|
3.4.2023 |
NL |
Publicatieblad van de Europese Unie |
L 94/66 |
UITVOERINGSBESLUIT (EU) 2023/729 VAN DE COMMISSIE
van 30 maart 2023
betreffende de vaststelling van de technische architectuur, de technische specificaties voor het invoeren en opslaan van informatie en de procedures voor de controle en verificatie van informatie in het systeem voor fraudedocumenten en authentieke documenten online van de Europese grens- en kustwacht (“EBCG FADO”)
DE EUROPESE COMMISSIE,
Gezien het Verdrag betreffende de werking van de Europese Unie,
Gezien Verordening (EU) 2020/493 van het Europees Parlement en de Raad van 30 maart 2020 over het systeem voor fraudedocumenten en authentieke documenten online (FADO) en tot intrekking van Gemeenschappelijk Optreden 98/700/JBZ van de Raad (1), en met name artikel 6, lid 1, punten a), b) en c),
Overwegende hetgeen volgt:
|
(1) |
Het Europees beeldopslagsysteem voor fraudedocumenten en authentieke documenten online (FADO) is opgezet om de uitwisseling van informatie over de beveiligingskenmerken en mogelijke fraudekenmerken in authentieke en fraudedocumenten tussen de instanties van de lidstaten met bevoegdheid op het gebied van documentfraude te vergemakkelijken. Het FADO-systeem heeft tevens als doel informatie te delen met andere partijen, waaronder het grote publiek. |
|
(2) |
Na de inwerkingtreding van Verordening (EU) 2020/493 zal het huidige FADO-systeem, dat momenteel door de Raad wordt beheerd, worden overgenomen door het Europees Grens- en kustwachtagentschap (“het Agentschap”). Daarom moeten maatregelen worden vastgesteld voor de technische architectuur en specificaties van het FADO-systeem. |
|
(3) |
De technische architectuur en specificaties van het nieuwe EBCG FADO-systeem moeten het Agentschap in staat stellen te zorgen voor een goed en betrouwbaar functionerend systeem en de verkregen informatie tijdig en efficiënt in te voeren, waarbij de uniformiteit en kwaliteit van die informatie volgens hoge normen worden gewaarborgd. Er moet worden gezorgd voor een passende document- en identiteitscontrole op alle niveaus, van het meest geavanceerde forensisch onderzoek tot een eenvoudige controle. Het EBCG FADO-systeem moet een centraal toegangspunt bieden aan gebruikers die informatie willen beheren of in FADO naar informatie willen zoeken. Het systeem moet onder meer voorzien in een systematische en gestructureerde overdracht van kennis tussen documentdeskundigen onderling en van hen naar niet-deskundigen. |
|
(4) |
De Europese Toezichthouder voor gegevensbescherming is over dit uitvoeringsbesluit geraadpleegd. |
|
(5) |
Aangezien Verordening (EU) 2020/493 voortbouwt op het Schengenacquis, heeft Denemarken overeenkomstig artikel 4 van Protocol nr. 22 betreffende de positie van Denemarken, dat aan het Verdrag betreffende de Europese Unie (VEU) en het Verdrag betreffende de werking van de Europese Unie (VWEU) is gehecht, kennisgegeven van de omzetting van Verordening (EU) 2020/493 in zijn nationale wetgeving. Denemarken is derhalve gebonden door dit besluit. |
|
(6) |
Ierland neemt aan Verordening (EU) 2020/493 deel overeenkomstig artikel 5, lid 1, van Protocol nr. 19 betreffende het Schengenacquis dat is opgenomen in het kader van de Europese Unie, gehecht aan het VEU en het VWEU, en artikel 6, lid 2, van Besluit 2002/192/EG van de Raad (2). Ierland is derhalve gebonden door dit besluit. |
|
(7) |
Wat IJsland en Noorwegen betreft, vormt dit besluit een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie en de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop deze beide staten worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (3) die vallen onder het gebied bedoeld in artikel 1, punt H, van Besluit 1999/437/EG van de Raad (4). |
|
(8) |
Wat Zwitserland betreft, vormt dit besluit een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop de Zwitserse Bondsstaat wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (5) die vallen onder het gebied bedoeld in artikel 1, punt H, van Besluit 1999/437/EG, gelezen in samenhang met artikel 3 van Besluit 2008/149/JBZ van de Raad (6). |
|
(9) |
Wat Liechtenstein betreft, vormt dit besluit een ontwikkeling van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (7) die vallen onder het gebied bedoeld in artikel 1, punt H, van Besluit 1999/437/EG, gelezen in samenhang met artikel 3 van Besluit 2011/349/EU (8), |
|
(10) |
De in dit besluit vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 6 van Verordening (EG) nr. 1683/95 van de Raad (9) ingestelde comité (comité van artikel 6) en in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (10). |
HEEFT HET VOLGENDE BESLUIT VASTGESTELD:
Artikel 1
De technische architectuur van het FADO-systeem, de technische specificaties voor het invoeren en opslaan van informatie in het FADO-systeem en de procedures voor de controle en verificatie van de informatie in het FADO-systeem zijn opgenomen in de bijlage.
