HOOFDSTUK I

Algemene bepalingen

Artikel 1

Onderwerp

Deze verordening stelt, samen met Verordening (EU) 2019/818 van het Europees Parlement en de Raad ( 1 ), een kader vast dat ervoor moet zorgen dat het inreis-uitreissysteem (EES), het Visuminformatiesysteem (VIS), het Europees systeem voor reisinformatie en -autorisatie (Etias), Eurodac, het Schengeninformatiesysteem (SIS) en het Europees Strafregister Informatiesysteem voor onderdanen van derde landen (ECRIS-TCN) interoperabel zijn.

Het kader bestaat onder meer uit de volgende interoperabiliteitscomponenten:

een Europees zoekportaal (European search portal — ESP);

een gezamenlijke dienst voor biometrische matching (biometric matching service — gezamenlijke BMS);

een gemeenschappelijk identiteitsregister (common identity repository — CIR);

een detector van meerdere identiteiten (multiple-identity detector — MID).

De verordening bevat ook bepalingen inzake de vereisten op het gebied van gegevenskwaliteit, inzake een Universal Message Format (UMF) en inzake een centraal register voor rapportage en statistieken (CRRS), alsook een omschrijving van de verantwoordelijkheden van de lidstaten en van het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) met betrekking tot het ontwerp, de ontwikkeling en de werking van de interoperabiliteitscomponenten.

De verordening behelst tevens een aanpassing van de procedures en voorwaarden waaraan de aangewezen autoriteiten en het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) zich moeten houden om toegang tot het EES, VIS, Etias en Eurodac te krijgen met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten.

In deze richtlijn wordt ook een kader vastgesteld voor het verifiëren van de identiteiten van personen en voor het identificeren van personen.

Artikel 2

Doelstellingen

Door de interoperabiliteit te waarborgen, dient deze verordening de volgende doelstellingen:

verhogen van de doeltreffendheid en doelmatigheid van grenscontroles aan de buitengrenzen;

bijdragen tot het voorkomen en bestrijden van illegale immigratie;

bijdragen aan een hoog veiligheidsniveau in de ruimte van vrijheid, veiligheid en recht van de Unie, met inbegrip van handhaving van de openbare orde en veiligheid en vrijwaring van de veiligheid op het grondgebied van de lidstaten;

verbeteren van de uitvoering van het gemeenschappelijk visumbeleid;

verlenen van bijstand bij de behandeling van verzoeken om internationale bescherming;

bijdragen aan het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten;

bieden van ondersteuning bij de identificatie van onbekende personen die niet in staat zijn zichzelf te legitimeren of van niet-geïdentificeerde stoffelijke overschotten bij natuurrampen, ongevallen of terroristische aanslagen.

De in lid 1 bedoelde doelstellingen worden bereikt door:

de correcte identificatie van personen te verzekeren;

bij te dragen tot de bestrijding van identiteitsfraude;

te zorgen voor gegevens van hogere kwaliteit en geharmoniseerde vereisten inzake de kwaliteit van gegevens die zijn opgeslagen in de Unie-informatiesystemen, met inachtneming van de gegevensbeschermingsvoorschriften waarin de rechtsinstrumenten voor de afzonderlijke systemen voorzien, en van de gegevensbeschermingsnormen en -beginselen;

de technische en operationele implementatie van bestaande Unie-informatiesystemen door de lidstaten te vergemakkelijken en te ondersteunen;

de gegevensbeveiliging en -beschermingsvoorwaarden voor de respectieve Unie-informatiesystemen strenger, eenvoudiger en uniformer te maken, zonder afbreuk te doen aan de bijzondere bescherming en waarborgen die op bepaalde gegevenscategorieën van toepassing zijn;

de voorwaarden voor de toegang van aangewezen autoriteiten tot het EES, VIS, Etias en Eurodac te stroomlijnen en te zorgen voor noodzakelijke en evenredige voorwaarden voor die toegang;

de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en het ECRIS-TCN te ondersteunen.

Artikel 3

Toepassingsgebied

Deze verordening is van toepassing op het EES, VIS, Etias en SIS.

Deze verordening is van toepassing op personen ten aanzien van wie persoonsgegevens mogen worden verwerkt in de in lid 1 van dit artikel bedoelde Unie-informatiesystemen en wier gegevens worden verzameld voor de doeleinden als omschreven in de artikel 1 en 2 van Verordening (EG) nr. 767/2008, artikel 1 van Verordening (EU) 2017/2226, de artikelen 1 en 4 van Verordening (EU) 2018/1240, artikel 1 van Verordening (EU) nr. 2018/1860 en artikel 1 van Verordening (EU) 2018/1861.

Artikel 4

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1)	„buitengrenzen” : de buitengrenzen in de zin van artikel 2, punt 2, van Verordening (EU) 2016/399;

2)	„grenscontroles” : grenscontroles in de zin van artikel 2, punt 11, van Verordening (EU) 2016/399;

3)	„grensautoriteiten” : de grenswachter die overeenkomstig het nationale recht is aangewezen voor het verrichten van grenscontroles;

4)	„toezichthoudende autoriteiten” : de in artikel 51, lid 1, van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteit en de in artikel 41, lid 1, van Richtlijn (EU) 2016/680 bedoelde toezichthoudende autoriteit;

5)	„verificatie” : het proces waarbij reeksen gegevens worden vergeleken om vast te stellen of een beweerde identiteit correct is (één-op-éénvergelijking);

6)	„identificatie” : het proces waarbij de identiteit van een persoon wordt vastgesteld door middel van een zoekopdracht in een databank en vergelijking met meerdere reeksen gegevens (één-op-veelvergelijking);

7)	„alfanumerieke gegevens” : door letters, cijfers, speciale tekens, spaties en leestekens weergegeven gegevens;

8)	„identiteitsgegevens” : de in artikel 27, lid 3, onder a) tot en met e), bedoelde gegevens;

9)	„vingerafdrukgegevens” : beelden van vingerafdrukken en beelden van latente vingerafdrukken die vanwege hun uniciteit en de erin vervatte referentiepunten accurate en definitieve vergelijkingen met iemands identiteit mogelijk maken;

10)	„gezichtsopname” : een digitale afbeelding van het gezicht;

11)	„biometrische gegevens” : vingerafdrukgegevens of gezichtsopnames of beiden;

12)	„biometrische template” : een mathematische weergave die wordt verkregen door uit biometrische gegevens uitsluitend de kenmerken te extraheren die nodig zijn om identificaties en verificaties te verrichten;

13)	„reisdocument” : een paspoort of een ander gelijkwaardig document dat de houder ervan het recht geeft de buitengrenzen te overschrijden en waarin een visum kan worden aangebracht;

14)	„reisdocumentgegevens” : het type, het nummer en het land van uitgifte van het reisdocument, de datum waarop de geldigheidstermijn van het reisdocument verstrijkt, en de drielettercode van het land dat het reisdocument heeft afgegeven;

15)	„Unie-informatiesystemen” : het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN;

16)	„Europol-gegevens” : persoonsgegevens die door Europol worden verwerkt voor de in artikel 18, lid 2, onder a), b) en c), van Verordening (EU) 2016/794 bedoelde doeleinden;

17)	„Interpol-databanken” : de Interpol-databank voor gestolen en verloren reisdocumenten (SLTD-databank) en de Interpol-databank voor reisdocumenten die voorkomen in Notices (TDAWN-databank);

18)	„match” : het bestaan van een verband dat aan het licht wordt gebracht door een automatische vergelijking tussen persoonsgegevens die in een informatiesysteem of databank zijn of worden geregistreerd;

19)	„politieautoriteit” : „bevoegde autoriteit” zoals gedefinieerd in artikel 3, punt 7, van Richtlijn (EU) 2016/680;

20)	„aangewezen autoriteiten” : de aangewezen lidstatelijke autoriteiten zoals gedefinieerd in artikel 3, lid 1, punt 26, van Verordening (EU) 2017/2226, artikel 2, lid 1, onder e), van Besluit 2008/633/JBZ, en artikel 3, lid 1, punt 21, van Verordening (EU) 2018/1240;

21)	„terroristisch misdrijf” : een strafbaar feit naar nationaal recht dat overeenkomt met of gelijkwaardig is aan een van de in Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad ( 2 ) bedoelde strafbare feiten;

22)

„ernstig strafbaar feit” : een strafbaar feit dat overeenkomt met of gelijkwaardig is aan een van de in artikel 2, lid 2, van Kaderbesluit 2002/584/JBZ van de Raad ( 3 ) bedoelde strafbare feiten, indien het naar nationaal recht strafbaar is gesteld met een vrijheidsstraf of een tot vrijheidsbeneming strekkende maatregel met een maximumduur van minstens drie jaar;

23)	„inreis-uitreissysteem” of EES : het inreis-uitreissysteem als ingesteld bij Verordening (EU) 2017/2226;

24)	„visuminformatiesysteem” of „VIS” : het Visuminformatiesysteem als ingesteld bij Verordening (EG) nr. 767/2008;

25)	„het Europees systeem voor reisinformatie en -autorisatie” of „Etias” : het Europees systeem voor reisinformatie en -autorisatie als ingesteld bij Verordening (EU) nr. 2018/1240;

26)	„Eurodac” : Eurodac als ingesteld bij Verordening (EU) nr. 603/2013 van het Europees Parlement en de Raad ( 4 );

27)	„Schengeninformatiesysteem” of „SIS” : het Schengeninformatiesysteem als ingesteld bij Verordeningen (EU) 2018/1860, (EU) 2018/1861 en (EU) 2018/1862;

28)	„ECRIS-TCN” : het gecentraliseerde systeem voor de identificatie van lidstaten met informatie inzake veroordelingen van onderdanen van derde landen en staatlozen, ingesteld bij Verordening (EU) 2019/816 van het Europees Parlement en de Raad ( 5 ).

Artikel 5

Non-discriminatie en grondrechten

De verwerking van persoonsgegevens voor de toepassing van deze verordening mag niet leiden tot discriminatie van personen op grond van onder meer geslacht, ras, huidskleur, etnische afstamming of sociale afkomst, genetische kenmerken, taal, godsdienst of overtuiging, politieke of andere denkbeelden, het behoren tot een nationale minderheid, vermogen, geboorte, handicap, leeftijd of seksuele geaardheid. Bij de verwerking worden de menselijke waardigheid, integriteit en grondrechten ten volle gerespecteerd, met inbegrip van het recht op eerbiediging van de persoonlijke levenssfeer en bescherming van persoonsgegevens. Bijzondere aandacht wordt geschonken aan kinderen, ouderen, personen met een handicap en personen die internationale bescherming behoeven. Het belang van het kind komt op de eerste plaats.

HOOFDSTUK II

Het Europees zoekportaal

Artikel 6

Het Europees zoekportaal

Er wordt een Europees zoekportaal (European search portal - ESP) ingesteld om ervoor te zorgen dat de lidstatelijke autoriteiten en de -Unie-agentschappensnel, ononderbroken, efficiënt, systematisch en gecontroleerd toegang hebben tot de Unie-informatiesystemen, de Europol-gegevens en de Interpol-databanken die zij nodig hebben om hun taken te verrichten overeenkomstig hun toegangsrechten en de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN.

Het ESP bestaat uit:

een centrale infrastructuur, waaronder een zoekportaal voor het gelijktijdig doorzoeken van het EES, VIS, Etias, Eurodac, SIS, ECRIS-TCN, alsmede van de Europol-gegevens en de Interpol-databanken;

een beveiligd communicatiekanaal tussen het ESP, de lidstaten en de Unie-agentschappen die gebruik mogen maken van het ESP;

een beveiligde communicatie-infrastructuur tussen het ESP en het EES, VIS, Etias, Eurodac, centrale SIS, ECRIS-TCN, de Europol-gegevens en de Interpol-databanken, alsmede tussen het ESP en de centrale infrastructuren van het CIR en de MID;

▼M2

een beveiligde communicatie-infrastructuur tussen het ESP en de router die is opgezet bij Verordening (EU) 2024/982 van het Europees Parlement en de Raad ( 6 ).

▼B

eu-LISA zorgt voor de ontwikkeling en het technische beheer van het ESP.

Artikel 7

Gebruik van het Europees zoekportaal

Het gebruik van het ESP is voorbehouden aan de lidstatelijke autoriteiten en de Unie-agentschappen die toegang hebben tot ten minste een van de EU-informatiesystemen, overeenkomstig de rechtsinstrumenten met betrekking tot die EU-informatiesystemen, tot het CIR en de MID overeenkomstig deze verordening, tot Europol-gegevens overeenkomstig Verordening (EU) 2016/794 of tot de Interpol-databanken overeenkomstig het Unierecht of het desbetreffend nationaal recht.

Deze lidstatelijke autoriteiten en de Unie-agentschappen mogen het ESP en de door het ESP verstrekte gegevens alleen gebruiken voor de doelstellingen die zijn vastgelegd in de rechtsinstrumenten betreffende die Unie-informatiesystemen in Verordening (EU) 2016/794 en in deze verordening.

De in lid 1 bedoelde lidstatelijke autoriteiten en de Unie-agentschappen gebruiken het ESP om overeenkomstig hun toegangsrechten als bedoeld in de rechtsinstrumenten met betrekking tot deze Unie-informatiesystemen of het nationaal recht gegevens over personen of hun reisdocumenten te doorzoeken in de centrale systemen van het EES, VIS en Etias. Zij maken eveneens gebruik van het ESP om overeenkomstig hun toegangsrechten uit hoofde van deze verordening het CIR te doorzoeken voor de in de artikelen 20, 21 en 22 bedoelde doeleinden.

De in lid 1 bedoelde lidstatelijke autoriteiten kunnen het ESP gebruiken om gegevens over personen of hun reisdocumenten te doorzoeken in het centrale SIS bedoeld in Verordeningen (EU) 2018/1860 en (EU) 2018/1861.

Indien het Unierecht hierin voorziet, gebruiken de in lid 1 bedoelde Unie-agentschappen het ESP voor het doorzoeken van gegevens over personen of hun reisdocumenten in het centrale SIS.

De in lid 1 bedoelde lidstatelijke autoriteiten en Unie-agentschappen kunnen het ESP gebruiken om gegevens over reisdocumenten te bevragen in de Interpol-databanken indien hierin is voorzien en dit in overeenstemming is met hun toegangsrechten uit hoofde van het Unierecht of het nationaal recht.

Artikel 8

Profielen voor de gebruikers van het Europees zoekportaal

Om het gebruik van het ESP mogelijk te maken, maakt eu-LISA samen met de lidstaten in overeenstemming met de in lid 2 bedoelde technische details en toegangsrechten een profiel aan op basis van elke categorie van ESP-gebruikers en over de doeleinden van hun zoekopdrachten. Elk profiel bevat overeenkomstig het Unie- en nationale recht de volgende informatie:

de voor de zoekopdrachten gebruikte datavelden;

de Unie-informatiesystemen, Europol-gegevens en Interpol-databanken die moeten worden doorzocht, die kunnen worden doorzocht en die de gebruiker van een antwoord moeten voorzien;

de specifieke gegevens in de Unie-informatiesystemen, de Europol-gegevens en de Interpol-databanken die kunnen worden doorzocht;

de gegevenscategorieën die in elk antwoord kunnen worden verstrekt.

