EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52021PC0281

Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD tot wijziging van Verordening (EU) nr. 910/2014 betreffende een Europees kader voor een digitale identiteit

COM/2021/281 final

Brussel, 3.6.2021

COM(2021) 281 final

2021/0136(COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

tot wijziging van Verordening (EU) nr. 910/2014 betreffende een Europees kader voor een digitale identiteit

{SEC(2021) 228 final} - {SWD(2021) 124 final} - {SWD(2021) 125 final}


TOELICHTING

1.ACHTERGROND VAN HET VOORSTEL

Motivering en doel van het voorstel

Deze toelichting begeleidt het voorstel voor een verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (eIDAS) 1 . Met deze rechtshandeling wordt beoogd, met het oog op grensoverschrijdend gebruik:

om toegang tot sterk beveiligde en betrouwbare elektronische identiteitsoplossingen te bieden;

dat openbare en particuliere diensten betrouwbare en veilige digitale-identiteitsoplossingen kunnen gebruiken;

dat natuurlijke en rechtspersonen digitale-identiteitsoplossingen kunnen gebruiken;

dat deze oplossingen verbonden zijn met een reeks attributen en dat daarmee identiteitsgegevens gericht kunnen worden gedeeld, binnen de grenzen van hetgeen voor de gevraagde specifieke dienst nodig is;

dat gekwalificeerde vertrouwensdiensten in de EU worden aanvaard en dat gelijke voorwaarden gelden voor de verlening daarvan.

In de markt ontstaat een nieuwe omgeving waarin de aandacht verschuift van de levering en het gebruik van rigide digitale identiteiten naar de levering van en een vertrouwen op specifieke attributen die met die identiteiten verbonden zijn. Er is een groeiende vraag naar elektronische identiteitsoplossingen die deze functionaliteiten kunnen bieden, waarmee efficiëntiewinst en een hoog niveau van vertrouwen in de EU, in de particuliere alsook in de publieke sector, worden bewerkstelligd, vanuit de behoefte om gebruikers met een hoge mate van zekerheid te kunnen identificeren en authenticeren.

Uit de evaluatie van de eIDAS-verordening 2 is gebleken dat de huidige verordening niet aan deze nieuwe marktbehoefte kan voldoen, vooral vanwege de inherente beperking ervan tot de overheidssector, de beperkte mogelijkheden en de complexiteit voor particuliere aanbieders van onlinediensten om zich op het systeem aan te sluiten, de ontoereikende beschikbaarheid van aangemelde eID-oplossingen in alle lidstaten en het gebrek aan flexibiliteit om uiteenlopende use cases te ondersteunen. Bovendien zijn er zorgen over privacy en gegevensbescherming gerezen met betrekking tot identiteitsoplossingen die buiten het toepassingsgebied van eIDAS vallen, zoals die van aanbieders van sociale media en financiële instellingen. Die kunnen niet doeltreffend inspelen op nieuwe marktbehoeften en hebben geen grensoverschrijdend bereik om tegemoet te komen aan behoeften in specifieke sectoren waar identificatie gevoelig ligt en een hoge mate van zekerheid vereist is.

Vanaf de inwerkingtreding van het eID-deel van de verordening in september 2018 hebben slechts 14 lidstaten ten minste één eID-regeling aangemeld. Daardoor heeft slechts 59 % van de inwoners van de EU toegang tot betrouwbare en veilige grensoverschrijdende eID-regelingen. Er zijn maar zeven regelingen die volledig mobiel zijn en aan de huidige verwachtingen van gebruikers voldoen. Omdat niet alle technische knooppunten voor de verbinding met het eIDAS-interoperabiliteitskader volledig operationeel zijn, is de grensoverschrijdende toegang beperkt; er zijn zeer weinig publieke onlinediensten die in eigen land toegankelijk zijn en waar via het eIDAS-netwerk ook over de grenzen heen gebruik van kan worden gemaakt.

Door een Europees kader voor digitale identiteit aan te bieden op basis van het bestaande, zou ten minste 80 % van de burgers tegen 2030 een digitale ID-oplossing moeten kunnen gebruiken om toegang tot essentiële publieke diensten te krijgen. Bovendien moeten de beveiliging en de controle van het Europese kader voor digitale identiteit burgers en inwoners het volste vertrouwen inboezemen, zodat iedereen met het Europese kader voor digitale identiteit precies kan controleren wie toegang heeft tot hun digitale tweeling en tot welke gegevens. Dit vraagt ook een hoog niveau van beveiliging met betrekking tot alle aspecten van de levering van een digitale identiteit, waaronder de afgifte van een Europese portemonnee voor digitale identiteit en de infrastructuur voor de verzameling, opslag en openbaarmaking van digitale-identiteitsgegevens.

Verder voorziet het huidige eIDAS-kader niet in de levering van elektronische attributen, zoals medische attesten of beroepskwalificaties, waardoor het moeilijk is om dergelijke inloggegevens in elektronische vorm in heel Europa wettelijk te doen erkennen. Ook kunnen gebruikers krachtens de eIDAS-verordening het delen van identiteitsgegevens niet beperken tot wat strikt noodzakelijk is voor een dienst.

Uit de evaluatie van de eIDAS-verordening blijkt dat het kader voor het verlenen van vertrouwensdiensten tamelijk succesvol is geweest, wat ervoor heeft gezorgd dat de meeste vertrouwensdiensten met een hoog niveau van vertrouwen worden gebruikt, maar er moet meer gebeuren om tot volledige harmonisatie en aanvaarding te komen. Burgers moeten kunnen vertrouwen op gekwalificeerde certificaten voor websiteauthenticatie, en gebruik kunnen maken van beveiligde en betrouwbare informatie over wie achter een website zit, wat leidt tot minder fraude.

Aansluitend op de marktdynamiek en de technologische ontwikkelingen breidt dit voorstel de bestaande eIDAS-lijst van vertrouwensdiensten bovendien uit met drie nieuwe gekwalificeerde vertrouwensdiensten, namelijk het aanbieden van elektronische archiefdiensten, elektronische registers en het beheer van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen en zegels op afstand.

Het voorstel biedt ook een geharmoniseerde benadering van beveiliging, voor burgers die vertrouwen op een Europese digitale identiteit als online vertegenwoordiging, en voor aanbieders van onlinediensten die digitale-identiteitsoplossingen volledig zullen kunnen vertrouwen en aanvaarden, ongeacht de plaats van uitgifte. Het voorstel houdt een verschuiving in voor afgevers van Europese digitale-identiteitsoplossingen, en biedt een gemeenschappelijke technische architectuur, een referentiekader en gemeenschappelijke normen die in samenwerking met de lidstaten moeten worden ontwikkeld. Een geharmoniseerde benadering is nodig om te voorkomen dat de ontwikkeling van nieuwe digitale-identiteitsoplossingen in de lidstaten tot verdere versnippering leidt vanwege het gebruik van uiteenlopende nationale oplossingen. Een geharmoniseerde benadering versterkt ook de eengemaakte markt, omdat burgers, andere ingezetenen en ondernemingen zich online op een veilige, gemakkelijke en uniforme manier in de hele EU kunnen identificeren om toegang tot publieke en particuliere diensten te krijgen. Gebruikers zouden kunnen vertrouwen op een verbeterd ecosysteem voor elektronische identiteits- en vertrouwensdiensten die overal in de Unie worden erkend en aanvaard.

Om versnippering en belemmeringen vanwege uiteenlopende normen te vermijden, zal de Commissie tegelijk met dit voorstel een aanbeveling aannemen. De aanbeveling bevat een proces ter ondersteuning van een gemeenschappelijke benadering op grond waarvan de lidstaten en andere belanghebbenden uit de publieke en de particuliere sector in nauwe coördinatie met de Commissie kunnen werken aan de ontwikkeling van een toolbox om uiteenlopende benaderingen te voorkomen en de toekomstige uitvoering van het Europese kader voor digitale identiteit niet in gevaar te brengen.

Verenigbaarheid met bestaande bepalingen op het beleidsterrein

Het voorstel bouwt voort op de huidige eIDAS-verordening, op de rol van de lidstaten als verstrekkers van wettelijke identiteiten en op het kader voor het verlenen van elektronische vertrouwensdiensten in de Europese Unie. Het voorstel is complementair en volledig in samenhang met andere beleidsinstrumenten op EU-niveau die de voordelen van de interne markt naar de digitale wereld beogen om te zetten, met name door burgers meer mogelijkheden te bieden om grensoverschrijdend toegang tot diensten te krijgen. In dit opzicht geeft het voorstel uitvoering aan het politieke mandaat van de Europese Raad 3 en de voorzitter van de Europese Commissie 4 voor een EU-kader voor openbare elektronische identiteiten, op grond waarvan alle burgers of ingezetenen toegang kunnen krijgen tot een veilige Europese e-identiteit die in de hele EU kan worden gebruikt ter identificatie en authenticatie om toegang tot diensten in de publieke en private sector te krijgen, waarbij de burger bepaalt welke gegevens worden gedeeld en hoe die worden gebruikt.

Verenigbaarheid met andere beleidsterreinen van de Unie

Het voorstel is in overeenstemming met de prioriteiten voor de digitale transformatie zoals uiteengezet in de strategie “De digitale toekomst van Europa vormgeven” 5 , en ondersteunt de verwezenlijking van de doelstellingen uit de mededeling over het digitale decennium 6 . De verwerking van persoonsgegevens op grond van deze verordening moet plaatsvinden in volledige overeenstemming met de algemene verordening gegevensbescherming (AVG) 7 . Bovendien worden bij deze verordening specifieke gegevensbeschermingsmaatregelen ingevoerd.

Om een hoog beveiligingsniveau te garanderen, is het voorstel ook in overeenstemming met het Uniebeleid inzake cyberbeveiliging 8 . Het voorstel is bedoeld om versnippering tegen te gaan door algemene cyberbeveiligingsvoorschriften toe te passen op krachtens de eIDAS-verordening gereglementeerde aanbieders van vertrouwensdiensten.

Voorts is het voorstel in overeenstemming met ander sectoraal beleid dat berust op het gebruik van elektronische identiteiten, elektronische attesteringen van attributen en andere vertrouwensdiensten. Dit omvat de verordening tot oprichting van één digitale toegangspoort 9 , vereisten voor de financiële sector inzake witwassen en tegen de financiering van terrorisme, initiatieven om socialezekerheidsgegevens te delen, vereisten voor een digitaal rijbewijs of toekomstige digitale reisdocumenten en andere initiatieven om de regeldruk voor burgers en bedrijven te verlagen, volledig op basis van de mogelijkheden van de digitale transformatie of van procedures in de publieke en de private sector. De portemonnee zal bovendien het gebruik van gekwalificeerde elektronische handtekeningen mogelijk maken, om politieke deelname te faciliteren 10 .

2.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

Rechtsgrondslag

Dit initiatief is bedoeld om de transformatie van de Unie naar een digitale eengemaakte markt te ondersteunen. Met de toenemende digitalisering van grensoverschrijdende publieke en particuliere diensten die digitale-identiteitsoplossingen gebruiken, bestaat het risico dat burgers binnen het huidige wettelijke kader belemmeringen blijven ervaren en niet volledig en naadloos gebruik kunnen maken van onlinediensten in de EU, en hun privacy niet kunnen beschermen. Ook bestaat het risico dat de tekortkomingen van het huidige wettelijke kader voor vertrouwensdiensten leiden tot meer versnippering en tot minder vertrouwen als de lidstaten dit afzonderlijk moeten aanpakken. Daarom is artikel 114 VWEU de toepasselijke rechtsgrondslag voor dit initiatief.

Subsidiariteit (bij niet-exclusieve bevoegdheid)

Burgers en ondernemingen zouden moeten kunnen profiteren van de beschikbaarheid van sterk beveiligde en betrouwbare elektronische identiteitsoplossingen die in de hele EU kunnen worden gebruikt, en van de overdraagbaarheid van elektronische attesteringen van attributen die met identiteit samenhangen. Vanwege recente technologische ontwikkelingen en markt- en gebruikersbehoeften moeten er gebruiksvriendelijkere grensoverschrijdende oplossingen beschikbaar komen om toegang tot onlinediensten in de hele EU te kunnen krijgen, wat de eIDAS-verordening in haar huidige vorm niet kan bieden.

Gebruikers zijn er steeds meer aan gewend geraakt dat oplossingen wereldwijd beschikbaar zijn, bijvoorbeeld via de Single Sign On-oplossingen van de grotere socialemediaplatforms voor toegang tot hun onlinediensten. De lidstaten kunnen de hieruit voortvloeiende uitdagingen op het gebied van marktmacht van grote aanbieders niet alleen aan; hiervoor zijn interoperabiliteit en betrouwbare eID’s op EU-niveau nodig. Verder worden in één lidstaat uitgegeven en aanvaarde elektronische attesteringen van attributen, zoals een elektronisch medisch certificaat, in andere lidstaten vaak niet wettelijk erkend en aanvaard. Hierdoor dreigen de lidstaten versnipperde nationale oplossingen te blijven ontwikkelen die niet grensoverschrijdend kunnen werken.

Hoewel de levering van vertrouwensdiensten grotendeels gereguleerd is en volgens het bestaande wettelijke kader functioneert, zorgen nationale praktijken hierbij ook voor een risico van toenemende fragmentatie.

Optreden op EU-niveau is uiteindelijk het meest geschikt om burgers en bedrijven de middelen te bieden om zich grensoverschrijdend te identificeren en persoonlijkheidsattributen en inloggegevens uit te wisselen via sterk beveiligde en betrouwbare elektronische identiteitsoplossingen, conform de EU-regels inzake gegevensbescherming. Er is een betrouwbare en veilige eID en een regelgevingskader vereist om de verbinding met attributen en inloggegevens op EU-niveau te maken. Alleen met optreden op EU-niveau kunnen de geharmoniseerde voorwaarden worden vastgesteld voor gebruikerscontrole en voor toegang tot grensoverschrijdende digitale onlinediensten en tot een interoperabiliteitskader waarmee onlinediensten gemakkelijk veilige digitale-identiteitsoplossingen kunnen gebruiken, ongeacht de plaats van uitgifte of van verblijf in de EU. Zoals in grote lijnen weergegeven in de herziening van de eIDAS-verordening is het onwaarschijnlijk dat nationale maatregelen efficiënt en effectief zouden zijn.

Evenredigheid

Het initiatief staat in verhouding tot de beoogde doelstellingen, en biedt een geschikt instrument voor het opzetten van de noodzakelijke interoperabiliteitsstructuur voor een EU-ecosysteem voor digitale identiteit dat voortbouwt op door de lidstaten uitgegeven wettelijke identiteiten en op de verstrekking van gekwalificeerde en niet-gekwalificeerde digitale identiteitsattributen. Het draagt duidelijk bij tot de doelstelling van verbetering van de digitale eengemaakte markt door middel van een beter geharmoniseerd rechtskader. De geharmoniseerde Europese portemonnees voor digitale identiteit die door de lidstaten moeten worden uitgegeven op basis van gemeenschappelijke technische normen bieden een gemeenschappelijke EU-benadering ten behoeve van gebruikers en partijen die op de beschikbaarheid van veilige grensoverschrijdende elektronische identiteitsoplossingen vertrouwen. Het initiatief pakt de beperkingen van de bestaande interoperabiliteitsinfrastructuur voor elektronische identificatie aan op basis van wederzijdse erkenning van uiteenlopende nationale regelingen voor elektronische identificatie. Gezien de doelstellingen wordt dit initiatief voldoende evenredig geacht en staan de kosten waarschijnlijk in verhouding tot de potentiële baten. De voorgestelde verordening gaat gepaard met financiële en administratieve kosten, die moeten worden gedragen door de lidstaten als afgevers van de Europese portemonnees voor digitale identiteit, door vertrouwensdiensten en door aanbieders van onlinediensten. Die kosten worden waarschijnlijk echter ruimschoots gecompenseerd door de aanzienlijke potentiële baten voor burgers en gebruikers die rechtstreeks voortkomen uit een toename van de grensoverschrijdende erkenning en aanvaarding van elektronische identiteits- en attribuutdiensten.

De kosten in verband met het opstellen van en het afstemmen op de nieuwe normen voor aanbieders van vertrouwensdiensten en aanbieders van onlinediensten zijn onvermijdelijk om de doelstellingen van bruikbaarheid en toegankelijkheid te bereiken. Het de bedoeling dat het initiatief de reeds door de lidstaten gedane investeringen in hun nationale identiteitsregelingen benut en daarop voortbouwt. Verder zijn de extra kosten van het voorstel gericht op harmonisering, en gerechtvaardigd omdat ze naar verwachting op termijn de regeldruk en de nalevingskosten zullen verminderen. De kosten in verband met de aanvaarding in gereglementeerde sectoren van authenticatieattributen voor digitale identiteit kunnen ook als noodzakelijk en evenredig worden beschouwd voor zover zij de algemene doelstelling ondersteunen en de middelen verschaffen waarmee gereglementeerde sectoren kunnen voldoen aan de wettelijke verplichtingen om een gebruiker wettelijk te identificeren.

Keuze van het instrument

De keuze voor een verordening als rechtsinstrument wordt gerechtvaardigd door de behoefte om in de interne markt uniforme voorwaarden voor de toepassing van de Europese digitale identiteit te waarborgen, door middel van een geharmoniseerd kader dat erop gericht is naadloze interoperabiliteit te verzorgen en de Europese burgers en bedrijven middels sterk beveiligde en betrouwbare eID’s toegang tot publieke en particuliere diensten in de hele EU te bieden. 

3.EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING

Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan

Als onderdeel van het evaluatieproces krachtens artikel 49 van de eIDAS-verordening is een evaluatie van de werking van de eIDAS-verordening uitgevoerd. De belangrijkste bevinding van de evaluatie met betrekking tot elektronische identiteit is dat het potentieel van eIDAS niet is ontsloten. Er is maar een beperkt aantal eID’s aangemeld, waardoor de dekking van aangemelde eID-regelingen beperkt is gebleven tot ongeveer 59 % van de bevolking van de EU. Bovendien worden aangemelde eID’s op het niveau van de lidstaten en van de dienstverleners maar beperkt aanvaard. Het lijkt ook dat slechts weinige van de via binnenlandse eID toegankelijke diensten met de nationale eIDAS-infrastructuur verbonden zijn. Uit de evaluatie is ook naar voren gekomen dat het huidige toepassingsgebied en de focus van de eIDAS-verordening op door de EU-lidstaten aangemelde eID’s en op toegang tot publieke onlinediensten te beperkt en onvoldoende lijken. De grootste behoefte aan elektronische identiteit en authenticatie op afstand bestaat bij de particuliere sector, met name op gebieden als bankieren, telecommunicatie en platformexploitanten die wettelijk verplicht zijn de identiteit van hun klanten te verifiëren. De meerwaarde van de eIDAS-verordening met betrekking tot elektronische identiteit is beperkt vanwege de geringe dekking en benutting ervan.

De in dit voorstel vastgestelde problemen houden verband met de tekortkomingen van het huidige eIDAS-kader en met fundamentele contextuele veranderingen op het gebied van de markt, de maatschappij en technologische ontwikkelingen die nieuwe behoeften van gebruikers en uit de markt aanzwengelen.

Raadpleging van belanghebbenden

Een openbare raadpleging vond plaats tussen 24 juli 2020 en 2 oktober 2020. De Commissie heeft in totaal 318 voorstellen ontvangen. De Commissie heeft ook 106 antwoorden op een gerichte enquête onder belanghebbenden ontvangen. Voorts zijn er adviezen van de lidstaten verzameld, in een aantal bilaterale en multilaterale bijeenkomsten en via enquêtes die sinds begin 2020 zijn georganiseerd. Voorbeelden daarvan zijn met name een enquête onder vertegenwoordigers van de lidstaten van het eIDAS-samenwerkingsnetwerk in juli-augustus 2020 en diverse specifieke workshops. De Commissie heeft ook diepte-interviews met vertegenwoordigers van het bedrijfsleven gehouden, en tijdens bilaterale bijeenkomsten belanghebbenden uit verschillende bedrijfstakken (bv. e-commerce, gezondheidszorg, financiële dienstverleners, telecommunicatie-exploitanten, producenten van apparatuur enz.) ontmoet.

Een grote meerderheid van de respondenten van de openbare raadpleging verwelkomde het opzetten van een unieke en universeel aanvaarde digitale identiteit op basis van de door de lidstaten uitgegeven wettelijke identiteiten. De lidstaten spreken overwegend hun steun uit voor een versterking van de bestaande eIDAS-verordening zodat burgers toegang tot publieke en particuliere diensten kunnen krijgen, en onderkennen dat een vertrouwensdienst moet worden opgezet om elektronische attesteringen van attributen te kunnen uitgeven en grensoverschrijdend te kunnen gebruiken. Over het algemeen benadrukten de lidstaten dat er een Europees kader voor digitale identiteit moet worden opgebouwd aan de hand van de ervaring met en de sterke punten van nationale oplossingen, op basis van synergie en een benutting van reeds gedane investeringen. Veel belanghebbenden vermeldden dat de COVID-19-pandemie heeft aangetoond hoezeer toegang tot de publieke en particuliere diensten via veilige identificatie op afstand voor iedereen van belang is. Wat vertrouwensdiensten betreft, zijn de meeste partijen het erover eens dat het huidige kader een succes is, maar dat extra maatregelen nodig zijn om bepaalde praktijken op het gebied van identificatie op afstand en nationaal toezicht verder te harmoniseren. Belanghebbenden met een overwegend nationaal klantenbestand waren sceptischer over de meerwaarde van een Europees kader voor digitale identiteit.

Portemonnees voor digitale identiteit worden door de publieke en particuliere sector steeds meer gezien als het geschiktste instrument om gebruikers te laten kiezen wanneer en met welke particuliere dienstverlener zij uiteenlopende attributen delen, afhankelijk van het geval en de voor de desbetreffende transactie benodigde beveiliging. Digitale identiteiten op basis van digitale portemonnees die veilig op mobiele apparaten zijn opgeslagen, werden aangemerkt als een belangrijke troef voor een toekomstbestendige oplossing. Zowel de particuliere markt (bv. Apple, Google, Thales) als overheden bewegen al in die richting.

Bijeenbrengen en gebruik van expertise

Het voorstel is gebaseerd op informatie die is verzameld in het kader van de raadpleging van belanghebbenden voor de effectbeoordeling en op evaluatieverslagen van de eIDAS-verordening overeenkomstig de evaluatievereisten van artikel 49 van de eIDAS-verordening. Er zijn talrijke bijeenkomsten georganiseerd met vertegenwoordigers van de lidstaten en met deskundigen.

Effectbeoordeling

Voor dit voorstel is een effectbeoordeling verricht. Op 19 maart 2021 heeft de Raad voor regelgevingstoetsing een negatief advies met enkele opmerkingen uitgebracht. Nadat een herziene versie was ingediend, heeft de raad op 5 mei 2021 een positief advies uitgebracht.

De Commissie onderzoekt verschillende beleidsopties voor de algemene doelstelling van dit initiatief, te weten het goede functioneren van de interne markt, met name met betrekking tot de verlening en het gebruik van sterk beveiligde en betrouwbare elektronische identiteitsoplossingen.

In de effectbeoordeling worden het basisscenario, de beleidskeuzen en de effecten daarvan voor de drie onderzochte beleidsopties overwogen. Elke optie vertegenwoordigt een keuze voor politieke overwegingen op basis van het ambitieniveau. De eerste optie kent een laag ambitieniveau en bevat een reeks maatregelen die voornamelijk gericht zijn op het verbeteren van de doeltreffendheid en de efficiëntie van de huidige eIDAS-verordening. Door aanmelding van nationale eID’s verplicht te stellen en de beschikbare bestaande instrumenten voor wederzijdse erkenning te stroomlijnen, wordt met de eerste optie beoogd aan de behoeften van de gebruikers te voldoen door middel van uiteenlopende beschikbare nationale eID-regelingen die interoperabel moeten worden.

De tweede optie kent een middelhoog ambitieniveau, en is er hoofdzakelijk op gericht de mogelijkheden voor de veilige uitwisseling van aan identiteit verbonden gegevens uit te breiden, in aanvulling op eID’s van de overheid en ter ondersteuning van de huidige verschuiving naar op attributen gebaseerde identiteitsdiensten. De bedoeling van deze optie zou zijn om tegemoet te komen aan de vraag van de gebruikers en een nieuwe gekwalificeerde vertrouwensdienst op te zetten voor de levering van met betrouwbare bronnen verbonden en grensoverschrijdend inzetbare elektronische attesteringen van attributen. Deze optie zou het toepassingsgebied van de huidige eIDAS-verordening hebben verruimd en zoveel mogelijk use cases hebben ondersteund, op basis van de behoefte om de met een persoon verbonden identiteitsattributen met een hoge mate van zekerheid te verifiëren.