Artikel 2
Dit besluit treedt in werking op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Gedaan te Brussel, 30 maart 2023
Voor de Commissie
De voorzitter
Ursula VON DER LEYEN
(1) PB L 107 van 6.4.2020, blz. 1.
(2) Besluit 2002/192/EG van de Raad van 28 februari 2002 betreffende het verzoek van Ierland deel te mogen nemen aan bepalingen van het Schengenacquis (PB L 64 van 7.3.2002, blz. 20).
(3) PB L 176 van 10.7.1999, blz. 36.
(4) Besluit 1999/437/EG van de Raad van 17 mei 1999 inzake bepaalde toepassingsbepalingen van de door de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen gesloten overeenkomst inzake de wijze waarop deze twee staten worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (PB L 176 van 10.7.1999, blz. 31).
(5) PB L 53 van 27.2.2008, blz. 52.
(6) Besluit 2008/149/JBZ van de Raad van 28 januari 2008 betreffende de sluiting namens de Europese Unie van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (PB L 53 van 27.2.2008, blz. 50).
(7) PB L 160 van 18.6.2011, blz. 21.
(8) Besluit 2011/349/EU van de Raad van 7 maart 2011 betreffende de sluiting namens de Europese Unie van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis, met name betreffende de justitiële samenwerking in strafzaken en de politiële samenwerking (PB L 160 van 18.6.2011, blz. 1).
(9) Verordening (EG) nr. 1683/95 van de Raad van 29 mei 1995 betreffende de invoering van een uniform visummodel (PB L 164 van 14.7.1995, blz. 1).
(10) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).
BIJLAGE
DEEL 1
1. Doelstellingen
Dit deel van de bijlage bevat een beschrijving van de technische architectuur van het systeem voor fraudedocumenten en authentieke documenten online (“EBCG FADO-systeem”) van het Europees Grens- en kustwachtagentschap (“het Agentschap”) en de onderdelen daarvan.
De technische architectuur van het nieuwe EBCG FADO-systeem zal stapsgewijs worden ontwikkeld, na de releases van het nieuwe systeem en mogelijke toekomstige vereisten.
2. Beschrijving van de architectuur van het EBCG FADO-systeem
De technische architectuur stelt het Agentschap in staat de verschillende niveaus van toegang tot de in het systeem opgeslagen informatie te bepalen. Het Agentschap zorgt voor een tijdige en efficiënte invoering van de verkregen informatie in het EBCG FADO-systeem en waarborgt de uniformiteit en kwaliteit van deze informatie.
Het EBCG FADO-systeem wordt de overkoepelende toepassing voor alle toegangsniveaus en voorziet in een centraal toegangspunt voor gebruikers die informatie willen beheren of in EBCG FADO naar informatie willen zoeken.