De Commissie stelt uitvoeringshandelingen vast waarin de in lid 1 bedoelde profielen van de in artikel 7, lid 1, bedoelde ESP-gebruikers technisch worden gespecificeerd in overeenstemming met de respectieve toegangsrechten overeenkomstig de rechtsinstrumenten met betrekking tot de Unie-informatiesystemen en overeenkomstig het nationaal recht. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

De in lid 1 bedoelde profielen worden regelmatig en tenminste eenmaal per jaar door eu-LISA, in samenwerking met de lidstaten, geëvalueerd en zo nodig bijgewerkt.

Artikel 9

Zoekopdrachten

De ESP-gebruikers starten een zoekopdracht door alfanumerieke of biometrische gegevens in het ESP in te voeren. Zodra een zoekopdracht is gestart, gebruikt het ESP de door de ESP-gebruiker overeenkomstig het gebruikersprofiel ingevoerde gegevens om het EES, Etias, VIS, SIS, Eurodac, ECRIS-TCN en CIR, alsmede de Europol-gegevens en de Interpol-databanken gelijktijdig te doorzoeken.

De gegevenscategorieën die worden gebruikt om via het ESP een zoekopdracht te starten, komen overeen met de gegevenscategorieën betreffende personen of reisdocumenten die mogen worden gebruikt om de verschillende Unie-informatiesystemen, de Europol-gegevens en de Interpol-databanken te doorzoeken overeenkomstig de rechtsinstrumenten die daarop van toepassing zijn.

eu-LISA implementeert samen met de lidstaten voor het ESP een interface control document op basis van de in artikel 38 bedoelde UMF.

Wanneer een zoekopdracht wordt gestart door een ESP-gebruiker, verstrekken het EES, Etias, VIS, SIS, Eurodac, ECRIS-TCN, CIR en de MID, de Europol-gegevens en de Interpol-databanken in reactie op de zoekopdracht de gegevens die zij bevatten.

Onverminderd artikel 20 wordt in het door het ESP verstrekte antwoord vermeld van welk Unie-informatiesysteem of van welke databank de gegevens deel uitmaken.

In het ESP wordt geen informatie verstrekt over gegevens in Unie-informatiesystemen, Europol-gegevens en de Interpol-databanken waartoe de gebruiker overeenkomstig het toepasselijke Unierecht en nationale recht geen toegang heeft.

Via het ESP gestarte zoekopdrachten in de Interpol-databanken worden zodanig uitgevoerd dat aan de eigenaar van de Interpol-signalering geen informatie wordt onthuld.

Het ESP voorziet de gebruiker van een antwoord zodra gegevens uit een van de Unie-informatiesystemen, Europol-gegevens en Interpol-databanken beschikbaar zijn. Deze antwoorden bevatten uitsluitend de gegevens waartoe de gebruiker op grond van het Unierecht en het nationale recht toegang heeft.

De Commissie stelt een uitvoeringshandeling vast met specificaties voor de technische procedure voor het doorzoeken van de Unie-informatiesystemen, Europol-gegevens en Interpol-databanken door het ESP en het format van de ESP-antwoorden. Deze uitvoeringshandeling wordt vastgesteld overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure.

Artikel 10

Bijhouden van logbestanden

Onverminderd artikel 46 van Verordening (EU) 2017/2226, artikel 34 van Verordening (EG) nr. 767/2008, artikel 69 van Verordening (EU) 2018/1240 en de artikelen 12 en 18 van Verordening (EU) 2018/1861, houdt eu-LISA logbestanden bij van alle gegevensverwerkingsverrichtingen in het ESP. In deze logbestanden wordt het volgende vermeld:

de lidstaat die of het Unie-agentschap dat de zoekopdracht start en het gebruikte ESP-profiel;

de datum en het tijdstip van de zoekopdracht;

de doorzochte Unie-informatiesystemen en Interpol-databanken.

Elke lidstaat houdt logbestanden bij van de zoekopdrachten van zijn autoriteiten en van de personeelsleden van zijn autoriteiten die naar behoren gemachtigd zijn om het ESP te gebruiken. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

De in de leden 1 en 2 bedoelde logbestanden mogen uitsluitend worden gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit. De logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist als de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

Artikel 11

Vangnetprocedures voor wanneer het Europees zoekportaal om technische redenen niet kan worden gebruikt

Indien het ESP vanwege een interne technische storing niet kan worden gebruikt om een of meer Unie-informatiesystemen of het CIR te doorzoeken, stelt eu-LISA de ESP-gebruikers daarvan op geautomatiseerde wijze in kennis.

Indien het ESP vanwege een technische storing in de nationale infrastructuur van een lidstaat niet kan worden gebruikt om een of meer van de Unie-informatiesystemen of het CIR te doorzoeken, stelt die lidstaat eu-LISA en de Commissie daarvan op geautomatiseerde wijze in kennis.

Tijdens de technische storing is in de in de leden 1 en 2 van dit artikel bedoelde gevallen de in artikel 7, leden 2 en 4, bedoelde verplichting niet van toepassing en hebben de lidstaten rechtstreekse toegang tot de Unie-informatiesystemen of tot het CIR, indien zij daartoe krachtens het Unie- of nationale recht gehouden zijn.

Indien het ESP vanwege een technische storing in de infrastructuur van een Unie-agentschap niet kan worden gebruikt om een of meer van de Unie-informatiesystemen of het CIR te doorzoeken, stelt dat agentschap eu-LISA en de Commissie daarvan op geautomatiseerde wijze in kennis.

HOOFDSTUK III

Gezamenlijke dienst voor biometrische matching

Artikel 12

Gezamenlijke dienst voor biometrische matching

Om het CIR en de MID te ondersteunen en de doelstellingen van het EES, VIS, Eurodac, SIS en ECRIS-TCN te bevorderen, wordt een gezamenlijke dienst voor biometrische matching (gezamenlijke BMS) opgezet, die biometrische templates opslaat die worden verkregen uit de in het CIR en SIS opgeslagen biometrische gegevens als bedoeld in artikel 13, en het mogelijk maakt om aan de hand van biometrische gegevens zoekopdrachten in meerdere Unie-informatiesystemen uit te voeren.

De gezamenlijke BMS bestaat uit:

een centrale infrastructuur, die in de plaats komt van de centrale systemen van respectievelijk het EES, VIS, SIS, Eurodac en ECRIS-TCN, voor zover deze biometrische templates opslaat en het mogelijk maakt te zoeken met biometrische gegevens;

een beveiligde communicatie-infrastructuur tussen de gezamenlijke BMS, het centrale SIS en het CIR.

eu-LISA zorgt voor de ontwikkeling en het technische beheer van de gezamenlijke BMS.

Artikel 13

Opslag van biometrische templates in de gemeenschappelijke dienst voor biometrische matching

In de gezamenlijke BMS worden de biometrische templates opgeslagen die de dienst extraheert uit de volgende biometrische gegevens:

de gegevens bedoeld in artikel 16, lid 1, onder d), artikel 17, lid 1, onder b) en c), en artikel 18, lid 2, onder a), b) en c), van Verordening (EU) 2017/2226;

de gegevens bedoeld in artikel 9, punt 6, van Verordening (EG) nr. 767/2008;

de gegevens bedoeld in artikel 20, lid 2, onder w) en x), van Verordening (EU) 2018/1861, met uitzondering van gegevens over handpalmafdrukken;

de gegevens bedoeld in artikel 4, lid 1, onder u) en v), van Verordening (EU) 2018/1860, met uitzondering van gegevens over handpalmafdrukken.

De biometrische templates worden opgeslagen in de gezamenlijke BMS in logisch gescheiden vorm per Unie-informatiesysteem waaruit de gegevens afkomstig zijn.

De gezamenlijke BMS bevat voor elke reeks gegevens als bedoeld in lid 1 in elke biometrische template een verwijzing naar de Unie-informatiesystemen en een verwijzing naar de werkelijke bestanden in de Unie-informatiesystemen waarin de overeenkomstige biometrische gegevens zijn opgeslagen.

Biometrische templates worden pas in de gezamenlijke BMS opgenomen nadat de gezamenlijke BMS door middel van een automatische kwaliteitscontrole heeft vastgesteld dat de aan een van de Unie-informatiesystemen toegevoegde biometrische gegevens voldoen aan een minimumnorm voor gegevenskwaliteit.

De opslag van de in lid 1 bedoelde gegevens moet voldoen aan de in artikel 37, lid 2, bedoelde kwaliteitsnormen.

De Commissie stelt door middel van een uitvoeringshandeling prestatievereisten en praktische regelingen voor het toezicht op de prestaties van de gezamenlijke BMS vast om ervoor te zorgen dat de doeltreffendheid van biometrische zoekopdrachten in overeenstemming is met tijdskritische procedures, zoals grenscontroles en identificaties. Die uitvoeringshandeling wordt overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 14

Doorzoeken van biometrische gegevens met de gezamenlijke dienst voor biometrische matching

Het CIR en het SIS doorzoeken de in het CIR en het SIS opgeslagen biometrische gegevens aan de hand van de in de gezamenlijke BMS opgeslagen biometrische templates. Zoekopdrachten aan de hand van biometrische gegevens worden uitgevoerd overeenkomstig de doelstellingen vastgesteld in Verordeningen (EG) nr. 767/2008, (EU) 2017/2226, (EU) 2018/1860, (EU) 2018/1861, (EU) 2018/1862 en (EU) 2019/816.

Artikel 15

Bewaring van gegevens in de gezamenlijke dienst voor biometrische matching

De termijn voor de opslag van de in artikel 13, leden 1 en 2, bedoelde gegevens in de gezamenlijke BMS stemt overeen met die voor de opslag van de overeenkomstige biometrische gegevens in het CIR of het SIS. De gegevens worden automatisch gewist uit de gezamenlijke BMS.

Artikel 16

Bijhouden van logbestanden

Onverminderd artikel 46 van Verordening (EU) 2017/2226, artikel 34 van Verordening (EG) nr. 767/2008 en de artikelen 12 en 18 van Verordening (EU) 2018/1861 houdt eu-LISA logbestanden bij van alle gegevensverwerkingsverrichtingen in de gezamenlijke BMS. In deze logbestanden wordt het volgende vermeld:

de lidstaat die of het Unie-agentschap dat de zoekopdracht start;

de geschiedenis van het aanmaken en opslaan van de biometrische templates;

de Unie-informatiesystemen die zijn doorzocht met de in de gezamenlijke BMS opgeslagen biometrische templates;

de datum en het tijdstip van de zoekopdracht;

het soort biometrische gegevens dat is gebruikt om de zoekopdracht te starten;

de resultaten van de zoekopdracht en de datum en het tijdstip van het resultaat.

Elke lidstaat houdt logbestanden bij van de zoekopdrachten van zijn autoriteiten en van de personeelsleden van deze autoriteiten die naar behoren gemachtigd zijn om de gezamenlijke BMS te gebruiken. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

De in de leden 1 en 2 bedoelde logbestanden worden uitsluitend gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en integriteit. De logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist zodra de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

HOOFDSTUK IV

Gemeenschappelijk identiteitsregister

Artikel 17

Gemeenschappelijk identiteitsregister

Er wordt een gemeenschappelijk identiteitsregister (common identity repository - CIR) ingesteld, waarin voor elke in het EES, VIS, Etias, Eurodac of ECRIS-TCN geregistreerde persoon een afzonderlijk bestand met de in artikel 18 bedoelde gegevens wordt aangelegd, met als doel de correcte identificatie van in het EES, VIS, Etias, Eurodac of ECRIS-TCN geregistreerde personen te vergemakkelijken en te bevorderen overeenkomstig artikel 20, de werking van de MID te ondersteunen overeenkomstig artikel 21 en de toegang van aangewezen autoriteiten en Europol tot het EES, VIS, ETIAS en Eurodac te vergemakkelijken en te stroomlijnen wanneer dat nodig is voor de preventie, de opsporing of het onderzoek van terroristische misdrijven of andere ernstige strafbare feiten overeenkomstig artikel 22.

Het CIR bestaat uit:

een centrale infrastructuur die in de plaats komt van de centrale systemen van respectievelijk het EES, VIS, Etias, Eurodac en ECRIS-TCN, voor zover de in artikel 18 bedoelde gegevens in deze centrale infrastructuur worden opgeslagen;

een beveiligd communicatiekanaal tussen het CIR, de lidstaten en de Unie-agentschappen die overeenkomstig het Unie- en het nationale recht gebruik mogen maken van het CIR;

een beveiligde communicatie-infrastructuur tussen het CIR, EES, VIS, Etias, Eurodac, ECRIS-TCN en de centrale infrastructuur van het ESP, de gezamenlijke BMS en de MID.

eu-LISA zorgt voor de ontwikkeling en het technische beheer van het CIR.

Indien het CIR vanwege een interne technische storing van het CIR niet kan worden doorzocht met het oog op de identificatie van een persoon uit hoofde van artikel 20, de detectie van meerdere identiteiten uit hoofde van artikel 21 of het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten uit hoofde van artikel 22, stelt eu-LISA de CIR-gebruikers daarvan op geautomatiseerde wijze in kennis.

eu-LISA implementeert samen met de lidstaten voor het CIR een interface control document op basis van de in artikel 38 bedoelde UMF.

Artikel 18

De gegevens van het gemeenschappelijke identiteitsregister

In het CIR worden de volgende gegevens – logisch gescheiden – opgeslagen per informatiesysteem waaruit de gegevens afkomstig zijn:

de gegevens bedoeld in artikel 16, lid 1, onder a) tot en met d), artikel 17, lid 1, onder a), b) en c) en artikel 18, leden 1 en 2, van Verordening (EU) 2017/2226;

de gegevens bedoeld in artikel 9, punt 4, onder a) tot en met c), en de punten 5 en 6 van Verordening (EG) nr. 767/2008;

▼C2

de gegevens bedoeld in artikel 17, lid 2, onder a) en onder b) tot en met e), van Verordening (EU) 2018/1240;

▼B

In het CIR wordt voor elke reeks gegevens, als bedoeld in lid 1, een verwijzing opgenomen naar de Unie-informatiesystemen waar de gegevens toe behoren.

De autoriteiten die het CIR raadplegen voor de in de artikelen 20, 21 en 22 bedoelde doeleinden, doen dit in overeenstemming met hun toegangsrechten uit hoofde van de rechtsinstrumenten betreffende de Unie-informatiesystemen en het nationale recht, en in overeenstemming met hun toegangsrechten krachtens deze verordening.

In het CIR wordt voor elke reeks gegevens als bedoeld in lid 1, een verwijzing opgenomen naar de werkelijke bestanden in de Unie-informatiesystemen waar de gegevens deel van uitmaken.