De derde en voorkeursoptie heeft het hoogste ambitieniveau en beoogt de levering van een door de lidstaten uitgegeven sterk beveiligde persoonlijke portemonnee voor digitale identiteit te reguleren. De voorkeursoptie werd het meest doeltreffend geacht voor de verwezenlijking van de doelstellingen van dit initiatief. Ter verwezenlijking van de beleidsdoelstellingen bouwt de voorkeursoptie voort op de meeste maatregelen van optie één (vertrouwen op door de lidstaten gestaafde wettelijke identiteiten en de beschikbaarheid van wederzijds erkende eID-middelen) en optie twee (grensoverschrijdende wettelijke erkenning van elektronische attesteringen van attributen).

Wat het algemene kader voor vertrouwensdiensten betreft, vereist het ambitieniveau maatregelen die niet stapsgewijs de beleidsdoelstellingen moeten verwezenlijken.

De nieuwe gekwalificeerde vertrouwensdienst voor het beheer van middelen voor het aanmaken van elektronische handtekeningen en zegels op afstand zou aanzienlijke voordelen inzake beveiliging, uniformiteit, rechtszekerheid en keuze voor de consument opleveren, zowel in verband met de certificering van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen op afstand als met betrekking tot de vereisten waaraan de verleners van gekwalificeerde vertrouwensdiensten die die middelen beheren, moeten voldoen. De nieuwe bepalingen zouden het algemene regelgevings- en toezichtskader voor de levering van vertrouwensdiensten versterken.

De gevolgen van de beleidsopties voor de verschillende categorieën belanghebbenden staan beschreven in bijlage 3 bij de effectbeoordeling ter ondersteuning van dit initiatief. De beoordeling is kwantitatief en kwalitatief. Uit de effectbeoordeling blijkt dat de minimale kwantificeerbare kosten kunnen worden geraamd op meer dan 3,2 miljard EUR, omdat een aantal kostenposten niet kan worden gekwantificeerd. De totale kwantificeerbare voordelen zijn geraamd op 3,9 — 9,6 miljard EUR. Met betrekking tot de bredere economische gevolgen zal de voorkeursoptie naar verwachting een positief effect hebben op innovatie, internationale handel en concurrentievermogen, bijdragen tot economische groei, en tot extra investeringen in digitale-identiteitsoplossingen leiden. Zo zal een extra investering van 500 miljoen EUR als gevolg van de wetswijzigingen in optie 3 na 10 jaar naar verwachting voordelen ter waarde van 1 268 miljoen EUR opleveren (bij 67 % aanneming).

De voorkeursoptie zal naar verwachting ook een positief effect op de werkgelegenheid hebben en in de 5 jaar na de uitvoering tussen 5 000 en 27 000 extra banen genereren. Dit volgt uit de extra investeringen en de lagere kosten voor bedrijven die gebruikmaken van eID-oplossingen.

De positieve milieueffecten zijn naar verwachting het grootst bij de derde optie, die het gebruik en de bruikbaarheid van eID’s vermoedelijk maximaal verhoogt, wat leidt tot positieve gevolgen voor de emissiereductie in verband met de openbare dienstverlening.

Middels elektronische registers beschikken gebruikers over bewijs en een vaststaand controlespoor voor de volgorde van transacties en gegevensbestanden. Deze vertrouwensdienst maakte geen deel van de effectbeoordeling uit, maar bouwt voort op de bestaande vertrouwensdiensten door tijdstempels van gegevens en de volgorde ervan te combineren met zekerheid over de gegevensbron, wat lijkt op een e-handtekening. Deze vertrouwensdienst is noodzakelijk om versnippering van de interne markt te voorkomen, door één pan-Europees kader vast te stellen aan de hand waarvan vertrouwensdiensten die de werking van gekwalificeerde elektronische registers ondersteunen, grensoverschrijdende kunnen worden erkend. Tegelijkertijd is gegevensintegriteit van groot belang voor het poolen van gegevens uit gedecentraliseerde bronnen, voor volledig zelfgecontroleerde identiteitsoplossingen, voor de toewijzing van eigendom van digitale activa, voor het registreren van bedrijfsprocessen ter controle van de naleving van duurzaamheidscriteria, en voor diverse use cases op kapitaalmarkten.

Resultaatgerichtheid en vereenvoudiging

Dit voorstel bevat maatregelen die van toepassing zijn op overheden, burgers en aanbieders van onlinediensten. Het verlaagt de administratieve en nalevingskosten voor overheidsdiensten en de operationele kosten en bijbehorende uitgaven voor beveiliging van aanbieders van onlinediensten. Burgers profiteren van besparingen als gevolg van een lagere regeldruk, doordat ze zich volledig digitaal kunnen identificeren en veilig digitale identiteitsattributen kunnen uitwisselen, die over de grens dezelfde rechtskracht hebben. Aanbieders van elektronische identiteiten zullen ook profiteren van besparingen op nalevingskosten.

Grondrechten

Omdat persoonsgegevens onder de werkingssfeer van een aantal elementen van de verordening vallen, zijn de maatregelen zo ontworpen dat ze volledig aan de wetgeving inzake gegevensbescherming voldoen. Het voorstel biedt bijvoorbeeld betere mogelijkheden om gegevens te delen en discretionaire openbaarmaking toe te staan. Met de Europese portemonnee voor digitale identiteit kan de gebruiker bepalen hoeveel gegevens aan vertrouwende partijen worden verstrekt, en kan de gebruiker worden geïnformeerd over de attributen die voor de levering van een specifieke dienst vereist zijn. Aanbieders van onlinediensten delen de lidstaten mee als ze van plan zijn een Europese portemonnee voor digitale identiteit te gebruiken, waardoor de lidstaten kunnen bepalen dat dienstverleners gevoelige gegevens, bijvoorbeeld medische, alleen overeenkomstig nationaal recht kunnen opvragen.

4.GEVOLGEN VOOR DE BEGROTING

Om de doelstellingen van dit initiatief optimaal te kunnen verwezenlijken, moet een aantal acties worden gefinancierd, zowel op het niveau van de Commissie, waar de toewijzing van ongeveer 60 VTE in de periode 2022-2027 wordt voorzien, als op het niveau van de lidstaten middels hun actieve deelname aan de deskundigengroepen en comités die zich met het initiatief bezighouden en uit vertegenwoordigers van de lidstaten bestaan. Voor de uitvoering van het voorstel in de periode 2022-2027 zal in totaal tot 30 825 miljoen EUR nodig zijn, waarvan tot 8 825 miljoen EUR voor administratieve kosten en tot 22 miljoen EUR voor operationele uitgaven die gedekt worden door het programma Digitaal Europa (hangende overeenstemming). De financiering ondersteunt kosten in verband met het onderhoud, de ontwikkeling, de hosting, de werking en de ondersteuning van de bouwstenen van de eID en vertrouwensdiensten. De financiering kan ook steun verlenen voor subsidies voor het koppelen van diensten aan het ecosysteem van de Europese portemonnee voor digitale identiteit, voor de ontwikkeling van normen en voor technische specificaties. Tot slot kan de financiering ook steun verlenen voor de uitvoering van jaarlijkse enquêtes en studies naar de doeltreffendheid en de efficiëntie van de verordening bij de verwezenlijking van haar doelstellingen. Het “financieel memorandum” bij dit initiatief biedt een gedetailleerd overzicht van de kosten.

5.OVERIGE ELEMENTEN

Uitvoeringsplanning en regelingen betreffende toezicht, evaluatie en verslaglegging

De gevolgen worden gemonitord en geëvalueerd overeenkomstig de richtsnoeren voor betere regelgeving, die betrekking hebben op de uitvoering en de toepassing van de voorgestelde verordening. De regels voor toezicht vormen een belangrijk onderdeel van het voorstel, met name gezien de tekortkomingen van het huidige verslagleggingskader, zoals uit de evaluatiestudie is gebleken. Naast de in de voorgestelde verordening opgenomen verslagleggingsvereisten, die een betere gegevens- en analysebasis moeten waarborgen, zal het toezichtkader monitoren: 1) in hoeverre de nodige wijzigingen zijn doorgevoerd, conform de vastgestelde maatregelen; 2) of de nodige wijzigingen in de betreffende nationale systemen zijn doorgevoerd; en 3) of de nodige wijzigingen aan de nalevingsverplichtingen door de gereglementeerde entiteiten zijn nageleefd. De Europese Commissie (1, 2 en 3) en de nationale bevoegde instanties (2 en 3) zijn verantwoordelijk voor de gegevensverzameling op basis van vooraf vastgestelde indicatoren.

Inzake de toepassing van het voorgestelde instrument onderzoeken de Europese Commissie en de nationale bevoegde instanties via jaarlijkse enquêtes: 1) de toegang tot eID-middelen voor alle EU-burgers; 2) de toename van grensoverschrijdende erkenning en aanvaarding van eID-regelingen; en 3) maatregelen ter stimulering van de invoering ervan door de particuliere sector en de ontwikkeling van nieuwe digitale-identiteitsdiensten.

De Europese Commissie verzamelt contextuele informatie via jaarlijkse enquêtes over: 1) de omvang van de markt voor digitale identiteiten; 2) uitgaven via openbare aanbestedingen in verband met digitale identiteit; 3) het aandeel van bedrijven die hun diensten online aanbieden; 4) het aandeel onlinetransacties waarvoor een sterke klantidentificatie nodig is; en 5) het aandeel EU-burgers dat gebruik maakt van online publieke en particuliere diensten.

Artikelsgewijze toelichting

Krachtens artikel 6 bis van de ontwerpverordening moeten de lidstaten een Europese portemonnee voor digitale identiteit uitgeven op basis van een aangemelde eID-regeling volgens gemeenschappelijke technische normen, na een verplichte nalevingsbeoordeling en vrijwillige certificering binnen het bij de cyberbeveiligingsverordening opgerichte Europees cyberbeveiligingscertificeringskader. De ontwerpverordening bevat bepalingen op grond waarvan natuurlijke en rechtspersonen veilig persoonsidentificatiegegevens en elektronische attesteringen van attributen kunnen aanvragen en verkrijgen, opslaan, combineren en gebruiken, waarmee zij zich online en offline kunnen authenticeren en zelf kunnen bepalen voor welke goederen en openbare en particuliere onlinediensten zij toegang verlenen. Deze certificering laat de AVG onverlet, in de zin dat verwerkingen van persoonsgegevens met betrekking tot de Europese portemonnee voor digitale identiteit uitsluitend overeenkomstig de artikelen 42 en 43 AVG kunnen worden gecertificeerd.

Artikel 6 ter van het voorstel bevat specifieke vereisten voor vertrouwende partijen ter voorkoming van fraude en ter waarborging van de authenticatie van uit de Europese portemonnee voor digitale identiteit afkomstige persoonsidentificatiegegevens en elektronische attesteringen van attributen.

Om meer elektronische identificatiemiddelen beschikbaar te stellen voor grensoverschrijdend gebruik en de efficiëntie van het proces van wederzijdse erkenning van aangemelde stelsels voor elektronische identificatie te verbeteren, is in artikel 7 de aanmelding van ten minste één stelsel voor elektronische identificatie door de lidstaten verplicht gesteld. Verder zijn in artikel 11 bis bepalingen ter vergemakkelijking van unieke identificatie toegevoegd om de unieke en permanente identificatie van natuurlijke personen te waarborgen. Dit betreft gevallen waarin identificatie bij wet vereist is, zoals op het gebied van gezondheid of financiën vanwege antiwitwasverplichtingen of voor gerechtelijk gebruik. Daartoe moeten de lidstaten een unieke en permanente identificatiecode opnemen in de minimumreeks persoonsidentificatiegegevens. De mogelijkheid voor de lidstaten om te vertrouwen op certificering om de conformiteit met de verordening te waarborgen en aldus het proces van collegiale toetsing te vervangen, verhoogt de efficiëntie van de wederzijdse erkenning.

Afdeling 3 bevat nieuwe bepalingen over het grensoverschrijdende gebruik van de Europese portemonnee voor digitale identiteit, om te waarborgen dat gebruikers kunnen vertrouwen op het gebruik van Europese portemonnees voor digitale identiteit om toegang te krijgen tot onlinediensten van overheidsinstanties en particuliere dienstverleners waarvoor sterke gebruikersauthenticatie vereist is.

In hoofdstuk III, vertrouwensdiensten, is artikel 14 over internationale aspecten zo gewijzigd dat de Commissie uitvoeringsbesluiten kan vaststellen ter staving van de gelijkwaardigheid van de vereisten die gelden voor in derde landen gevestigde vertrouwensdiensten en van de diensten die zij verlenen, naast overeenkomsten inzake wederzijdse erkenning overeenkomstig artikel 218 VWEU.

Inzake de algemene bepaling die van toepassing is op vertrouwensdiensten, inclusief verleners van gekwalificeerde vertrouwensdiensten, zijn de artikelen 17, 18, 20, 21 en 24 gewijzigd om ze in overeenstemming te brengen met de regels die gelden voor netwerk- en informatiebeveiliging in de EU. Inzake de methoden die verleners van gekwalificeerde vertrouwensdiensten moeten gebruiken ter verificatie van de identiteit van natuurlijke of rechtspersonen aan wie de gekwalificeerde certificaten zijn afgegeven, zijn de bepalingen inzake het gebruik van identificatiemiddelen op afstand geharmoniseerd en verduidelijkt om te waarborgen dat in de hele EU dezelfde regels worden toegepast.

Hoofdstuk III bevat een nieuw artikel 29 bis waarin de voorwaarden voor een gekwalificeerde dienst voor het beheer van middelen voor het aanmaken van elektronische handtekeningen op afstand worden bepaald. De nieuwe gekwalificeerde vertrouwensdienst zou rechtstreeks verbonden zijn aan en voortbouwen op maatregelen die in de effectbeoordeling worden genoemd en beoordeeld, met name maatregelen inzake de “harmonisatie van het certificeringsproces voor elektronische handtekeningen op afstand” en andere maatregelen waarbij de lidstaten worden opgeroepen om de toezichtpraktijken te harmoniseren.

Opdat gebruikers kunnen vaststellen wie achter een website zit, is artikel 45 gewijzigd om aanbieders van webbrowsers te verplichten het gebruik van gekwalificeerde certificaten voor websiteauthenticatie te vergemakkelijken.

Hoofdstuk III bevat drie nieuwe afdelingen.

In de nieuwe afdeling 9 worden bepalingen inzake de rechtsgevolgen van elektronische attesteringen van attributen, het gebruik ervan in bepaalde sectoren en de vereisten voor gekwalificeerde attesteringen van attributen ingevoegd. Om een hoog niveau van vertrouwen te waarborgen, wordt in artikel 45 quinquies een bepaling inzake de verificatie van attributen aan de hand van authentieke bronnen ingevoegd. Opdat gebruikers van de Europese portemonnee voor digitale identiteit kunnen beschikken over elektronische attesteringen van attributen en dergelijke attesteringen in de Europese portemonnee voor digitale identiteit kunnen laten opnemen, is een bepaling ingevoegd in artikel 45 sexies. Artikel 45 septies bevat aanvullende voorschriften voor de levering van diensten voor elektronische attestering van attributen, onder meer inzake de bescherming van persoonsgegevens.

De nieuwe afdeling 10 voorziet in de verlening van gekwalificeerde elektronische archiveringsdiensten op EU-niveau. Artikel 45 octies over gekwalificeerde elektronische archiveringsdiensten is een aanvulling op de artikelen 34 en 40 inzake gekwalificeerde bewaardiensten voor gekwalificeerde elektronische handtekeningen en gekwalificeerde elektronische zegels.

In de nieuwe afdeling 11 wordt een kader vastgesteld voor vertrouwensdiensten met betrekking tot de aanmaak en het onderhoud van elektronische registers en gekwalificeerde elektronische registers. Een elektronisch register combineert tijdstempels van gegevens en de volgorde ervan met zekerheid over de gegevensbron, wat lijkt op een e-handtekening, met als bijkomend voordeel dat de governance meer kan worden gedecentraliseerd, wat voor samenwerking tussen meer partijen geschikt is. Dit is van belang voor verschillende use cases die op elektronische registers kunnen worden gebaseerd.

Bedrijven kunnen met elektronische registers kosten besparen doordat ze de coördinatie tussen meer partijen efficiënter en veiliger maken en het toezicht op de regelgeving vergemakkelijken. Bij ontstentenis van Europese regelgeving bestaat het risico dat nationale wetgevers uiteenlopende nationale normen vaststellen. Om versnippering te voorkomen, moet één pan-Europees kader worden vastgesteld aan de hand waarvan vertrouwensdiensten die de werking van gekwalificeerde elektronische registers ondersteunen, grensoverschrijdend kunnen worden erkend. Deze pan-Europese normen voor knooppuntexploitanten is van toepassing onverminderd ander afgeleid EU-recht. Indien elektronische registers worden gebruikt ter ondersteuning van de uitgifte van en/of de handel in obligaties of voor cryptoactiva, moeten de use cases verenigbaar zijn met alle toepasselijke financiële regels, zoals de richtlijn markten voor financiële instrumenten 11 , de richtlijn betalingsdiensten 12 en de toekomstige verordening betreffende markten in cryptoactiva 13 . Indien use cases persoonsgegevens bevatten, moeten dienstverleners zich houden aan de AVG.

75 % van alle use cases voor elektronische registers in 2017 hadden betrekking op de financiële sector. Use cases voor elektronische registers zijn tegenwoordig steeds diverser, met 17 % in de communicatie- & mediasector; 15 % in productie en grondstoffen, 10 % in de publieke sector, 8 % in verzekeringen, 5 % in retail, 6 % in vervoer, en 5 % in nutsvoorzieningen 14 .

Tot slot bevat hoofdstuk VI een nieuw artikel 48 ter om te waarborgen dat statistieken over het gebruik van de Europese portemonnee voor digitale identiteit worden verzameld om de doeltreffendheid van de gewijzigde verordening te monitoren.

2021/0136 (COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

tot wijziging van Verordening (EU) nr. 910/2014 betreffende een Europees kader voor een digitale identiteit

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 114,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité 15 ,

Handelend volgens de gewone wetgevingsprocedure,

Overwegende hetgeen volgt:

(1)In de mededeling van de Commissie van 19 februari 2020 met als titel “De digitale toekomst van Europa vormgeven” 16 wordt een herziening van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad aangekondigd om de doeltreffendheid ervan te verbeteren, de voordelen ervan voor particulieren uit te breiden en betrouwbare digitale identiteiten voor alle Europeanen te bevorderen.

(2)In zijn conclusies van 1-2 oktober 2020 17 heeft de Europese Raad de Commissie opgeroepen tot de ontwikkeling van een EU-breed kader voor beveiligde openbare elektronische identificatie, inclusief interoperabele digitale handtekeningen, om mensen controle over hun online-identiteit en -gegevens te geven en toegang tot openbare, particuliere en grensoverschrijdende digitale diensten mogelijk te maken.

(3)In de mededeling van de Commissie van 9 maart 2021, met als titel “Het digitale kompas 2030: de Europese aanpak voor het digitale decennium” 18 is de doelstelling vastgelegd van een EU-kader dat tegen 2030 moet leiden tot een brede uitrol van een betrouwbare, door de gebruiker gecontroleerde identiteit, zodat elke burger zelf zijn online interactie en aanwezigheid kan beheren.

(4)Een meer geharmoniseerde benadering van digitale identificatie moet de risico’s en de kosten van de huidige versnippering vanwege uiteenlopende nationale oplossingen verkleinen en de eengemaakte markt versterken door burgers, andere ingezetenen krachtens nationaal recht en ondernemingen zich op een gemakkelijke en uniforme manier in de hele Unie online te laten identificeren. Iedereen moet veilig toegang kunnen hebben tot openbare en particuliere diensten en kunnen vertrouwen op een verbeterd ecosysteem voor vertrouwensdiensten en op geverifieerde identiteitsbewijzen en attesteringen van attributen, zoals een universitair diploma, die overal in de Unie wettelijk worden erkend en aanvaard. Het Europese kader voor een digitale identiteit beoogt een verschuiving van het gebruik van nationale digitale-identiteitsoplossingen naar de levering van elektronische attesteringen van attributen die op Europees niveau geldig zijn. Aanbieders van elektronische attesteringen van attributen moeten profiteren van duidelijke en uniforme regels en overheidsdiensten moeten kunnen vertrouwen op elektronische documenten in een bepaald formaat.

(5)Ter ondersteuning van het concurrentievermogen van Europese bedrijven moeten aanbieders van onlinediensten kunnen vertrouwen op digitale-identiteitsoplossingen die in de hele Unie worden erkend, ongeacht de lidstaat van uitgifte, en dus profiteren van een geharmoniseerde Europese benadering van vertrouwen, beveiliging en interoperabiliteit. Gebruikers en dienstverleners moeten er beide baat bij kunnen hebben dat de rechtskracht van elektronische attesteringen van attributen in de hele Unie gelijk is.

(6)Verordening (EU) 2016/679 19 is van toepassing op de verwerking van persoonsgegevens uit hoofde van deze verordening. Daarom moet deze verordening specifieke waarborgen bevatten om te voorkomen dat aanbieders van elektronische identificatiemiddelen en van elektronische attestering van attributen persoonsgegevens van andere diensten combineren met persoonsgegevens met betrekking tot de diensten die binnen het toepassingsgebied van deze verordening vallen.

(7)Er moeten geharmoniseerde voorwaarden worden vastgesteld voor het opzetten van een kader voor door de lidstaten uit te geven Europese portemonnees voor digitale identiteit, op grond waarvan alle Unieburgers en andere ingezetenen krachtens nationaal recht veilig, gebruiksvriendelijk en gemakkelijk gegevens over hun identiteit kunnen delen, waarbij de gebruiker volledige controle heeft. De op die doelstellingen gerichte technologieën moeten worden ontwikkeld met het oog op het hoogste niveau van beveiliging en gebruiksgemak en op brede inzetbaarheid. De lidstaten moeten voor al hun onderdanen en ingezetenen gelijke toegang tot digitale identificatie waarborgen.

(8)Om naleving binnen het Unierecht, of binnen het met het Unierecht overeenstemmende nationale recht te waarborgen, moeten dienstverleners de lidstaten in kennis stellen van hun intentie om gebruik te maken van de Europese portemonnees voor digitale identiteit. Op die manier kunnen de lidstaten gebruikers tegen fraude beschermen, onrechtmatig gebruik van identiteitsgegevens en elektronische attesteringen van attributen voorkomen, en waarborgen dat de verwerking van gevoelige gegevens, zoals gezondheidsgegevens, door vertrouwende partijen kan worden geverifieerd overeenkomstig het Unierecht of het nationale recht.

(9)Alle Europese portemonnees voor digitale identiteit moeten gebruikers in staat stellen om zich online en offline grensoverschrijdend te identificeren en te authenticeren om toegang tot een breed scala openbare en particuliere diensten te krijgen. Onverminderd de prerogatieven van de lidstaten betreffende de identificatie van hun onderdanen en ingezetenen, kunnen deze portemonnees ook tegemoetkomen aan de institutionele behoeften van overheidsinstanties, internationale organisaties en de instellingen, organen of instanties van de Unie. Offlinegebruik is van belang in veel sectoren, zoals de gezondheidssector waar diensten vaak via persoonlijke interactie worden verleend, en waar e-recepten op QR-codes of soortgelijke technologieën moeten kunnen vertrouwen om de authenticiteit te verifiëren. Wegens de “hoge” mate van zekerheid moeten de Europese portemonnees voor digitale identiteit kunnen gebruikmaken van het potentieel van onvervalsbare oplossingen, zoals beveiligde elementen, ter naleving van de beveiligingsvoorschriften krachtens deze verordening. Met de Europese portemonnees voor digitale identiteit moeten gebruikers ook in de hele EU aanvaarde gekwalificeerde elektronische handtekeningen en zegels kunnen aanmaken en gebruiken. Met het oog op vereenvoudiging en kostenbesparingen voor personen en bedrijven in de hele EU, onder meer door de mogelijkheid van vertegenwoordigingsbevoegdheden en e-mandaten, moeten de lidstaten gemeenschappelijke normen gebruiken wanneer zij Europese portemonnees voor digitale identiteit uitgeven zodat naadloze interoperabiliteit en een hoog beveiligingsniveau worden gewaarborgd. Alleen de bevoegde instanties van de lidstaten kunnen een hoge mate van vertrouwen bieden bij de vaststelling van de identiteit van een persoon en aldus uitmaken of de persoon die stelt een bepaalde identiteit te hebben, daadwerkelijk is wie de persoon zegt dat hij of zij is. Daarom moeten de Europese portemonnees voor digitale identiteit gebruikmaken van de wettelijke identiteit van burgers, andere ingezetenen of rechtspersonen. Het vertrouwen in de Europese portemonnees voor digitale identiteit zou nog hoger worden als de uitgevende partijen verplicht zijn passende technische en organisatorische maatregelen te treffen om een beveiligingsniveau te waarborgen dat in overeenstemming is met de risico’s voor de rechten en vrijheden van natuurlijke personen, conform Verordening (EU) 2016/679.

