|
28.10.2019 |
NL |
Publicatieblad van de Europese Unie |
L 274/3 |
UITVOERINGSVERORDENING (EU) 2019/1799 van de Commissie
van 22 oktober 2019
tot vaststelling van technische specificaties voor individuele online verzamelsystemen overeenkomstig Verordening (EU) 2019/788 van het Europees Parlement en de Raad betreffende het Europees burgerinitiatief
DE EUROPESE COMMISSIE,
Gezien het Verdrag betreffende de werking van de Europese Unie,
Gezien Verordening (EU) 2019/788 van het Europees Parlement en de Raad van 17 april 2019 betreffende het Europees burgerinitiatief (1), en met name artikel 11, lid 5,
Overwegende hetgeen volgt:
|
(1) |
Bij Verordening (EU) 2019/788 zijn herziene regels voor het Europees burgerinitiatief vastgesteld en is Verordening (EU) nr. 211/2011 van het Europees Parlement en de Raad (2) ingetrokken. |
|
(2) |
In Verordening (EU) 2019/788 is bepaald dat voor het online verzamelen van steunbetuigingen voor geregistreerde burgerinitiatieven, de organisatoren gebruik moeten maken van het centrale online verzamelsysteem dat door de Commissie wordt opgezet en geëxploiteerd. Om de overgang te vergemakkelijken, kunnen organisatoren voor initiatieven die vóór eind 2022 overeenkomstig Verordening (EU) 2019/788 zijn geregistreerd, ervoor kiezen gebruik te maken van hun eigen individuele online verzamelsysteem. |
|
(3) |
Overeenkomstig Verordening (EU) 2019/788 moet een individueel systeem voor het online verzamelen van steunbetuigingen beschikken over passende technische en veiligheidskenmerken om te waarborgen dat de gegevens gedurende de hele verzamelprocedure beveiligd worden verzameld, bewaard en doorgegeven. De Commissie moet samen met de lidstaten de technische specificaties vaststellen voor de toepassing van de voorschriften voor individuele online verzamelsystemen. |
|
(4) |
De bij deze verordening vastgestelde regels komen in de plaats van die van Uitvoeringsverordening (EU) nr. 1179/2011 van de Commissie (3), die daardoor overbodig zullen worden. |
|
(5) |
De uit te voeren technische en organisatorische maatregelen moeten gericht zijn op het voorkomen, zowel bij het ontwerpen van het systeem als gedurende de gehele verzamelperiode, van elke ongeoorloofde verwerking van persoonsgegevens, en deze beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies, vervalsing, ongeoorloofde bekendmaking of ongeoorloofde toegang. |
|
(6) |
Daartoe moeten de organisatoren passende processen voor risicobeheersing toepassen, teneinde de risico’s voor hun systemen te identificeren en te bepalen welke passende en evenredige tegenmaatregelen moeten worden getroffen om die risico’s tot een aanvaardbaar niveau te terug te brengen. De organisatoren moeten de geïdentificeerde veiligheids- en gegevensbeschermingsrisico’s en de maatregelen die zijn genomen om deze risico’s te bestrijden, naar behoren documenteren, met inachtneming van de door de certificeringsautoriteit toegepaste beveiligingsvoorschriften en -vereisten. De beveiligingsvoorschriften en -vereisten moeten in overeenstemming zijn met Verordening (EU) 2019/788 en op verzoek beschikbaar worden gesteld door de certificeringsautoriteit. |
|
(7) |
De toepassing van de bij deze verordening vastgestelde technische specificaties mag geen afbreuk doen aan de verplichting van de organisatoren om te voldoen aan de vereisten inzake gegevensbescherming die voortvloeien uit Verordening (EU) 2016/679 van het Europees Parlement en de Raad (4), met inbegrip van de mogelijke noodzaak een gegevensbeschermingseffectbeoordeling uit te voeren. |
|
(8) |
De vertegenwoordiger van een groep organisatoren dan wel, in voorkomend geval, een juridische entiteit als bedoeld in artikel 5, lid 7, van Verordening (EU) 2019/788, wordt beschouwd als verwerkingsverantwoordelijke in de zin van Verordening (EU) 2016/679 met betrekking tot de verwerking van persoonsgegevens in het individuele online verzamelsysteem. |
|
(9) |
Organisatoren die wijzigingen aanbrengen in hun individuele online verzamelsysteem nadat het systeem is gecertificeerd, moeten de desbetreffende certificeringsautoriteit daarvan onverwijld in kennis stellen als de wijziging van invloed kan zijn op de beoordeling die aan de certificering ten grondslag ligt. Alvorens dit te doen, kunnen de organisatoren het advies van de certificeringsautoriteit inwinnen om na te gaan of de wijziging een dergelijk effect kan hebben en dus moet worden gemeld. |
|
(10) |
De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42 van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (5) en heeft op 16 september 2019 opmerkingen ingediend. Het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging is geraadpleegd en heeft op 18 juli 2019 opmerkingen ingediend. |
|
(11) |
De in deze verordening vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 22 van Verordening (EU) 2019/788 ingestelde comité, |
HEEFT DE VOLGENDE VERORDENING VASTGESTELD:
Artikel 1
De in artikel 11, lid 5, van Verordening (EU) 2019/788 bedoelde technische specificaties zijn opgenomen in de bijlage bij de onderhavige verordening.