De opslag van de in lid 1 bedoelde gegevens voldoet aan de in artikel 37, lid 2, bedoelde kwaliteitsnormen.

Artikel 19

Toevoeging, wijziging en wissing van gegevens in het gemeenschappelijke identiteitsregister

Wanneer gegevens worden toegevoegd, gewijzigd of gewist in het EES, VIS en Etias, worden de overeenkomstige in artikel 18 bedoelde gegevens die zijn opgeslagen in het afzonderlijke CIR-bestand, automatisch toegevoegd, gewijzigd of gewist.

Wanneer er overeenkomstig artikel 32 of 33 in de MID een witte of een rode link wordt aangemaakt tussen de gegevens van twee of meer van de Unie-informatiesystemen die deel uitmaken van het CIR, maakt het CIR geen nieuw afzonderlijk bestand aan, maar voegt het de nieuwe gegevens toe aan het afzonderlijke bestand waarin de gelinkte gegevens voorkomen.

Artikel 20

Toegang tot het gemeenschappelijke identiteitsregister met het oog op identificatie

Zoekopdrachten in het CIR worden uitgevoerd door een politieautoriteit van een lidstaat overeenkomstig de leden 2 en 5 en uitsluitend in één van de volgende omstandigheden:

als een politieautoriteit niet in staat is om een persoon te identificeren vanwege het ontbreken van een reisdocument of ander betrouwbaar document dat de identiteit van deze persoon aantoont;

als er twijfel bestaat over de door die persoon verstrekte identiteitsgegevens;

als er twijfel bestaat over de echtheid van het reisdocument of een ander door deze persoon verstrekt betrouwbare document;

als er twijfel bestaat over de identiteit van de houder van een reisdocument of een ander betrouwbare document, of

als een persoon niet in staat is of weigert om mee te werken.

Dergelijke zoekopdrachten zijn niet toegestaan bij kinderen jonger dan twaalf jaar, tenzij dit in het belang van het kind is.

In een van de in lid 1 opgesomde omstandigheden kan een politieautoriteit, mits zij daartoe op grond van nationale wetgevingsmaatregelen als bedoeld in lid 5 is gemachtigd, het CIR doorzoeken aan de hand van de bij een identiteitscontrole ter plaatse genomen biometrische gegevens van een persoon, doch uitsluitend met het oog op de identificatie van die persoon en mits de procedure in aanwezigheid van die persoon is gestart.

Als de zoekopdracht uitwijst dat in het CIR gegevens over die persoon zijn opgeslagen, krijgt de politieautoriteit toegang om de in artikel 18, lid 1, bedoelde gegevens te raadplegen.

Wanneer de biometrische gegevens van de persoon niet kunnen worden gebruikt of wanneer het zoeken aan de hand van die gegevens geen resultaat oplevert, wordt gezocht aan de hand van de identiteitsgegevens van de persoon in combinatie met reisdocumentgegevens, of aan de hand van de door die persoon verstrekte identiteitsgegevens.

Een politieautoriteit kan, mits zij daartoe op grond van nationale wetgevingsmaatregelen als bedoeld in lid 6 is gemachtigd, in geval van een natuurramp, ongeval of terroristische aanslag en uitsluitend met het oog op de identificatie van onbekende personen die niet in staat zijn om zichzelf te legitimeren of de identificatie van niet-geïdentificeerde stoffelijke overschotten, het CIR doorzoeken aan de hand van de biometrische gegevens van die personen.

Lidstaten die gebruik wensen te maken van de in lid 2 bedoelde mogelijkheid, stellen daartoe nationale wetgevingsmaatregelen vast. Hierbij houden de lidstaten rekening met de noodzaak om elke discriminatie van onderdanen van derde landen te vermijden. In zulke wetgevingsmaatregelen wordt bepaald welke specifieke doelstellingen met de identificatie worden nagestreefd in het kader van de in artikel 2, lid 1, onder b) en c) omschreven doelen. Voorts worden in de wetgevingsmaatregelen de bevoegde politieautoriteiten aangewezen en de procedures, voorwaarden en criteria voor deze controles vastgelegd.

Lidstaten die gebruik wensen te maken van de in lid 4 bedoelde mogelijkheid, stellen nationale wetgevingsmaatregelen vast houdende de procedures, voorwaarden en criteria.

Artikel 21

Toegang tot het gemeenschappelijke identiteitsregister met het oog op het detecteren van meerdere identiteiten

Wanneer een zoekopdracht in het CIR overeenkomstig artikel 28, lid 4, een gele link oplevert, krijgt de in artikel 29 bedoelde autoriteit die bevoegd is voor de manuele verificatie van meerdere identiteiten, uitsluitend voor die verificatie toegang tot de in artikel 18, leden 1 en 2, bedoelde in het CIR opgeslagen gegevens die aan elkaar verbonden zijn door de gele link.

Wanneer een zoekopdracht in het CIR overeenkomstig artikel 32 een rode link oplevert, krijgen de in artikel 26, lid 2, bedoelde autoriteiten uitsluitend voor de bestrijding van identiteitsfraude toegang tot de in artikel 18, leden 1 en 2, bedoelde in het CIR opgeslagen gegevens die aan elkaar verbonden zijn door de rode link.

Artikel 22

Doorzoeken van het gemeenschappelijke identiteitsregister met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten

In specifieke gevallen, wanneer er gegronde redenen zijn om aan te nemen dat raadpleging van de Unie-informatiesystemen zal bijdragen aan het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten, met name wanneer er een vermoeden bestaat dat de verdachte, de dader of het slachtoffer van een terroristisch misdrijf of een ander ernstig strafbaar feit een persoon is van wie gegevens opgeslagen zijn in het EES, VIS of Etias, kunnen de aangewezen autoriteiten en Europol het CIR raadplegen om zich ervan te vergewissen of het EES, VIS en Etias gegevens over een specifieke persoon bevatten.

Wanneer het CIR naar aanleiding van een zoekopdracht aangeeft dat het EES, VIS of Etias gegevens over de betrokken persoon bevatten, verwijst het CIR in zijn antwoord aan de aangewezen autoriteiten en Europol naar de Unie-informatiesystemen die de gegevens bevatten die een match opleveren, als bedoeld in artikel 18, lid 2. Het CIR antwoordt op zodanige wijze dat de beveiliging van de gegevens niet in gevaar wordt gebracht.

Het antwoord waarin wordt aangegeven dat in één van de in lid 1 bedoelde Unie-informatiesystemen gegevens over die persoon aanwezig zijn, wordt alleen gebruikt voor het indienen van een verzoek om volledige toegang overeenkomstig de voorwaarden en procedures die zijn vastgelegd in de respectieve rechtsinstrumenten betreffende die toegang.

In geval van een match of meerdere matches verzoekt de aangewezen autoriteit of Europol om volledige toegang tot ten minste een van de informatiesystemen die een match heeft opgeleverd.

Indien bij wijze van uitzondering niet om volledige toegang wordt verzocht, registreren de aangewezen autoriteiten de redenen voor de niet-indiening van het verzoek, hetgeen traceerbaar zal zijn naar het nationale dossier. Europol registreert de redenen hiervoor in het betreffende dossier.

Volledige toegang tot in het EES, VIS of ETIAS opgenomen gegevens met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten blijft onderworpen aan de voorwaarden en procedures als vastgesteld in de desbetreffende rechtsinstrumenten waarbij deze toegang wordt geregeld.

Artikel 23

Bewaring van gegevens in het gemeenschappelijke identiteitsregister

De in artikel 18, leden 1, 2 en 4, bedoelde gegevens worden automatisch gewist in het CIR overeenkomstig de bepalingen over de bewaring van gegevens als vastgesteld in respectievelijk Verordeningen (EU) 2017/2226, (EG) nr. 767/2008 en (EU) 2018/1240.

De termijn voor de opslag van het afzonderlijke bestand in het CIR stemt overeen met die voor de opslag van de overeenkomstige gegevens in ten minste één van de Unie-informatiesystemen waaruit de in het CIR aanwezige gegevens afkomstig zijn. Het aanmaken van een link heeft geen gevolgen voor de bewaringstermijn van elk element van de gelinkte gegevens.

Artikel 24

Bijhouden van logbestanden

Onverminderd artikel 46 van Verordening (EU) 2017/2226, artikel 34 van Verordening (EG) nr. 767/2008 en artikel 69 van Verordening (EU) 2018/1240 houdt eu-LISA overeenkomstig de leden 2, 3 en 4 van dit artikel logbestanden bij van alle gegevensverwerkingsverrichtingen in het CIR.

eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op grond van artikel 20 in het CIR. Deze logbestanden vermelden het volgende:

de lidstaat die of het Unie-agentschap dat de zoekopdracht start;

het doel van de toegang dat wordt beoogd door de gebruiker die een zoekopdracht via het CIR geeft;

de datum en het tijdstip van de zoekopdracht;

het soort gegevens dat is gebruikt om de zoekopdracht te starten;

de resultaten van de zoekopdracht.

eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op grond van artikel 21 in het CIR. Deze logbestanden vermelden het volgende:

de lidstaat die of het Unie-agentschap dat de zoekopdracht start;

het doel van de toegang dat wordt beoogd door de gebruiker die een zoekopdracht via het CIR geeft;

de datum en het tijdstip van de zoekopdracht;

wanneer er een link is aangemaakt, de gegevens die zijn gebruikt om de zoekopdracht te starten en de resultaten van de zoekopdracht en het Unie-informatiesysteem waaruit de gegevens afkomstig zijn.

eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op grond van artikel 22 in het CIR. Deze logbestanden vermelden het volgende:

de datum en het tijdstip van de zoekopdracht;

de gegevens die zijn gebruikt om de zoekopdracht te starten;

de resultaten van de zoekopdracht;

de lidstaat die of het Unie-agentschap dat het CIR doorzoekt.

De logbestanden over deze toegang worden regelmatig, met tussenpozen van ten hoogste zes maanden, geverifieerd door de toezichthoudende autoriteit overeenkomstig artikel 41 van Richtlijn (EU) 2016/680 of door de Europese Toezichthouder voor gegevensbescherming overeenkomstig artikel 43 van Verordening (EU) 2016/794, om na te gaan of de procedures en voorwaarden als bedoeld in artikel 22, leden 1 en 2, van deze verordening in acht zijn genomen.

Elke lidstaat houdt logbestanden bij van de zoekopdrachten die zijn autoriteiten en de voor het gebruik van het CIR naar behoren gemachtigde personeelsleden van die autoriteiten maken overeenkomstig de artikelen 20, 21 en 22. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten die zijn naar behoren gemachtigde personeelsleden maken overeenkomstig de artikelen 21 en 22.

Voorts houden alle lidstaten voor toegang tot het CIR overeenkomstig artikel 22 de volgende logbestanden bij:

het referentiekenmerk van het nationale bestand;

het doel van de toegang;

volgens de nationale regels, het kenmerk van de functionaris die de zoekopdracht heeft verricht en van de functionaris die om de zoekopdracht heeft verzocht.

Overeenkomstig Verordening (EU) 2016/794 houdt Europol voor elke toegang tot het CIR overeenkomstig artikel 22 van deze verordening logbestanden bij van de functionaris die de zoekopdracht heeft verricht en van de functionaris die om de zoekopdracht heeft verzocht.

De in de leden 2 tot en met 6 bedoelde logbestanden mogen uitsluitend worden gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit. Deze logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist als de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

eu-LISA slaat de logbestanden met de geschiedenis op in afzonderlijke bestanden. eu-LISA wist zulke logbestanden automatisch zodra de gegevens worden gewist.

HOOFDSTUK V

Detector van meerdere identiteiten

Artikel 25

Detector van meerdere identiteiten

Om de werking van het CIR te ondersteunen en de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN te bevorderen, wordt een detector van meerdere identiteiten (MID) ingesteld, die zorgt voor het aanmaken en opslaan van een identiteitsbevestigingsbestand als bedoeld in artikel 34, dat links bevat tussen gegevens in de Unie-informatiesystemen die zijn opgenomen in het CIR en het SIS, en op basis daarvan meerdere identiteiten detecteert, met als tweeledig doel de identiteitscontroles te vergemakkelijken en identiteitsfraude te bestrijden.

De MID bestaat uit:

een centrale infrastructuur, waarin links en verwijzingen naar Unie-informatiesystemen worden opgeslagen;

een beveiligde communicatie-infrastructuur om de MID te verbinden met het SIS en de centrale infrastructuur van het ESP en het CIR.

eu-LISA zorgt voor de ontwikkeling en het technische beheer van de MID.

Artikel 26

Toegang tot de detector van meerdere identiteiten

Met het oog op de in artikel 29 bedoelde manuele verificatie van meerdere identiteiten wordt toegang tot de in artikel 34 bedoelde, in de MID opgeslagen gegevens verleend aan:

de bevoegde autoriteiten zoals aangewezen overeenkomstig artikel 9, lid 2, van Verordening (EU) 2017/2226 bij het aanleggen of bijwerken van een persoonlijk dossier in het EES overeenkomstig artikel 14 van die verordening;

de visumautoriteiten bedoeld in artikel 6, lid 1, van Verordening (EG) nr. 767/2008 bij het opstellen of bijwerken van een aanvraagdossier in het VIS overeenkomstig die verordening;

de centrale Etias-eenheid en de nationale Etias-eenheden bij het verrichten van de in de artikelen 22 en 26 van Verordening (EU) 2018/1240 bedoelde verwerking;

het Sirene-bureau van de lidstaat die een SIS-signalering overeenkomstig Verordening (EU) 2018/1860 en Verordening (EU) 2018/1861 creëert of bijwerkt.

De lidstatelijke autoriteiten en de Unie-agentschappen die toegang hebben tot ten minste één Unie-informatiesysteem dat is opgenomen in het CIR of tot het SIS, krijgen toegang tot de in artikel 34, onder a) en b), bedoelde gegevens wanneer sprake is van een rode link als bedoeld in artikel 32.

De lidstatelijke autoriteiten en de Unie-agentschappen hebben toegang tot de in artikel 33 bedoelde witte links als zij toegang hebben tot de twee Unie-informatiesystemen die gegevens bevatten waartussen de witte link is aangemaakt.

De lidstatelijke autoriteiten en de Unie-agentschappen hebben toegang tot de in artikel 31 bedoelde groene links als zij toegang hebben tot de twee Unie-informatiesystemen die gegevens bevatten waartussen de groene link is aangemaakt en een zoekopdracht in die informatiesystemen een match oplevert met de twee reeksen gelinkte gegevens.