(10)Met het oog op een hoog niveau van beveiliging en betrouwbaarheid worden in deze verordening de vereisten voor de Europese portemonnees voor digitale identiteit vastgesteld. De overeenstemming van de Europese portemonnees voor digitale identiteit met die vereisten moet worden gecertificeerd door vanwege de lidstaten aangewezen geaccrediteerde openbare of private organen. Het gebruik van een certificeringsregeling op basis van met de lidstaten overeengekomen beschikbare gemeenschappelijke normen moet een hoog niveau van vertrouwen en interoperabiliteit waarborgen. Certificering moet met name steunen op de overeenkomstig Verordening (EU) 2019/881 20 vastgestelde relevante Europese cyberbeveiligingscertificeringsregelingen. Die certificering moet de certificering inzake de verwerking van persoonsgegevens overeenkomstig Verordening (EU) 2016/679 onverlet laten.

(11)Europese portemonnees voor digitale identiteit moeten het hoogste beveiligingsniveau voor de voor authenticatie gebruikte persoonsgegevens waarborgen, ongeacht of die gegevens lokaal of in de cloud worden opgeslagen, met inachtneming van de verschillende risiconiveaus. Het gebruik van biometrische gegevens voor authenticatie is een van de identificatiemethoden die een hoog niveau van betrouwbaarheid bieden, met name in combinatie met andere authenticatie-elementen. Omdat biometrische gegevens een uniek kenmerk van een persoon vormen, zijn voor het gebruik van biometrische gegevens organisatorische en beveiligingsmaatregelen vereist die in verhouding staan tot het risico dat de verwerking kan inhouden voor de rechten en vrijheden van natuurlijke personen, overeenkomstig Verordening (EU) 2016/679.

(12)Om het Europese kader voor digitale identiteit toekomstbestendig en open voor innovatie en technologische ontwikkelingen te houden, moeten de lidstaten worden aangemoedigd om gezamenlijke testomgevingen op te zetten om innovatieve oplossingen in een gecontroleerde en veilige omgeving te testen, in het bijzonder om de functionaliteit, de bescherming van persoonsgegevens, de beveiliging en de interoperabiliteit van de oplossingen te verbeteren en om technische referenties en wettelijke vereisten in toekomstige updates op te nemen. Het Europese midden- en kleinbedrijf, startups en individuele innovatoren en onderzoekers moeten worden gestimuleerd om aan deze omgeving deel te nemen.

(13) Bij Verordening (EU) 2019/1157 21 wordt de beveiliging van identiteitskaarten tegen augustus 2021 verhoogd door middel van strengere beveiligingskenmerken. De lidstaten moeten overwegen of het haalbaar is die op grond van stelsels voor elektronische identificatie aan te melden om de grensoverschrijdende beschikbaarheid van elektronische identificatiemiddelen te verruimen.

(14)Het aanmeldingsproces van stelsels voor elektronische identificatie moet worden vereenvoudigd en versneld om de toegang tot gemakkelijke, betrouwbare, veilige en innovatieve authenticatie- en identificatiemethoden te bevorderen en, waar van belang, particuliere identiteitsverstrekkers te stimuleren om stelsels voor elektronische identificatie aan de autoriteiten van de lidstaten aan te bieden met het oog op aanmelding als nationaal systeem voor elektronische identiteitskaarten conform Verordening (EU) nr. 910/2014.

(15)Een stroomlijning van de huidige procedures voor aanmelding en collegiale toetsing voorkomt heterogene benaderingen van de beoordeling van verschillende aangemelde stelsels voor elektronische identificatie en zorgt voor vertrouwen tussen de lidstaten. Nieuwe en vereenvoudigde mechanismen moeten de samenwerking tussen de lidstaten op het gebied van beveiliging en interoperabiliteit van hun aangemelde stelsels voor elektronische identificatie bevorderen.

(16)De lidstaten moeten met de nieuwe en flexibele instrumenten zorgen voor de naleving van deze verordening en de bijbehorende uitvoeringshandelingen. De lidstaten moeten op grond van deze verordening gebruik kunnen maken van verslagen en beoordelingen van geaccrediteerde conformiteitsbeoordelingsinstanties of van vrijwillige regelingen voor ICT-beveiligingscertificering, zoals overeenkomstig Verordening (EU) 2019/881 op Unieniveau op te zetten certificeringsregelingen, ter ondersteuning van hun verklaringen over de afstemming van de regelingen of delen daarvan op de voorwaarden van de eIDAS-verordening met betrekking tot de interoperabiliteit en de beveiliging van de aangemelde stelsels voor elektronische identificatie.

(17)Uit de reeks persoonsidentificatiegegevens die beschikbaar zijn uit stelsels voor elektronische identificatie op grond van Verordening (EU) nr. 910/2014 gebruiken dienstverleners de identiteitsgegevens om gebruikers uit een andere lidstaat te matchen met de wettelijke identiteit van die gebruiker. Ondanks het gebruik van de eIDAS-gegevens zijn voor een nauwkeurige match in veel gevallen evenwel aanvullende informatie over de gebruiker en specifieke unieke identificatieprocedures op nationaal niveau nodig. Met het oog op een ruimere bruikbaarheid van elektronische identificatiemiddelen, moeten de lidstaten krachtens de verordening specifieke maatregelen nemen om te waarborgen dat tijdens het elektronische identificatieproces de identiteit correct wordt gematcht. Voor datzelfde doel moet deze verordening ook de verplichte minimale reeks gegevens uitbreiden en het gebruik van een uniek en permanent elektronisch identificatiemiddel overeenkomstig het Unierecht vastleggen voor die gevallen waarin het noodzakelijk is de gebruiker op eigen verzoek op unieke en permanente wijze wettelijk te identificeren.

(18)Overeenkomstig Richtlijn (EU) 2019/882 22 moeten personen met een handicap in staat zijn de Europese portemonnees voor digitale identiteit, vertrouwensdiensten en producten voor de eindgebruiker die bij het verlenen van deze diensten gebruikt worden, op gelijke voet als andere consumenten te gebruiken.

(19)Deze verordening mag geen betrekking hebben op aspecten die verband houden met de totstandkoming en de geldigheid van contracten of andere juridische verbintenissen waaraan in het nationale recht of het Unierecht vormvereisten worden gesteld. Daarenboven dient zij de nationale vormvereisten voor openbare registers, met name handelsregisters en kadasters, onverlet te laten.

(20)De levering en het gebruik van vertrouwensdiensten worden steeds belangrijker voor de internationale handel en samenwerking. Internationale partners van de EU zetten op Verordening (EU) nr. 910/2014 geïnspireerde vertrouwenskaders op. Om de erkenning van dergelijke diensten en de aanbieders ervan te faciliteren, kunnen in uitvoeringswetgeving derhalve de voorwaarden worden vastgesteld op grond waarvan de vertrouwenskaders van derde landen als gelijkwaardig aan het vertrouwenskader voor gekwalificeerde vertrouwensdiensten en aanbieders daarvan in de zin van deze verordening kunnen worden beschouwd, in aanvulling op de mogelijkheid van wederzijdse erkenning van in de Unie en in derde landen gevestigde vertrouwensdiensten en aanbieders overeenkomstig artikel 218 VWEU.

(21)Deze verordening moet voortbouwen op handelingen van de Unie tot waarborging van concurrentiële en eerlijke markten in de digitale sector. Zij bouwt met name voort op Verordening XXX/XXXX [wet inzake digitale markten], die regels bepaalt voor als poortwachter aangewezen aanbieders van kernplatformdiensten en, onder meer, verbiedt dat poortwachters zakelijke gebruikers verplichten een identificatiedienst van de poortwachter te gebruiken, aan te bieden of daarmee te interageren in het kader van diensten die worden aangeboden door zakelijke gebruikers die gebruikmaken van de kernplatformdiensten van die poortwachter. Krachtens artikel 6, lid 1, punt f), van Verordening XXX/XXXX [wet inzake digitale markten] moet de poortwachter het voor zakelijke gebruikers en aanbieders van ondersteunende diensten mogelijk maken toegang te krijgen tot en te interageren met dezelfde functies van het besturingssysteem, van de hardware en van de software die beschikbaar zijn of worden gebruikt bij het verlenen van ondersteunende diensten door de poortwachter. Overeenkomstig artikel 2, punt 15, van Verordening XXX/XXXX [wet inzake digitale markten] zijn identificatiediensten een type ondersteunende dienst. Zakelijke gebruikers en aanbieders van ondersteunende diensten moeten daarom toegang kunnen krijgen tot die hardware- en softwarefuncties, zoals beveiligde elementen in smartphones, en daarmee kunnen interageren via de Europese portemonnees voor digitale identiteit of door de lidstaten aangemelde elektronische identificatiemiddelen.

(22)Om de aan aanbieders van vertrouwensdiensten opgelegde cyberbeveiligingsvoorschriften te stroomlijnen en deze aanbieders en hun respectieve bevoegde autoriteiten van het bij Richtlijn XXXX/XXXX (NIS2-richtlijn) opgerichte wettelijke kader te laten profiteren, moeten vertrouwensdiensten passende technische en organisatorische maatregelen nemen overeenkomstig Richtlijn XXXX/XXXX (NIS2-richtlijn), zoals maatregelen tegen systeemfalen, menselijke fouten, kwaadwillige acties of natuurverschijnselen, om de risico’s te beheren voor de beveiliging van netwerk- en informatiesystemen die die aanbieders gebruiken om hun diensten te verlenen, en om significante incidenten en cyberbedreigingen te melden overeenkomstig Richtlijn XXXX/XXXX (NIS2-richtlijn). Wat de melding van incidenten betreft, moeten aanbieders van vertrouwensdiensten melding maken van alle incidenten die aanzienlijke gevolgen hebben voor de verlening van hun diensten, zoals diefstal of verlies van apparatuur, schade aan netwerkbekabeling of incidenten in het kader van persoonsidentificatie. De vereisten inzake het risicobeheer en de verslagleggingsverplichtingen op het gebied van cyberbeveiliging overeenkomstig Richtlijn XXXX/XXXX [NIS2-richtlijn] moeten als aanvullend op de overeenkomstig deze verordening aan aanbieders van vertrouwensdiensten opgelegde voorschriften worden beschouwd. Indien van toepassing, moeten de overeenkomstig Richtlijn XXXX/XXXX (NIS2-richtlijn) aangeduide bevoegde autoriteiten de gevestigde nationale praktijken of richtsnoeren met betrekking tot de uitvoering van beveiligings- en verslagleggingsvereisten en het toezicht op de naleving van dergelijke vereisten overeenkomstig Verordening (EU) nr. 910/2014 blijven toepassen. Verplichtingen overeenkomstig deze verordening laten de verplichting tot het melden van inbreuken op persoonsgegevens overeenkomstig Verordening (EU) 2016/679 onverlet.

(23)Er moet de nodige aandacht worden besteed aan de doeltreffende samenwerking tussen de NIS- en de eIDAS-autoriteiten. Indien het toezichthoudende orgaan uit hoofde van deze verordening een andere is dan de overeenkomstig Richtlijn XXXX/XXXX [NIS2] aangeduide bevoegde autoriteit, moeten die instanties nauw samenwerken, door tijdig relevante informatie uit te wisselen om doeltreffend toezicht op aanbieders van vertrouwensdiensten te houden en te waarborgen dat zij deze verordening en Richtlijn XXXX/XXXX [NIS2] naleven. De toezichthoudende organen uit hoofde van deze verordening moeten de bevoegde autoriteit uit hoofde van Richtlijn XXXX/XXXX [NIS2] kunnen verzoeken de relevante informatie te verstrekken die ze nodig hebben om een gekwalificeerde status toe te kennen en om toezichtmaatregelen te nemen om na te gaan of aanbieders van vertrouwensdiensten de voorwaarden van NIS 2 naleven, of om te eisen dat zij een niet-naleving verhelpen.

(24)Het is van essentieel belang dat wordt voorzien in een juridisch kader ter facilitering van de grensoverschrijdende erkenning van bestaande nationale juridische regelingen met betrekking tot diensten voor elektronisch aangetekende bezorging. Dat kader zou ook nieuwe marktkansen kunnen bieden voor aanbieders van vertrouwensdiensten uit de Unie om nieuwe pan-Europese diensten voor elektronisch aangetekende bezorging aan te bieden en ervoor kunnen zorgen dat de identificatie van de ontvangers wordt gewaarborgd met een hoger betrouwbaarheidsniveau dan de identificatie van de afzender.

(25)Meestal kunnen burgers en andere ingezetenen niet veilig en met een hoog niveau van gegevensbescherming grensoverschrijdend digitaal informatie uitwisselen met betrekking tot hun identiteit, zoals adres, leeftijd en beroepskwalificaties, rijbewijzen en andere vergunningen en betalingsgegevens.

(26)Het moet mogelijk zijn betrouwbare digitale attributen uit te geven en te verwerken, en bij te dragen tot een lagere regeldruk, en burgers en andere ingezetenen die attributen in hun privé- en openbare transacties te laten gebruiken. Burgers en andere ingezetenen moeten bijvoorbeeld kunnen aantonen dat zij beschikken over een geldig rijbewijs dat door een instantie in een lidstaat is afgegeven, wat door de bevoegde autoriteiten in andere lidstaten kan worden geverifieerd en vertrouwd, en ze moeten hun socialezekerheidsgegevens of toekomstige digitale reisdocumenten grensoverschrijdend kunnen gebruiken.

(27)Entiteiten die gewaarmerkte attributen zoals diploma’s, vergunningen of geboorteakten verzamelen, aanmaken en afgeven, moeten aanbieders van elektronische attestering van attributen kunnen worden. Vertrouwende partijen moeten elektronische attesteringen van attributen als gelijkwaardig aan attesteringen op papier kunnen gebruiken. Daarom moet het rechtsgevolg van een elektronische attestering van attributen niet worden ontzegd op grond van het feit dat die elektronisch is of niet aan de eisen voor gekwalificeerde een elektronische attestering van attributen voldoet. Daartoe moeten algemene eisen worden vastgesteld om te waarborgen dat een gekwalificeerde elektronische attestering van attributen dezelfde rechtsgevolgen heeft als wettelijk uitgegeven attesteringen op papier. Die eisen moeten evenwel van toepassing zijn onverminderd het Unierecht of het nationale recht waarin aanvullende sectorspecifieke vormvereisten met onderliggende rechtsgevolgen worden gesteld, en met name onverminderd de grensoverschrijdende erkenning van gekwalificeerde elektronische attesteringen van attributen, indien van toepassing.

(28)Voor een ruime beschikbaarheid en bruikbaarheid van Europese portemonnees voor digitale identiteit is aanvaarding door particuliere dienstverleners vereist. Particuliere vertrouwende partijen die diensten verlenen op het gebied van vervoer, energie, financiële dienstverlening, sociale zekerheid, gezondheidszorg, drinkwatervoorziening, postdiensten, digitale infrastructuur, onderwijs of telecommunicatie moeten het gebruik van Europese portemonnees voor digitale identiteit aanvaarden voor de verlening van diensten waarvoor op grond van nationale of Uniewetgeving of contractuele verbintenis sterke gebruikersauthenticatie voor online-identificatie vereist is. Indien zeer grote onlineplatforms in de zin van artikel 25, lid 1, van Verordening [referentie verordening inzake digitale diensten] verlangen dat gebruikers zich authenticeren om toegang tot onlinediensten te krijgen, moet die platforms worden opgelegd om het gebruik van Europese portemonnees voor digitale identiteit op vrijwillig verzoek van de gebruiker te aanvaarden. Gebruikers moeten niet worden verplicht de portemonnee te gebruiken om toegang tot particuliere diensten te krijgen, maar als gebruikers dat willen, moeten zeer grote onlineplatforms de Europese portemonnee voor digitale identiteit daarvoor aanvaarden, met inachtneming van het beginsel van minimale gegevensverwerking. Vanwege het belang van zeer grote onlineplatforms op grond van hun bereik, met name wat het aantal afnemers van hun diensten en economische transacties betreft, is dit noodzakelijk om gebruikers beter tegen fraude te beschermen en een hoog niveau van gegevensbescherming te waarborgen. Er moeten zelfregulerende gedragscodes op Unieniveau (“gedragscodes”) worden ontwikkeld om bij te dragen tot de brede beschikbaarheid en bruikbaarheid van elektronische identificatiemiddelen, inclusief Europese portemonnees voor digitale identiteit, binnen het toepassingsgebied van deze verordening. De gedragscodes moeten zorgen voor een brede aanvaarding van elektronische identificatiemiddelen, inclusief Europese portemonnees voor digitale identiteit, door dienstverleners die niet als zeer grote platforms worden aangemerkt en die voor gebruikersauthenticatie gebruikmaken van elektronische identificatiediensten van derden. De gedragscodes moeten binnen 12 maanden na de vaststelling van deze verordening worden ontwikkeld. De Commissie moet 18 maanden na de invoering de doeltreffendheid van deze bepalingen voor de beschikbaarheid en de bruikbaarheid van de Europese portemonnee voor digitale identiteit voor de gebruikers beoordelen, en de bepalingen in het licht van die beoordeling middels gedelegeerde handelingen herzien met het oog op de aanvaarding ervan.

(29)Het moet technisch mogelijk zijn dat de Europese portemonnee voor digitale identiteit de attributen selectief openstelt voor vertrouwende partijen. Deze functie moet een fundamentele ontwerpfunctie worden, om het gemak en de bescherming van persoonsgegevens, inclusief minimale verwerking van persoonsgegevens, te vergroten.

(30)Attributen die de verleners van gekwalificeerde vertrouwensdiensten verlenen als onderdeel van de gekwalificeerde attestering van attributen moeten aan de hand van authentieke bronnen worden geverifieerd, hetzij rechtstreeks door de aanbieder van gekwalificeerde vertrouwensdiensten, hetzij via aangewezen intermediairs die overeenkomstig nationaal recht of Unierecht op nationaal niveau zijn erkend met het oog op de veilige uitwisseling van geattesteerde attributen tussen verleners van identiteitsdiensten of van attestering van attribuutsdiensten enerzijds en vertrouwende partijen anderzijds.

(31)Veilige elektronische identificatie en de verlening van attesteringen van attributen moeten extra flexibiliteit en oplossingen voor de financiëledienstensector bieden om klanten te kunnen identificeren en specifieke attributen te kunnen uitwisselen waaraan moet worden voldaan, zoals cliëntenonderzoeksvereisten uit hoofde van de antiwitwasverordening [referentie toevoegen na vaststelling van het voorstel], of uit de wetgeving ter bescherming van investeerders voortvloeiende geschiktheidseisen, ofwel ter ondersteuning van strenge cliëntauthenticatievereisten om op accounts in te loggen en transacties op het gebied van betalingsdiensten te initiëren.

(32)Diensten voor de authenticatie van websites bieden gebruikers de zekerheid dat het om de website van een werkelijk bestaande, legitieme entiteit gaat. Die diensten dragen bij tot toenemend vertrouwen in online zaken doen, aangezien een geauthentiseerde website het vertrouwen van de gebruikers zal genieten. Het gebruik van diensten voor authenticatie van websites gebeurt op vrijwillige basis. Om van authenticatie van websites een middel te maken om het vertrouwen te bevorderen, de gebruikers betere ervaringen te bezorgen en de groei in de interne markt te bevorderen, voorziet deze verordening evenwel in minimumverplichtingen inzake veiligheid en aansprakelijkheid voor aanbieders van diensten voor authenticatie van websites en de door hen verleende diensten. Daartoe moeten webbrowsers zorgen voor ondersteuning van en interoperabiliteit met gekwalificeerde certificaten voor websiteauthenticatie overeenkomstig Verordening (EU) nr. 910/2014. Zij moeten gekwalificeerde certificaten voor websiteauthenticatie herkennen en weergeven om een hoge mate van zekerheid te bieden, waardoor de eigenaren van websites hun identiteit als eigenaar van een website kunnen bevestigen en gebruikers de eigenaren van websites met een hoge mate van zekerheid kunnen identificeren. Om het gebruik verder te bevorderen, moeten overheidsinstanties in de lidstaten overwegen om gekwalificeerde certificaten voor websiteauthenticatie in hun websites op te nemen.

(33)Veel lidstaten hebben nationale vereisten ingevoerd voor diensten die veilige en betrouwbare digitale archivering aanbieden om elektronische documenten en bijbehorende vertrouwensdiensten voor de lange termijn te kunnen bewaren. Met het oog op rechtszekerheid en vertrouwen is het van essentieel belang om een rechtskader te bieden voor grensoverschrijdende erkenning van gekwalificeerde elektronische archiefdiensten. Dat kader zou ook nieuwe marktkansen kunnen bieden voor aanbieders van vertrouwensdiensten uit de Unie.

(34)Gekwalificeerde elektronische registers bewaren gegevens op zodanige wijze dat het unieke karakter, de authenticiteit en de juiste volgorde van de ingevoerde gegevens onvervalsbaar worden verzekerd. Een elektronisch register combineert het effect van tijdstempels van gegevens met zekerheid over de gegevensbron, wat lijkt op een e-handtekening, met als bijkomend voordeel dat de governancemodellen meer kunnen worden gedecentraliseerd, wat voor samenwerking tussen meer partijen geschikt is. Het schept bijvoorbeeld een betrouwbaar controlespoor voor de herkomst van goederen in grensoverschrijdende handel, het ondersteunt de bescherming van de intellectuele-eigendomsrechten, het staat flexibiliteit op de elektriciteitsmarkten toe, het legt de basis voor geavanceerde oplossingen voor zelfgecontroleerde identiteit en ondersteunt efficiëntere en transformatieve openbare diensten. Om versnippering van de interne markt te voorkomen, is het van belang om een pan-Europees rechtskader vast te stellen aan de hand waarvan vertrouwensdiensten die gegevens in elektronische registers opslaan, grensoverschrijdend kunnen worden erkend.

(35)De certificering als gekwalificeerde aanbieders van vertrouwensdiensten moet rechtszekerheid bieden voor use cases die op elektronische registers voortbouwen. Deze vertrouwensdiensten voor elektronische registers en gekwalificeerde elektronische registers, en de certificering als gekwalificeerde aanbieder van vertrouwensdiensten voor elektronische registers moeten het feit dat use cases het Unierecht, of met het Unierecht overeenstemmende nationale recht moeten naleven, onverlet laten. Use cases waarbij persoonsgegevens worden verwerkt, moeten in overeenstemming zijn met Verordening (EU) 2016/679. Use cases die betrekking hebben op cryptoactiva, moeten verenigbaar zijn met alle toepasselijke financiële regels, zoals de richtlijn markten voor financiële instrumenten 23 , de richtlijn betalingsdiensten 24 en de toekomstige verordening betreffende markten in cryptoactiva 25 .

(36)Om versnippering en obstakels ten gevolge van uiteenlopende normen en technische beperkingen te voorkomen, en om, door middel van een gecoördineerd proces, de toekomstige uitvoering van het Europese kader voor digitale identiteit niet in gevaar te brengen, moeten de Commissie, de lidstaten en de particuliere sector nauw en gestructureerd samenwerken. Daartoe moeten de lidstaten samenwerken binnen het kader van Aanbeveling XXX/XXXX van de Commissie [EU-toolbox voor een gecoördineerde aanpak ten behoeve van een Europees kader voor digitale identiteit] 26 om een toolbox voor een Europees kader voor digitale identiteit op te stellen. De toolbox moet beschikken over een alomvattende technische architectuur en een referentiekader, gemeenschappelijke normen en technische referenties en richtsnoeren en beschrijvingen van beste praktijken, die ten minste alle aspecten van de functionaliteiten en de interoperabiliteit van de Europese portemonnee voor digitale identiteit, inclusief elektronische handtekeningen, omvatten, en van de gekwalificeerde vertrouwensdienst voor de attestering van attributen, zoals in deze verordening uiteengezet. In dit verband moeten de lidstaten ook overeenstemming bereiken over gemeenschappelijke elementen van een bedrijfsmodel en een vergoedingsstructuur van de Europese portemonnee voor digitale identiteit, zodat met name kleine en middelgrote ondernemingen in een grensoverschrijdende context eenvoudiger kunnen deelnemen. De inhoud van de toolbox moet zich ontwikkelen in samenhang met en een afspiegeling zijn van het resultaat van de discussie over en het goedkeuringsproces van het Europese kader voor digitale identiteit.

(37)De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1525 van het Europees Parlement en de Raad 27 .