Artikel 2
1. De organisatoren waarborgen dat hun individueel online verzamelsysteem gedurende de hele verzamelperiode voldoet aan de in de bijlage vastgestelde technische specificaties.
2. De organisatoren stellen de in artikel 11, lid 3, van Verordening (EU) 2019/788 bedoelde bevoegde instantie van de lidstaat onverwijld in kennis van wijzigingen die in het systeem of in de ondersteunende organisatorische maatregelen zijn aangebracht nadat het systeem door die instantie is gecertificeerd, indien die wijzigingen een effect kunnen hebben op de beoordeling die aan de certificering ten grondslag ligt. Alvorens dit te doen, kunnen de organisatoren het advies van de bevoegde instantie inwinnen om na te gaan of de wijziging een dergelijk effect kan hebben.
Artikel 3
Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Zij is van toepassing met ingang van 1 januari 2020.
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Brussel, 22 oktober 2019.
Voor de Commissie
De voorzitter
Jean-Claude JUNCKER
(1) PB L 130 van 17.5.2019, blz. 55.
(2) Verordening (EU) nr. 211/2011 van het Europees Parlement en de Raad van 16 februari 2011 over het burgerinitiatief (PB L 65 van 11.3.2011, blz. 1).
(3) Uitvoeringsverordening (EU) nr. 1179/2011 van de Commissie van 17 november 2011 tot vaststelling van technische specificaties voor systemen voor het online verzamelen van steunbetuigingen overeenkomstig Verordening (EU) nr. 211/2011 van het Europees Parlement en de Raad over het burgerinitiatief (PB L 301 van 18.11.2011, blz. 3).
(4) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).
(5) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).
BIJLAGE
1. TECHNISCHE SPECIFICATIES VOOR DE TENUITVOERLEGGING VAN ARTIKEL 11, LID 4, ONDER A), VAN VERORDENING (EU) 2019/788
Het systeem voert technische maatregelen uit om te waarborgen dat alleen natuurlijke personen een steunbetuiging kunnen indienen. De technische maatregelen vereisen niet dat meer persoonsgegevens worden verzameld en opgeslagen dan de gegevens die zijn vermeld in bijlage III bij Verordening (EU) 2019/788.
2. TECHNISCHE SPECIFICATIES VOOR DE TENUITVOERLEGGING VAN ARTIKEL 11, LID 4, ONDER B), VAN VERORDENING (EU) 2019/788
De organisatoren voorzien in passende en doeltreffende technische en organisatorische maatregelen voor beheersing van de risico’s voor de beveiliging van de netwerk- en informatiesystemen die zij bij hun activiteiten gebruiken, teneinde te waarborgen dat de informatie over het initiatief die via het online verzamelsysteem wordt verstrekt en online aan het publiek wordt gepresenteerd, overeenstemt met de informatie over het initiatief die is bekendgemaakt in het register bedoeld in artikel 6, lid 5, van Verordening (EU) 2019/788.
De organisatoren waarborgen dat:
|
a) |
de informatie over het initiatief die via het online verzamelsysteem wordt verstrekt, overeenstemt met de in het register bekendgemaakte informatie; |
|
b) |
het systeem de in het register bekendgemaakte informatie over het initiatief presenteert voordat de burger de steunbetuiging indient; |
|
c) |
er beveiligingsmaatregelen zijn getroffen die waarborgen dat de gegevensinvoervelden in de steunbetuigingen samen met de informatie over het initiatief worden gepresenteerd, ter voorkoming van het risico dat steunbetuigingen voor een ander initiatief worden ingediend doordat een verkeerde voorstelling wordt gegeven van het initiatief; |
|
d) |
het systeem ervoor zorgt dat na de indiening de gegevens in de steunbetuigingen worden opgeslagen samen met de informatie over het initiatief; |
|
e) |
er beveiligingsmaatregelen zijn getroffen om te voorkomen dat ongeoorloofde wijzigingen kunnen worden aangebracht in de informatie over het initiatief die in het online verzamelsysteem wordt verstrekt. |
3. TECHNISCHE SPECIFICATIES VOOR DE TENUITVOERLEGGING VAN ARTIKEL 11, LID 4, ONDER C), VAN VERORDENING (EU) 2019/788
Het systeem waarborgt dat de steunbetuigingen worden ingediend overeenkomstig de gegevensvelden in bijlage III bij Verordening (EU) 2019/788.