Artikel 27

Detectie van meerdere identiteiten

In het CIR en SIS wordt een detectie van meerdere identiteiten gestart wanneer:

een persoonlijk dossier wordt aangelegd of bijgewerkt in het EES overeenkomstig artikel 14 van Verordening (EU) 2017/2226;

een aanvraagdossier wordt opgesteld of bijgewerkt in het VIS overeenkomstig Verordening (EG) nr. 767/2008;

een aanvraagdossier wordt aangemaakt of bijgewerkt in het Etias overeenkomstig artikel 19 van Verordening (EU) 2018/1240;

een signalering van een persoon wordt gecreëerd of bijgewerkt in het SIS overeenkomstig artikel 3 van Verordening (EU) 2018/1860 en hoofdstuk V van Verordening (EU) 2018/1861.

Wanneer de gegevens in een Unie-informatiesysteem als bedoeld in lid 1 biometrische gegevens bevatten, maken het CIR en het centrale SIS voor de detectie van meerdere identiteiten gebruik van de gezamenlijke BMS. De gezamenlijke BMS maakt een vergelijking tussen de uit nieuwe biometrische gegevens verkregen biometrische templates en de reeds in de gezamenlijke BMS opgenomen biometrische templates om na te gaan of over een bepaalde persoon reeds gegevens zijn opgeslagen in het CIR of het centrale SIS.

Naast de in lid 2 bedoelde procedure maken het CIR en het centrale SIS gebruik van het ESP om de in het centrale SIS, respectievelijk het CIR opgeslagen gegevens te doorzoeken aan de hand van de volgende gegevens:

achternaam (familienaam); voornaam of voornamen; geboortedatum, nationaliteit of nationaliteiten, geslacht; als bedoeld in artikel 16, lid 1, onder a), artikel 17, lid 1, en artikel 18, lid 1, van Verordening (EU) 2017/2226;

achternaam (familienaam); voornaam of voornamen; geboortedatum, geslacht, geboorteplaats en geboorteland, en nationaliteiten als bedoeld in artikel 9, punt 4, onder a) en a bis), van Verordening (EG) nr. 767/2008;

achternaam (familienaam); voornaam/voornamen; achternaam bij geboorte; alias(sen), geboortedatum, geboorteplaats, geslacht en huidige nationaliteit als bedoeld in artikel 17, lid 2, van Verordening (EU) 2018/1240;

achternamen; voornamen; naam/namen bij geboorte, voorheen gebruikte namen en aliassen; geboorteplaats, geboortedatum, geslacht en nationaliteiten als bedoeld in artikel 20, lid 2, van Verordening (EU) 2018/1861;

achternamen; voornamen; namen bij geboorte, voorheen gebruikte namen en aliassen; geboorteplaats, geboortedatum, geslacht en nationaliteiten als bedoeld in artikel 4 van Verordening (EU) 2018/1860.

Naast de in de leden 2 en 3 bedoelde procedure maken het CIR en het centrale SIS gebruik van het ESP om de in het centrale SIS, respectievelijk het CIR opgeslagen gegevens te doorzoeken aan de hand van reisdocumentgegevens.

De detectie van meerdere identiteiten wordt alleen gestart om gegevens die in een Unie-informatiesysteem beschikbaar zijn, te vergelijken met gegevens die in andere Unie-informatiesystemen beschikbaar zijn.

Artikel 28

Resultaten van de detectie van meerdere identiteiten

Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, geen match oplevert, blijven de in artikel 27, lid 1, bedoelde procedures erop van toepassing overeenkomstig de desbetreffende rechtsinstrumenten.

Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, een of meer matches oplevert, maakt het CIR, en in voorkomend geval het SIS, een link aan tussen de gegevens die zijn gebruikt om de zoekopdracht te starten en de gegevens die tot de match hebben geleid.

In het geval van meerdere matches wordt een link aangemaakt tussen alle gegevens die tot de match hebben geleid. Als de gegevens al gelinkt waren, wordt de bestaande link uitgebreid tot de gegevens die zijn gebruikt om de zoekopdracht te starten.

Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, een of meer matches oplevert en de identiteitsgegevens van de gelinkte bestanden identiek of vergelijkbaar zijn, wordt een witte link aangemaakt overeenkomstig artikel 33.

Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, een of meer matches oplevert en de identiteitsgegevens van de gelinkte bestanden niet als vergelijkbaar kunnen worden beschouwd, wordt een gele link aangemaakt overeenkomstig artikel 30 en is de in artikel 29 bedoelde procedure van toepassing.

De Commissie stelt overeenkomstig artikel 73 bij gedelegeerde handelingen de procedures vast aan de hand waarvan moet worden bepaald welke identiteitsgegevens als identiek of vergelijkbaar moeten worden beschouwd.

De links worden opgeslagen in het in artikel 34 bedoelde identiteitsbevestigingsbestand.

De Commissie stelt in samenwerking met eu-LISA bij uitvoeringshandelingen de technische voorschriften vast voor het aanmaken van links tussen gegevens uit verschillende Unie-informatiesystemen. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 29

Manuele verificatie van meerdere identiteiten en de verantwoordelijke autoriteiten

Onverminderd lid 2 is de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit:

de bevoegde autoriteit die is aangewezen overeenkomstig artikel 9, lid 2, van Verordening (EU) 2017/2226 voor matches die zich voordoen bij het aanleggen of bijwerken van een persoonlijk dossier in het EES overeenkomstig die verordening;

de bevoegde visumautoriteiten bedoeld in artikel 6, lid 1, van Verordening (EG) nr. 767/2008 voor matches die zich voordoen bij het aanleggen of wijzigen van een aanvraagdossier in het VIS overeenkomstig die verordening;

de centrale Etias-eenheid en de nationale Etias-eenheden voor matches die zich voordoen bij het aanmaken of bijwerken van een aanvraagdossier overeenkomstig van Verordening (EU) 2018/1240;

het Sirene-bureau van de lidstaat voor matches die zich voordoen bij het creëren of bijwerken van een SIS-signalering overeenkomstig Verordening (EU) 2018/1860 en Verordening (EU) 2018/1861.

De MID vermeldt in het identiteitsbevestigingsbestand welke autoriteit verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

De in het identiteitsbevestigingsbestand bedoelde voor de manuele verificatie van meerdere identiteiten bevoegde autoriteit is het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd wanneer er een link wordt aangemaakt met gegevens in een signalering:

van personen die worden gezocht met het oog op aanhouding ten behoeve van overlevering of uitlevering als bedoeld in artikel 26 van Verordening (EU) 2018/1862;

van vermiste of kwetsbare personen als bedoeld in artikel 32 van Verordening (EU) 2018/1862;

van personen die worden gezocht met het oog op een gerechtelijke procedure als bedoeld in artikel 34 van Verordening (EU) 2018/1862;

van personen met het oog op onopvallende controle, ondervragingscontrole of gerichte controle als bedoeld in artikel 36 van Verordening (EU) 2018/1862.

Onverminderd lid 4 van dit artikel, heeft de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit toegang tot de gelinkte gegevens in het desbetreffende identiteitsbevestigingsbestand en tot de gelinkte identiteitsgegevens in het CIR en, in voorkomend geval, in het SIS. Zij beoordeelt onverwijld de meerdere identiteiten. Als zij die beoordeling heeft afgerond, werkt zij de link bij overeenkomstig de artikelen 31, 32 en 33 en voegt deze onverwijld toe aan het identiteitsbevestigingsbestand.

Wanneer de voor de manuele verificatie van meerdere identiteiten in het identiteitsbevestigingsbestand verantwoordelijke autoriteit de bevoegde autoriteit is die is aangewezen overeenkomstig artikel 9, lid 2, van Verordening (EU) 2017/2226 die een afzonderlijk bestand in het EES aanlegt of bijwerkt overeenkomstig artikel 14 van die verordening, en er een gele link is aangemaakt, verricht de grensautoriteit aanvullende verificaties. Uitsluitend met het oog daarop heeft die autoriteit toegang tot de daarmee verband houdende identiteitsgegevens in het identiteitsbevestigingsbestand. Zij beoordeelt de verschillende identiteiten, werkt de link bij overeenkomstig de artikelen 31, 32 en 33 van die verordening en voegt deze link onverwijld toe aan het identiteitsbevestigingsbestand.

Die manuele verificatie van meerdere identiteiten wordt geïnitieerd in het bijzijn van de betrokkene, die de gelegenheid moet krijgen om de omstandigheden toe te lichten aan de verantwoordelijke autoriteit, die deze toelichting in aanmerking moet nemen.

In gevallen waarin de manuele verificatie van meerdere identiteiten plaatsvindt aan de grens, moet de verificatie zo mogelijk binnen twaalf uur na de aanmaak van een gele link overeenkomstig artikel 28, lid 4, geschieden.

Indien meer dan één link wordt aangemaakt, wordt elke link afzonderlijk beoordeeld door de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

Als de gegevens die een match opleveren, al gelinkt waren, houdt de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, rekening met de bestaande links wanneer zij het aanmaken van nieuwe links beoordeelt.

Artikel 30

Gele link

Wanneer er nog geen de manuele verificatie van meerdere identiteiten is verricht, wordt een link tussen gegevens uit twee of meer Unie-informatiesystemen in de volgende gevallen ingedeeld als geel:

de gelinkte gegevens hebben dezelfde biometrische gegevens maar vergelijkbare of verschillende identiteitsgegevens;

de gelinkte gegevens hebben verschillende identiteitsgegevens maar dezelfde reisdocumentgegevens, en ten minste een van de Unie-informatiesystemen bevat geen biometrische gegevens van de betrokkene;

de gelinkte gegevens hebben dezelfde identiteitsgegevens maar verschillende biometrische gegevens;

de gelinkte gegevens hebben vergelijkbare of verschillende identiteitsgegevens, dezelfde reisdocumentgegevens, maar verschillende biometrische gegevens.

Indien een link overeenkomstig lid 1 is ingedeeld als geel, is de procedure van artikel 29 van toepassing.

Artikel 31

Groene link

Een link tussen gegevens van twee of meer Unie-informatiesystemen wordt in de volgende gevallen ingedeeld als groen:

de gelinkte gegevens hebben verschillende biometrische gegevens maar dezelfde identiteitsgegevens en verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, naar twee verschillende personen;

de gelinkte gegevens hebben verschillende biometrische gegevens, hebben vergelijkbare of verschillende identiteitsgegevens, hebben dezelfde reisdocumentgegevens en verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten naar twee verschillende personen;

de gelinkte gegevens hebben verschillende identiteitsgegevens, maar hebben dezelfde reisdocumentgegevens, ten minste een van de Unie-informatiesystemen bevat geen biometrische gegevens van de betrokkene en de gegevens verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten naar twee verschillende personen.

Wanneer het CIR of het SIS wordt doorzocht en er een groene link bestaat tussen gegevens in twee of meer van de Unie-informatiesystemen, geeft de MID aan dat de identiteitsgegevens van de gelinkte gegevens niet overeenstemmen met dezelfde persoon.

Wanneer een lidstatelijke autoriteit beschikt over bewijs dat een groene link foutief is ingevoerd in de MID, dat een groene link niet actueel is of dat de gegevens in de MID of de Unie-informatiesystemen in strijd met deze verordening werden verwerkt, controleert die autoriteit de desbetreffende gegevens die in het CIR en het CIS zijn opgeslagen, en indien nodig corrigeert zij de link of wist zij deze onverwijld uit de MID. De lidstatelijke autoriteit stelt de lidstaat die verantwoordelijk is voor de manuele verificatie van de meerdere identiteiten hiervan onverwijld in kennis.

Artikel 32

Rode link

Een link tussen gegevens van twee of meer Unie-informatiesystemen wordt in de volgende gevallen ingedeeld als rood:

de gelinkte gegevens hebben dezelfde biometrische gegevens maar hebben vergelijkbare of verschillende identiteitsgegevens, en verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten op ongerechtvaardigde wijze naar dezelfde persoon;

de gelinkte gegevens hebben dezelfde, vergelijkbare of verschillende identiteitsgegevens en dezelfde reisdocumentgegevens, maar verschillende biometrische gegevens en verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten op ongerechtvaardigde wijze naar twee verschillende personen van wie minstens één gebruikmaakt van hetzelfde reisdocument;

de gelinkte gegevens hebben dezelfde identiteitsgegevens maar verschillende biometrische gegevens en verschillende of geen reisdocumentgegevens, en verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, op ongerechtvaardigde wijze naar twee verschillende personen;

de gelinkte gegevens hebben verschillende identiteitsgegevens en dezelfde reisdocumentgegevens, en ten minste een van de Unie-informatiesystemen bevat geen biometrische gegevens van de betrokkene, en de gelinkte gegevens verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten op ongerechtvaardigde wijze naar dezelfde persoon.

Wanneer het CIR of het SIS wordt doorzocht en er een rode link bestaat tussen gegevens in twee of meer van de Unie-informatiesystemen die deel uitmaken van het CIR of het SIS, vermeldt de MID in zijn antwoord de in artikel 34 bedoelde gegevens. De follow-up van een rode link verloopt overeenkomstig het Unierecht en het nationaal recht, waarbij eventuele rechtsgevolgen voor de betrokkene uitsluitend worden gebaseerd op de gegevens met betrekking tot die persoon. Het bestaan van een rode link op zich heeft voor de betrokken persoon geen rechtsgevolgen.

Wanneer er een rode link wordt aangemaakt tussen gegevens in het EES, VIS, Etias, Eurodac of ECRIS-TCN, wordt het in het CIR opgeslagen afzonderlijke bestand bijgewerkt overeenkomstig artikel 19, lid 2.

Onverminderd de bepalingen in verband met de behandeling van signaleringen in het SIS zoals vervat in de Verordeningen (EU) 2018/1860, (EU) 2018/1861 en (EU) 2018/1862 en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat geen enkel nationaal onderzoek in gevaar wordt gebracht, meldt de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, in het geval van een rode link, aan de betrokkene dat meerdere onrechtmatige identiteiten zijn geconstateerd en verstrekt de betrokkene het unieke identificatienummer als bedoeld in artikel 34, onder c), van deze verordening informatie over de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten als bedoeld in artikel 34, onder d), van deze verordening en het internetadres van het overeenkomstig artikel 49 van deze verordening opgerichte webportaal.

De in lid 4 bedoelde informatie wordt door de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten schriftelijk meegedeeld via een standaardformulier. De Commissie stelt de inhoud en de presentatie van dat formulier vast door middel van uitvoeringshandelingen. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Wanneer een rode link wordt aangemaakt, stelt de MID de autoriteiten die verantwoordelijk zijn voor de gelinkte gegevens hiervan automatisch in kennis.

Wanneer een lidstatelijke autoriteit of een Unie-agentschap met toegang tot het CIR of het SIS bewijs verkrijgt dat een rode link foutief in de MID is geregistreerd of dat de gegevens in de MID, het CIR of het SIS in strijd met deze verordening werden verwerkt, controleert die autoriteit of dat agentschap de relevante gegevens die zijn opgeslagen in het CIR of het SIS en, indien nodig:

stelt zij het relevante Sirene-bureau van de lidstaat die de SIS-signalering heeft gecreëerd onmiddellijk hiervan in kennis, als de link betrekking heeft op een van de in artikel 29, lid 2, bedoelde SIS-signaleringen

in alle andere gevallen corrigeert zij de link of verwijdert zij de link onmiddellijk uit de MID.