(38)Verordening (EU) 910/2014 moet daarom dienovereenkomstig worden gewijzigd,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

Artikel 1

Verordening (EU) 910/2014 wordt als volgt gewijzigd:

(1)artikel 1 wordt vervangen door:

“Deze verordening is gericht op het goede functioneren van de interne markt, en op het bieden van een adequaat niveau van beveiliging van elektronische identificatiemiddelen en vertrouwensdiensten. Daartoe wordt bij deze verordening het volgende vastgesteld:

(a)de voorwaarden waaronder de lidstaten elektronische identificatiemiddelen van natuurlijke personen en rechtspersonen aanbieden en erkennen die onder een aangemeld stelsel voor elektronische identificatie van een andere lidstaat vallen,

(b)regels voor vertrouwensdiensten, met name voor elektronische transacties,

(c)een juridisch kader voor elektronische handtekeningen, elektronische zegels, elektronische tijdstempels, elektronische documenten, diensten voor elektronisch aangetekende bezorging en certificatendiensten voor websiteauthenticatie, elektronische archivering en elektronische attestering van attributen, het beheer van middelen voor het aanmaken van elektronische handtekeningen en zegels op afstand, en elektronische registers,

(d)de voorwaarden voor de uitgifte van Europese portemonnees voor digitale identiteit door de lidstaten.”;

(2)artikel 2 wordt als volgt gewijzigd:

(a)lid 1 wordt vervangen door:

“1.    Deze verordening is van toepassing op stelsels voor elektronische identificatie die zijn aangemeld door een lidstaat, op door de lidstaten uitgegeven Europese portemonnees voor digitale identiteit en op verleners van vertrouwensdiensten die in de Unie zijn gevestigd.”;

(b)lid 3 wordt vervangen door:

“3.    Deze verordening doet geen afbreuk aan nationaal of Unierecht dat betrekking heeft op de totstandkoming en de geldigheid van contracten of andere wettelijke of procedurele verplichtingen inzake sectorspecifieke vormvereisten met onderliggende rechtsgevolgen.”;

(3)artikel 3 wordt als volgt gewijzigd:

(a)punt 2 wordt vervangen door:

“2.    “elektronisch identificatiemiddel”: een materiële en/of immateriële eenheid, inclusief Europese portemonnees voor digitale identiteit of identiteitskaarten overeenkomstig Verordening (EU) 2019/1157, die persoonsidentificatiegegevens bevat en voor authenticatie bij een online- of offlinedienst gebruikt wordt;”;

(b)punt 4 wordt vervangen door:

“4.    “stelsel voor elektronische identificatie”: een stelsel voor elektronische identificatie waarbinnen elektronische identificatiemiddelen worden uitgegeven aan natuurlijke personen, rechtspersonen of natuurlijke personen die rechtspersonen vertegenwoordigen;”;

(c)punt 14 wordt vervangen door:

“14.    “certificaat voor elektronische handtekeningen”: een elektronische attestering of reeks attesteringen die valideringsgegevens voor elektronische handtekeningen aan een natuurlijke persoon koppelt en ten minste de naam of het pseudoniem van die persoon bevestigt;”;

(d)punt 16 wordt vervangen door:

“16.    “vertrouwensdienst”: een elektronische dienst die gewoonlijk tegen betaling wordt verricht en het onderstaande inhoudt:

(a)het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging, elektronische attestering van attributen en certificaten die betrekking hebben op deze diensten;

(b)het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites;

(c)het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben;

(d) het elektronisch archiveren van elektronische documenten;

(e)het beheer van middelen voor het aanmaken van elektronische handtekeningen en zegels op afstand;

(f)het opslaan van elektronische gegevens in elektronische registers.”;

(e)punt 21 wordt vervangen door:

“21.    “product”: software of hardware, of relevante componenten van hardware en/of software, die bedoeld zijn om te worden gebruikt voor de verlening van elektronische identificatie- en vertrouwensdiensten;”;

(f)de volgende punten 23 bis en 23 ter worden ingevoegd:

“23 bis.    “gekwalificeerd middel voor het aanmaken van elektronische handtekeningen op afstand”: een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen waarbij een gekwalificeerde verlener van vertrouwensdiensten de gegevens voor het aanmaken van elektronische handtekeningen namens de ondertekenaar aanmaakt, beheert of dupliceert;

23b)    “gekwalificeerd middel voor het aanmaken van elektronische zegels op afstand”: een gekwalificeerd middel voor het aanmaken van elektronische zegels waarbij een gekwalificeerde verlener van vertrouwensdiensten de gegevens voor het aanmaken van elektronische zegels namens de zegelaanmaker aanmaakt, beheert of dupliceert;”;

(g)punt 29 wordt vervangen door:

“29.    “certificaat voor elektronische zegels”: een elektronische attestering of reeks attesteringen die valideringsgegevens van elektronische zegels aan een rechtspersoon verbindt en de naam van die rechtspersoon bevestigt;”;

(h)punt 41 wordt vervangen door:

“41.    “validering”: proces waarmee wordt nagegaan of, en bevestigd dat een elektronische handtekening of een elektronisch zegel of persoonsidentificatiegegevens of een elektronische attestering van attributen geldig is/zijn;”

(i)de volgende punten 42 tot en met 55 worden toegevoegd:

“42.    “Europese portemonnee voor digitale identiteit”: een product en dienst die de gebruiker in staat stelt identiteitsgegevens, inloggegevens en attributen met betrekking tot zijn/haar identiteit op te slaan, op verzoek aan vertrouwende partijen te verstrekken, voor online en offline authenticatie voor een dienst overeenkomstig artikel 6 bis te gebruiken, en gekwalificeerde elektronische handtekeningen en zegels aan te maken;

43.    “attribuut”: een eigenschap, kenmerk of kwaliteit van een natuurlijke of rechtspersoon of een entiteit, in elektronisch formaat;

44.    “elektronische attestering van attributen”: een attestering in elektronisch formaat aan de hand waarvan attributen kunnen worden geauthenticeerd;

45.    “gekwalificeerde elektronische attestering van attributen”: een elektronische attestering van attributen die is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten en voldoet aan de eisen van bijlage V;

46.    “authentieke bron”: een register of systeem, onder de verantwoordelijkheid van een publiekrechtelijk orgaan of particuliere entiteit, dat attributen omtrent een natuurlijke of rechtspersoon bevat en als de primaire bron van die informatie wordt beschouwd of krachtens nationaal recht als authentiek wordt erkend;

47.    “elektronische archivering”: een dienst die de ontvangst, opslag, verwijdering en doorzending van elektronische gegevens of documenten verzorgt om de integriteit, de juistheid van de oorsprong en de wettelijke kenmerken ervan gedurende de volledige bewaartermijn te garanderen;

48.    “gekwalificeerde elektronische archiveringsdienst”: een dienst die voldoet aan de eisen zoals vastgelegd in artikel 45 octies;

49.    “EU-betrouwbaarheidskeurmerk van de portemonnee voor digitale identiteit”: een eenvoudige, herkenbare en duidelijke indicatie dat een portemonnee voor digitale identiteit is afgegeven overeenkomstig deze verordening;

50.    “sterke gebruikersauthenticatie”: een authenticatie op basis van twee of meer als kennis en bezit van of eigen aan de gebruiker gecategoriseerde elementen die los van elkaar staan, zodat een inbreuk op een ervan de betrouwbaarheid van de andere niet in gevaar brengt, en die zo zijn ontworpen dat de vertrouwelijkheid van de authenticatiegegevens wordt beschermd;

51.    “gebruikersaccount”: een mechanisme waarmee een gebruiker toegang kan krijgen tot openbare of particuliere diensten, op de door de dienstverlener vastgestelde voorwaarden;

52.    “inloggegevens”: een bewijs van bekwaamheid, ervaring, rechten of toestemming van een persoon;

53.    “elektronisch register”: een onvervalsbare elektronische gegevensopslag die de authenticiteit en de integriteit van de daarin opgenomen gegevens, de juistheid van de datum en het tijdstip, en de chronologische volgorde garandeert”;

54.    “persoonsgegevens”: alle informatie als gedefinieerd in artikel 4, punt 1, van Verordening (EU) 2016/679.”;

55.    “unieke identificatie”: een proces waarbij persoonsidentificatiegegevens of persoonsidentificatiemiddelen met een bestaande account van dezelfde persoon worden gematcht of gekoppeld.”;

(4)artikel 5 wordt vervangen door:

Artikel 5

Pseudoniemen in elektronische transacties

Onverminderd het rechtsgevolg dat aan het gebruik van pseudoniemen op grond van nationaal recht wordt toegekend, wordt het gebruik ervan in elektronische transacties niet verboden.”;

(5)in hoofdstuk II wordt het opschrift vervangen door:

“AFDELING I

ELEKTRONISCHE IDENTIFICATIE”;

(6)artikel 6 wordt geschrapt;

(7)de volgende artikelen 6 bis, 6 ter, 6 quater en 6 quinquies worden ingevoegd:

Artikel 6 bis

Europese portemonnees voor digitale identiteit

1.    Opdat alle natuurlijke en rechtspersonen in de Unie veilige, betrouwbare en naadloze toegang tot publieke en particuliere diensten krijgen, zullen alle lidstaten binnen 12 maanden na de inwerkingtreding van deze verordening een Europese portemonnee voor digitale identiteit uitgeven.

2.    Europese portemonnees voor digitale identiteit worden uitgegeven:

(a)door een lidstaat;

(b)krachtens een mandaat van een lidstaat;

(c)onafhankelijk, maar erkend door een lidstaat.

3.    Met een Europese portemonnee voor digitale identiteit kunnen gebruikers:

(a)op een transparante en door de gebruiker traceerbare wijze veilig de nodige wettelijke persoonsidentificatiegegevens en elektronische attesteringen van attributen aanvragen, verkrijgen, opslaan, selecteren, combineren en delen, zodat zij zich online en offline kunnen authenticeren om openbare en particuliere onlinediensten te gebruiken;

(b)middels gekwalificeerde elektronische handtekeningen ondertekenen.

4.    Portemonnees voor digitale identiteit zullen in het bijzonder:

(a)een gemeenschappelijke interface bieden:

(1)voor gekwalificeerde en niet-gekwalificeerde verleners van vertrouwensdiensten die gekwalificeerde en niet-gekwalificeerde attesteringen van attributen of andere gekwalificeerde en niet-gekwalificeerde certificaten uitgeven met het oog op de afgifte van dergelijke attesteringen en certificaten aan de Europese portemonnee voor digitale identiteit;

(2) voor vertrouwende partijen om persoonsidentificatiegegevens en elektronische attesteringen van attributen aan te vragen en te valideren;

(3)om lokaal en zonder internettoegang voor de portemonnee, persoonsidentificatiegegevens, elektronische attestering van attributen of andere gegevens, zoals inloggegevens, aan vertrouwende partijen aan te bieden;

(4)voor de gebruiker om met de Europese portemonnee voor digitale identiteit te kunnen communiceren en een “EU-betrouwbaarheidskeurmerk van de portemonnee voor digitale identiteit” te kunnen weergeven;

(b)waarborgen dat verleners van vertrouwensdiensten van gekwalificeerde attesteringen van attributen geen informatie over het gebruik van die attributen kunnen ontvangen;

(c)aan de voorwaarden van artikel 8 voldoen wat het betrouwbaarheidsniveau “hoog” betreft, met name betreffende de vereisten voor het bewijzen en verifiëren van identiteit, en het beheer en de authenticatie van elektronische identificatiemiddelen;

(d)een mechanisme bieden waarmee de vertrouwende partij de gebruiker kan authenticeren en elektronische attesteringen van attributen kan ontvangen;

(e)waarborgen dat de in artikel 12, lid 4, punt d), bedoelde persoonsidentificatiegegevens uniek en permanent de daarmee verbonden natuurlijke of rechtspersonen vertegenwoordigen.

5.    De lidstaten voorzien valideringsmechanismen voor de Europese portemonnees voor digitale identiteit, zodat:

(a)de authenticiteit en de geldigheid ervan kunnen worden geverifieerd;

(b)de vertrouwende partijen kunnen verifiëren dat de attesteringen van attributen geldig zijn;

(c)de vertrouwende partijen en gekwalificeerde verleners van vertrouwensdiensten de authenticiteit en de geldigheid van gekoppelde persoonsidentificatiegegevens kunnen verifiëren.

6.    De Europese portemonnees voor digitale identiteit worden uitgegeven op grond van een aangemeld stelsel voor elektronische identificatie met een “hoog” betrouwbaarheidsniveau. Het gebruik van Europese portemonnees voor digitale identiteit is gratis voor natuurlijke personen.

7.    De gebruiker heeft volledige controle over de Europese portemonnee voor digitale identiteit. De afgever van de Europese portemonnee voor digitale identiteit verzamelt geen informatie over het gebruik van de portemonnee die niet noodzakelijk is voor de levering van de portemonneediensten, noch combineert hij persoonsidentificatiegegevens en andere persoonsgegevens die zijn opgeslagen of betrekking hebben op het gebruik van de Europese portemonnee voor digitale identiteit met persoonsgegevens van andere door deze afgever of derden aangeboden diensten als die niet noodzakelijk zijn voor de levering van de portemonneediensten, tenzij de gebruiker daar uitdrukkelijk om heeft gevraagd. Persoonsgegevens met betrekking tot de verstrekking van de Europese portemonnees voor digitale identiteit worden fysiek en logisch gescheiden van andere opgeslagen gegevens. Indien de Europese portemonnee voor digitale identiteit wordt verstrekt door particuliere partijen overeenkomstig lid 2, punten b) en c), is artikel 45 septies, lid 4, van overeenkomstige toepassing.

8.    Artikel 11 is van overeenkomstige toepassing op de Europese portemonnee voor digitale identiteit.

9.    Artikel 24, lid 2, punten b), e), g), en h), is van overeenkomstige toepassing op de lidstaten die Europese portemonnees voor digitale identiteit afgeven.

10.    De Europese portemonnee voor digitale identiteit wordt toegankelijk gemaakt voor personen met een handicap overeenkomstig de toegankelijkheidsvoorschriften van bijlage I bij Richtlijn (EU) 2019/882.

11.    Binnen zes maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van een uitvoeringshandeling betreffende de uitvoering van de Europese portemonnee voor digitale identiteit technische en operationele specificaties en referentienormen inzake de in de leden 3, 4, en 5, bedoelde voorschriften vast. Deze uitvoeringshandeling wordt volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 6 ter

Vertrouwende partijen voor Europese portemonnees voor digitale identiteit

1.    Als vertrouwende partijen voornemens zijn om overeenkomstig deze verordening uitgegeven Europese portemonnees voor digitale identiteit te gebruiken, delen zij dit mee aan de lidstaat waar de vertrouwende partij is gevestigd met het oog op de naleving van de vereisten krachtens Unierecht of nationaal recht voor de levering van specifieke diensten. Als ze hun voornemen om gebruik te maken van Europese portemonnees voor digitale identiteit kenbaar maken, delen ze ook mee welk gebruik ze hiervan willen maken.

2.    De lidstaten implementeren een gemeenschappelijk mechanisme voor de authenticatie van vertrouwende partijen.

3.    Vertrouwende partijen zijn verantwoordelijk voor de uitvoering van de procedure voor de authenticatie van uit de Europese portemonnee voor digitale identiteit afkomstige persoonsidentificatiegegevens en elektronische attesteringen van attributen.

4.    Binnen zes maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van een uitvoeringshandeling betreffende de uitvoering van de Europese portemonnees voor digitale identiteit in de zin van artikel 6 bis, lid 10, technische en operationele specificaties voor de in de leden 1 en 2 bedoelde voorschriften vast.

Artikel 6 quater

Certificering van de Europese portemonnees voor digitale identiteit

1.    Europese portemonnees voor digitale identiteit die zijn gecertificeerd of waarvoor een conformiteitsverklaring is uitgegeven krachtens een cyberbeveiligingsregeling overeenkomstig Verordening (EU) 2019/881 en waarvan de referenties in het Publicatieblad van de Europese Unie zijn bekendgemaakt, worden geacht in overeenstemming te zijn met de toepasselijke cyberbeveiligingsvereisten van artikel 6 bis, leden 3, 4 en 5, voor zover het cyberbeveiligingscertificaat of de conformiteitsverklaring of delen daarvan onder deze vereisten vallen.

2.    De naleving van de vereisten in artikel 6 bis, leden 3, 4 en 5, ten aanzien van de verwerking van persoonsgegevens door de afgever van de Europese portemonnees voor digitale identiteit wordt gecertificeerd overeenkomstig Verordening (EU) 2016/679.

3.    De overeenstemming van de Europese portemonnees voor digitale identiteit met de vereisten van artikel 6 bis, leden 3, 4 en 5, wordt gecertificeerd door vanwege de lidstaten aangewezen geaccrediteerde openbare of private organen.

4.    Binnen zes maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen een lijst op van normen inzake de certificering van de Europese portemonnees voor digitale identiteit in de zin van lid 3.

5.    De lidstaten verstrekken aan de Commissie de namen en adressen van de in lid 3 bedoelde openbare of private organen. De Commissie stelt deze informatie beschikbaar aan de lidstaten.

6.    De Commissie is bevoegd overeenkomstig artikel 47 gedelegeerde handelingen vast te stellen met betrekking tot het opstellen van specifieke criteria waaraan de in lid 3 bedoelde aangewezen organen moeten voldoen.

Artikel 6 quinquies

Bekendmaking van een lijst van gecertificeerde Europese portemonnees voor digitale identiteit

1.    De lidstaten verstrekken de Commissie onverwijld informatie over de overeenkomstig artikel 6 bis afgegeven en door de in artikel 6 quater, lid 3, bedoelde organen gecertificeerde Europese portemonnees voor digitale identiteit. Zij stellen de Commissie er onverwijld van in kennis als de certificering wordt geannuleerd.

2.    De Commissie stelt op basis van de ontvangen informatie een lijst op van gecertificeerde Europese portemonnees voor digitale identiteit, publiceert deze lijst en houdt haar bij.

3.    Binnen zes maanden na de inwerkingtreding van deze verordening legt de Commissie door middel van een uitvoeringshandeling betreffende de uitvoering van de Europese portemonnees voor digitale identiteit in de zin van artikel 6 bis, lid 10, de formaten en procedures voor de toepassing van lid 1 vast.”;

(8)vóór artikel 7 wordt het volgende opschrift ingevoegd:

“AFDELING II

STELSELS VOOR ELEKTRONISCHE IDENTIFICATIE”;

(9)de inleidende zin van artikel 7 komt als volgt te luiden:

“Overeenkomstig artikel 9, lid 1, melden de lidstaten binnen 12 maanden na de inwerkingtreding van deze verordening ten minste één stelsel voor elektronische identificatie met inbegrip van ten minste één identificatiemiddel aan.”;

(10)in artikel 9 worden de leden 2 en 3 vervangen door:

“2.    De Commissie maakt in het Publicatieblad van de Europese Unie een lijst bekend van de stelsels voor elektronische identificatie die overeenkomstig lid 1 zijn aangemeld alsmede de hiermee verband houdende basisinformatie.

3.    De Commissie maakt de wijzigingen van de in lid 2 bedoelde lijst bekend in het Publicatieblad van de Europese Unie binnen een maand na de datum van ontvangst van die aanmelding.”;

(11)het volgende artikel 10 bis wordt ingevoegd:

Artikel 10 bis

Inbreuk op de beveiliging van de Europese portemonnees voor digitale identiteit

1.    Indien Europese portemonnees voor digitale identiteit overeenkomstig artikel 6 bis zijn afgegeven en de in artikel 6 bis, lid 5, punten a), b) en c), bedoelde valideringsmechanismen zijn geschonden of ten dele zijn aangetast, waardoor de betrouwbaarheid ervan of de betrouwbaarheid van de andere Europese portemonnees voor digitale identiteit in gevaar komt, schort de afgevende lidstaat onverwijld de afgifte op, trekt hij de geldigheid van de Europese portemonnee voor digitale identiteit in en stelt hij de andere lidstaten en de Commissie daarvan in kennis.

2.    Wanneer de in lid 1 bedoelde schending of aantasting verholpen is, herstelt de afgevende lidstaat de afgifte van de Europese portemonnee voor digitale identiteit en stelt hij de andere lidstaten en de Commissie daarvan onverwijld op de hoogte.

3.    Indien de in lid 1 bedoelde schending of aantasting niet binnen drie maanden na de opschorting of intrekking is verholpen, trekt de betrokken lidstaat de betreffende Europese portemonnee voor digitale identiteit terug en stelt hij de andere lidstaten en de Commissie daarvan in kennis. Indien de ernst van de inbreuk dat rechtvaardigt, wordt de Europese portemonnee voor digitale identiteit onverwijld teruggetrokken.

4.    De Commissie maakt de overeenkomstige wijzigingen aan de in artikel 6 quinquies bedoelde lijst onverwijld bekend in het Publicatieblad van de Europese Unie.

5.    Binnen zes maanden na de inwerkingtreding van deze verordening specificeert de Commissie door middel van een uitvoeringshandeling betreffende de uitvoering van de Europese portemonnees voor digitale identiteit in de zin van artikel 6 bis, lid 10, de in de leden 1 en 3 bedoelde nadere maatregelen.”;

(12)het volgende artikel 11 bis wordt ingevoegd:

Artikel 11 bis

Unieke identificatie

1.    Indien aangemelde elektronische identificatiemiddelen en de Europese portemonnees voor digitale identiteit worden gebruikt voor authenticatie, waarborgen de lidstaten een unieke identificatie.

2.    Voor de toepassing van deze verordening nemen de lidstaten in de minimale reeks gegevens van de in artikel 12, lid 4, punt d), bedoelde persoonsidentificatiegegevens een unieke en permanente identificatiecode overeenkomstig het Unierecht op, om de gebruiker op hun verzoek te identificeren in die gevallen waarin gebruikersidentificatie wettelijk voorgeschreven is.

3.    Binnen zes maanden na de inwerkingtreding van deze verordening specificeert de Commissie door middel van een uitvoeringshandeling betreffende de uitvoering van de Europese portemonnees voor digitale identiteit in de zin van artikel 6 bis, lid 10, de in de leden 1 en 2 bedoelde nadere maatregelen.”;

(13)artikel 12 wordt als volgt gewijzigd:

(a)in lid 3 worden de punten c) en d) geschrapt;

(b)in lid 4 wordt punt d) vervangen door:

“d)    een verwijzing naar een minimale reeks persoonsidentificatiegegevens die nodig is om een natuurlijke of rechtspersoon op unieke en permanente wijze te vertegenwoordigen;”;

(c)in lid 6 wordt punt a) vervangen door:

“a)    de uitwisseling van informatie, ervaring en goede werkwijzen wat betreft stelsels voor elektronische identificatie en in het bijzonder wat betreft de technische vereisten inzake interoperabiliteit, unieke identificatie en betrouwbaarheidsniveaus;”;

(14)het volgende artikel 12 bis wordt ingevoegd:

Artikel 12 bis

Certificering van stelsels voor elektronische identificatie

1.    De overeenstemming van aangemelde stelsels voor elektronische identificatie met de vereisten van de artikelen 6 bis, 8 en 10, kan worden gecertificeerd door vanwege de lidstaten aangewezen openbare of private organen.

2.    De collegiale toetsing van de in artikel 12, lid 6, punt c), bedoelde stelsels voor elektronische identificatie geldt niet voor stelsels voor elektronische identificatie of delen daarvan die overeenkomstig lid 1 zijn gecertificeerd. De lidstaten mogen gebruikmaken van een certificaat of een EU-conformiteitsverklaring die is uitgegeven op grond van een overeenkomstig Verordening (EU) 2019/881 opgezette relevante Europese cyberbeveiligingsregeling, om aan te tonen dat die regelingen voldoen aan de vereisten van artikel 8, lid 2, ten aanzien van de betrouwbaarheidsniveaus van stelsels voor elektronische identificatie.

3.    De lidstaten verstrekken aan de Commissie de namen en adressen van de in lid 1 bedoelde openbare of private organen. De Commissie stelt deze informatie beschikbaar aan de lidstaten.”;

(15)na artikel 12 bis wordt het volgende opschrift ingevoegd:

“AFDELING III

GRENSOVERSCHRIJDEND GEBRUIK VAN ELEKTRONISCHE IDENTIFICATIEMIDDELEN”;

(16)de volgende artikelen 12 ter en 12 quater worden ingevoegd:

“Artikel 12 ter

Grensoverschrijdend gebruik van Europese portemonnees voor digitale identiteit

1.    Indien de lidstaten elektronische identificatie met gebruikmaking van een elektronisch identificatiemiddel en authenticatie op grond van nationaal recht of bestuursrechtelijke praktijken vereisen om toegang tot een door een openbare instantie aangeboden onlinedienst te krijgen, aanvaarden ze ook Europese portemonnees voor digitale identiteit die overeenkomstig deze verordening zijn afgegeven.

2.    Indien particuliere vertrouwende partijen die diensten verlenen krachtens nationaal of Unierecht, sterke gebruikersauthenticatie voor online-identificatie moeten gebruiken, of indien sterke gebruikersauthenticatie vereist is op grond van een contractuele verbintenis, waaronder op het gebied van vervoer, energie, financiële dienstverlening, sociale zekerheid, gezondheidszorg, drinkwatervoorziening, postdiensten, digitale infrastructuur, onderwijs of telecommunicatie, aanvaarden particuliere vertrouwende partijen ook het gebruik van Europese portemonnees voor digitale identiteit die overeenkomstig artikel 6 bis zijn afgegeven.