De technische architectuur van het EBCG FADO-systeem beschikt over de capaciteit voor het hosten van:
|
(a) |
een openbaar domein met een onderdeel basisinformatie over specimens van authentieke documenten en authentieke documenten; |
|
(b) |
een gevoelig niet-gerubriceerd EU-domein dat aan toegangscontrole is onderworpen voor:
|
|
(c) |
een gerubriceerd (beperkt) EU-domein dat is onderworpen aan toegangscontrole voor gemachtigde gebruikers voor:
|
Bovendien beschikt de technische architectuur van het systeem over de capaciteit om:
|
(a) |
een hoog niveau van cyberbeveiliging te waarborgen; |
|
(b) |
uitgebreide zoek- en rapportagecapaciteiten te ondersteunen en geavanceerde analytische diensten, waaronder artificiële intelligentie, toe te passen; |
|
(c) |
te worden geïntegreerd met externe entiteiten en hun systemen en te voorzien in gegevensuitwisselingscapaciteiten via geautomatiseerde interfaces, zoals het Electronic Library Document System van Frontex en Interpol (FIELDS), het Document Information System for Civil Status (DISCS) enz.; |
|
(d) |
te werken aan een cloudgebaseerde infrastructuur voor niet-gerubriceerde, gevoelige en publieke EU-domeinen, mits de naleving van de vereisten inzake de bescherming van persoonsgegevens wordt gewaarborgd; |
|
(e) |
geavanceerde technologieën en moderne technische benaderingen toe te passen, met inbegrip van beschikbaarheid, betrouwbaarheid, flexibiliteit voor nieuwe functies, producten en wijzigingen, en in staat te zijn om op te schalen om tegemoet te komen aan grote aantallen gebruikers; |
|
(f) |
integratie met hardware mogelijk te maken en de toegang tot het systeem te ondersteunen offline of bij een beperkte connectiviteit met mobiele apparaten. |
DEEL 2
1. Doelstellingen
Dit tweede deel van de bijlage bevat een beschrijving van de technische specificaties voor het volgens hoge normen invoeren en opslaan van informatie in het systeem voor fraudedocumenten en authentieke documenten online (“EBCG FADO-systeem”) van het Europees Grens- en kustwachtagentschap (“het Agentschap”).
Het EBCG FADO-systeem heeft tevens als doel bij te dragen aan de bestrijding van document- en identiteitsfraude door het delen van informatie met andere partijen, waaronder het grote publiek.
De verwerking van persoonsgegevens is opgenomen in deze technische specificaties. Het invoeren en opslaan van informatie in het systeem gebeurt overeenkomstig het doel van de verwerking.
2. Beschrijving van het proces voor het invoeren en opslaan van informatie in het EBCG FADO-SYSTEM
Gemachtigde gebruikers zullen informatie verstrekken in een speciale module van het EBCG FADO-systeem voor valideringsdoeleinden voordat deze informatie beschikbaar wordt gesteld aan andere gebruikers.
Het valideringsproces is van toepassing op alle informatie die in het EBCG FADO-systeem is ingevoerd of binnen het systeem is gecreëerd.
Het valideringsproces van dergelijke informatie wordt gecontroleerd door het Agentschap en uitgevoerd in overleg met de verstrekker van de informatie. Om hoge normen te waarborgen, kan het Agentschap besluiten geselecteerde documentdeskundigen of de functionaris voor gegevensbescherming van het Agentschap te raadplegen.
Zodra de informatie is gevalideerd, wordt deze vertaald en opgeslagen in de domeinen van het EBCG FADO-systeem.
3. Controle en verificatie van informatie in het EBCG FADO-systeem
In het EBCG FADO-systeem worden de documentgegevens (hierna “informatie” genoemd) uitsluitend met elektronische en materiële middelen geverifieerd en verwerkt voor administratieve doeleinden, afhankelijk van het formaat waarin de informatie aan het Agentschap wordt verstrekt. In het EBCG FADO-systeem worden geen operationele persoonsgegevens verwerkt in de zin van artikel 3, lid 2, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (1).