Indien een Sirene-bureau overeenkomstig punt a) van de eerste alinea is gecontacteerd, controleert het het door de lidstatelijke autoriteit of het Unie-agentschap verstrekte bewijs en corrigeert zij waar nodig de link of verwijdert zij deze onmiddellijk uit de MID.

De autoriteit van de lidstaat die dergelijk bewijs verkrijgt, stelt de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat onverwijld in kennis van een relevante correctie of verwijdering van een rode link.

Artikel 33

Witte link

Een link tussen gegevens van twee of meer Unie-informatiesystemen wordt in de volgende gevallen ingedeeld als wit:

de gelinkte gegevens hebben dezelfde biometrische gegevens en dezelfde of vergelijkbare identiteitsgegevens;

de gelinkte gegevens hebben dezelfde of vergelijkbare identiteitsgegevens, dezelfde reisdocumentgegevens en ten minste één informatiesysteem heeft geen biometrische gegevens van de betrokkene;

de gelinkte gegevens hebben dezelfde biometrische gegevens, dezelfde reisdocumentgegevens en vergelijkbare identiteitsgegevens;

de gelinkte gegevens hebben dezelfde biometrische gegevens maar dezelfde of andere identiteitsgegevens, en verwijzen volgens de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit, op gerechtvaardigde wijze naar dezelfde persoon.

Wanneer het CIR of het SIS wordt doorzocht en er een witte link bestaat tussen gegevens in twee of meer van de Unie-informatiesystemen, geeft de MID aan dat de identiteitsgegevens van de gelinkte gegevens overeenstemmen met dezelfde persoon. De doorzochte Unie-informatiesystemen vermelden in hun antwoord, in voorkomend geval, alle gelinkte gegevens van de persoon en brengen zo een match tot stand met de gegevens waartussen een witte link bestaat, indien de autoriteit die de zoekopdracht heeft gestart, overeenkomstig het Unie- of nationaal recht toegang heeft tot de gelinkte gegevens.

Wanneer er een witte link wordt aangemaakt tussen gegevens van het EES, VIS, Etias, Eurodac of ECRIS-TCN, wordt het afzonderlijke bestand dat in het CIR is opgeslagen, bijgewerkt overeenkomstig artikel 19, lid 2.

Onverminderd de bepalingen in verband met de behandeling van signaleringen in het SIS als bedoeld in de Verordeningen (EU) 2018/1860, (EU) 2018/1861 en (EU) 2018/1862 en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat geen enkel nationaal onderzoek in gevaar wordt gebracht, meldt de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, wanneer er een witte link is aangemaakt na een manuele verificatie van meerdere identiteiten, aan de betrokkene dat vergelijkbare of verschillende identiteiten zijn geconstateerd en verstrekt zij de persoon met het in artikel 34, onder c), van deze verordening bedoelde unieke identificatienummer informatie over de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten als bedoeld in artikel 34, onder d), van deze verordening en het internetadres van het overeenkomstig artikel 49 van deze verordening opgerichte webportaal.

Wanneer een lidstatelijke autoriteit beschikt over bewijs dat een witte link foutief is geregistreerd in de MID, een witte link niet actueel is of dat de gegevens in de MID of de Unie-informatiesystemen in strijd met deze verordening werden verwerkt, controleert die autoriteit de relevante gegevens die zijn opgeslagen in het CIR en het CIS en indien nodig corrigeert zij de link of verwijdert zij deze onverwijld uit de MID. De lidstatelijke autoriteit stelt de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat hiervan onverwijld in kennis.

De in lid 4 bedoelde informatie wordt door de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit schriftelijk meegedeeld via een standaardformulier. De Commissie stelt de inhoud en de presentatie van dat formulier vast door middel van uitvoeringshandelingen. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 34

Identiteitsbevestigingsbestand

Het identiteitsbevestigingsbestand bevat de volgende gegevens:

de links als bedoeld in de artikelen 30 tot en met 33;

een verwijzing naar de Unie-informatiesystemen waarin de gelinkte gegevens worden bewaard;

een uniek identificatienummer om de gegevens van de gelinkte bestanden op te vragen uit de desbetreffende Unie-informatiesystemen;

de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit;

de datum waarop de link is aangemaakt of bijgewerkt.

Artikel 35

Bewaring van gegevens in de detector van meerdere identiteiten

De termijn voor opslag van de identiteitsbevestigingsbestanden en de desbetreffende gegevens, inclusief links, in de MID is niet langer dan die voor de opslag van de gelinkte gegevens die zijn opgeslagen in twee of meer Unie-informatiesystemen. Zij worden automatisch gewist uit de MID.

Artikel 36

Bijhouden van logbestanden

eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen in de MID. In deze logbestanden wordt het volgende vermeld:

de lidstaat die de zoekopdracht start;

het doel waarvoor de gebruiker toegang heeft;

de datum en het tijdstip van de zoekopdracht;

het soort gegevens dat is gebruikt om de zoekopdracht te starten;

de referentie naar de gelinkte gegevens;

de geschiedenis van het identiteitsbevestigingsbestand.

Elke lidstaat houdt logbestanden bij van de zoekopdrachten van zijn autoriteiten en van de personeelsleden van die autoriteiten die naar behoren gemachtigd zijn om de MID te gebruiken. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

De in de leden 1 en 2 bedoelde logbestanden worden uitsluitend gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit. Deze logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist als de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

HOOFDSTUK VI

Maatregelen ter ondersteuning van interoperabiliteit

Artikel 37

Gegevenskwaliteit

Onverminderd de verantwoordelijkheden van de lidstaten met betrekking tot de kwaliteit van de in de systemen opgeslagen gegevens, stelt eu-LISA automatische mechanismen en procedures vast voor het controleren van de kwaliteit van de gegevens die worden opgeslagen in het EES, VIS, Etias, SIS, de gezamenlijke BMS en het CIR.

eu-LISA voorziet in mechanismen voor evaluatie van de nauwkeurigheid van de gezamenlijke BMS, gemeenschappelijke indicatoren voor gegevenskwaliteit, en de minimumkwaliteitsnormen voor de opslag van gegevens in het EES, VIS, Etias, SIS, de gezamenlijke BMS en het CIR.

In het EES, VIS, Etias, SIS, de gezamenlijke BMS, het CIR en de MID mogen alleen gegevens worden ingevoerd die aan de minimumkwaliteitsnormen voldoen.

eu-LISA brengt regelmatig verslag uit aan de lidstaten over de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit en over de gemeenschappelijke indicatoren voor gegevenskwaliteit. eu-LISA brengt ook regelmatig verslag uit aan de Commissie over kwesties die zijn geconstateerd en de hierbij betrokken lidstaten. eu-LISA legt dat verslag op verzoek ook voor aan het Europees Parlement en de Raad. De in dit lid bedoelde verslagen bevatten in geen geval persoonsgegevens.

Bij uitvoeringshandelingen worden nadere bepalingen vastgesteld inzake de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen voor de opslag van gegevens in het EES, VIS, Etias, SIS, de gezamenlijke BMS en het CIR, met name met betrekking tot biometrische gegevens. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Eén jaar na de vaststelling van de automatische mechanismen en procedures voor het controleren van gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumgegevenskwaliteitsnormen, en vervolgens om het jaar, evalueert de Commissie de prestaties van de lidstaten op het gebied van gegevenskwaliteit en doet zij zo nodig aanbevelingen. De lidstaten dienen bij de Commissie een actieplan in om de in het evaluatieverslag geconstateerde gebreken te verhelpen, met name problemen in verband met de gegevenskwaliteit die het gevolg zijn van verkeerde gegevens in de Unie-informatiesystemen. De lidstaten brengen op gezette tijden verslag uit aan de Commissie over de voortgang van het actieplan tot dit volledig is uitgevoerd.

De Commissie legt het evaluatieverslag voor aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming, het Europees Comité voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten dat is opgericht bij Verordening (EG) nr. 168/2007 van de Raad ( 7 ).

Artikel 38

Universal Message Format

Hierbij wordt de norm inzake het Universal Message Format (UMF) ingesteld. De UMF-norm definieert bepaalde elementen van de inhoud van grensoverschrijdende informatie-uitwisseling tussen informatiesystemen, autoriteiten of organisaties op het gebied van justitie en binnenlandse zaken.

De UMF-norm wordt toegepast bij de ontwikkeling van het EES, ETIAS, ESP, CIR, de MID en in voorkomend geval bij de ontwikkeling, door eu-LISA of een ander Unie-agentschap, van nieuwe informatie-uitwisselingsmodellen en informatiesystemen op het gebied van justitie en binnenlandse zaken.

De Commissie stelt een uitvoeringshandeling vast voor het vastleggen en ontwikkelen van de in lid 1 van dit artikel bedoelde UMF-norm. Die uitvoeringshandeling wordt overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 39

Centraal register voor rapportage en statistieken

▼M3

Er wordt een centraal register voor rapportage en statistieken (CRRS) ingesteld om de doelstellingen van het EES, VIS, ETIAS en SIS in overeenstemming met de voor die systemen respectievelijk geldende rechtsinstrumenten te ondersteunen en om te voorzien in systeemoverschrijdende statistische gegevens en analytische verslagen voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit. Het CRRS ondersteunt tevens de doelstellingen van Verordening (EU) 2025/12 van het Europees Parlement en de Raad ( 8 ).

eu-LISA zorgt op zijn technische locaties voor het instellen, implementeren en hosten van het CRRS met daarin de logisch per EU-informatiesysteem gescheiden gegevens en statistieken zoals bedoeld in artikel 63 van Verordening (EU) 2017/2226, artikel 17 van Verordening (EG) nr. 767/2008, artikel 84 van Verordening (EU) 2018/1240, artikel 60 van Verordening (EU) 2018/1861 en artikel 16 van Verordening (EU) 2018/1860. eu-LISA verzamelt ook de gegevens en statistieken van de router zoals bedoeld in artikel 38, lid 1, van Verordening (EU) 2025/12. Toegang tot het CRRS wordt door middel van gecontroleerde, beveiligde toegang en specifieke gebruikersprofielen uitsluitend met het oog op het opstellen van rapporten en statistieken verleend aan de in artikel 63 van Verordening (EU) 2017/2226, artikel 17 van Verordening (EG) nr. 767/2008, artikel 84 van Verordening (EU) 2018/1240, artikel 60 van Verordening (EU) 2018/1861 en artikel 45, lid 2, van Verordening (EU) 2025/12 bedoelde autoriteiten.

▼B

eu-LISA anonimiseert de gegevens en registreert de geanonimiseerde gegevens in het CRRS. Het anonimiseren van de gegevens gebeurt automatisch.

Aan de hand van in het CRRS opgenomen gegevens kunnen geen personen worden geïdentificeerd.

Het CRRS bestaat uit:

instrumenten die nodig zijn voor het anonimiseren van gegevens;

een centrale infrastructuur, bestaande uit een gegevensregister van anonieme gegevens;

een beveiligde communicatie-infrastructuur voor de verbinding van het CRRS met het EES, VIS, ETIAS en SIS en met de centrale infrastructuur van de gezamenlijke BMS, het CIR en de MID.

De Commissie stelt overeenkomstig artikel 73 bij gedelegeerde handeling nadere bepalingen vast inzake de werking van het CRRS, met inbegrip van specifieke waarborgen voor de verwerking van persoonsgegevens overeenkomstig de leden 2 en 3 van dit artikel, en veiligheidsvoorschriften voor het register.

HOOFDSTUK VII

Gegevensbescherming

Artikel 40

Verwerkingsverantwoordelijke

Met betrekking tot de verwerking van gegevens in de gezamenlijke BMS zijn de autoriteiten van de lidstaten die verwerkingsverantwoordelijke zijn voor het EES, VIS of SIS verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 of artikel 3, punt 8, van Richtlijn (EU) 2016/680 met betrekking tot de door hen in de onderliggende systemen ingevoerde biometrische templates die worden verkregen uit de in artikel 13 van deze verordening bedoelde gegevens, en zijn deze autoriteiten verantwoordelijk voor de verwerking van de biometrische templates in de gezamenlijke BMS.

Met betrekking tot de verwerking van gegevens in het CIR zijn de autoriteiten van de lidstaten die verwerkingsverantwoordelijke zijn voor het EES, VIS of Etias verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 met betrekking tot de in artikel 18 van deze verordening bedoelde gegevens die zij in de onderliggende systemen invoeren, en zijn deze autoriteiten verantwoordelijk voor de verwerking van die persoonsgegevens in het CIR.

Met betrekking tot de verwerking van gegevens in de MID geldt dat:

het Europees Grens- en kustwachtagentschap met betrekking tot de verwerking van persoonsgegevens door de centrale Etias-eenheid een verwerkingsverantwoordelijke is in de zin van artikel 3, punt 8, van Verordening (EU) 2018/1725;

de lidstatelijke autoriteiten die toevoegingen of wijzigingen aanbrengen aan de gegevens in het identiteitsbevestigingsbestand verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 of artikel 3, punt 8, van Richtlijn (EU) 2016/680 zijn en verantwoordelijk zijn voor de verwerking van de persoonsgegevens in de MID.

Met het oog op het toezicht op de gegevensbescherming, waaronder het controleren van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, hebben de verwerkingsverantwoordelijken voor interne monitoring als bedoeld in artikel 44 toegang tot de in de artikelen 10, 16, 24 en 36 bedoelde logbestanden.

Artikel 41

Verwerker

Met betrekking tot de verwerking van persoonsgegevens in de gezamenlijke BMS, het CIR en de MID is eu-LISA de verwerker in de zin van artikel 3, punt 12, onder a), van Verordening (EU) 2018/1725.

Artikel 42

Beveiliging van de verwerking

eu-LISA, de centrale Etias-eenheid, Europol en de lidstatelijke autoriteiten zorgen voor de beveiliging van de verwerking van persoonsgegevens uit hoofde van deze verordening. eu-LISA, de centrale Etias-eenheid, Europol en de lidstatelijke autoriteiten werken samen aan taken op het gebied van beveiliging.

Onverminderd artikel 33 van Verordening (EU) 2018/1725 neemt eu-LISA de nodige maatregelen ter beveiliging van de interoperabiliteitscomponenten en de bijbehorende communicatie-infrastructuur.