3.    Indien zeer grote onlineplatforms, als gedefinieerd in artikel 25, lid 1, van Verordening [referentie verordening inzake digitale diensten] verlangen dat gebruikers zich authenticeren om toegang tot onlinediensten te krijgen, aanvaarden ze ook het gebruik van Europese portemonnees voor digitale identiteit die overeenkomstig artikel 6 bis zijn afgegeven; zij het uitsluitend op vrijwillig verzoek van de gebruiker en met inachtneming van de minimaal benodigde attributen voor de specifieke onlinedienst waarvoor authenticatie vereist is, zoals een bewijs van leeftijd.

4.    De Commissie stimuleert en faciliteert dat op Unieniveau zelfregulerende gedragscodes (“gedragscodes”) worden ontwikkeld om bij te dragen tot de brede beschikbaarheid en bruikbaarheid van Europese portemonnees voor digitale identiteit binnen het toepassingsgebied van deze verordening. Deze gedragscodes zorgen voor brede aanvaarding van elektronische identificatiemiddelen, inclusief de Europese portemonnee voor digitale identiteit, binnen het toepassingsgebied van deze verordening, met name door dienstverleners die voor gebruikersauthenticatie gebruikmaken van elektronische identificatiediensten van derden. De Commissie faciliteert de ontwikkeling van dergelijke gedragscodes in nauwe samenwerking met alle belanghebbenden, en stimuleert dienstverleners om de ontwikkeling van de gedragscodes binnen 12 maanden na de vaststelling van deze verordening te voltooien en die binnen 18 maanden na de vaststelling van de verordening daadwerkelijk te implementeren.

5.    De Commissie beoordeelt binnen 18 maanden na de invoering van de Europese portemonnee voor digitale identiteit of, op basis van bewijsmateriaal inzake de beschikbaarheid en de bruikbaarheid van de Europese portemonnee voor digitale identiteit, aan extra particuliere aanbieders van onlinediensten zal worden opgelegd om, uitsluitend op vrijwillig verzoek van de gebruiker, het gebruik van de Europese portemonnee voor digitale identiteit te aanvaarden. De beoordelingscriteria kunnen betrekking hebben op de omvang van de gebruikersbasis, de grensoverschrijdende aanwezigheid van dienstverleners, technologische ontwikkelingen en de ontwikkeling van gebruikspatronen. De Commissie wordt gemachtigd op basis van deze beoordeling gedelegeerde handelingen vast te stellen met betrekking tot een herziening van de vereisten voor erkenning van een Europese portemonnee voor digitale identiteit overeenkomstig de leden 1 tot en met 4.

6.    Voor de toepassing van dit artikel zijn de in de artikelen 7 en 9 bedoelde voorwaarden niet van toepassing op de Europese portemonnees voor digitale identiteit.

Artikel 12 quater

Wederzijdse erkenning van elektronische identificatiemiddelen

1.    Wanneer elektronische identificatie met gebruikmaking van een elektronisch identificatiemiddel en authenticatie vereist is op grond van nationaal recht of bestuursrechtelijke praktijken om toegang te krijgen tot een door een openbare instantie in een lidstaat aangeboden onlinedienst, moet het elektronisch identificatiemiddel dat uitgegeven is in een andere lidstaat, ten behoeve van de grensoverschrijdende authenticatie van die onlinedienst in de eerste lidstaat worden erkend, mits aan de volgende voorwaarden is voldaan:

(a)het elektronisch identificatiemiddel is uitgegeven op grond van een stelsel voor elektronische identificatie dat is opgenomen in de in artikel 9 bedoelde lijst;

(b)het betrouwbaarheidsniveau van het elektronisch identificatiemiddel is gelijk aan of hoger dan het betrouwbaarheidsniveau dat de bevoegde openbare instantie als voorwaarde stelt voor toegang tot die onlinedienst in de betrokken lidstaat, en in geen geval lager dan een “substantieel” betrouwbaarheidsniveau;

(c)de openbare instantie in de betrokken lidstaat gebruikt het betrouwbaarheidsniveau “substantieel” of “hoog” voor de toegang tot die onlinedienst.

Die erkenning vindt plaats uiterlijk zes maanden nadat de Commissie de in de eerste alinea, punt a), bedoeld lijst heeft bekendgemaakt.

2.    Een elektronisch identificatiemiddel dat is uitgegeven op grond van een op de lijst van artikel 9 opgenomen stelsel voor elektronische identificatie en het betrouwbaarheidsniveau “laag” heeft, kan door openbare instanties worden erkend ten behoeve van de grensoverschrijdende authenticatie voor de onlinediensten die door die instanties worden geleverd.”;

(17)artikel 13, lid 1, wordt vervangen door:

“1.    Onverminderd lid 2 zijn verleners van vertrouwensdiensten aansprakelijk voor schade die opzettelijk of uit onachtzaamheid wordt veroorzaakt aan natuurlijke of rechtspersonen vanwege een niet-naleving van de verplichtingen krachtens deze verordening of de verplichtingen inzake het risicobeheer op het gebied van cyberbeveiliging krachtens artikel 18 van Richtlijn XXXX/XXXX [NIS2].”;

(18)artikel 14 wordt vervangen door:

Artikel 14

Internationale aspecten

1.    De Commissie kan overeenkomstig artikel 48, lid 2, uitvoeringshandelingen vaststellen waarin de voorwaarden worden vastgesteld op grond waarvan de eisen van een derde land die van toepassing zijn op de verleners van vertrouwensdiensten die op zijn grondgebied zijn gevestigd en op de vertrouwensdiensten die zij verlenen, kunnen worden beschouwd als gelijkwaardig aan de eisen die gelden voor gekwalificeerde verleners van vertrouwensdiensten die in de Unie zijn gevestigd en voor de gekwalificeerde vertrouwensdiensten die zij verlenen.

2.    Indien de Commissie overeenkomstig lid 1 een uitvoeringshandeling heeft vastgesteld of een internationale overeenkomst inzake de wederzijdse erkenning van vertrouwensdiensten overeenkomstig artikel 218 VWEU heeft gesloten, worden vertrouwensdiensten verstrekt door in een derde land gevestigde verleners van vertrouwensdiensten beschouwd als gelijkwaardig aan gekwalificeerde vertrouwensdiensten verstrekt door gekwalificeerde, in de Unie gevestigde verleners van vertrouwensdiensten.”;

(19)artikel 15 wordt vervangen door:

Artikel 15

Toegankelijkheid voor personen met een handicap

Vertrouwensdiensten en voor de levering van die diensten gebruikte eindgebruikersproducten worden toegankelijk gemaakt voor personen met een handicap overeenkomstig de toegankelijkheidsvoorschriften van bijlage I bij Richtlijn (EU) 2019/882 betreffende de toegankelijkheidsvoorschriften voor producten en diensten.”;

(20)artikel 17 wordt als volgt gewijzigd:

(a)lid 4 wordt als volgt gewijzigd:

(1)in lid 4 wordt punt c) vervangen door:

“c)    andere betrokken nationale bevoegde organen van de overeenkomstig Richtlijn (EU) XXXX/XXXX [NIS2] aangewezen betrokken lidstaten op de hoogte brengen van significante beveiligingsinbreuken of integriteitsverlies waarvan zij bij de uitvoering van hun taken kennis krijgen. Indien de significante beveiligingsinbreuken of het integriteitsverlies andere lidstaten betreft, stelt het toezichthoudend orgaan het centrale contactpunt van de overeenkomstig Richtlijn (EU) XXXX/XXXX (NIS2) aangewezen lidstaat daarvan in kennis;”;

(2)punt f) wordt vervangen door:

“f)    samenwerken met de overeenkomstig Verordening (EU) 2016/679 opgerichte toezichthoudende autoriteiten en in het bijzonder deze instanties onverwijld informeren over de resultaten van de audits van gekwalificeerde verleners van vertrouwensdiensten indien er regels inzake de bescherming van persoonsgegevens zijn overtreden, en over beveiligingsinbreuken die inbreuken op persoonsgegevens vormen;”;

(b)lid 6 wordt vervangen door:

“6.    Elk toezichthoudend orgaan legt de Commissie jaarlijks uiterlijk op 31 maart een verslag voor over zijn hoofdactiviteiten in het voorgaande kalenderjaar.”;

(c)lid 8 wordt vervangen door:

“8.    Binnen 12 maanden na de inwerkingtreding van deze verordening legt de Commissie door middel van uitvoeringshandelingen de taken van de in lid 4 bedoelde toezichthoudende autoriteiten nader vast en bepaalt zij de formaten en procedures voor het in lid 6 bedoelde verslag. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(21)artikel 18 wordt als volgt gewijzigd:

(a)de titel van artikel 18 wordt vervangen door:

Wederzijdse bijstand en samenwerking”;

(b)lid 1 wordt vervangen door:

“1.    Toezichthoudende organen werken samen met het oog op de uitwisseling van goede praktijken en informatie met betrekking tot het verlenen van vertrouwensdiensten.”;

(c)de volgende leden 4 en 5 worden toegevoegd:

“4.    Toezichthoudende organen en nationale bevoegde instanties op grond van Richtlijn (EU) XXXX/XXXX van het Europees Parlement en de Raad [NIS2] werken samen en verlenen elkaar bijstand om te waarborgen dat verleners van vertrouwensdiensten voldoen aan de vereisten van deze verordening en van Richtlijn (EU) XXXX/XXXX [NIS2]. Het toezichthoudende orgaan verzoekt de nationale bevoegde autoriteit op grond van Richtlijn (EU) XXXX/XXXX [NIS2] om toezichtmaatregelen uit te voeren om na te gaan of de verleners van vertrouwensdiensten voldoen aan de vereisten van Richtlijn XXXX/XXXX [NIS2]; om van de verleners van vertrouwensdiensten te eisen dat zij niet-naleving van die vereisten verhelpen; om de resultaten van toezichtactiviteiten in verband met verleners van vertrouwensdiensten tijdig te verstrekken; en om de toezichthoudende organen in kennis te stellen van overeenkomstig Richtlijn XXXX/XXXX [NIS2] gemelde incidenten.

5.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen de noodzakelijke procedureregels vast om de samenwerking tussen de in lid 1 bedoelde toezichthoudende organen te faciliteren.”;

(22)artikel 20 wordt als volgt gewijzigd:

(a)lid 1 wordt vervangen door:

“1.    Gekwalificeerde verleners van vertrouwensdiensten worden minstens eens in de 24 maanden op hun kosten aan een audit door een conformiteitsbeoordelingsorgaan onderworpen. Het doel van deze audit is te bevestigen dat de gekwalificeerde verleners van vertrouwensdiensten en de gekwalificeerde vertrouwensdiensten die door hen worden verleend, voldoen aan de in deze verordening en de in artikel 18 van Richtlijn (EU) XXXX/XXXX [NIS2] vastgestelde eisen. De gekwalificeerde verleners van vertrouwensdiensten dienen het conformiteitsbeoordelingsverslag binnen een termijn van drie werkdagen na ontvangst in bij het toezichthoudend orgaan.”;

(b)in lid 2 wordt de laatste zin vervangen door:

“Indien er sprake blijkt te zijn van een inbreuk op de regels voor de bescherming van persoonsgegevens brengt het toezichthoudend orgaan de toezichthoudende autoriteiten op grond van Verordening (EU) 2016/679 op de hoogte van de resultaten van de audits.”;

(c)de leden 3 en 4 worden vervangen door:

“3.    Indien de gekwalificeerde verlener van vertrouwensdiensten de vereisten van deze verordening niet naleeft, eist het toezichthoudend orgaan dat deze de niet-naleving rechtzet, binnen een bepaalde tijdspanne, indien van toepassing.

Bij ontstentenis van een rechtzetting, en indien van toepassing binnen een door het toezichthoudend orgaan bepaalde tijdspanne, kan het toezichthoudend orgaan, gelet op in het bijzonder de mate, de duur en de gevolgen van die niet-naleving, de status van gekwalificeerde van die verlener of van de door hem verleende betrokken dienst intrekken en eisen dat deze, indien van toepassing binnen een bepaalde tijdspanne, aan de vereisten van Richtlijn XXXX/XXXX [NIS2] voldoet. Het toezichthoudend orgaan brengt het in artikel 22, lid 3, bedoelde orgaan daarvan op de hoogte met als doel de actualisering van de in artikel 22, lid 1, bedoelde vertrouwenslijsten.

Het toezichthoudend orgaan stelt de gekwalificeerde verlener van vertrouwensdiensten in kennis van het feit dat zijn status van gekwalificeerde of de status van gekwalificeerde van de betrokken dienst is ingetrokken.

4.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers vast voor de volgende normen:

(a)de accreditering van de conformiteitsbeoordelingsinstanties en voor het conformiteitsbeoordelingsverslag bedoeld in lid 1;

(b)de auditvereisten volgens welke de conformiteitsbeoordelingsinstanties hun conformiteitsbeoordeling van de gekwalificeerde verleners van vertrouwensdiensten, bedoeld in lid 1, uitvoeren;

(c)de conformiteitsbeoordelingsregelingen volgens welke de conformiteitsbeoordelingsinstanties de conformiteitsbeoordeling van de gekwalificeerde verleners van vertrouwensdiensten uitvoeren en het in lid 1 bedoelde conformiteitsbeoordelingsverslag leveren.

Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(23)artikel 21 wordt als volgt gewijzigd:

(a)lid 2 wordt vervangen door:

“2.    Het toezichthoudend orgaan verifieert of de verlener van vertrouwensdiensten en de door hem verleende vertrouwensdiensten overeenkomstig de in deze verordening vastgestelde eisen zijn, en in het bijzonder conform de eisen die worden gesteld aan gekwalificeerde verleners van vertrouwensdiensten en aan de gekwalificeerde vertrouwensdiensten die zij verlenen.

Om te controleren of de verlener van vertrouwensdiensten de eisen van artikel 18 van Richtlijn XXXX/XXXX [NIS2] naleeft, verzoekt het toezichthoudend orgaan de bevoegde autoriteiten op grond van Richtlijn (EU) XXXX/XXXX [NIS2] om toezichtmaatregelen ter zake uit te voeren en binnen drie dagen na afronding informatie over de uitkomst te verstrekken.

Indien het toezichthoudend orgaan tot het oordeel komt dat de verlener van vertrouwensdiensten en de door hem verleende vertrouwensdiensten in overeenstemming met de in de eerste alinea bedoelde eisen zijn, kent het toezichthoudend orgaan de status van gekwalificeerde toe aan de verlener van vertrouwensdiensten en aan de door hem verleende vertrouwensdiensten en stelt het toezichthoudend orgaan het in artikel 22, lid 3, bedoelde orgaan hiervan in kennis, zodat de in artikel 22, lid 1, bedoelde vertrouwenslijsten bijgewerkt worden, en wel binnen drie maanden na kennisgeving overeenkomstig lid 1.

Indien de verificatie niet binnen drie maanden na de kennisgeving is afgerond, brengt het toezichthoudend orgaan de verlener van vertrouwensdiensten op de hoogte van de redenen voor de vertraging en van de termijn waarbinnen de verificatie afgerond zal zijn.”;

(b)lid 4 wordt als volgt vervangen:

“4.    Voor de toepassing van de leden 1 en 2 omschrijft de Commissie binnen 12 maanden na de inwerkingtreding van deze verordening door middel van uitvoeringshandelingen de formaten en procedures voor de aanmelding en de verificatie. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(24)in artikel 23 wordt het volgende lid 2 bis ingevoegd:

“2 bis    De leden 1 en 2 zijn ook van toepassing op in derde landen gevestigde verleners van vertrouwensdiensten en op de door hen geleverde diensten, mits zij overeenkomstig artikel 14 in de Unie zijn erkend.”;

(25)artikel 24 wordt als volgt gewijzigd:

(a)lid 1 wordt vervangen door:

“1.    Wanneer een gekwalificeerde verlener van vertrouwensdiensten een gekwalificeerd certificaat of een gekwalificeerde elektronische attestering van attributen voor een vertrouwensdienst afgeeft, moet hij de identiteit en in voorkomend geval de specifieke attributen verifiëren van de natuurlijke persoon of de rechtspersoon aan wie het gekwalificeerde certificaat of de gekwalificeerde elektronische attestering van een attribuut wordt afgegeven.

De in de eerste alinea bedoelde informatie wordt door de gekwalificeerde verlener van vertrouwensdiensten geverifieerd, hetzij rechtstreeks, hetzij door een beroep te doen op een derde partij, op een van de volgende wijzen:

(a)door middel van aangemelde elektronische identificatiemiddelen die voldoen aan de vereisten van artikel 8 wat betreft de betrouwbaarheidsniveaus “substantieel” of “hoog”;

(b)door middel van gekwalificeerde elektronische attesteringen van attributen of een certificaat van een gekwalificeerde elektronische handtekening of van een gekwalificeerd elektronisch zegel, afgegeven overeenkomstig punt a), c) of d);

(c)door middel van andere identificatiemethoden ter waarborging van de identificatie van de natuurlijke persoon met een hoge mate van betrouwbaarheid, waarvan de overeenstemming wordt bevestigd door een conformiteitsbeoordelingsorgaan;

(d)door de fysieke aanwezigheid van de natuurlijke persoon of van een gemachtigde vertegenwoordiger van de rechtspersoon volgens passende procedures en overeenkomstig nationaal recht, indien er geen andere middelen beschikbaar zijn.”;

(b)het volgende lid 1 bis wordt ingevoegd:

“1 bis    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen minimale technische specificaties, normen en procedures vast met betrekking tot de verificatie van de identiteit en de attributen overeenkomstig lid 1, punt c). Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(c)lid 2 wordt als volgt gewijzigd:

(1)punt d) wordt vervangen door:

“d)    verstrekt individueel aan personen die gebruik wensen te maken van een gekwalificeerde vertrouwensdienst duidelijke, volledige en gemakkelijk toegankelijke informatie in een voor het publiek toegankelijke plaats over de precieze voorwaarden betreffende het gebruik van die dienst, met inbegrip van eventuele beperkingen op het gebruik ervan, alvorens een contractuele verbintenis aan te gaan;”;

(2)de nieuwe punten f bis) en f ter) worden ingevoegd:

“f bis)    heeft passend beleid en treft overeenkomstige maatregelen om juridische, zakelijke, operationele en andere directe of indirecte risico’s met betrekking tot de levering van de gekwalificeerde vertrouwensdienst te beheersen. Onverminderd artikel 18 van Richtlijn (EU) XXXX/XXXX [NIS2] omvatten die maatregelen ten minste het volgende:

i) maatregelen inzake de registratie en instapprocedures voor een dienst;

ii) maatregelen inzake procedurele of administratieve controles;

iii) maatregelen inzake het beheer en de uitvoering van diensten.

f ter)    stelt het toezichthoudende orgaan en, indien van toepassing, andere betrokken organen op de hoogte van alle daarmee verband houdende inbreuken of verstoringen met aanzienlijke gevolgen voor de verleende vertrouwensdienst of voor de persoonsgegevens die daarmee worden beheerd, tijdens de uitvoering van de in de in lid f bis, punten i), ii), of iii) bedoelde maatregelen;”;

(3)de punten g) en h) worden vervangen door:

“g)    neemt passende maatregelen tegen vervalsing, diefstal of verduistering van gegevens, of het onrechtmatig wissen, wijzigen of ontoegankelijk maken van gegevens;

h)    legt zo lang als nodig, nadat de gekwalificeerde verlener van vertrouwensdiensten zijn activiteiten heeft gestaakt, alle relevante informatie vast met betrekking tot de gegevens die de gekwalificeerde verlener van vertrouwensdiensten heeft afgegeven en ontvangen, en houdt deze informatie toegankelijk, om ten behoeve van gerechtelijke procedures bewijzen te kunnen leveren en om de continuïteit van de dienst te waarborgen. Dit vastleggen mag elektronisch plaatsvinden;”;

(4)punt j) wordt geschrapt;

(d)het volgende lid 4 bis wordt ingevoegd:

“4 bis    De leden 3 en 4 zijn van overeenkomstige toepassing op de intrekking van elektronische attesteringen van attributen.”;

(e)lid 5 wordt vervangen door:

“5.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake de in lid 2 bedoelde eisen vast. Indien betrouwbare systemen en producten aan die normen voldoen, wordt aangenomen dat er overeenstemming is met de in dit artikel vastgestelde eisen. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(f)het volgende lid 6 wordt ingevoegd:

“6.    De Commissie is bevoegd gedelegeerde handelingen met betrekking tot de in lid 2 f bis) bedoelde extra maatregelen vast te stellen.”;

(26)artikel 28, lid 6, wordt vervangen door:

“6.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake gekwalificeerde certificaten voor elektronische handtekeningen vast. Indien een gekwalificeerd certificaat voor elektronische handtekeningen aan dergelijke normen voldoet, wordt aangenomen dat er overeenstemming is met de in bijlage I vastgestelde eisen. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(27)aan artikel 29 wordt het volgende nieuwe lid 1 bis toegevoegd:

“1 bis    Het genereren, beheren en dupliceren van de gegevens voor het aanmaken van elektronische handtekeningen namens de ondertekenaar kan alleen worden uitgevoerd door een gekwalificeerde verlener van vertrouwensdiensten die een gekwalificeerde vertrouwensdienst voor het beheer van middelen voor het aanmaken van elektronische handtekeningen op afstand verleent.”;

(28)het volgende artikel 29 bis wordt ingevoegd:

Artikel 29 bis

Eisen voor een gekwalificeerde dienst voor het beheer van middelen voor het aanmaken van elektronische handtekeningen op afstand

1.    Het beheer van gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen op afstand als gekwalificeerde vertrouwensdienst kan alleen worden uitgevoerd door een gekwalificeerde verlener van vertrouwensdiensten die:

(a)middelen voor het aanmaken van elektronische handtekeningen namens de ondertekenaar aanmaakt of beheert;

(b)onverminderd punt 1, d), van bijlage II, de gegevens voor het aanmaken van elektronische handtekeningen alleen voor back-updoeleinden dupliceert, op voorwaarde dat aan de volgende eisen wordt voldaan:

de beveiliging van de gedupliceerde gegevensverzamelingen moet van hetzelfde niveau zijn als de beveiliging van de originele gegevensverzamelingen;

het aantal gedupliceerde gegevensverzamelingen mag niet hoger zijn dan het minimum dat nodig is om de continuïteit van de dienst te waarborgen.

(c)aan de voorwaarden uit het certificeringsverslag van het overeenkomstig artikel 30 afgegeven specifieke middel voor het aanmaken van elektronische handtekeningen op afstand voldoet.

2.    Voor de toepassing van lid 1 stelt de Commissie binnen 12 maanden na de inwerkingtreding van deze verordening door middel van uitvoeringshandelingen technische specificaties en referentienummers van normen vast.”;

(29)in artikel 30 wordt het volgende lid 3 bis ingevoegd:

“3 bis    De in lid 1 bedoelde certificering is vijf jaar geldig, op voorwaarde van een regelmatige tweejaarlijkse kwetsbaarheidsbeoordeling. Indien kwetsbaarheden worden vastgesteld en niet worden verholpen, wordt de certificering ingetrokken.”;

(30)artikel 31, lid 3, wordt vervangen door:

“3.    Voor de toepassing van lid 1 stelt de Commissie binnen 12 maanden na de inwerkingtreding van deze verordening door middel van uitvoeringshandelingen de formaten en procedures vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(31)artikel 32 wordt als volgt gewijzigd:

(a)aan lid 1 wordt de volgende alinea toegevoegd:

“Indien de validering van gekwalificeerde elektronische handtekeningen aan de in lid 3 bedoelde normen voldoet, wordt aangenomen dat er overeenstemming is met de in de eerste alinea bedoelde vastgestelde eisen.”;

(b)lid 3 wordt vervangen door:

“3.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake de validering van gekwalificeerde elektronische handtekeningen vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(32)artikel 34 wordt vervangen door:

Artikel 34

Gekwalificeerde bewaringsdienst voor gekwalificeerde elektronische handtekeningen

1.    Een gekwalificeerde bewaringsdienst voor gekwalificeerde elektronische handtekeningen kan uitsluitend worden verleend door een gekwalificeerde verlener van vertrouwensdiensten die procedures en technologieën hanteert welke het mogelijk maken de betrouwbaarheid van de gekwalificeerde elektronische handtekeningen te verlengen tot na de technologische geldigheidsduur.

2.    Indien de voorzieningen voor de gekwalificeerde bewaringsdienst voor gekwalificeerde elektronische handtekeningen aan de in lid 3 bedoelde normen voldoen, wordt aangenomen dat er overeenstemming is met de in lid 1 vastgestelde eisen.