Het systeem waarborgt dat een persoon alleen een steunbetuiging kan indienen nadat hij heeft bevestigd dat hij de privacyverklaring van bijlage III bij Verordening (EU) 2019/788 heeft gelezen.
4. TECHNISCHE SPECIFICATIES VOOR DE TENUITVOERLEGGING VAN ARTIKEL 11, LID 4, ONDER D), VAN VERORDENING (EU) 2019/788
4.1. Governance
|
4.1.1. |
De groep organisatoren wijst een beveiligingsfunctionaris aan, die verantwoordelijk is voor de beveiliging van het systeem en de beveiligde doorgifte van de verzamelde steunbetuigingen aan de bevoegde instantie van de verantwoordelijke lidstaat. De beveiligingsfunctionaris ziet toe op de informatieborgingsprocessen en de technische en organisatorische beveiligingsmaatregelen die waarborgen dat de door de ondertekenaars verstrekte gegevens beveiligd worden verzameld, opgeslagen en doorgegeven. |
|
4.1.2. |
De organisatoren kunnen de in artikel 11, lid 3, van Verordening (EU) 2019/788 bedoelde nationale bevoegde instantie verzoeken de toepasselijke beveiligingsvoorschriften en -vereisten voor de certificering van individuele online verzamelsystemen te verstrekken. De bevoegde instantie verstrekt de beveiligingsvoorschriften en -vereisten in de regel binnen een maand na de ontvangst van het verzoek. De toepasselijke beveiligingsvoorschriften en -vereisten moeten in overeenstemming zijn met de gepaste bestaande nationale of internationale beveiligingsnormen. |
|
4.1.3. |
De beveiligingsvoorschriften en -vereisten voor de certificering van het systeem moeten betrekking hebben op de in punt 4.2 omschreven risico’s en de specificaties in punt 4.3 in acht nemen. |
4.2. Informatieborging
|
4.2.1. |
De organisatoren maken gebruik van risicobeheersingsprocessen om de risico’s in kaart te brengen die verbonden zijn aan het gebruik van hun systemen, onder meer wat de rechten en vrijheden van ondertekenaars betreft, en om vast te stellen welke passende en evenredige maatregelen moeten worden getroffen om de gevolgen te voorkomen en te mitigeren van incidenten die de beveiliging aantasten van de netwerk- en informatiesystemen die zij bij hun activiteiten gebruiken.
Het risicobeheersingsproces richt zich met name op de risico’s die verband houden met de vertrouwelijkheid en integriteit van de informatie in het systeem. Deze risico’s kunnen het gevolg zijn van bedreigingen, en houden onder meer in:
|
|
4.2.2. |
De organisatoren verstrekken documentatie waaruit blijkt dat zij:
|
|
4.2.3. |
De maatregelen om de gevolgen van incidenten die de beveiliging van de systemen aantasten, te voorkomen en te mitigeren, hebben betrekking op de volgende gebieden:
De toepassing van deze beveiligingsmaatregelen kan worden beperkt tot slechts die onderdelen van de organisatie die relevant zijn voor het online verzamelsysteem. De beveiliging van het personeel kan bijvoorbeeld worden beperkt tot personeelsleden die fysieke of logische toegang hebben tot het systeem, en de fysieke en omgevingsbeveiliging kan worden beperkt tot het gebouw of de gebouwen waarin het systeem zich bevindt. |
|
4.2.4. |
Wanneer organisatoren gebruikmaken van een verwerker voor de ontwikkeling of de ingebruikneming van de online verzamelsystemen of delen daarvan, verstrekken de organisatoren documentatie om de certificeringsautoriteit in staat te stellen zich ervan te vergewissen dat de noodzakelijke beveiligingscontroles zijn uitgevoerd. |
4.3. Versleuteling van gegevens
Het systeem voorziet als volgt in de versleuteling van de gegevens:
|
a) |
persoonsgegevens in elektronische vorm worden versleuteld alvorens te worden opgeslagen of doorgegeven aan de bevoegde instanties van de lidstaten overeenkomstig Verordening (EU) 2019/788; het beheer en de back-up van de sleutels geschiedt afzonderlijk; |
|
b) |
er worden in overeenstemming met de internationale normen (zoals de ETSI-norm) passende standaardalgoritmen en passende sleutels gebruikt. Er wordt een sleutelbeheer gevoerd; |
|
c) |
alle sleutels en wachtwoorden worden beschermd tegen ongeoorloofde toegang. |