Met name neemt eu-LISA passende maatregelen, waaronder de vaststelling van een veiligheidsplan, een bedrijfscontinuïteitsplan en een uitwijkplan, om:

de gegevens fysiek te beschermen, onder meer met noodplannen voor de bescherming van kritieke infrastructuur;

te voorkomen dat onbevoegden toegang krijgen tot gegevensverwerkende apparatuur en installaties;

te voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen;

te voorkomen dat gegevens onrechtmatig worden ingevoerd en dat opgeslagen persoonsgegevens onrechtmatig worden ingezien, gewijzigd of verwijderd;

te voorkomen dat gegevens onrechtmatig worden verwerkt, gekopieerd, gewijzigd of verwijderd;

te voorkomen dat onbevoegden de systemen voor geautomatiseerde gegevensverwerking gebruiken met behulp van datatransmissieapparatuur;

te waarborgen dat personen die toestemming hebben voor toegang tot de interoperabiliteitscomponenten, uitsluitend toegang hebben tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft, en uitsluitend door middel van persoonlijke gebruikersidentiteiten en geheime toegangsprocedures;

te waarborgen dat kan worden nagegaan en vastgesteld aan welke autoriteiten persoonsgegevens mogen worden doorgegeven door middel van datatransmissieapparatuur;

te waarborgen dat kan worden nagegaan en vastgesteld welke gegevens wanneer, door wie en met welk doel in de interoperabiliteitscomponenten zijn verwerkt;

te voorkomen, in het bijzonder door middel van passende versleutelingstechnieken, dat bij de doorgifte van persoonsgegevens vanuit en naar de interoperabiliteitscomponenten of gedurende het transport van gegevensdragers de gegevens onrechtmatig worden gelezen, gekopieerd, gewijzigd of verwijderd;

ervoor te zorgen dat de normale werking van de gebruikte systemen in geval van storing kan worden hersteld;

te zorgen voor betrouwbaarheid door te garanderen dat eventuele functionele storingen in de interoperabiliteitscomponenten correct worden gesignaleerd;

de doelmatigheid van de in dit lid bedoelde beveiligingsmaatregelen te controleren, met betrekking tot de interne controle de nodige organisatorische maatregelen te nemen om te waarborgen dat deze verordening wordt nageleefd en die beveiligingsmaatregelen te beoordelen in het licht van nieuwe technologische ontwikkelingen.

Om de verwerking van persoonsgegevens door autoriteiten met recht op toegang tot een of meer interoperabiliteitscomponenten te beveiligen, nemen de lidstaten, Europol en de centrale Etias-eenheid maatregelen die gelijkwaardig zijn aan die van lid 3 van dit artikel.

Artikel 43

Beveiligingsincidenten

Elke gebeurtenis die gevolgen heeft of kan hebben voor de beveiliging van de interoperabiliteitscomponenten of kan leiden tot beschadiging of verlies van gegevens die in de componenten zijn opgeslagen, wordt beschouwd als een beveiligingsincident, met name wanneer onrechtmatige toegang tot gegevens kan zijn verkregen of wanneer de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens in gevaar is of kan zijn gekomen.

Het beheer van beveiligingsincidenten is gericht op een snelle, doeltreffende en passende reactie.

Onverminderd de melding en mededeling van een inbreuk in verband met persoonsgegevens uit hoofde van artikel 33 van Verordening (EU) 2016/679, artikel 30 van Richtlijn (EU) 2016/680, of beide, stellen de lidstaten de Commissie, eu-LISA, de bevoegde toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming onverwijld in kennis van beveiligingsincidenten.

Onverminderd de artikelen 34 en 35 van Verordening (EU) 2018/1725 en artikel 34 van Verordening (EU) 2016/794 stellen de centrale Etias-eenheid en Europol de Commissie, eu-LISA en de Europese Toezichthouder voor gegevensbescherming onverwijld in kennis van eventuele beveiligingsincidenten.

eu-LISA stelt de Commissie en de Europese Toezichthouder voor gegevensbescherming onverwijld in kennis van beveiligingsincidenten in verband met de centrale infrastructuur van de interoperabiliteitscomponenten.

Informatie betreffende een beveiligingsincident dat gevolgen heeft of kan hebben voor de werking van interoperabiliteitscomponenten of voor de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens, wordt onverwijld aan de lidstaten, de centrale Etias-eenheid en Europol verstrekt en gerapporteerd in overeenstemming met het door eu-LISA te verstrekken incidentenbeheerplan.

De betrokken lidstaten, de centrale ETIAS-eenheid, Europol en eu-LISA werken samen wanneer zich een beveiligingsincident voordoet. De Commissie stelt bij uitvoeringshandelingen de specificaties van deze samenwerkingsprocedure vast. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 44

Interne monitoring

De lidstaten en de betrokken Unie-agentschappen zorgen ervoor dat elke autoriteit met recht op toegang tot de interoperabiliteitscomponenten de nodige maatregelen treft met het oog op de naleving van deze verordening en, indien nodig, samenwerkt met de toezichthoudende autoriteit.

De in artikel 40 bedoelde verwerkingsverantwoordelijke neemt de nodige maatregelen, waaronder frequente verificatie van de in de artikelen 10, 16, 24 en 36 bedoelde logbestanden, om na te gaan of de gegevens in overeenstemming met deze verordening worden verwerkt, en werkt indien nodig samen met de toezichthoudende autoriteiten en met de Europese Toezichthouder voor gegevensbescherming.

Artikel 45

Sancties

De lidstaten zorgen ervoor dat misbruik, verwerking of uitwisseling van gegevens in strijd met deze verordening strafbaar wordt gesteld volgens het nationaal recht. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.

Artikel 46

Aansprakelijkheid

Onverminderd het recht op schadevergoeding door en de aansprakelijkheid van de verwerkingsverantwoordelijke of de verwerker uit hoofde van Verordening (EU) 2016/679, Richtlijn (EU) 2016/680 en Verordening (EU) 2018/1725, geldt het volgende:

iedere persoon of lidstaat die als gevolg van onrechtmatige gegevensverwerking of een andere met deze verordening strijdige handeling vanwege een lidstaat materiële of immateriële schade heeft geleden, is gerechtigd om van die lidstaat schadevergoeding te ontvangen;

iedere persoon of lidstaat die als gevolg van een met deze verordening strijdige handeling vanwege Europol, het Europees Grens- en kustwachtagentschap of eu-LISA materiële of immateriële schade heeft geleden, is gerechtigd om van het desbetreffende agentschap schadevergoeding te ontvangen.

De betrokken lidstaat, Europol, het Europees Grens- en kustwachtagentschap of eu-LISA wordt geheel of gedeeltelijk van zijn aansprakelijkheid op grond van de eerste alinea ontheven indien hij kan aantonen niet verantwoordelijk te zijn voor het feit dat de schade heeft veroorzaakt.

Indien schade aan de interoperabiliteitscomponenten ontstaat doordat een lidstaat zijn verplichtingen uit hoofde van deze verordening niet is nagekomen, is deze lidstaat daarvoor aansprakelijk, tenzij en voor zover eu-LISA of een andere door deze verordening gebonden lidstaat, heeft nagelaten redelijke stappen te ondernemen om het optreden van de schade te voorkomen of de omvang ervan zo veel mogelijk te beperken.

Op vorderingen tegen een lidstaat tot vergoeding van de in de leden 1 en 2 bedoelde schade is het nationale recht van de verwerende lidstaat van toepassing. Op vorderingen tegen de verwerkingsverantwoordelijke of eu-LISA tot vergoeding van de in de leden 1 en 2 bedoelde schade zijn de in de Verdragen bepaalde voorwaarden van toepassing.

Artikel 47

Recht op informatie

De autoriteit die de persoonsgegevens verzamelt die moeten worden opgeslagen in de gezamenlijke BMS, het CIR of de MID, verstrekt de personen van wie gegevens zijn verzameld de informatie die is vereist uit hoofde van de artikelen 13 en 14 van Verordening (EU) 2016/679, de artikelen 12 en 13 van Richtlijn (EU) 2016/680 en de artikelen 15 en 16 van Verordening (EU) 2018/1725. De autoriteit verstrekt deze informatie op het tijdstip waarop dergelijke persoonsgegevens worden verzameld.

Alle informatie wordt verstrekt in duidelijke en eenvoudige taal, in een taalversie die de betrokkene begrijpt of waarvan redelijkerwijs kan worden aangenomen dat hij die begrijpt. Dit betekent ook dat informatie aan minderjarige betrokkenen wordt verstrekt op een wijze die bij hun leeftijd past.

Personen van wie gegevens in het EES, VIS of ETIAS worden opgeslagen, worden overeenkomstig lid 1 in kennis gesteld van de verwerking van persoonsgegevens met het oog op de toepassing van deze verordening, wanneer:

een persoonlijk dossier wordt aangelegd of bijgewerkt in het EES overeenkomstig artikel 14 van Verordening (EU) 2017/2226;

een aanvraagdossier wordt opgesteld of bijgewerkt in het VIS overeenkomstig artikel 8 van Verordening (EG) nr. 767/2008;

een aanvraagdossier wordt aangemaakt of bijgewerkt in het Etias overeenkomstig artikel 19 van Verordening (EU) 2018/1240.

Artikel 48

Recht van toegang tot en rectificatie en wissing van in de MID opgeslagen persoonsgegevens en beperking van de verwerking van persoonsgegevens

Voor de uitoefening van hun rechten krachtens de artikelen 15 tot en met 18 van Verordening (EU) 2016/679, de artikelen 17 tot en met 20 van Verordening (EU) 2018/1725 en de artikelen 14, 15 en 16 van Richtlijn (EU) 2016/680 heeft elke persoon het recht om zich te wenden tot de bevoegde autoriteit van een lidstaat, die het verzoek zal onderzoeken en beantwoorden.

De lidstaat die een dergelijk verzoek onderzoekt, beantwoordt het verzoek onverwijld, doch in elk geval binnen 45 dagen na ontvangst van het verzoek. Afhankelijk van de complexiteit van het verzoek en van het aantal ingediende verzoeken kan die termijn indien nodig met nog eens 15 dagen worden verlengd. De lidstaat die het verzoek onderzoekt, stelt de betrokkene binnen 45 dagen na ontvangst van het verzoek in kennis van een dergelijke verlenging en van de redenen voor de vertraging. De lidstaten kunnen besluiten dat antwoorden moeten worden gegeven door de centrale kantoren.

Als er een verzoek om rectificatie of wissing van persoonsgegevens wordt gericht tot een andere lidstaat dan de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat, neemt de aangezochte lidstaat binnen zeven dagen contact op met de autoriteiten van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat. De voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat controleert onverwijld, doch in ieder geval binnen 30 dagen na dit contact, de juistheid van de gegevens en de rechtmatigheid van de gegevensverwerking. Afhankelijk van de complexiteit van het verzoek en van het aantal ingediende verzoeken kan die termijn indien nodig met nog eens 15 dagen worden verlengd. De voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat stelt de lidstaat die contact heeft opgenomen in kennis van een dergelijke verlenging en van de redenen voor de vertraging. De betrokkene wordt door de lidstaat die contact heeft opgenomen met de autoriteiten van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat geïnformeerd over de verdere procedure.

Als er een verzoek om rectificatie of wissing van persoonsgegevens wordt gericht tot een lidstaat en de centrale Etias-eenheid verantwoordelijk was voor de manuele verificatie van meerdere identiteiten, neemt de aangezochte lidstaat binnen zeven dagen contact op met de centrale Etias-eenheid om advies te verzoeken. De Etias-eenheid verstrekt onverwijld advies en in elk geval binnen 30 dagen na te zijn gecontacteerd. Afhankelijk van de complexiteit van het verzoek en van het aantal ingediende verzoeken kan die termijn indien nodig met nog eens 15 dagen worden verlengd. De betrokkene wordt door de lidstaat die met de centrale Etias-eenheid contact heeft opgenomen in kennis gesteld van de verdere procedure.

Wanneer na onderzoek blijkt dat de in de MID opgeslagen gegevens onjuist zijn of onrechtmatig zijn geregistreerd, worden deze gegevens onverwijld gerectificeerd of gewist door de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat of, als er geen lidstaat is die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten of als de centrale Etias-eenheid verantwoordelijk is voor de manuele verificatie, door de aangezochte lidstaat. De betrokkene wordt schriftelijk van de rectificatie of wissing van zijn gegevens in kennis gesteld.

Wanneer een lidstaat tijdens de geldigheidsduur in de MID opgeslagen gegevens wijzigt, bepaalt hij aan de hand van de in artikel 27 en, in voorkomend geval, artikel 29 bedoelde verwerking of een link tussen de gewijzigde gegevens moet worden aangemaakt. Wanneer de verwerking geen match oplevert, verwijdert die lidstaat de gegevens uit het identiteitsbevestigingsbestand. Indien de automatische verwerking een of meer matches oplevert, wordt de link dienovereenkomstig door die lidstaat aangemaakt of bijgewerkt overeenkomstig de desbetreffende bepalingen van deze verordening.

Indien de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat of, in voorkomend geval, de aangezochte lidstaat niet van oordeel is dat de in de MID opgeslagen gegevens onjuist zijn of onrechtmatig zijn geregistreerd, stelt die lidstaat een administratief besluit vast waarbij hij de betrokken persoon onverwijld schriftelijk uitlegt waarom hij niet bereid is de gegevens betreffende die persoon te corrigeren of te wissen.

Het in lid 7 bedoelde besluit verstrekt de betrokkene tevens informatie over de mogelijkheid om de beslissing inzake het verzoek om toegang tot of rectificatie, wissing of beperking van de verwerking van persoonsgegevens te betwisten en, indien relevant, over de wijze waarop hij een rechtsvordering kan instellen of een klacht kan indienen bij de bevoegde autoriteiten of rechtbanken, alsmede over bijstand, onder meer van de toezichthoudende autoriteiten.

Elk verzoek om toegang tot of rectificatie, wissing of beperking van de verwerking van persoonsgegevens bevat de informatie die nodig is om de betrokkene te identificeren. Deze informatie wordt uitsluitend gebruikt om de uitoefening van de in dit artikel bedoelde rechten mogelijk te maken en wordt onmiddellijk nadien gewist.

10.

De voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat of, in voorkomend geval, de aangezochte lidstaat legt in een schriftelijk document vast dat een verzoek om toegang tot of rectificatie, wissing, beperking van de verwerking van persoonsgegevens is ingediend en op welke wijze dit is behandeld, en stelt dit document onverwijld ter beschikking van de toezichthoudende autoriteiten voor gegevensbescherming.

11.

Dit artikel doet geen afbreuk aan beperkingen van de in dit artikel bedoelde rechten uit hoofde van Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680.

Artikel 49

Webportaal

Er wordt een webportaal opgericht om de uitoefening van het recht van toegang tot en rectificatie, wissing of beperking van de verwerking van persoonsgegevens te vergemakkelijken.

Het webportaal bevat informatie over de in de artikelen 47 en 48 bedoelde rechten en procedures, alsmede een gebruikersinterface die personen van wie gegevens worden verwerkt in de MID en die in kennis zijn gesteld van het bestaan van een rode link als bedoeld in artikel 32, lid 4, in staat stelt om de contactgegevens te verkrijgen van de bevoegde autoriteit van de lidstaat die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

Om de contactgegevens te verkrijgen van de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat, moet de persoon van wie gegevens in de MID worden verwerkt de referentie naar de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten als bedoeld in artikel 34, onder d), invoeren. Het webportaal maakt gebruik van deze referentie om de contactgegevens van de bevoegde autoriteit van de lidstaat die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten op te vragen. Het webportaal bevat voorts een model-e-mail om communicatie tussen de portaalgebruiker en de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat te vergemakkelijken. Een dergelijke e-mail bevat een veld voor het in artikel 34, onder c), bedoelde unieke identificatienummer, opdat de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat in staat is om te bepalen om welke gegevens het gaat.