3.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake de gekwalificeerde bewaringsdienst voor gekwalificeerde elektronische handtekeningen vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(33)artikel 37 wordt als volgt gewijzigd:

(a)het volgende lid 2 bis wordt ingevoegd:

“2 bis    Indien een geavanceerd elektronisch zegel aan de in lid 4 bedoelde normen voldoet, wordt het geacht in overeenstemming te zijn met de in artikel 36 en lid 5 bedoelde vereisten voor geavanceerde elektronische zegels.”;

(b)lid 4 wordt vervangen door:

“4.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake geavanceerde elektronische zegels vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(34)artikel 38 wordt als volgt gewijzigd:

(a)lid 1 wordt vervangen door:

“1.    Gekwalificeerde certificaten voor elektronisch zegels voldoen aan de in bijlage III vastgestelde eisen. Indien een gekwalificeerd certificaat voor elektronisch zegels aan de in lid 6 bedoelde normen voldoet, wordt aangenomen dat er overeenstemming is met de in bijlage III vastgestelde eisen.”;

(b)lid 6 wordt vervangen door:

“6.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake gekwalificeerd certificaten voor elektronische zegels vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(35)het volgende artikel 39 bis wordt ingevoegd:

Artikel 39 bis

Eisen voor een gekwalificeerde dienst voor het beheer van middelen voor het aanmaken van elektronische zegels op afstand

Artikel 29 bis is van overeenkomstige toepassing op een gekwalificeerde dienst voor het beheer van middelen voor het aanmaken van elektronische zegels op afstand.”;

(36)artikel 42 wordt als volgt gewijzigd:

(a)het volgende nieuwe lid 1 bis wordt ingevoegd:

“1 bis    Indien de koppeling van datum en tijdstip aan gegevens en de nauwkeurige tijdsbron aan de in lid 2 bedoelde normen voldoen, wordt aangenomen dat er overeenstemming is met de in lid 1 vastgestelde eisen.”;

(b)lid 2 wordt vervangen door:

“2.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake de koppeling van datum en tijdstip aan gegevens en de nauwkeurige tijdsbron vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(37)artikel 44 wordt als volgt gewijzigd:

(a)het volgende lid 1 bis wordt ingevoegd:

“1 bis    Indien het proces voor het verzenden en ontvangen van gegevens aan de in lid 2 bedoelde normen voldoet, wordt aangenomen dat er overeenstemming is met de in lid 1 vastgestelde eisen.”;

(b)lid 2 wordt vervangen door:

“2.    Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake processen voor het verzenden en ontvangen van gegevens vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(38)artikel 45 wordt vervangen door:

Artikel 45

Eisen voor gekwalificeerde certificaten voor websiteauthenticatie

1.    Gekwalificeerde certificaten voor websiteauthenticatie voldoen aan de in bijlage IV vastgestelde eisen. Indien een gekwalificeerd certificaat voor websiteauthenticatie aan de in lid 3 bedoelde normen voldoet, wordt aangenomen dat er overeenstemming is met de in bijlage IV vastgestelde eisen.

2.    De in lid 1 bedoelde gekwalificeerde certificaten voor websiteauthenticatie worden herkend door webbrowsers. Daartoe waarborgen webbrowsers dat de met behulp van alle identificatiemethoden verstrekte identiteitsgegevens gebruiksvriendelijk worden weergegeven. Webbrowsers zorgen voor ondersteuning van en interoperabiliteit met de in lid 1 bedoelde gekwalificeerde certificaten voor websiteauthenticatie, met uitzondering van ondernemingen die overeenkomstig Aanbeveling 2003/361/EG van de Commissie tijdens de eerste vijf jaar als aanbieders van webbrowserdiensten als kleine en micro-ondernemingen worden beschouwd.

3.    Binnen 12 maanden na de inwerkingtreding van deze verordening biedt de Commissie door middel van uitvoeringshandelingen de specificaties en referentienummers voor normen inzake de in lid 1 bedoelde gekwalificeerde certificaten voor websiteauthenticatie. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(39)de volgende delen 9, 10 en 11 worden ingevoegd na artikel 45:

“AFDELING 9

ELEKTRONISCHE ATTESTERING VAN ATTRIBUTEN

Artikel 45 bis

Rechtsgevolgen van elektronische attesteringen van attributen

1.    Het rechtsgevolg van een elektronische attestering van attributen en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontzegd louter op grond van het feit dat het document elektronisch is.

2.    Een gekwalificeerde elektronische attestering van attributen heeft dezelfde rechtsgevolgen als wettelijk uitgegeven attesteringen op papier.

3.    Een gekwalificeerde elektronische attestering van attributen, afgegeven in een lidstaat, wordt in alle lidstaten als een gekwalificeerde elektronische attestering van attributen erkend.

Artikel 45 ter

Elektronische attestering van attributen in publieke diensten

Wanneer een elektronische identificatie met gebruikmaking van een elektronisch identificatiemiddel en authenticatie vereist is op grond van nationaal recht om toegang te krijgen tot een door een openbare instantie aangeboden onlinedienst, vervangen de persoonsidentificatiegegevens in de elektronische attestering van attributen niet de elektronische identificatie met gebruikmaking van een elektronisch identificatiemiddel en authenticatie voor elektronische identificatie, tenzij de lidstaat of de overheidsinstantie daarvoor uitdrukkelijk toestemming heeft verleend. In een dergelijk geval wordt een gekwalificeerde elektronische attestering van andere lidstaten ook aanvaard.

Artikel 45 quater

Eisen voor elektronische attestering van attributen

1.    Gekwalificeerde elektronische attesteringen van attributen voldoen aan de in bijlage V vastgestelde eisen. Indien een gekwalificeerde elektronische attestering van attributen aan de in lid 4 bedoelde normen voldoet, wordt aangenomen dat er overeenstemming is met de in bijlage V vastgestelde eisen.

2.    Voor gekwalificeerde elektronische attesteringen van attributen gelden geen dwingende eisen naast de in bijlage V vastgestelde eisen.

3.    Indien een gekwalificeerde elektronische attestering van attributen na initiële afgifte wordt ingetrokken, verliest zij haar geldigheid vanaf het moment van de intrekking en kan de status ervan in geen geval worden hersteld.

4.    Binnen zes maanden na de inwerkingtreding van deze verordening legt de Commissie door middel van een uitvoeringshandeling betreffende de uitvoering van de Europese portemonnees voor digitale identiteit in de zin van artikel 6 bis, lid 10, referentienummers voor normen inzake gekwalificeerde elektronische attesteringen van attributen vast.

Artikel 45 quinquies

Verificatie van attributen aan de hand van authentieke bronnen

1.    De lidstaten waarborgen dat er, ten minste voor de in bijlage VI vermelde attributen, voor zover die attributen authentieke bronnen binnen de publieke sector gebruiken, maatregelen worden genomen zodat gekwalificeerde verleners van elektronische attesteringen van attributen op verzoek van de gebruiker langs elektronische weg de authenticiteit van het attribuut rechtstreeks kunnen verifiëren aan de hand van de relevante authentieke bron op nationaal niveau of via op nationaal niveau overeenkomstig nationaal of Unierecht erkende aangewezen intermediairs.

2.    Binnen zes maanden na de inwerkingtreding van deze verordening en met inachtneming van de toepasselijke internationale normen legt de Commissie door middel van een uitvoeringshandeling betreffende de uitvoering van de Europese portemonnees voor digitale identiteit in de zin van artikel 6 bis, lid 10, minimale technische specificaties, normen en procedures vast met betrekking tot de catalogus van attributen en regelingen voor de attestering van attributen en verificatieprocedures voor gekwalificeerde elektronische attesteringen van attributen.

Artikel 45 sexies

Uitgifte van elektronische attesteringen van attributen aan Europese portemonnees voor digitale identiteit

Verleners van gekwalificeerde elektronische attesteringen van attributen bieden een interface met de overeenkomstig artikel 6 bis afgegeven Europese portemonnees voor digitale identiteit.

Artikel 45 septies

Aanvullende voorschriften voor de levering van diensten voor elektronische attestering van attributen

1.    Verleners van gekwalificeerde en niet-gekwalificeerde diensten voor elektronische attestering van attributen mogen persoonsgegevens met betrekking tot de verlening van die diensten niet combineren met persoonsgegevens van andere door hen aangeboden diensten.

2.    Persoonsgegevens met betrekking tot de verlening van elektronische attestering van attributen worden logisch gescheiden van andere opgeslagen gegevens.

3.    Persoonsgegevens met betrekking tot de verlening van gekwalificeerde elektronische attestering van attributen worden fysiek en logisch gescheiden van andere opgeslagen gegevens.

4.    Verleners van gekwalificeerde diensten van elektronische attestering van attributen verlenen dergelijke diensten via een afzonderlijke juridische entiteit.

AFDELING 10

GEKWALIFICEERDE ELEKTRONISCHE ARCHIEFDIENSTEN

Artikel 45 octies

Gekwalificeerde elektronische archiefdiensten

Een gekwalificeerde elektronische archiefdienst voor elektronische documenten kan uitsluitend worden verleend door een gekwalificeerde verlener van vertrouwensdiensten die procedures en technologieën hanteert welke het mogelijk maken de betrouwbaarheid van het elektronische document te verlengen tot na de technologische geldigheidsduur.

Binnen 12 maanden na de inwerkingtreding van deze verordening stelt de Commissie door middel van uitvoeringshandelingen referentienummers voor normen inzake gekwalificeerde elektronische archiefdiensten vast. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

AFDELING 11

ELEKTRONISCHE REGISTERS

Artikel 45 nonies

Rechtsgevolgen van elektronische registers

1.    Het rechtsgevolg van een elektronisch register en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontzegd louter op grond van het feit dat het elektronisch is of niet aan de eisen voor gekwalificeerde elektronische register voldoet.

2.    De in een gekwalificeerd elektronisch register opgenomen gegevens, de juistheid van de datum en het tijdstip, en de chronologische volgorde binnen een register worden uniek en authentiek geacht.

Artikel 45 decies

Eisen voor gekwalificeerde elektronische registers

1. Gekwalificeerde elektronische registers voldoen aan de volgende eisen:

(a)zij worden aangemaakt door een of meer gekwalificeerde verleners van vertrouwensdiensten;

(b)zij verzekeren het unieke karakter, de authenticiteit en de juiste volgorde van de in het register ingevoerde gegevens;

(c)zij verzekeren de juiste chronologische volgorde van de gegevens in het register en de juistheid van de datum en het tijdstip van de ingevoerde gegevens;

(d)zij slaan de gegevens op zodanige wijze op dat elke wijziging achteraf van de gegevens onmiddellijk kan worden opgespoord.

2.    Indien het elektronische register aan de in lid 3 bedoelde normen voldoet, wordt aangenomen dat er overeenstemming is met de in lid 1 vastgestelde eisen.

3.    De Commissie kan door middel van uitvoeringshandelingen referentienummers voor normen inzake de processen voor de uitvoering en de registratie van een reeks gegevens in, en de aanmaak van een gekwalificeerd elektronisch register vaststellen. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.”;

(40)het volgende artikel 48 bis wordt ingevoegd:

Artikel 48 bis

Verslagleggingsvereisten

1.    De lidstaten waarborgen dat statistieken worden verzameld over de werking van de Europese portemonnees voor digitale identiteit en de gekwalificeerde vertrouwensdiensten.

2.    De overeenkomstig lid 1 verzamelde statistieken omvatten de volgende elementen:

(a)het aantal natuurlijke en rechtspersonen met een geldige Europese portemonnee voor digitale identiteit;

(b)het soort en het aantal diensten die het gebruik van de Europese portemonnee voor digitale identiteit aanvaarden;

(c)de incidenten en de storingstijd van de infrastructuur op nationaal niveau waardoor portemonnee-apps voor digitale identiteit niet beschikbaar zijn.

3.    De in lid 2 bedoelde statistieken worden publiekelijk beschikbaar gesteld in een open en gangbaar machineleesbaar formaat.

4.    De lidstaten leggen de Commissie jaarlijks uiterlijk in maart een verslag voor over de overeenkomstig lid 2 verzamelde statistieken.”;

(41)artikel 49 wordt vervangen door:

Artikel 49

Evaluatie

1.    De Commissie evalueert de toepassing van deze verordening en brengt daarover binnen 24 maanden na de inwerkingtreding ervan verslag uit bij het Europees Parlement en de Raad. De Commissie evalueert met name of het gepast is het toepassingsgebied van deze verordening dan wel de specifieke bepalingen ervan te wijzigen, rekening houdend met de ervaring met de toepassing van deze verordening, alsook met technologische, marktgebonden en juridische ontwikkelingen. Dat verslag gaat zo nodig vergezeld van een voorstel tot wijziging van deze verordening.

2.    Het evaluatieverslag omvat een beoordeling van de beschikbaarheid en de bruikbaarheid van de identificatiemiddelen, inclusief de Europese portemonnees voor digitale identiteit, binnen het toepassingsgebied van deze verordening, en beoordeelt of alle particuliere onlinedienstverleners die voor gebruikersauthenticatie gebruikmaken van elektronische identificatiediensten van derden, is opgelegd om het gebruik van aangemelde elektronische identificatiemiddelen en Europese portemonnees voor digitale identiteit te aanvaarden.

3.    Daarnaast dient de Commissie elke vier jaar na het in de eerste alinea bedoelde verslag een verslag over de vooruitgang bij de verwezenlijking van de doelstellingen van deze verordening in bij het Europees Parlement en de Raad.”;

(42)artikel 51 wordt vervangen door:

Artikel 51

Overgangsmaatregelen

1.    Veilige middelen voor het aanmaken van handtekeningen waarvan de overeenstemming bepaald is overeenkomstig artikel 3, lid 4, van Richtlijn 1999/93/EG, blijven beschouwd als gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen in de zin van de onderhavige verordening tot en met [date — OJ please insert period of four years following the entry into force of this Regulation].

2.    Aan natuurlijke personen afgegeven gekwalificeerde certificaten overeenkomstig Richtlijn 1999/93/EG blijven beschouwd als gekwalificeerde certificaten voor elektronische handtekeningen in de zin van de onderhavige verordening tot en met [date — PO please insert period of four years following the entry into force of this Regulation].”.

(43)bijlage I wordt gewijzigd overeenkomstig bijlage I bij deze verordening;

(44)bijlage II wordt vervangen door de tekst die is opgenomen in bijlage II bij deze verordening;

(45)bijlage III wordt gewijzigd overeenkomstig bijlage III bij deze verordening;

(46)bijlage IV wordt gewijzigd overeenkomstig bijlage IV bij deze verordening;

(47)een nieuwe bijlage V wordt toegevoegd zoals opgenomen in bijlage V bij deze verordening;

(48)een nieuwe bijlage VI wordt aan deze verordening toegevoegd.

Artikel 2

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel,

Voor het Europees Parlement    Voor de Raad

De voorzitter    De voorzitter

FINANCIEEL MEMORANDUM

1.KADER VAN HET VOORSTEL/INITIATIEF 

1.1.Benaming van het voorstel/initiatief

Verordening van het Europees Parlement en van de Raad betreffende een Europees kader voor digitale identiteit en tot wijziging van de eIDAS-verordening

1.2.Betrokken beleidsterrein(en) 

Beleidsterrein:    Interne markt

       Een Europa dat klaar is voor het digitale tijdperk

1.3.Het voorstel/initiatief betreft: 

 een nieuwe actie 

 een nieuwe actie na een proefproject / voorbereidende actie 28  

de verlenging van een bestaande actie 

 de samenvoeging of ombuiging van een of meer acties naar een andere/een nieuwe actie 

1.4.Doelstelling(en)

1.4.1.Algemene doelstelling(en)

De algemene doelstelling van dit initiatief is de waarborging van het goede functioneren van de interne markt, met name met betrekking tot de verlening en het gebruik van grens- en sectoroverschrijdende openbare en particuliere diensten die afhankelijk zijn van de beschikbaarheid en het gebruik van sterk beveiligde en betrouwbare elektronische identiteitsoplossingen. Deze doelstelling draagt bij tot de strategische doelstellingen die zijn uiteengezet in de mededeling “De digitale toekomst van Europa vormgeven”.

1.4.2.Specifieke doelstelling(en)

Specifieke doelstelling nr. 1

Toegang bieden tot betrouwbare en veilige digitale-identiteitsoplossingen die grensoverschrijdend kunnen worden gebruikt, conform de verwachtingen van de gebruikers en de vraag van de markt.

Specifieke doelstelling nr. 2

Waarborgen dat openbare en particuliere diensten betrouwbare en veilige grensoverschrijdende digitale-identiteitsoplossingen kunnen gebruiken.

Specifieke doelstelling nr. 3

Burgers volledige controle over hun persoonsgegevens bieden en de veiligheid daarvan verzekeren bij het gebruik van digitale-identiteitsoplossingen.

Specifieke doelstelling nr. 4

Gelijke voorwaarden waarborgen voor de verlening van gekwalificeerde vertrouwensdiensten in de EU en de aanvaarding daarvan

1.4.3.Verwachte resulta(a)t(en) en gevolg(en)

Vermeld de gevolgen die het voorstel/initiatief zou moeten hebben voor de begunstigden/doelgroepen.

Over het geheel zijn eindgebruikers/burgers, aanbieders van onlinediensten, aanbieders van portemonnee-apps en openbare en particuliere aanbieders van digitale-identiteitsdiensten naar verwachting het meest gebaat bij het initiatief. Het initiatief biedt naar verwachting toegang tot betrouwbare en veilige digitale-identiteitsoplossingen die grensoverschrijdend kunnen worden gebruikt, conform de verwachtingen van de gebruikers en de vraag van de markt, het waarborgt dat openbare en particuliere diensten betrouwbare en veilige grensoverschrijdende digitale-identiteitsoplossingen kunnen gebruiken, het biedt burgers volledige controle over hun persoonsgegevens en verzekert de veiligheid daarvan bij het gebruik van digitale-identiteitsoplossingen, en het waarborgt gelijke voorwaarden voor de verlening van gekwalificeerde vertrouwensdiensten in de EU en de aanvaarding daarvan.

Naast de mogelijkheid om toegang te krijgen tot openbare en particuliere diensten, zouden burgers en bedrijven rechtstreeks voordeel hebben van het gemak en de gebruiksvriendelijkheid van de authenticatie-interface van de portemonnee, en transacties op alle niveaus van zekerheid kunnen verrichten (bv. van het inloggen op sociale media tot e-gezondheidstoepassingen).

Een robuustere benadering voor gegevensbescherming door ontwerp kan extra voordelen bieden, omdat er met de portemonnee geen tussenpersonen nodig zijn om attributen te attesteren, waardoor de burger rechtstreeks met de dienst en de aanbieders van identiteitsbeveiliging kan communiceren. De sterkere gegevensbeveiliging van de portemonnee zou identiteitsdiefstal voorkomen en zo financieel verlies voor Europese burgers en ondernemingen voorkomen.

De invoering van een op normen gebaseerd systeem vermindert naar verwachting de onzekerheid voor marktdeelnemers en heeft een positief effect op innovatie, wat gunstig is voor economische groei.

En bovendien wordt naar verwachting inclusievere toegang geboden tot openbare en particuliere diensten in verband met collectieve goederen zoals onderwijs en gezondheidszorg, waarvoor sommige sociale groepen momenteel moeilijkheden ondervinden. Zo kunnen sommige burgers met een handicap, vaak degenen met beperkte mobiliteit, of mensen die in plattelandsgebieden wonen, moeilijker diensten gebruiken waarvoor men normaal gesproken fysiek aanwezig moet zijn, als ze niet lokaal worden geleverd.

1.4.4.Prestatie-indicatoren

Vermeld de indicatoren voor de monitoring van de voortgang en de beoordeling van de resultaten.

Monitoring en evaluatie en relevante doelstellingen

Indicator

Verantwoordelijk voor verzameling

Bron(nen)

Toepassing

Toegang tot eID-middelen voor alle EU-burgers

Aantal Europese burgers en ondernemingen aan wie aangemelde eID’s en Europese portemonnees voor digitale identiteit zijn afgegeven, en het aantal afgegeven identiteitsgegevens (attesteringen van attributen)

Europese Commissie en nationale bevoegde instanties

Jaarlijkse enquête / door de nationale bevoegde instanties verzamelde monitoring- en evaluatiegegevens

Toegang tot eID-middelen voor alle EU-burgers

Aantal Europese burgers en ondernemingen die aangemelde eID’s, Europese portemonnees voor digitale identiteit en identiteitsgegevens (attesteringen van attributen) actief gebruiken

Europese Commissie en nationale bevoegde instanties

Jaarlijkse enquête / door de nationale bevoegde instanties verzamelde monitoring- en evaluatiegegevens

Grotere grensoverschrijdende erkenning en aanvaarding van eID-regelingen, met de ambitie om tot universele aanvaarding te komen

Aantal aanbieders van onlinediensten die aangemelde eID’s, Europese portemonnees voor digitale identiteit en identiteitsgegevens (attesteringen van attributen) aanvaarden

Europese Commissie

Jaarlijkse enquête

Grotere grensoverschrijdende erkenning en aanvaarding van eID-regelingen, met de ambitie om tot universele aanvaarding te komen

Aantal onlinetransacties via aangemelde eID’s, Europese portemonnees voor digitale identiteit en identiteitsgegevens (attesteringen van attributen) (totaal en grensoverschrijdend)

Europese Commissie

Jaarlijkse enquête

Stimulering van de invoering door de particuliere sector en de ontwikkeling van nieuwe digitale-identiteitsdiensten

Aantal nieuwe diensten van particulier afgegeven attesteringen van attributen conform de normen inzake de integratie in de Europese portemonnee voor digitale identiteit

Europese Commissie en nationale bevoegde instanties

Jaarlijkse enquête

Contextuele informatie

Stimulering van de invoering door de particuliere sector en de ontwikkeling van nieuwe digitale-identiteitsdiensten

Omvang van de markt voor digitale identiteit

Europese Commissie

Jaarlijkse enquête

Stimulering van de invoering door de particuliere sector en de ontwikkeling van nieuwe digitale-identiteitsdiensten

Uitgaven via openbare aanbestedingen in verband met digitale identiteit

Europese Commissie en nationale bevoegde instanties

Jaarlijkse enquête

Grotere grensoverschrijdende erkenning en aanvaarding van eID-regelingen, met de ambitie om tot universele aanvaarding te komen

% ondernemingen dat goederen of diensten via e-commerce verkoopt

Europese Commissie

Eurostat

Grotere grensoverschrijdende erkenning en aanvaarding van eID-regelingen, met de ambitie om tot universele aanvaarding te komen

Aandeel onlinetransacties waarvoor een sterke klantidentificatie nodig is (totaal)

Europese Commissie

Jaarlijkse enquête

Toegang tot eID-middelen voor alle EU-burgers

% personen dat e-commerce verricht

% personen dat publieke onlinediensten gebruikt

Europese Commissie

Eurostat

1.5.Motivering van het voorstel/initiatief 

1.5.1.Behoefte(n) waarin op korte of lange termijn moet worden voorzien, met een gedetailleerd tijdschema voor de uitrol van het initiatief

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat. De lidstaten worden verplicht binnen 24 à 48 maanden (indicatief) na de vaststelling van de verordening een Europese portemonnee voor digitale identiteit uit te geven. De Commissie wordt bevoegd om binnen 12 à 24 maanden (indicatief) na de vaststelling van de verordening uitvoeringshandelingen vast te stellen waarin de technische specificaties en de referentienormen inzake de technische architectuur van het Europese kader voor digitale identiteit worden vastgelegd.

1.5.2.Toegevoegde waarde van de deelname van de Unie (deze kan het resultaat zijn van verschillende factoren, bijvoorbeeld coördinatiewinst, rechtszekerheid, grotere doeltreffendheid of complementariteit). Voor de toepassing van dit punt wordt onder “toegevoegde waarde van de deelname van de Unie” verstaan de waarde die een optreden van de Unie oplevert bovenop de waarde die door een optreden van alleen de lidstaat zou zijn gecreëerd.

Redenen voor maatregelen op EU-niveau (ex ante)

Gezien de groeiende vraag van burgers, ondernemingen en aanbieders van onlinediensten naar gebruiksvriendelijke, veilige en privacyvriendelijke digitale identiteitsoplossingen die grensoverschrijdend kunnen worden gebruikt, kunnen verdere maatregelen op EU-niveau meer toegevoegde waarde bieden dan maatregelen van individuele lidstaten, zoals blijkt uit de evaluatie van de eIDAS-verordening.

Verwachte gegenereerde toegevoegde waarde van de Unie (ex post)

Een geharmoniseerdere benadering op EU-niveau, geschraagd door de fundamentele verschuiving van het enig gebruik van digitale-identiteitsoplossingen naar de verlening van elektronische attesteringen van attributen zou ervoor zorgen dat burgers en bedrijven overal in de EU toegang kunnen krijgen tot openbare en particuliere diensten op basis van geverifieerde identiteitsbewijzen en attributen. Aanbieders van onlinediensten zouden digitale-identiteitsoplossingen kunnen aanvaarden, ongeacht hun plaats van uitgifte, met gebruikmaking van een gemeenschappelijke Europese benadering van vertrouwen, beveiliging en interoperabiliteit. Gebruikers en dienstverleners kunnen ook profiteren van dezelfde rechtskracht die aan elektronische attesteringen van attributen in de hele EU wordt toegekend, wat van bijzonder belang is wanneer gecoördineerde actie nodig is, zoals op het gebied van digitale gezondheidscertificaten. Vertrouwensdiensten die elektronische attesteringen van attributen aanbieden zouden er ook baat bij hebben als de Europese markt voor hun diensten beschikbaar is. Zo zijn de kosten voor een zeer betrouwbare en veilige omgeving voor de verlening van gekwalificeerde vertrouwensdiensten op EU-niveau vanwege de schaalvoordelen gemakkelijker terug te verdienen. Alleen een EU-kader kan zorgen voor de volledige grensoverschrijdende overdraagbaarheid van wettelijke identiteiten en de daaraan verbonden elektronische attestering van attributen, op grond waarvan identiteitsattesteringen van andere lidstaten kunnen worden vertrouwd.