De verwerkte informatie ondergaat de bedrijfsprocessen die zijn ontworpen om informatie in het EBCG FADO-systeem in te voeren en op te slaan. Alleen gepubliceerde documenten die eerder gevalideerd zijn, worden ter beschikking gesteld van de gebruikers.
De informatieverwerking in het EBCG FADO-systeem zal voortdurend worden verbeterd om te zorgen voor een geleidelijke herziening en aanpassing van de technische en organisatorische maatregelen in overeenstemming met de technologische ontwikkeling en om tekortkomingen in de onderliggende bedrijfsprocessen weg te werken.
Het Agentschap specificeert:
|
(a) |
de categorieën betrokkenen wier persoonsgegevens in het systeem worden verwerkt; |
|
(b) |
de categorieën verwerkte persoonsgegevens; |
|
(c) |
de verwerkingsverantwoordelijke of categorieën verwerkingsverantwoordelijken, met inbegrip van gezamenlijke verwerkingsverantwoordelijken; |
|
(d) |
de ontvangers van de persoonsgegevens; |
|
(e) |
de waarborgen ter voorkoming van misbruik, onrechtmatige toegang of doorgifte van persoonsgegevens; |
|
(f) |
de bewaringstermijn in verband met activiteiten op het gebied van de verwerking van persoonsgegevens met het oog op de exploitatie van het EBCG FADO-systeem en de uitvoering van administratieve taken; |
|
(g) |
de methode voor gegevensverzameling, met inbegrip van de vraag of deze afkomstig is van lidstaten en/of derde landen; |
|
(h) |
de verspreiding en de ontvangers van de persoonsgegevens. |
4. Verwerking van persoonsgegevens voor het invoeren en opslaan van informatie in het EBCG FADO-systeem
Het Agentschap zal specifieke organisatorische en technische maatregelen uitvoeren tijdens het proces voor het invoeren en opslaan van informatie in het EBCG FADO-systeem door:
|
(a) |
richtsnoeren te verstrekken aan gemachtigde gebruikers over het redigeren — minimaliseren en pseudonimiseren — van persoonsgegevens vóór het verstrekken van informatie aan het Agentschap en tijdens het valideringsproces; |
|
(b) |
passende technische maatregelen uit te voeren om te zorgen voor de nodige waarborgen ter bescherming van de rechten van betrokkenen tijdens het valideringsproces, alvorens informatie aan eindgebruikers beschikbaar te stellen; |
|
(c) |
de toegang tot de module voor het valideringsproces te beperken tot een minimumaantal gebruikers; |
|
(d) |
de in de gevoelige niet-gerubriceerde en gerubriceerde domeinen opgeslagen informatie op “need-to-know”-basis beschikbaar te stellen aan een bekend aantal gebruikers. |
DEEL 3
1. Doelstellingen
Het derde deel van de bijlage bevat een beschrijving van de procedures voor de controle en verificatie van informatie in het EBCG FADO-systeem.
Verwerking van persoonsgegevens wordt opgenomen in de procedures voor de controle en verificatie in het EBCG FADO-systeem.
De Commissie houdt onder meer toezicht op de uitvoering van de in dit besluit vervatte maatregelen. De Commissie wordt bijgestaan door het bij artikel 6 van Verordening (EG) nr. 1683/95 van de Raad opgerichte comité (2). Het Agentschap neemt zonder beslissingsbevoegdheid deel aan de vergaderingen van het comité van artikel 6.
Het Agentschap zal kwaliteitsborgings- en kwaliteitscontroletechnieken toepassen voor de controle en verificatie van de in het EBCG FADO-systeem opgenomen informatie.