De lidstaten verstrekken eu-LISA de contactgegevens van alle autoriteiten die bevoegd zijn om verzoeken als bedoeld in de artikelen 47 en 48 te beoordelen en beantwoorden, en controleren regelmatig of die contactgegevens nog actueel zijn.

eu-LISA zorgt voor de ontwikkeling en het technische beheer van het webportaal.

De Commissie stelt overeenkomstig artikel 73 een gedelegeerde handeling vast houdende gedetailleerde voorschriften inzake het beheer van het webportaal, inclusief de gebruikersinterface, de talen waarin het webportaal beschikbaar is en de model-e-mail.

Artikel 50

Mededeling van persoonsgegevens aan derde landen, internationale organisaties en particulieren

Onverminderd artikel 65 van Verordening (EU) 2018/1240, artikelen 25 en 26 van Verordening (EU) 2016/794, artikel 41 van Verordening (EU) 2017/2226, artikel 31 van Verordening (EG) nr. 767/2008, en onverminderd het bevragen van de Interpol-databanken door het ESP overeenkomstig artikel 9, lid 5, van deze verordening, in overeenstemming met de bepalingen van hoofdstuk V van Verordening (EU) 2018/1725 en hoofdstuk V van Verordening (EU) 2016/679, worden persoonsgegevens die worden opgeslagen in de interoperabiliteitscomponenten, die worden verwerkt door de interoperabiliteitscomponenten of waartoe deze componenten toegang hebben, niet doorgegeven aan of ter beschikking gesteld van derde landen, internationale organisaties of particuliere partijen..

Artikel 51

Toezicht door de toezichthoudende autoriteiten

Elke lidstaat zorgt ervoor dat de toezichthoudende autoriteiten onafhankelijk toezicht houden op de rechtmatigheid van de verwerking van persoonsgegevens overeenkomstig deze verordening door de betrokken lidstaat, met inbegrip van de doorgifte van die gegevens naar en van de interoperabiliteitscomponenten.

Elke lidstaat zorgt ervoor dat de wettelijke en bestuursrechtelijke bepalingen die overeenkomstig Richtlijn (EU) 2016/680 in het nationale recht zijn vastgesteld, in voorkomend geval ook van toepassing zijn op de toegang tot de interoperabiliteitscomponenten door politieautoriteiten en aangewezen autoriteiten, mede met betrekking tot de rechten van de personen tot wier gegevens aldus toegang wordt verkregen.

De toezichthoudende autoriteiten zorgen ervoor dat voor de doeleinden van deze verordening ten minste om de vier jaar een audit van de verrichtingen van de verantwoordelijke nationale autoriteiten op het gebied van de verwerking van persoonsgegevens wordt uitgevoerd overeenkomstig de desbetreffende internationale auditnormen.

Jaarlijks worden het aantal verzoeken om rectificatie, wissing of beperking van verwerking van persoonsgegevens, het daaraan gegeven gevolg en het aantal rectificaties, wissingen en beperkingen van verwerking dat op verzoek van de betrokkenen is aangebracht, door de toezichthoudende autoriteiten bekendgemaakt.

De lidstaten zorgen ervoor dat hun toezichthoudende autoriteiten over voldoende middelen en deskundigheid beschikken om hun taken uit hoofde van deze verordening te kunnen vervullen.

De lidstaten verstrekken de door een in artikel 51, lid 1, van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteit gevraagde informatie, en in het bijzonder informatie over de activiteiten die zijn verricht in overeenstemming met hun taken uit hoofde van deze verordening. De lidstaten bieden de in artikel 51, lid 1, van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteiten toegang tot hun logbestanden als bedoeld in de artikelen 10, 16, 24 en 36 van deze verordening en tot de in artikel 22, lid 2, van deze verordening bedoelde geregistreerde redenen, en verlenen hen te allen tijde toegang tot al hun gebouwen die worden gebruikt voor activiteiten in verband met interoperabiliteit.

Artikel 52

Audits door de Europese Toezichthouder voor gegevensbescherming

De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat voor de doeleinden van deze verordening ten minste om de vier jaar een audit van de verrichtingen van eu-LISA, de centrale Etias-eenheid en Europol op het gebied van de verwerking van persoonsgegevens wordt uitgevoerd overeenkomstig de toepasselijke internationale auditnormen. Een verslag over deze audit wordt toegezonden aan het Europees Parlement, de Raad, eu-LISA, de Commissie, de lidstaten en het betrokken Unie-agentschap. Voordat de verslagen worden aangenomen, worden eu-LISA, de centrale Etias-eenheid en Europol in de gelegenheid gesteld opmerkingen te maken.

eu-LISA, de centrale Etias-eenheid en Europol verstrekken de door de Europese Toezichthouder voor gegevensbescherming gevraagde informatie en verlenen de Europese Toezichthouder voor gegevensbescherming te allen tijde toegang tot alle documenten waarom zij verzoekt en tot hun in artikel 10, 16, 24 en 36 bedoelde logbestanden, alsook tot al hun gebouwen en terreinen.

Artikel 53

Samenwerking tussen de toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming

De toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming werken, elk binnen hun eigen bevoegdheidsgebieden en binnen het kader van hun eigen verantwoordelijkheden, actief met elkaar samen, en zorgen voor een gecoördineerd toezicht op het gebruik van de interoperabiliteitscomponenten en de toepassing van de andere bepalingen van deze verordening, met name wanneer de Europese Toezichthouder voor gegevensbescherming of een toezichthoudende autoriteit grote verschillen tussen praktijken van de lidstaten constateert of potentieel onrechtmatige gegevensdoorgiften via de communicatiekanalen van de interoperabiliteitscomponenten constateert.

In de in lid 1 van dit artikel bedoelde gevallen wordt gezorgd voor gecoördineerd toezicht in overeenstemming met artikel 62 van Verordening (EU) 2018/1725.

Uiterlijk op 12 juni 2021 en vervolgens om de twee jaar zendt het Europees Comité voor gegevensbescherming een gezamenlijk verslag van zijn activiteiten uit hoofde van dit artikel toe aan het Europees Parlement, de Raad, de Commissie, Europol, het Europees Grens- en kustwachtagentschap en eu-LISA. Het verslag bevat voor elke lidstaat een hoofdstuk dat door de toezichthoudende autoriteit van de betrokken lidstaat wordt opgesteld.

HOOFDSTUK VIII

Verantwoordelijkheden

Artikel 54

Verantwoordelijkheden van eu-LISA gedurende de ontwerp- en ontwikkelingsfase

eu-LISA zorgt ervoor dat de centrale infrastructuur van de interoperabiliteitscomponenten wordt beheerd in overeenstemming met deze verordening.

De interoperabiliteitscomponenten worden door eu-LISA gehost op zijn technische locaties en voorzien in de in deze verordening beschreven functies overeenkomstig de voorwaarden inzake beveiliging, beschikbaarheid, kwaliteit en prestaties bedoeld in artikel 55, lid 1.

eu-LISA is verantwoordelijk voor de ontwikkeling van de interoperabiliteitscomponenten en voor alle aanpassingen die nodig zijn met het oog op de interoperabiliteit tussen de centrale systemen van het EES, VIS, Etias, SIS, Eurodac en ECRIS-TCN, en het ESP, de gezamenlijke BMS, het CIR, de MID en het CRRS.

Onverminderd artikel 56 heeft eu-LISA geen toegang tot de persoonsgegevens die via het ESP, de gezamenlijke BMS, het CIR of de MID worden verwerkt.

Het ontwerp van de fysieke architectuur van de interoperabiliteitscomponenten, met inbegrip van de communicatie-infrastructuur alsook de technische specificaties en de evolutie daarvan met betrekking tot de centrale infrastructuur en de beveiligde communicatie-infrastructuur, wordt door eu-LISA bepaald en na een gunstig advies van de Commissie vastgesteld door de raad van bestuur. eu-LISA verricht ook de nodige aanpassingen van het EES, VIS, Etias of SIS als voortvloeiend uit de totstandbrenging van de interoperabiliteit en bedoeld in deze verordening.

eu-LISA ontwikkelt en implementeert de interoperabiliteitscomponenten zo spoedig mogelijk na de inwerkingtreding van deze verordening en de vaststelling door de Commissie van de maatregelen bedoeld in artikel 8, lid 2, artikel 9, lid 7, artikel 28, leden 5 en 7, artikel 37, lid 4, artikel 38, lid 3, artikel 39, lid 5, artikel 43, lid 5, en artikel 74, lid 10.

De ontwikkeling omvat de uitwerking en implementatie van de technische specificaties, het testen en het algemeen projectbeheer en de algehele projectcoördinatie.

In de ontwerp- en ontwikkelingsfase wordt een programmabestuursraad met ten hoogste tien leden ingesteld. Deze raad bestaat uit zeven door de raad van bestuur van eu-LISA uit zijn eigen leden of plaatsvervangers aangewezen leden, de voorzitter van de in artikel 75 bedoelde adviesgroep inzake interoperabiliteit, een door de uitvoerend directeur benoemd lid dat eu-LISA vertegenwoordigt, en één door de Commissie benoemd lid. De door de raad van bestuur van eu-LISA aangewezen leden worden bij uitsluiting gekozen uit de lidstaten die ten volle gebonden zijn door het Unierecht betreffende de ontwikkeling, de oprichting, de exploitatie en het gebruik van alle Unie-informatiesystemen, en die aan de interoperabiliteitscomponenten zullen deelnemen.

De programmabestuursraad komt op gezette tijden, en ten minste driemaal per kwartaal, bijeen. Hij zorgt voor een passend beheer van de fasen waarin de interoperabiliteitscomponenten worden ontworpen en ontwikkeld.

Elke maand brengt de programmabestuursraad schriftelijk verslag uit over de voortgang van het project aan de raad van bestuur van eu-LISA. De programmabestuursraad heeft geen beslissingsbevoegdheid of mandaat om de leden van de raad van bestuur van eu-LISA te vertegenwoordigen.

De raad van bestuur van eu-LISA stelt het reglement van de programmabestuursraad op, dat met name regels bevat inzake:

het voorzitterschap;

de plaats van vergadering;

de voorbereiding van vergaderingen;

de toelating van deskundigen tot de vergaderingen;

communicatieplannen die ervoor zorgen dat de niet-deelnemende leden van de raad van bestuur volledig op de hoogte worden gehouden.

Het voorzitterschap wordt bekleed door een lidstaat die Unierechtelijk ten volle is gebonden door rechtsinstrumenten betreffende de ontwikkeling, de oprichting, de exploitatie en het gebruik van alle Unie-informatiesystemen en die deelneemt aan de interoperabiliteitscomponenten.

Alle door de leden van de programmabestuursraad gemaakte reis- en verblijfkosten worden betaald door eu-LISA en artikel 10 van het reglement van orde van eu-LISA is van overeenkomstige toepassing. Het secretariaat van de programmabestuursraad wordt verzorgd door eu-LISA.

Tot de ingebruikneming van de interoperabiliteitscomponenten komt de in artikel 75 bedoelde adviesgroep inzake interoperabiliteit op gezette tijden bijeen. Zij brengt na elke bijeenkomst verslag uit aan de programmabestuursraad. Zij ondersteunt de programmabestuursraad met technische deskundigheid en houdt de voortgang van de voorbereidingen van de lidstaten bij.

Artikel 55

Verantwoordelijkheden van eu-LISA na de ingebruikneming

Na de ingebruikneming van elke interoperabiliteitscomponent is eu-LISA verantwoordelijk voor het technisch beheer van de centrale infrastructuur van de interoperabiliteitscomponenten, met inbegrip van hun onderhoud en technologische ontwikkelingen. eu-LISA zorgt er in samenwerking met de lidstaten voor dat de beste beschikbare technologie wordt gebruikt, onder voorbehoud van een kosten-batenanalyse. eu-LISA is ook verantwoordelijk voor het technisch beheer van de communicatie-infrastructuur als bedoeld in de artikelen 6, 12, 17, 25 en 39.

Het technisch beheer van de interoperabiliteitscomponenten omvat alle taken en technische oplossingen die nodig zijn om de interoperabiliteitscomponenten zeven dagen per week en 24 uur per dag overeenkomstig deze verordening te laten functioneren en ononderbroken diensten te laten verlenen aan de lidstaten en de Unie-agentschappen. Het omvat de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een bevredigende technische kwaliteit van de interoperabiliteitscomponenten, in het bijzonder wat betreft de tijd die nodig is voor raadpleging van de centrale infrastructuur overeenkomstig de technische specificaties.

Alle interoperabiliteitscomponenten worden zodanig ontwikkeld en beheerd dat een snelle, naadloze, efficiënte en gecontroleerde toegang tot en de volledige en ononderbroken beschikbaarheid van de componenten en de in de MID, de gezamenlijke BMS en het CIR opgeslagen gegevens is gewaarborgd, met een responstijd die beantwoordt aan de operationele behoeften van de autoriteit van de lidstaten en de Unie-agentschappen.

Onverminderd artikel 17 van het Statuut van de ambtenaren van de Europese Unie past eu-LISA passende voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op personeelsleden die moeten werken met in de interoperabiliteitscomponenten opgeslagen gegevens. Deze geheimhoudingsplicht blijft ook gelden nadat deze personeelsleden hun functie of dienstverband hebben beëindigd of hun werkzaamheden hebben stopgezet.

Onverminderd artikel 66 heeft eu-LISA geen toegang tot de persoonsgegevens die via het ESP, de gezamenlijke BMS, het CIR en de MID worden verwerkt.

eu-LISA ontwikkelt en onderhoudt een mechanisme en procedures voor het uitvoeren van kwaliteitscontroles op de in de gezamenlijke BMS en het CIR opgeslagen gegevens overeenkomstig artikel 37.

eu-LISA verricht ook taken met betrekking tot het aanbieden van opleiding in het technische gebruik van de interoperabiliteitscomponenten.