1.5.3.Nuttige ervaring die bij soortgelijke activiteiten in het verleden is opgedaan

De eIDAS-verordening (Verordening (EU) nr. 910/2014) (eIDAS) is het enige grensoverschrijdende kader voor vertrouwde elektronische identificatie (eID) van natuurlijke en rechtspersonen en van vertrouwensdiensten. De rol van eIDAS op de interne markt is onbetwist, maar sinds de invoering ervan is er veel veranderd. De in 2014 vastgestelde eIDAS is gebaseerd op nationale eID-systemen met uiteenlopende normen, en is gericht op een tamelijk klein segment van de behoeften van burgers en bedrijven op het gebied van elektronische identificatie: veilige grensoverschrijdende toegang tot publieke diensten. De diensten betroffen voornamelijk de 3 % van de leden van de bevolking van de EU die in een andere lidstaat wonen dan de lidstaat waar ze zijn geboren.

Sindsdien is de digitalisering van alle functies van de samenleving aanzienlijk gestegen. Bovendien heeft de COVID-19-pandemie een zeer sterk effect gehad op de snelheid van de digitalisering. Dientengevolge zijn de publieke en de particuliere dienstverlening steeds digitaler geworden. De verwachtingen van burgers en bedrijven zijn gericht op sterke beveiliging en gemak voor alle onlineactiviteiten, zoals het indienen van belastingaangiften, inschrijven aan een buitenlandse universiteit, het openen van een bankrekening of aanvragen van een lening op afstand, een auto huren, een bedrijf stichten in een andere lidstaat, zich authenticeren voor internetbetalingen, en inschrijven op een onlineaanbesteding.

Daardoor is de vraag naar middelen om online te identificeren en te authenticeren, en om veilig en met een hoog niveau van gegevensbescherming digitaal informatie uit te wisselen met betrekking tot onze identiteit, attributen of kwalificaties (identiteit, adres, leeftijd, maar ook beroepskwalificaties, rijbewijzen en andere vergunningen en betalingssystemen) zeer sterk toegenomen.

Dit heeft geleid tot een paradigmaverschuiving naar geavanceerde en gemakkelijke oplossingen die verschillende verifieerbare gegevens en certificaten van de gebruiker kunnen integreren. Gebruikers verwachten een door henzelf gecontroleerde omgeving waarin verschillende identiteitsgegevens en attributen kunnen worden meegenomen en gedeeld, zoals hun nationale eID, beroepskwalificaties, openbaarvervoersbewijzen, of, in bepaalde gevallen, zelfs digitale concerttickets. Dit zijn zelfgecontroleerde app-gebaseerde portemonnees die via het mobiele apparaat van de gebruiker worden beheerd en een veilige en gemakkelijke toegang tot verschillende openbare en particuliere diensten mogelijk maken, volledig onder eigen controle.

1.5.4.Verenigbaarheid met het meerjarige financiële kader en eventuele synergie met andere passende instrumenten

Het initiatief ondersteunt de Europese herstelinspanningen door burgers en bedrijven de nodige instrumenten te bieden, zoals gemakkelijke eID- en vertrouwensdiensten, om hen hun dagelijkse activiteiten op een betrouwbare en veilige manier online te laten uitvoeren. Als zodanig is het volledig in overeenstemming met de doelstellingen van het MFK.

De exploitatiekosten moeten worden gefinancierd uit specifieke doelstelling 5 van het programma Digitaal Europa (“DEP”). Aanbestedingsovereenkomsten ter ondersteuning van de ontwikkeling van normen en technische specificaties, en de kosten voor het onderhoud van de bouwstenen van de eID en vertrouwensdiensten, worden geraamd op maximaal 3-4 miljoen EUR per jaar. De precieze toewijzing van dit budget moet worden bepaald bij de vaststelling van toekomstige werkprogramma’s. Subsidies voor de aansluiting van openbare en particuliere diensten op het eID-ecosysteem zouden de verwezenlijking van de doelstellingen van het voorstel sterk ondersteunen. De kosten voor een dienstverlener om de noodzakelijke API van de eID-portemonnee te integreren, worden geraamd op ongeveer 25 000 EUR aan eenmalige kosten per aanbieder. Indien beschikbaar zou tijdens de bespreking van de verdeling van de begroting voor het volgende werkprogramma een budget voor subsidies tot maximaal 0,5 miljoen EUR per lidstaat de aansluiting van een kritische massa van diensten ondersteunen.

Bijeenkomsten van deskundigengroepen met betrekking tot de ontwikkeling van de uitvoeringshandelingen komen ten laste van het administratieve deel van het DEP voor een totaalbedrag van maximaal 0,5 miljoen EUR.

Synergie met andere instrumenten

Het initiatief biedt een kader voor de levering van een elektronische identiteit en elektronische identiteitsdiensten in de EU, waar specifieke sectoren gebruik van kunnen maken om te voldoen aan sectorspecifieke wettelijke vereisten, bijvoorbeeld in verband met digitale reisdocumenten, digitale rijbewijzen enz. Tevens is het voorstel in overeenstemming met de doelstellingen van Verordening (EU) 2019/1157, waarbij de beveiliging van identiteitskaarten en verblijfsdocumenten wordt versterkt. De lidstaten zijn krachtens deze verordening verplicht nieuwe identiteitskaarten tegen augustus 2021 van geactualiseerde veiligheidskenmerken te voorzien. Na de ontwikkeling kunnen de lidstaten de nieuwe identiteitskaarten bijwerken, zodat ze als eID-systemen in de zin van de eIDAS-verordening kunnen worden aangemeld.

Het initiatief draagt ook bij tot de omvorming van het douanegebied tot een papierloze elektronische omgeving in het kader van het initiatief om een EU-éénloketomgeving voor de douane te ontwikkelen. Er zij ook opgemerkt dat het toekomstige voorstel zal bijdragen tot het Europese mobiliteitsbeleid door een vereenvoudiging van de wettelijke verslagleggingsverplichtingen voor maritieme exploitanten, zoals vastgesteld in het kader van een Europees maritiem éénloketsysteem dat op 15 augustus 2025 van start gaat. Hetzelfde geldt voor de samenhang met de verordening inzake elektronische informatie over goederenvervoer, op grond waarvan de autoriteiten van de lidstaten verplicht zijn elektronische goedereninformatie te aanvaarden. De Europese portemonnee-app voor digitale identiteit zal ook de op grond van het EU-rechtskader inzake wegvervoer (bv. digitale rijbewijzen, Richtlijn 2006/126/EG) vereiste gegevens met betrekking tot bestuurders, voertuigen en handelingen kunnen verwerken. De specificaties zullen binnen dit kader verder worden ontwikkeld. Het toekomstige initiatief zou ook kunnen bijdragen tot de vormgeving van toekomstige initiatieven op het gebied van de socialezekerheidscoördinatie, zoals de eventuele ontwikkeling van een Europees socialezekerheidsbewijs, dat kan voortbouwen op de vertrouwensankers van de aangemelde identiteiten conform eIDAS.

Het initiatief ondersteunt de uitvoering van de AVG (Verordening (EU) 2016/679), door de gebruiker de controle te geven over het gebruik van zijn persoonsgegevens. Het biedt een hoge mate van complementariteit met de nieuwe cyberbeveiligingsverordening en de bijbehorende gemeenschappelijke regelingen voor cyberbeveiligingscertificering. Voorts zorgt de behoefte aan unieke identiteit voor IoT vanuit eIDAS voor samenhang met de cyberbeveiligingsverordening en de noodzaak om een breder scala van partijen naast personen en bedrijven te omvatten, zoals machines, objecten, aanbieders en IoT-apparaten.

Er zijn ook belangrijke raakpunten met de verordening tot oprichting van één digitale toegangspoort, die bij dit initiatief aansluit. De doelstelling van die verordening is om overheidsdiensten te moderniseren en te zorgen voor eenvoudiger onlinetoegang tot informatie, administratieve procedures en ondersteunende diensten die burgers en bedrijven nodig hebben wanneer zij in een ander EU-land gaan wonen of werken. Dit initiatief biedt fundamentele elementen ter ondersteuning van de doelstellingen om het eenmaligheidsbeginsel operationeel te maken, overeenkomstig de verordening tot oprichting van één digitale toegangspoort.

Ten slotte is er samenhang met de Europese datastrategie en de voorgestelde datagovernanceverordening, die een kader bieden ter ondersteuning van datagestuurde toepassingen wanneer de doorgifte van persoonsgegevens vereist is, waarbij de gebruikers volledig geanonimiseerd de controle kunnen behouden.

1.5.5.Beoordeling van de verschillende beschikbare financieringsopties, waaronder mogelijkheden voor herschikking

Het initiatief bouwt voort op de bouwstenen voor eID en vertrouwensdiensten die op grond van het CEF-programma zijn ontwikkeld en in het DEP worden geïntegreerd.

De lidstaten kunnen verder om financiering uit de herstel- en veerkrachtfaciliteit verzoeken om de benodigde infrastructuur op te zetten en te verbeteren.

1.6.Duur en financiële gevolgen van het voorstel/initiatief

 beperkte geldigheidsduur

   van kracht vanaf [DD/MM]JJJJ tot en met [DD/MM]JJJJ

   Financiële gevolgen vanaf JJJJ tot en met JJJJ voor vastleggingskredieten en vanaf JJJJ tot en met JJJJ voor betalingskredieten.

 onbeperkte geldigheidsduur

Uitvoering met een opstartperiode vanaf JJJJ tot en met JJJJ,

gevolgd door een volledige uitvoering.

1.7.Beheersvorm(en) 29  

 Direct beheer door de Commissie

 door haar diensten, waaronder het personeel in de delegaties van de Unie;

   door de uitvoerende agentschappen;

 Gedeeld beheer met de lidstaten

 Indirect beheer door begrotingsuitvoeringstaken te delegeren aan:

 derde landen of de door hen aangewezen organen;

 internationale organisaties en hun agentschappen (geef aan welke);

 de EIB en het Europees Investeringsfonds;

 de in de artikelen 70 en 71 van het Financieel Reglement bedoelde organen;

 publiekrechtelijke organen;

 privaatrechtelijke organen met een openbare dienstverleningstaak, voor zover zij voldoende financiële garanties bieden;

 privaatrechtelijke organen van een lidstaat waaraan de uitvoering van een publiek-privaat partnerschap is toevertrouwd en die voldoende financiële garanties bieden;

 personen aan wie de uitvoering van specifieke maatregelen op het gebied van het GBVB in het kader van titel V van het VEU is toevertrouwd en die worden genoemd in de betrokken basishandeling.

Verstrek, indien meer dan een beheersvorm is aangekruist, extra informatie onder “Opmerkingen”.

Opmerkingen

[…]

[…]

2.BEHEERSMAATREGELEN 

2.1.Regels inzake het toezicht en de verslagen 

Vermeld frequentie en voorwaarden.

De verordening wordt voor het eerst herzien na twee jaar na de volledige toepassing ervan en vervolgens elke vier jaar. De Commissie moet over de bevindingen aan het Europees Parlement en de Raad rapporteren.

Bovendien verzamelen de lidstaten in het kader van de toepassing van de maatregelen statistieken over het gebruik en de werking van de Europese portemonnees voor digitale identiteit en de gekwalificeerde vertrouwensdiensten. De statistieken worden verzameld in een verslag dat jaarlijks bij de Commissie wordt ingediend.

2.2.Beheers- en controlesyste(e)m(en) 

2.2.1.Rechtvaardiging van de voorgestelde beheersvorm(en), uitvoeringsmechanisme(n) voor financiering, betalingsvoorwaarden en controlestrategie

De verordening stelt geharmoniseerdere regels voor het verlenen van eID- en vertrouwensdiensten in de interne markt vast, en waarborgt het vertrouwen van en de controle door gebruikers over hun eigen gegevens. Voor deze nieuwe regels moeten technische specificaties en normen worden ontwikkeld, en is toezicht op en coördinatie van de activiteiten van de nationale autoriteiten vereist. Verder moeten de bijbehorende bouwstenen voor eID, e-handtekeningen enz. worden beheerd en verstrekt in het kader van het DEP. Ook moet rekening worden gehouden met de middelen die nodig zijn om met derde landen te communiceren en te onderhandelen over een overeenkomst inzake wederzijdse erkenning van vertrouwensdiensten.

Om deze taken te kunnen uitvoeren, moeten de diensten van de Commissie over voldoende middelen beschikken. Voor de handhaving van de nieuwe verordening zijn naar schatting 11 VTE nodig; 4-5 VTE voor juridisch werk, 4-5 VTE voor technische werkzaamheden, en 2 VTE voor coördinatie en internationale contacten en administratieve ondersteuning.

2.2.2.Informatie over de geïdentificeerde risico's en het (de) systeem (systemen) voor interne controle dat is (die zijn) opgezet om die risico's te beperken

Een van de belangrijkste redenen dat het huidige wetgevingskader is tekortgeschoten, is het gebrek aan harmonisatie van de nationale systemen. Dit probleem wordt in het huidige initiatief opgelost door sterker te steunen op in uitvoeringshandelingen nader te definiëren referentienormen en technische specificaties.

De Commissie zal bij de ontwikkeling van deze uitvoeringshandelingen worden bijgestaan door een deskundigengroep. Verder zal de Commissie nu al samenwerken met de lidstaten om overeenstemming te bereiken over de technische aard van het toekomstige systeem, om te voorkomen dat het voorstel tijdens de onderhandelingen verder versnipperd raakt.

2.2.3.Raming en motivering van de kosteneffectiviteit van de controles (verhouding van de controlekosten tot de waarde van de desbetreffende financiële middelen) en evaluatie van het verwachte foutenrisico (bij betaling en bij afsluiting) 

Gezien de lage waarde per transactie (bv. terugbetaling van reiskosten van een afgevaardigde voor een vergadering indien die fysiek plaatsvindt), lijken de normale interne controleprocedures afdoende voor de vergaderkosten van de deskundigengroep.

Ook moeten de normale procedures van DG CNECT volstaan voor proefprojecten in het kader van het DEP.

2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden 

Vermeld de bestaande en geplande preventie- en beschermingsmaatregelen, bijvoorbeeld in het kader van de fraudebestrijdingsstrategie.

De bestaande maatregelen ter bestrijding van fraude die op de Commissie van toepassing zijn, zullen de aanvullende kredieten dekken die voor deze verordening nodig zijn.

3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF 

3.1.Rubriek(en) van het meerjarige financiële kader en betrokken begrotingsonderde(e)l(en) voor uitgaven 

Bestaande begrotingsonderdelen

In volgorde van de rubrieken van het meerjarig financieel kader en de begrotingsonderdelen.

Rubriek van het meerjarig financieel kader

Begrotingsonderdeel

Soort uitgave

Bijdrage

Nummer  

GK/NGK 30

van EVA-landen 31

van kandidaat-lidstaten 32

van derde landen

in de zin van artikel 21, lid 2, punt b), van het Financieel Reglement

2

02 04 05 01 Uitrol

GK

JA

NEE

/NEE

NEE

2

02 01 30 01 Uitgaven ter ondersteuning van het programma Digitaal Europa

NGK

7

20 02 06 Beheerskosten

NGK

NEE

Te creëren nieuwe begrotingsonderdelen

In volgorde van de rubrieken van het meerjarig financieel kader en de begrotingsonderdelen.

Rubriek van het meerjarig financieel kader

Begrotingsonderdeel

Soort 
uitgave

Bijdrage

Nummer  

GK/NGK

van EVA-landen

van kandidaat-lidstaten

van derde landen

in de zin van artikel 21, lid 2, punt b), van het Financieel Reglement

[XX.YY.YY.YY]

JA/NEE

JA/NEE

JA/NEE

JA/NEE

3.2.Geraamde financiële gevolgen van het voorstel inzake kredieten 

3.2.1.Samenvatting van de geraamde gevolgen voor de beleidskredieten 

 Voor het voorstel/initiatief zijn geen beleidskredieten nodig

 Voor het voorstel/initiatief zijn beleidskredieten nodig, zoals hieronder nader wordt beschreven:

miljoen EUR (tot op drie decimalen)

Rubriek van het meerjarig financieel kader

Nummer

2

DG: CENCT

Jaar 
2022

Jaar 
2023

Jaar 
2024

Jaar 
2025

Jaar 
2026

Jaar 
2027

TOTAAL

□ Beleidskredieten

Over de budgettoewijzing zal worden besloten tijdens de opstelling van de werkprogramma’s. Aangegeven aantallen zijn het minimum dat nodig is voor onderhoud en upgrades 33 .

Begrotingsonderdeel 34 02 04 05

Vastleggingen

1a)

2 ,000

4,000

4,000

4,000

4,000

4,000

22,000

Betalingen

2 a)

1,000

3,000

4,000

4,000

4,000

4,000

2,000

22,000

Begrotingsonderdeel

Vastleggingen

1b)

Betalingen

2b)

Uit het budget van specifieke programma's gefinancierde administratieve kredieten 35  

Begrotingsonderdeel 02 01 03 01

3.

0,048

0,144

0,144

0,072

0,072

0,072

0,552

TOTAAL kredieten 
voor DG CNECT

Vastleggingen

=1a+1b +3

2,048

4,144

4,144

4,072

4,072

4,072

22,552

Betalingen

=2a+2b

+3

1,048

3,144

4,144

4,072

4,072

4,072

2,000

22,552

 



TOTAAL beleidskredieten

Vastleggingen

4.

2,000

4,000

4,000

4,000

4,000

4,000

22,000

Betalingen

5.

1,000

3,000

4,000

4,000

4,000

4,000

2,000

22,000

□ TOTAAL uit het budget van specifieke programma's gefinancierde administratieve kredieten

6.

0,048

0,144

0,144

0,072

0,072

0,072

0,552

TOTAAL kredieten 
onder RUBRIEK 2 
van het meerjarige financiële kader

Vastleggingen

=4+ 6

2,048

4,144

4,144

4,072

4,072

4,072

22,552

Betalingen

=5+ 6

0,048

4,144

4,144

4,072

4,072

4,072

2,000

22,552





Rubriek van het meerjarig financieel kader

7

“Administratieve uitgaven”

Dit deel moet worden ingevuld aan de hand van de “administratieve begrotingsgegevens”, die eerst moeten worden opgenomen in de bijlage bij het financieel memorandum (Bijlage V bij de interne voorschriften), te uploaden in DECIDE met het oog op overleg tussen de diensten.

miljoen EUR (tot op drie decimalen)

Jaar 
2022

Jaar 
2023

Jaar 
2024

Jaar 
2025

Jaar 
2026

Jaar 
2027

TOTAAL

DG: CENCT

□ Personeel

0,776

1,470

1,470

1,470

1,470

1,318

7,974

□ Andere administratieve uitgaven

0,006

0,087

0,087

0,087

0,016

0,016

0,299

TOTAAL DG CNECT

Kredieten

0,782

1,557

1,557

1,557

1,486

1,334

8,273

TOTAAL kredieten 
onder RUBRIEK 7 
van het meerjarige financiële kader 

(Totaal vastleggingen = totaal betalingen)

0,782

1,557

1,557

1,557

1,486

1,334

8,273

miljoen EUR (tot op drie decimalen)

Jaar 
2022

Jaar 
2023

Jaar 
2024

Jaar 
2025

Jaar 
2026

Jaar 
2027

TOTAAL

TOTAAL kredieten 
onder RUBRIEK 1 tot en met 7 
van het meerjarige financiële kader 

Vastleggingen

2,830

5,701

5,701

5,629

5,558

5,408

30,825

Betalingen

1,830

4,701

5,701

5,629

5,558

5,406

2,000

30,825

3.2.2.Geraamde output, gefinancierd met operationele kredieten 

Vastleggingskredieten, in miljoenen euro's (tot op drie decimalen)

Vermeld doelstellingen en outputs

Jaar 
2022

Jaar 
2023

Jaar 
2024

Jaar 
2025

Jaar 
2026

Jaar 
2027

TOTAAL

Soort 36

Gem. kosten

Aantal

Kosten

Aantal

Kosten

Aantal

Kosten

Aantal

Kosten

Aantal

Kosten

Aantal

Kosten

Totaal aantal

Totale kosten

SPECIFIEKE DOELSTELLING NR. 1 37

Toegang bieden tot betrouwbare en veilige digitale-identiteitsoplossingen die grensoverschrijdend kunnen worden gebruikt, conform de verwachtingen van de gebruikers en de vraag van de markt

Jaarlijkse enquêtes/studies

1

0,050

1

0,050

1

0,050.05

1

0,050

1

0,050

1

0,050

6

0,300

Subtotaal voor specifieke doelstelling nr. 1

1

0,050

1

0,050

1

0,050

1

0,050

1

0,050

1

0,050

6

0,300

SPECIFIEKE DOELSTELLING NR. 2…

Waarborgen dat openbare en particuliere diensten betrouwbare en veilige grensoverschrijdende digitale-identiteitsoplossingen kunnen gebruiken

Enquêtes/studies

1

0,050

1

0,050

1

0,050.05

1

0,050

1

0,050

1

0,050

6

0,300

Subtotaal voor specifieke doelstelling nr. 2

1

0,050

1

0,050

1

0,050

1

0,050

1

0,050

1

0,050

6

0,300

SPECIFIEKE DOELSTELLING NR. 3…

Burgers volledige controle over hun persoonsgegevens bieden en de veiligheid daarvan verzekeren bij het gebruik van digitale-identiteitsoplossingen

Enquêtes/studies

1

0,050

1

0,050

1

0,050.05

1

0,050

1

0,050

1

0,050

6

0,300

Subtotaal voor specifieke doelstelling nr. 3

1

0,050

1

0,050

1

0,050

1

0,050

1

0,050

1

0,050

6

0,300

SPECIFIEKE DOELSTELLING NR. 4…

Gelijke voorwaarden waarborgen voor de verlening van gekwalificeerde vertrouwensdiensten in de EU en de aanvaarding daarvan

Enquêtes/studies

1

0,050

1

0,050

1

0,050.05

1

0,050

1

0,050

1

0,050

6

0,300

Subtotaal voor specifieke doelstelling nr. 4

1

0,050

1

0,050

1

0,050

1

0,050

1

0,050

1

0,050

6

0,300

TOTAAL

4

0,200

4

0,200

4

0,200

4

0,200

4

0,200

4

0,200

24

1,200

3.2.3.Samenvatting van de geraamde gevolgen voor de administratieve kredieten 

 Voor het voorstel/initiatief zijn geen administratieve kredieten nodig

 Voor het voorstel/initiatief zijn administratieve kredieten nodig, zoals hieronder nader wordt beschreven:

miljoen EUR (tot op drie decimalen)

Jaar 
2022

Jaar 
2023

Jaar 
2024

Jaar 
2025

Jaar 
2026

Jaar 
2027

TOTAAL

RUBRIEK 7 
van het meerjarige financiële kader

Personeel

0,776

1,470

1,470

1,470

1,470

1,318

7,974

Andere administratieve uitgaven

0,006

0,087

0,087

0,087

0,0162

0,0162

0,299

Subtotaal RUBRIEK 7 
van het meerjarige financiële kader

0,782

1,557

1,557

1,557

1,486

1,334

8,273

Buiten RUBRIEK 7 38  
van het meerjarige financiële kader

Personeel

Andere administratieve uitgaven

De administratiekosten onder DEP plaatsen

0,048

0,144

0,144

0,072

0,072

0,072

0,552

Subtotaal
buiten RUBRIEK 7 
van het meerjarige financiële kader

0,048

0,144

0,144

0,072

0,072

0,072

0,552

TOTAAL

0,830

1,701

1,701

1,629

1,558

1,406

8,825

De benodigde kredieten voor personeel en andere administratieve uitgaven zullen worden gefinancierd uit de kredieten van het DG die reeds voor het beheer van deze actie zijn toegewezen en/of binnen het DG zijn herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

3.2.4.Geraamde personeelsbehoeften

 Voor het voorstel/initiatief zijn geen personele middelen nodig.