2. Kwaliteitsborging en kwaliteitscontrole
Overeenkomstig deel 2 van de bijlage bij dit uitvoeringsbesluit van de Commissie tot vaststelling van de technische specificaties voor het invoeren en opslaan van informatie in het EBCG FADO-systeem (3) stelt het Agentschap procedures vast voor de uitvoering van:
|
(a) |
kwaliteitsborging;
|
|
(b) |
kwaliteitscontrole:
|
3. Kwaliteitsborging
i. Toegangsbeheer
Het beheer van de toegang tot het FADO-systeem heeft tot doel:
|
(a) |
op “need-to-know”-basis toegang verlenen tot het FADO-systeem; |
|
(b) |
toegangsrechten intrekken; |
Het Agentschap stelt procedures vast voor het beheer van de toegang tot het FADO-systeem, waarbij aan de volgende minimumeisen moet worden voldaan:
|
(a) |
gebruikers ontvangen informatie over de verwerking van hun persoonsgegevens; |
|
(b) |
gebruikers beheren hun gebruikersaccounts in het FADO-systeem; |
|
(c) |
persoonsgegevens worden rechtstreeks door de betrokkenen of via hun contactpunten aan het Agentschap verstrekt; |
|
(d) |
een beperkt aantal gebruikers in het Agentschap die tot de organisatie van het FADO-systeem behoren, wordt gemachtigd om toegangsbeheer uit te voeren. |
ii. Validering van in het FADO-systeem ingevoerde informatie
De validering van informatie heeft tot doel het risico op tekortkomingen in het systeem te verminderen en de uniformiteit en kwaliteit van de informatie te waarborgen.
Alleen een geselecteerd aantal gemachtigde en opgeleide documentdeskundigen mag informatie in het systeem verstrekken en valideren.
Alvorens informatie in het systeem in te voeren, zijn deze gebruikers:
|
(a) |
opgeleid om informatie in het systeem in te voeren; |
|
(b) |
voorzien van richtsnoeren en/of handleidingen om informatie in het systeem in te voeren; |
|
(c) |
geïnformeerd over de bedrijfsprocessen die het Agentschap voor valideringsdoeleinden heeft opgezet. |
Het Agentschap zal gebruikmaken van een speciale module van het EBCG FADO-systeem voor valideringsdoeleinden voordat deze informatie beschikbaar wordt gesteld aan andere gebruikers. Tijdens het valideringsproces moet deze module het mogelijk maken dat:
|
(a) |
een geselecteerd aantal gebruikers informatie in het EBCG FADO-systeem invoert of corrigeert; |
|
(b) |
een beperkt aantal gebruikers de validering van informatie in het systeem verwerkt, met inbegrip van facultatieve raadpleging van andere geselecteerde gebruikers dan die welke informatie invoeren of corrigeren; |
|
(c) |
een beperkt aantal gebruikers zo nodig voorziet in vertalingen; |
|
(d) |
een beperkt aantal gebruikers de informatie goedkeurt en publiceert. |
iii. Publicatie van informatie
Na het valideringsproces wordt de informatie gepubliceerd.
4. Kwaliteitscontrole
Het Agentschap stelt een jaarlijks kwaliteitscontroleplan op in het EBCG FADO-systeem.
Het plan zal ervoor zorgen dat elk jaar regelmatig controles op een toereikende hoeveelheid informatie worden uitgevoerd, waarbij onder meer wordt nagegaan:
|
(a) |
de relevantie van de informatie in het EBCG FADO-systeem; |
|
(b) |
de kwaliteit van de informatie in het EBCG FADO-systeem; |
|
(c) |
de naleving van het EBCG FADO-systeembeheer, met inbegrip van vereisten inzake de bescherming van persoonsgegevens. |
De resultaten van de audits worden voorgelegd aan de Commissie, de raad van bestuur van het Agentschap en de functionaris voor gegevensbescherming van het Agentschap.
5. Bijdrage van de gebruiker aan de kwaliteit
Gebruikers kunnen worden betrokken bij het proces voor de controle en verificatie van informatie in het EBCG FADO-systeem.
(1) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).
(2) Verordening (EG) nr. 1683/95 van de Raad van 29 mei 1995 betreffende de invoering van een uniform visummodel (PB L 164 van 14.7.1995, blz. 1).
(3) Uitvoeringsbesluit van de Commissie tot vaststelling van de technische architectuur van het FADO-systeem van de Europese grens- en kustwacht (EBCG) overeenkomstig artikel 6, punt a), van Verordening (EU) 2020/493.