken, de technische architectuur van het kader voor een digitale identiteit die door de lidstaten in overleg met de Commissie wordt ontwikkeld, gericht moet zijn op maatregelen om de gegevensbeveiliging te verbeteren en om te voorzien in mechanismen voor gegevenscontrole. Dergelijke mechanismen zijn bijvoorbeeld van belang wanneer bij gebruikers verzamelde gegevens worden gebruikt voor andere doeleinden dan oorspronkelijk bedoeld. Tegelijkertijd is het EESC van mening dat de technische architectuur moet worden ontwikkeld met inachtneming van de grondrechten en het beginsel van soevereiniteit van de lidstaten.

7.13.

Het EESC merkt op dat in artikel 13, lid 1, van de eIDAS-verordening is bepaald dat verleners van vertrouwensdiensten aansprakelijk zijn voor schade die opzettelijk of uit onachtzaamheid wordt toegebracht aan natuurlijke of rechtspersonen wegens niet-naleving van de verplichtingen uit hoofde van deze Verordening (en, volgens het onderhavige voorstel van de Commissie, de verplichtingen inzake het risicobeheer op het gebied van cyberbeveiliging krachtens artikel 18 van de voorgestelde “NIS2-richtlijn”). Deze bepaling moet worden toegepast overeenkomstig de nationale aansprakelijkheidsregels (artikel 13, lid 3).

7.14.

Wat aansprakelijkheid betreft, wijst het EESC erop dat kwesties in verband met de definitie van schade, de omvang ervan en de verschuldigde schadevergoeding door het nationale recht van de lidstaten worden geregeld. Volgens deze regels is de aansprakelijkheid van verleners van vertrouwensdiensten mogelijk ingeperkt door de desbetreffende bepalingen van het nationale recht en door het door de dienstverleners vastgestelde “dienstverleningsbeleid”.

7.15.

Het EESC is van mening dat gebruikers van Europese portemonnees voor digitale identiteit een schadevergoeding moeten kunnen krijgen voor ongewenste situaties met betrekking tot hun gegevens, zoals diefstal, verlies, openbaarmaking, gebruik voor andere doeleinden dan oorspronkelijk bedoeld enz. Deze aansprakelijkheid zou alle bovengenoemde situaties moeten omvatten, ongeacht intentie of nalatigheid van de dienstverlener (ongeacht of de dienstverlener schuld treft).

7.16.

Diefstal, ongeoorloofde openbaarmaking of verlies van gegevens (met name persoonsgegevens) kan de eigenaar ervan langdurige schade berokkenen. Wanneer digitale informatie eenmaal openbaar is gemaakt, kan deze nog lange tijd door tal van entiteiten worden verkregen tegen de wil van de eigenaar van de gegevens in kwestie. Het EESC moedigt de Commissie en de lidstaten aan om doeltreffende mechanismen te zoeken en te ontwikkelen die de eigenaars van gegevens in dergelijke gevallen een oplossing bieden.

7.17.

De voorgestelde oplossingen voor het nieuwe systeem zullen dienstverleners ertoe dwingen hun elektronische beveiligingssystemen aanzienlijk te upgraden, met bijzondere aandacht voor cyberbeveiliging. Het EESC verwacht dat dit aanzienlijke kosten met zich mee zal brengen en een modernisering van de bestaande IT-infrastructuur zal vergen. Voor sommige dienstverleners kan dit een buitensporige last blijken, die er zelfs toe kan leiden dat dienstverleners die zich dergelijke investeringen op korte termijn niet kunnen veroorloven, van sommige markten verdwijnen. Daarom zouden de Commissie en de lidstaten op zoek moeten gaan naar oplossingen die dienstverleners in dit opzicht tegen discriminatie beschermen en die een “zachte” overgang mogelijk maken, onder meer door de mogelijkheid te bieden om in verschillende stappen en binnen een redelijk tijdsbestek aan de nieuwe eisen te voldoen.

---

(1)  Verordening (EU) 2016/1191 van het Europees Parlement en de Raad van 6 juli 2016 inzake de bevordering van het vrije verkeer van burgers door vereenvoudigde overlegging van bepaalde openbare documenten in de Europese Unie en tot wijziging van Verordening (EU) nr. 1024/2012 (PB L 200 van 26.7.2016, blz. 1).

(2)  Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PB L 257 van 28.8.2014, blz. 73).

(3)  Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad van 17 april 2019 betreffende de toegankelijkheidsvoorschriften voor producten en diensten (PB L 151 van 7.6.2019, blz. 70).

(4)  COM/2020/825 final.