 Voor het voorstel/initiatief zijn personele middelen nodig, zoals hieronder nader wordt beschreven:

Raming in voltijdequivalenten

Jaar 
2022

Jaar 2023

Jaar 2024

Jaar 2025

Jaar 2026

Jaar 2027

20 01 02 01 (zetel en vertegenwoordigingen van de Commissie)

4

8

8

8

8

7

20 01 02 03 (delegaties)

01 01 01 01 (onderzoek door derden)

01 01 01 11 (eigen onderzoek)

Ander begrotingsonderdeel (te vermelden)

20 02 01 (AC, END, SNE van de “totale financiële middelen”)

2

3

3

3

3

3

20 02 03 (AC, AL, END, INT en JPD in de delegaties)

XX 01 xx y zz   39

- zetel

- delegaties

01 01 01 02 (AC, END, INT – onderzoek door derden)

01 01 01 12 (AC, END, INT – eigen onderzoek)

Ander begrotingsonderdeel (te vermelden)

TOTAAL

6

11

11

11

11

10

XX is het beleidsterrein of de begrotingstitel.

Voor de benodigde personele middelen zal een beroep worden gedaan op het personeel van het DG dat reeds voor het beheer van deze actie is toegewezen en/of binnen het DG is herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

Beschrijving van de uit te voeren taken:

Ambtenaren en tijdelijk personeel

Ambtenaren doen hoofdzakelijk juridisch werk, coördinatie met derde landen en organen met betrekking tot de wederzijdse erkenning van vertrouwensdiensten.

Extern personeel

Nationale deskundigen moeten de technische en functionele opzet van het systeem ondersteunen. Arbeidscontractanten moeten ook technische taken, waaronder het beheer van de bouwstenen, ondersteunen.

3.2.5.Verenigbaarheid met het huidige meerjarige financiële kader 

Het voorstel/initiatief:

 kan volledig worden gefinancierd door middel van herschikking binnen de relevante rubriek van het meerjarig financieel kader (MFK).

Zet uiteen welke herprogrammering nodig is, onder vermelding van de betrokken begrotingsonderdelen en de desbetreffende bedragen. Verstrek een Excel-tabel in het geval van een omvangrijke herprogrammeringsexercitie.

 hiervoor moet een beroep worden gedaan op de niet-toegewezen marge in de desbetreffende rubriek van het MFK en/of op de speciale instrumenten zoals gedefinieerd in de MFK-verordening.

Zet uiteen wat nodig is, onder vermelding van de betrokken rubrieken en begrotingsonderdelen, de desbetreffende bedragen en de voorgestelde instrumenten.

 hiervoor is een herziening van het MFK nodig.

Zet uiteen wat nodig is, onder vermelding van de betrokken rubrieken en begrotingsonderdelen en de desbetreffende bedragen.

3.2.6.Bijdragen van derden 

Het voorstel/initiatief:

 voorziet niet in medefinanciering door derden

 voorziet in medefinanciering door derden, zoals hieronder wordt geraamd:

Kredieten in miljoen EUR (tot op drie decimalen)

Jaar 
N 40

Jaar 
N+1

Jaar 
N+2

Jaar 
N+3

Vul zoveel jaren in als nodig om de duur van de gevolgen weer te geven (zie punt 1.6)

Totaal

Medefinancieringsbron 

TOTAAL medegefinancierde kredieten

 

3.3.Geraamde gevolgen voor de ontvangsten 

 Het voorstel/initiatief heeft geen financiële gevolgen voor de ontvangsten

 Het voorstel/initiatief heeft de hieronder beschreven financiële gevolgen:

 voor de eigen middelen

 voor overige ontvangsten

Geef aan of de ontvangsten worden toegewezen aan de begrotingsonderdelen voor uitgaven    

miljoen EUR (tot op drie decimalen)

Begrotingsonderdeel voor ontvangsten:

Voor het lopende begrotingsjaar beschikbare kredieten

Gevolgen van het voorstel/initiatief 41

Jaar 
N

Jaar 
N+1

Jaar 
N+2

Jaar 
N+3

Vul zoveel jaren in als nodig om de duur van de gevolgen weer te geven (zie punt 1.6)

Artikel ….

Vermeld voor de toegewezen ontvangsten het (de) betrokken begrotingsonderde(e)l(en) voor uitgaven.

[…]

Andere opmerkingen (bv. over de methode/formule voor de berekening van de gevolgen voor de ontvangsten of andere informatie).

[…]

BIJLAGE 
bij het FINANCIEEL MEMORANDUM

Benaming van het voorstel/initiatief:

Voorstel voor een verordening betreffende een Europees kader voor digitale identiteit en tot wijziging van de eIDAS-verordening

1.NODIG GEACHTE PERSONELE MIDDELEN EN KOSTEN DAARVAN

2.KOSTEN VAN ANDERE ADMINISTRATIEVE UITGAVEN

3.TOTAAL ADMINISTRATIEVE KOSTEN

4.VOOR KOSTENRAMINGEN GEBRUIKTE BEREKENINGSMETHODEN

4.1.Personeel

4.2.Andere administratieve uitgaven

Deze bijlage moet het financieel memorandum vergezellen wanneer met de dienstenoverkoepelende raadpleging wordt begonnen.

De gegevens in tabelvorm worden gebruikt als bron voor de in het financieel memorandum opgenomen tabellen. Zij zijn voor strikt intern gebruik binnen de Commissie.

(1)Kosten van nodig geachte personeel

 Voor het voorstel/initiatief zijn geen personele middelen nodig.

 Voor het voorstel/initiatief zijn personele middelen nodig, zoals hieronder nader wordt beschreven:

miljoen EUR (tot op drie decimalen)

4.3.Voor de benodigde personele middelen zal een beroep worden gedaan op het personeel van het DG dat reeds voor het beheer van deze actie is toegewezen en/of binnen het DG is herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

4.4.

4.5.

Buiten RUBRIEK 7

van het meerjarige financiële kader

Jaar 2022

Jaar 2023

Jaar 2024

Jaar 2025

Jaar 2026

Jaar 2027

TOTAAL

VTE

Kredieten

VTE

Kredieten

VTE

Kredieten

VTE

Kredieten

VTE

Kredieten

VTE

Kredieten

VTE

Kredieten

01 01 01 01 onderzoek door derden 42

01 01 01 11 eigen onderzoek

Anders (gelieve uw antwoord hier toe te lichten):

AD

 

 

 

 

 

 

 

 

 

 

 

 

 

 

AST

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Extern personeel uit beleidskredieten (vroegere “BA”-onderdelen).

- zetel

AC

 

 

 

 

 

 

 

 

 

 

 

 

 

 

END

 

 

 

 

 

 

 

 

 

 

 

 

 

 

INT

 

 

 

 

 

 

 

 

 

 

 

 

 

 

- in EU-delegaties

AC

 

 

 

 

 

 

 

 

 

 

 

 

 

 

AL

 

 

 

 

 

 

 

 

 

 

 

 

 

 

END

 

 

 

 

 

 

 

 

 

 

 

 

 

 

INT

 

 

 

 

 

 

 

 

 

 

 

 

 

 

JPD

 

 

 

 

 

 

 

 

 

 

 

 

 

 

01 01 01 02 onderzoek door derden

01 01 01 12 eigen onderzoek

Anders (gelieve uw antwoord hier toe te lichten): 43

AC

 

 

 

 

 

 

 

 

 

 

 

 

 

 

END

 

 

 

 

 

 

 

 

 

 

 

 

 

 

INT

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Ander begrotingsonderdeel (te vermelden)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Subtotaal personeel – Buiten RUBRIEK 7

Totaal personeel (alle rubrieken van het MFK)

6

0,776

11

1,470

11

1,470

11

1,470

11

1,470

10

1,318

60

7,974

Voor de benodigde personele middelen zal een beroep worden gedaan op het personeel van het DG dat reeds voor het beheer van deze actie is toegewezen en/of binnen het DG is herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

4.6.Kosten van andere administratieve uitgaven

4.7. Voor het voorstel/initiatief zijn geen administratieve kredieten nodig

4.8. Voor het voorstel/initiatief zijn administratieve kredieten nodig, zoals hieronder nader wordt beschreven:

miljoen EUR (tot op drie decimalen)

RUBRIEK 7

van het meerjarige financiële kader

Jaar 2022

Jaar 2023

Jaar 2024

Jaar 2025

Jaar 2026

Jaar 2027

Totaal

Op de zetel of op het grondgebied van de EU:

 

 

 

 

 

 

 

20 02 06 01 - Dienstreizen en representatie

 0,006

0,015 

0,015 

0,015 

0,015 

0,015 

0,081 

20 02 06 02 – Conferenties en vergaderingen

20 02 06 03 – Comités 44  

 

0,072

0,072

0,072

0,0012

0,012

 0,218

20 02 06 04 – Studies en adviezen

 

20 04 – Uitgaven die verband houden met informatie- en communicatietechnologie 45  

 

 

 

 

 

 

 

Andere niet aan personeel gerelateerde begrotingsonderdelen (te vermelden, indien nodig)

 

 

 

 

 

 

 

EU-delegaties

 

 

 

 

 

 

 

20 02 07 01 – Dienstreizen, conferenties en representatie

 

 

 

 

 

 

 

20 02 07 02 – Bijscholing van personeel

 

 

 

 

 

 

 

20 03 05 – Infrastructuur en logistiek

 

 

 

 

 

 

 

Andere niet aan personeel gerelateerde begrotingsonderdelen (te vermelden, indien nodig)

 

 

 

 

 

 

 

Subtotaal andere – RUBRIEK 7

van het meerjarige financiële kader

 0,006

0,087

 0,087

  0,087

 0,016

 0,016

0,299 

miljoen EUR (tot op drie decimalen)

Buiten RUBRIEK 7 

van het meerjarige financiële kader

Jaar 2022

Jaar 2023

Jaar 2024

Jaar 2025

Jaar 2026

Jaar 2027

Totaal

Uitgaven voor technische en administratieve bijstand (exclusief extern personeel) uit beleidskredieten (vroegere “BA”-onderdelen)

0,048

0,144

0,144

0,072

0,072

0,072

0,552

- zetel

 

 

 

 

 

 

 

- in EU-delegaties

 

 

 

 

 

 

 

Overige beheersuitgaven voor onderzoek

 

 

 

 

 

 

 

IT-uitgavenbeleid inzake operationele programma’s 46  

IT-bedrijfsuitgaven inzake operationele programma’s 47

Andere niet aan personeel gerelateerde begrotingsonderdelen (te vermelden, indien nodig)

 

 

 

 

 

 

 

Subtotaal Andere – Buiten RUBRIEK 7

van het meerjarige financiële kader

0,048

0,144

0,144

0,072

0,072

0,072

0,552

Totale andere administratieve uitgaven (alle MFK-rubrieken)

0,054

0,231

0,231

0,159

0,088

0,088

0,851



5.Totale administratieve kosten (alle MFK-rubrieken)

miljoen EUR (tot op drie decimalen)

Samenvatting

Jaar 2022

Jaar 2023

Jaar 2024

Jaar 2025

Jaar 2026

Jaar 2027

Totaal

Rubriek 7 — Personeel

0,776

1,470

1,470

1,470

1,470

1,318

7,974

Rubriek 7 — Andere administratieve uitgaven

0,006 

0,087

0,087 

0,087

0,016 

0,016 

0,218 

Subtotaal RUBRIEK 7

 

 

 

 

 

 

 

Buiten Rubriek 7 — Personeel

 

 

 

 

 

 

 

Buiten Rubriek 7 — Andere administratieve uitgaven

0,048 

0,144

0,144

0,072

0,072

0,072

0,552

Subtotaal andere rubrieken

 

 

 

 

 

 

 

1.TOTAAL

2.RUBRIEK 7 en buiten RUBRIEK 7

0,830

1,701

1,701

1,629

1,558

1,406

8,825

(1)In de benodigde administratieve kredieten zal worden voorzien door de kredieten die reeds voor het beheer van deze actie zijn toegewezen en/of zijn herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de bestaande budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

6.Voor kostenramingen gebruikte berekeningsmethoden

(a) Personeel

In dit deel wordt de berekeningsmethode toegelicht die is gebruikt om de benodigde personele middelen te ramen (veronderstelde werklast, bijzondere taken (Sysper 2 taakprofielen), personeelscategorieën en overeenkomstige gemiddelde kosten)

1.RUBRIEK 7 van het meerjarig financieel kader

2.NB: De gemiddelde kosten van elke personeelscategorie op het hoofdkantoor zijn te vinden op BudgWeb:

3. https://myintracomm.ec.europa.eu/budgweb/EN/pre/legalbasis/Pages/pre-040-020_preparation.aspx

4. Ambtenaren en tijdelijk personeel

5.7 AD-ambtenaren (waarvan 1 van CNECT/F.3 in 2023-2024) x 152 000 euro / jaar in 2023-2027 (de helft daarvan in 2022 vanwege de verwachte goedkeuring medio 2022).

6.1 AST-ambtenaar x 152.000 euro / jaar in 2023-2027 (de helft daarvan in 2022 vanwege de verwachte goedkeuring medio 2022).

7.

8. Extern personeel

9.AC 1 x 82.000 euro / jaar in 2023-2027 (de helft daarvan in 2022 vanwege de verwachte goedkeuring medio 2022) (indexeringsfactor toegepast).

10.END 2 x 86.000 euro / jaar in 2023-2027 (de helft daarvan in 2022 vanwege de verwachte goedkeuring medio 2022) (indexeringsfactor toegepast).

11.

12.Buiten RUBRIEK 7 van het meerjarige financiële kader

13. Alleen uit de begroting voor onderzoek gefinancierde posten 

14.

15. Extern personeel

16.

7.Andere administratieve uitgaven

Verstrek gegevens over de voor elk begrotingsonderdeel gebruikte berekeningsmethode,

en meer in het bijzonder over de achterliggende aannamen (bv. aantal vergaderingen per jaar, gemiddelde kosten, enz.)

17.RUBRIEK 7 van het meerjarig financieel kader

18.Tweemaandelijkse comitévergaderingen x 12 000 euro / vergaderingen 2022-2024 om uitvoeringshandelingen vast te stellen. Daarna jaarlijkse comitévergaderingen om bijgewerkte uitvoeringshandelingen vast te stellen.

19.Dienstreizen zijn hoofdzakelijk reizen tussen Luxemburg en Brussel, maar ook om conferenties en vergaderingen met de lidstaten en belanghebbenden bij te wonen.

20.

21.Buiten RUBRIEK 7 van het meerjarige financiële kader

22.Bijeenkomsten van deskundigengroepen komen ten laste van het administratieve deel van het DEP.

23.Dit zijn naar verwachting maandelijkse bijeenkomsten (à 12 000 euro) tijdens de voorbereiding van de uitvoeringshandeling (medio 2022-2024) en buiten die periode zijn tweemaandelijkse vergaderingen gepland om EU-brede coördinatie met betrekking tot de technische uitvoering te waarborgen.

24.

 

(1)    PB L 257 van 28.8.2014, blz. 73.
(2)    [voeg referentie toe na vaststelling]
(3)    https://www.consilium.europa.eu/media/45915/021020-euco-final-conclusions-nl.pdf
(4)    Toespraak over de Staat van de Unie, 16 september 2020, zie https://ec.europa.eu/commission/presscorner/detail/nl/SPEECH_20_1655
(5)    Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's — De digitale toekomst van Europa vormgeven.
(6)    Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s — Het digitale kompas 2030: de Europese aanpak voor het digitale decennium.
(7)    Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (PB L 119 van 4.5.2016, blz. 1).
(8)    https://ec.europa.eu/commission/presscorner/detail/nl/IP_20_2391
(9)    Verordening (EU) 2018/1724 van het Europees Parlement en de Raad van 2 oktober 2018 tot oprichting van één digitale toegangspoort voor informatie, procedures en diensten voor ondersteuning en probleemoplossing (PB L 295 van 21.11.2018, blz. 1).
(10)    Actieplan voor Europese democratie (COM/2020/790 final).
(11)    Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van Richtlijn 2002/92/EG en Richtlijn 2011/61/EU (Voor de EER relevante tekst), PB L 173 van 12.6.2014, blz. 349.
(12)    Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG, 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG, PB L 337 van 23.12.2015, blz. 35.
(13)    Voorstel voor een verordening van het Europees Parlement en de Raad betreffende markten voor cryptoactiva en tot wijziging van Richtlijn (EU) 2019/1937, COM(2020) 593 final.
(14)    Gartner, Blockchain Evolution, 2020.
(15)    PB C , blz. .
(16)    COM/2020/67 final.
(17)    https://www.consilium.europa.eu/nl/press/press-releases/2020/10/02/european-council-conclusions-1-2-october-2020/
(18)    COM/2021/118 final/2.
(19)    Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).
(20)    Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PB L 151 van 7.6.2019, blz. 15).
(21)    Verordening (EU) 2019/1157 van het Europees Parlement en de Raad van 20 juni 2019 betreffende de versterking van de beveiliging van identiteitskaarten van burgers van de Unie en van verblijfsdocumenten afgegeven aan burgers van de Unie en hun familieleden die hun recht van vrij verkeer uitoefenen (PB L 188 van 12.7.2019, blz. 67).
(22)    Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad van 17 april 2019 betreffende de toegankelijkheidsvoorschriften voor producten en diensten (PB L 151 van 7.6.2019, blz. 70).
(23)    Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van Richtlijn 2002/92/EG en Richtlijn 2011/61/EU (Voor de EER relevante tekst), PB L 173 van 12.6.2014, blz. 349.
(24)    Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG, 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG, PB L 337 van 23.12.2015, blz. 35.
(25)    Voorstel voor een verordening van het Europees Parlement en de Raad betreffende markten voor cryptoactiva en tot wijziging van Richtlijn (EU) 2019/1937, COM(2020) 593 final.
(26)    [voeg referentie in na vaststelling]
(27)    Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).
(28)    In de zin van artikel 58, lid 2, punt a) of b), van het Financieel Reglement.
(29)    Nadere gegevens over de beheersvormen en verwijzingen naar het Financieel Reglement zijn beschikbaar op BudgWeb: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx  
(30)    GK = gesplitste kredieten / NGK = niet-gesplitste kredieten.
(31)    EVA: Europese Vrijhandelsassociatie.
(32)    Kandidaat-lidstaten en, in voorkomend geval, aspirant-kandidaten van de Westelijke Balkan.
(33)    Mochten de feitelijke kosten hoger zijn dan de aangegeven bedragen, dan worden de kosten gefinancierd uit 02 04 05 01.
(34)    Volgens de officiële begrotingsnomenclatuur.
(35)    Technische en/of administratieve bijstand en uitgaven ter ondersteuning van de uitvoering van programma’s en/of acties van de EU (vroegere “BA”-onderdelen), onderzoek door derden, eigen onderzoek.
(36)    Outputs zijn de te verstrekken producten en diensten (bv. aantal gefinancierde studentenuitwisselingen, aantal km aangelegde wegen enz.).
(37)    Zoals beschreven in punt 1.4.2. “Specifieke doelstelling(en)…”
(38)    Technische en/of administratieve bijstand en uitgaven ter ondersteuning van de uitvoering van programma’s en/of acties van de EU (vroegere “BA”-onderdelen), onderzoek door derden, eigen onderzoek.
(39)    Subplafond voor extern personeel uit beleidskredieten (vroegere “BA”-onderdelen).
(40)    Het jaar N is het jaar waarin met de uitvoering van het voorstel/initiatief wordt begonnen. Vervang “N” door het verwachte eerste jaar van uitvoering (bijvoorbeeld: 2021). Hetzelfde voor de volgende jaren.
(41)    Voor traditionele eigen middelen (douanerechten en suikerheffingen) moeten nettobedragen worden vermeld, d.w.z. na aftrek van 20 % aan inningskosten.
(42)    Betrokken begrotingsonderdeel kiezen, of een ander aanduiden, indien nodig; indien het om meer begrotingsonderdelen gaat, moet het personeel per betrokken begrotingsonderdeel worden uitgesplitst.
(43)    Betrokken begrotingsonderdeel kiezen, of een ander aanduiden, indien nodig; indien het om meer begrotingsonderdelen gaat, moet het personeel per betrokken begrotingsonderdeel worden uitgesplitst.
(44)    Specificeer het soort comité en de groep waartoe het behoort.
(45)    Hiervoor is advies van DG DIGIT – IT Investments Team vereist (zie de Guidelines on Financing of IT, C(2020)6126 final van 10.9.2020, blz. 7)
(46)    Hiervoor is advies van DG DIGIT – IT Investments Team vereist (zie de Guidelines on Financing of IT, C(2020)6126 final van 10.9.2020, blz. 7)
(47)    Dit omvat lokale administratieve systemen en bijdragen aan de cofinanciering van IT-bedrijfssystemen (zie de Guidelines on Financing of IT, C(2020)6126 final van 10.9.2020)
Top

Brussel, 3.6.2021

COM(2021) 281 final

BIJLAGE

bij het voorstel voor een

Verordening van het Europees Parlement en de Raad

tot wijziging van Verordening (EU) nr. 910/2014 betreffende een Europees kader voor een digitale identiteit

{SEC(2021) 228 final} - {SWD(2021) 124 final} - {SWD(2021) 125 final}


BIJLAGE I

Bijlage I, punt i), wordt vervangen door:

“i)    de informatie of de locatie van de diensten waar informatie kan worden opgevraagd over de geldigheidsstatus van het gekwalificeerde certificaat;”.

BIJLAGE II

EISEN VOOR GEKWALIFICEERDE MIDDELEN VOOR HET AANMAKEN VAN ELEKTRONISCHE HANDTEKENINGEN

1.    Gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen waarborgen via passende technieken en procedures dat ten minste:

(a)de vertrouwelijkheid van de gegevens die worden gebruikt om elektronische handtekeningen aan te maken redelijkerwijs gewaarborgd is;

(b)de gegevens voor het aanmaken van elektronische handtekeningen in de praktijk slechts één keer kunnen voorkomen;

(c)de gegevens voor het aanmaken van elektronische handtekeningen met redelijke zekerheid niet kunnen worden afgeleid en dat de elektronische handtekening op betrouwbare wijze beschermd is tegen vervalsing met de thans beschikbare technologie;

(d)de gegevens voor het aanmaken van elektronische handtekeningen door de legitieme ondertekenaar op betrouwbare wijze kunnen worden beschermd tegen gebruik door anderen.

2.    Gekwalificeerde middelen voor het aanmaken van elektronische handtekeningen laten de te ondertekenen gegevens ongewijzigd en beletten niet dat die gegevens vóór ondertekening aan de ondertekenaar worden voorgelegd.

BIJLAGE III

Bijlage III, punt i), wordt vervangen door:

“i)    de informatie of de locatie van de diensten waar informatie kan worden opgevraagd over de geldigheidsstatus van het gekwalificeerde certificaat;”.

BIJLAGE IV

Bijlage IV, punt j), wordt vervangen door:

“j)    de informatie of de locatie van de geldigheidsstatus van certificaatsdiensten waar informatie kan worden opgevraagd over de geldigheidsstatus van het gekwalificeerde certificaat;”.

BIJLAGE V

EISEN VOOR GEKWALIFICEERDE ELEKTRONISCHE ATTESTERING VAN ATTRIBUTEN

Gekwalificeerde elektronische attesteringen van attributen bevatten:

(a)een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat de attestering afgegeven is als een gekwalificeerde elektronische attestering van attributen;

(b)een reeks gegevens die ondubbelzinnig verwijzen naar de gekwalificeerde verlener van vertrouwensdiensten die de gekwalificeerde elektronische attesteringen van attributen afgeeft, met inbegrip van ten minste de lidstaat waar die dienstverlener is gevestigd en

voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,

voor een natuurlijke persoon: de naam van de persoon;

(c)een reeks gegevens die ondubbelzinnig verwijzen naar de entiteit waarnaar de geattesteerde attributen verwijzen; als er een pseudoniem wordt gebruikt, wordt dat duidelijk aangegeven;

(d)het geattesteerde attribuut of de geattesteerde attributen inclusief, indien van toepassing, de benodigde informatie om de reikwijdte van die attributen te bepalen;

(e)informatie over begin en einde van de geldigheidsduur van de attestering;

(f)de identiteitscode van de attestering, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten en, indien van toepassing, de vermelding van de attesteringsregeling waar de attestering van attributen deel van uitmaakt;

(g)de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;

(h)de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder f) gratis beschikbaar is;

(i)de informatie of de locatie van de diensten waar informatie kan worden opgevraagd over de geldigheidsstatus van de gekwalificeerde attestering.



BIJLAGE VI

MINIMALE LIJST VAN ATTRIBUTEN

Overeenkomstig artikel 45 quinquies waarborgen de lidstaten dat er, indien die attributen gebruikmaken van authentieke bronnen binnen de publieke sector, maatregelen worden genomen zodat gekwalificeerde verleners van elektronische attesteringen van attributen op verzoek van de gebruiker langs elektronische weg aan de hand van de relevante authentieke bron op nationaal niveau of via op nationaal niveau erkende aangewezen intermediairs, overeenkomstig nationaal of Unierecht, de authenticiteit van de volgende attributen kunnen verifiëren:

1.adres;

2.leeftijd;

3.geslacht;

4.burgerlijke staat;

5.gezinssamenstelling;

6.nationaliteit:

7.onderwijskwalificaties, -titels en -diploma’s;

8.beroepskwalificaties, -titels en -licenties;

9.openbare vergunningen en licenties;

10.financiële en bedrijfsgegevens.

Top