Artikel 56

Verantwoordelijkheden van de lidstaten

Elke lidstaat is verantwoordelijk voor:

de aansluiting op de communicatie-infrastructuur van het ESP en het CIR;

de integratie van de bestaande nationale systemen en infrastructuur met het ESP, het CIR en de MID;

de organisatie, het beheer, de werking en het onderhoud van de bestaande nationale infrastructuur en de aansluiting daarvan op de interoperabiliteitscomponenten;

het beheer en de regelingen op grond waarvan de naar behoren gemachtigde personeelsleden van de bevoegde nationale autoriteiten overeenkomstig deze verordening toegang hebben tot het ESP, het CIR en de MID, en de opstelling en regelmatige bijwerking van een lijst van de betrokken personeelsleden en hun profiel;

de vaststelling van de in artikel 20, leden 5 en 6, bedoelde wettelijke maatregelen om toegang te krijgen tot het CIR voor identificatiedoeleinden;

de manuele verificatie van meerdere identiteiten als bedoeld in artikel 29;

de naleving van de krachtens het Unierecht vastgestelde vereisten inzake gegevenskwaliteit;

de naleving van de regels van elk Unie-informatiesysteem met betrekking tot de veiligheid en integriteit van persoonsgegevens;

het verhelpen van tekortkomingen die zijn geconstateerd in het evaluatieverslag van de Commissie over de gegevenskwaliteit als bedoeld in artikel 37, lid 5.

Elke lidstaat sluit zijn aangewezen autoriteiten aan op het CIR.

Artikel 57

Verantwoordelijkheden van de centrale Etias-eenheid

De centrale Etias-eenheid is verantwoordelijk voor:

de manuele verificatie van meerdere identiteiten uit hoofde van artikel 29;

het uitvoeren van een detectie van meerdere identiteiten aan de hand van de gegevens die zijn opgeslagen in het EES, VIS, Eurodac en SIS als bedoeld in artikel 69.

HOOFDSTUK IX

Wijzigingen van andere instrumenten van de Unie

Artikel 58

Wijzigingen van Verordening (EG) nr. 767/2008

Verordening (EG) nr. 767/2008 wordt als volgt gewijzigd:

aan artikel 1 wordt het volgende lid toegevoegd:

„Door identiteitsgegevens, reisdocumentgegevens en biometrische gegevens op te slaan in het bij artikel 17, lid 1, van Verordening (EU) 2019/817 van het Europees Parlement en de Raad ( *1 ) ingestelde gemeenschappelijke identiteitsregister (CIR), draagt het VIS bij aan het vergemakkelijken en ondersteunen van de correcte identificatie van personen die in het VIS zijn geregistreerd onder de voorwaarden respectievelijk voor de uiteindelijke doelstellingen bedoeld in artikel 20 van die verordening.

aan artikel 4 worden de volgende punten toegevoegd:

„12)	„VIS-gegevens” : alle gegevens die in het centrale systeem van het VIS en het CIR zijn opgeslagen overeenkomstig de artikelen 9 tot en met 14;

13)	„identiteitsgegevens” : de gegevens als bedoeld in artikel 9, lid 4, onder a) en a bis);

14)	„vingerafdrukgegevens” : de gegevens betreffende de vijf vingerafdrukken van de wijsvinger, de middelvinger, de ringvinger, de pink en de duim van de rechterhand en, indien aanwezig, van de linkerhand;”;

in artikel 5 wordt het volgende lid ingevoegd:

„1 bis.

Het CIR bevat de gegevens bedoeld in artikel 9, lid 4, onder a) tot en met c), en artikel 9, leden 5 en 6. De overige VIS-gegevens worden opgeslagen in het centrale systeem van het VIS.”;

Artikel 6, lid 2, wordt vervangen door:

„2.

De toegang tot het VIS voor raadpleging van de gegevens is uitsluitend voorbehouden aan de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat die bevoegd zijn voor de in de artikelen 15 tot en met 22 genoemde doelen, en aan de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat en van de Unie-agentschappen die bevoegd zijn voor de in de artikelen 20 en 21 van Verordening (EU) 2019/817 vastgestelde doeleinden. Deze toegang is beperkt tot de gegevens die vereist zijn voor de uitvoering van hun taken overeenkomstig deze doelen en staat in verhouding tot de doelstellingen.”;

Artikel 9, punt 4, onder a), b) en c), worden vervangen door:

„a)

achternaam (familienaam); voornaam/voornamen; geboortedatum; geslacht;

a bis)

achternaam bij de geboorte (vroegere familienaam/-namen); plaats en land van geboorte; huidige nationaliteit en nationaliteit bij de geboorte;

het type en nummer van het reisdocument of de reisdocumenten en de drielettercode van het land dat het reisdocument of de reisdocumenten heeft afgegeven;

de datum waarop de geldigheidstermijn van het reisdocument of de reisdocumenten verstrijkt;

c bis)

de autoriteit die het reisdocument heeft afgegeven en de datum van afgifte;”.

Artikel 59

Wijzigingen van Verordening (EU) 2016/399

In artikel 8 wordt het volgende lid ingevoegd:

„4 bis.

Wanneer bij inreis of uitreis de raadpleging van de relevante databanken, waaronder de detector van meerdere identiteiten via het Europees zoekportaal als ingesteld bij artikel 25, lid 1 en artikel 6, lid 1, van Verordening (EU) 2019/817 van het Europees Parlement en de Raad ( *2 ) leidt tot een gele link of tot de constatering van een rode link, raadpleegt de grenswachter de detector van meerdere identiteiten samen met het gemeenschappelijke identiteitsregister ingesteld bij artikel 17, lid 1, van die verordening of het SIS ter beoordeling van de verschillen tussen de gelinkte identiteitsgegevens of reisdocumentgegevens. De kustwacht verricht aanvullende verificaties voor het nemen van een beslissing over de status en de kleur van de link.

Overeenkomstig artikel 69, lid 1, van Verordening (EU) 2019/817 wordt deze alinea pas van toepassing wanneer de detector van meerdere identiteiten in gebruik wordt genomen overeenkomstig artikel 72, lid 4, van die verordening.

Artikel 60

Wijzigingen van Verordening (EU) 2017/2226

Verordening (EU) 2017/2226 wordt als volgt gewijzigd:

aan artikel 1 wordt het volgende lid toegevoegd:

„3.

Door identiteitsgegevens, reisdocumentgegevens en biometrische gegevens op te slaan in het bij artikel 17, lid 1, van Verordening (EU) 2019/817 van het Europees Parlement en de Raad ( *3 ) ingestelde gemeenschappelijke identiteitsregister (CIR), draagt het EES bij aan het vergemakkelijken en ondersteunen van de correcte identificatie van personen die in het EES zijn geregistreerd onder de voorwaarden respectievelijk voor de uiteindelijke doelstellingen bedoeld in artikel 20 van die verordening.

Artikel 3,lid 1, wordt als volgt gewijzigd:

punt 22 wordt vervangen door:

„22)	„EES-gegevens” : alle gegevens die in het centrale systeem van het EES en het CIR zijn opgeslagen overeenkomstig de artikelen 15 tot en met 20:”;

het volgende punt wordt ingevoegd:

„22 bis)

„identiteitsgegevens” : de gegevens bedoeld in artikel 16, lid 1, onder a), alsook de relevante gegevens als bedoeld in artikel 17, lid 1, en artikel 18, lid 1;”;

de volgende punten worden toegevoegd:

„32)	„ESP” : het Europees onderzoeksportaal zoals ingesteld bij artikel 6, lid 1, van Verordening (EU) 2019/817;

33)	„CIR” : het gemeenschappelijke identiteitsregister zoals ingesteld bij artikel 17, lid 1, van Verordening (EU) 2019/817.”;

aan artikel 6, lid 1, wordt het volgende punt toegevoegd:

„j) een correcte identificatie van personen verzekeren.”;

Artikel 7 wordt als volgt gewijzigd:

lid 1 wordt als volgt gewijzigd:

het volgende punt wordt ingevoegd:

„a bis) de centrale infrastructuur van de CIR als bedoeld in artikel 17, lid 2, onder a), van Verordening (EU) 2019/817;”;

ii)

punt f), wordt vervangen door:

„f) een beveiligde communicatie-infrastructuur tussen het centrale systeem van het EES en de centrale infrastructuren van het ESP en het CIR.”;

het volgende lid wordt ingevoegd:

„1 bis.

Het CIR bevat de gegevens bedoeld in artikel 16, lid 1, onder a) tot en met d), artikel 17, lid 1, onder a), b) en c), en artikel 18, leden 1 en 2. De overige EES-gegevens worden opgeslagen in het centrale systeem van het EES.”;

aan artikel 9 wordt het volgende lid toegevoegd:

„4.

De toegang tot de in het CIR opgeslagen EES-gegevens is voorbehouden aan de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat en aan de naar behoren gemachtigde personeelsleden van de Unie-agentschappen die bevoegd zijn voor de in de artikelen 20 en 21 van Verordening (EU) 2019/817 vastgestelde doeleinden. Deze toegang is beperkt tot wat nodig is voor de uitvoering van hun taken overeenkomstig deze doeleinden en is evenredig met de nagestreefde doelen.”;

Artikel 21 wordt als volgt gewijzigd:

lid 1 wordt vervangen door:

„1.

Indien het technisch niet mogelijk is gegevens in het centrale systeem van het EES of het CIR in te voeren of zich een storing in het centrale systeem van het EES of het CIR voordoet, worden de in de artikelen 16 tot en met 20 bedoelde gegevens tijdelijk opgeslagen in de NUI. Indien dit niet mogelijk is, worden de gegevens tijdelijk lokaal opgeslagen in elektronisch formaat. In beide gevallen worden de gegevens zodra het technische probleem of de storing is verholpen, in het centrale systeem van het EES of het CIR ingevoerd. De lidstaten nemen passende maatregelen en zorgen voor de nodige infrastructuur, uitrusting en middelen om te garanderen dat deze tijdelijke lokale opslag op elk moment en voor al hun grensdoorlaatposten kan worden verricht.”

in lid 2 wordt de eerste alinea vervangen door:

„2.

Onverminderd de verplichting grenscontroles te verrichten uit hoofde van Verordening (EU) 2016/399 gaat de grensautoriteit, in de uitzonderlijke omstandigheid waarin het wegens een technisch probleem onmogelijk is gegevens in te voeren ofwel in het centrale systeem van het EES en het CIR ofwel in de NUI, en waarin het wegens een technisch probleem onmogelijk is de gegevens tijdelijk lokaal op te slaan in elektronisch formaat, over tot het handmatig opslaan van de inreis-uitreisgegevens overeenkomstig de artikelen 16 tot en met 20 van deze verordening, met uitzondering van biometrische gegevens, en brengt zij een stempel van inreis of uitreis aan in het reisdocument van de onderdaan van een derde land. Die gegevens worden zodra het technisch gezien mogelijk is, ingevoerd in het centrale systeem van het EES en het CIR.”;

Artikel 23 wordt als volgt gewijzigd:

het volgende lid wordt ingevoegd:

„2 bis.

Met het oog op de verificaties overeenkomstig lid 1 van dit artikel start de grensautoriteit een zoekopdracht door gebruik te maken van het ESP, om de gegevens over de onderdaan van een derde land te vergelijken met de relevante gegevens in het EES en het VIS.”;

in lid 4, wordt de eerste alinea vervangen door:

„4.

Als de zoekopdracht op basis van de in lid 2 van dit artikel bedoelde alfanumerieke gegevens uitwijst dat er geen gegevens over de onderdaan van een derde land zijn geregistreerd in het EES, als een verificatie van een onderdaan van een derde land krachtens lid 2 van dit artikel niets oplevert of als er twijfels bestaan over zijn identiteit, hebben de grensautoriteiten toegang tot gegevens voor identificatie overeenkomstig artikel 27 om een persoonlijk dossier aan te leggen of bij te werken overeenkomstig artikel 14.”;

in artikel 32 wordt het volgende lid ingevoegd:

„1 bis.

Ingeval de aangewezen autoriteiten een zoekopdracht in het CIR hebben gestart overeenkomstig artikel 22 van Verordening(EU) 2019/817, hebben zij toegang tot het EES voor raadpleging als aan de in dit artikel vastgestelde voorwaarden is voldaan en als het ontvangen antwoord als bedoeld in artikel 22, lid 2 van Verordening (EU) 2019/817 uitwijst dat gegevens zijn opgeslagen in het EES.”;

in artikel 33 wordt het volgende lid ingevoegd:

„1 bis.

Ingeval Europol een zoekopdracht in het CIR heeft gestart overeenkomstig artikel 22 van Verordening (EU) 2019/817, heeft het toegang tot het EES voor raadpleging wanneer aan de in dit artikel vastgestelde voorwaarden is voldaan en als het ontvangen antwoord als bedoeld in artikel 22, lid 2 van Verordening (EU) 2019/817 uitwijst dat gegevens zijn opgeslagen in het EES.”;

10)

Artikel 34 wordt als volgt gewijzigd:

in leden 1 en 2, worden de woorden „in het centrale systeem van het EES” vervangen door de woorden „in het CIR en het centrale systeem van het EES”;

in lid 5, worden de woorden „uit het centrale systeem van het EES” vervangen door de woorden „uit het centrale systeem van het EES en het CIR”;

11)

in artikel 35 wordt lid 7 vervangen door:

„7.

"Het centrale systeem van het EES en het CIR informeren alle lidstaten onmiddellijk over de verwijdering van EES- of CIR-gegevens en verwijderen deze, in voorkomend geval, uit de in artikel 12, lid 3, bedoelde lijst van geïdentificeerde personen.”;

12)

in artikel 36 worden de woorden „van het centrale systeem van het EES” vervangen door de woorden „van het centrale systeem van het EES en het CIR”;

13)

Artikel 37 wordt als volgt gewijzigd:

lid 1, eerste alinea, wordt vervangen door:

„1.

Eu-LISA is verantwoordelijk voor de ontwikkeling van het centrale systeem van het EES, en de CIR, de NUI's, de communicatie-infrastructuur en het beveiligde communicatiekanaal tussen het centrale systeem van het EES en het centrale systeem van het VIS. Eu-LISA is ook verantwoordelijk voor de ontwikkeling van de in artikel 13 bedoelde webdienst en het in artikel 63, lid 2, bedoelde gegevensregister overeenkomstig de in artikel 13, lid 7, bedoelde nadere regels en de overeenkomstig artikel 36, eerste alinea, onder h) en j) vastgestelde specificaties en voorwaarden.”;

de eerste alinea van lid 3 wordt vervangen door:

„3.

Eu-LISA is verantwoordelijk voor het operationeel beheer van het centrale systeem van het centrale systeem van het EES en de CIR, de NUI's en het beveiligde communicatiekanaal tussen het centrale systeem van het EES en het centrale systeem van het VIS. Het zorgt er in samenwerking met de lidstaten voor dat te allen tijde, onder voorbehoud van een kosten-batenanalyse, de meest geavanceerde technologie wordt gebruikt voor het centrale systeem van het EES en de CIR, de NUI's, de communicatie-infrastructuur, het beveiligde communicatiekanaal tussen het centrale systeem van het EES en het centrale systeem van het VIS, de in artikel 13 bedoelde webdienst en het in artikel 63, lid 2, bedoelde gegevensregister. Eu-LISA is ook verantwoordelijk voor het operationeel beheer van de communicatie-infrastructuur tussen het centrale systeem van het EES en de NUI's, voor de in artikel 13 bedoelde webdienst en het in artikel 63, lid 2, bedoelde gegevensregister.”;

14)

aan artikel 46, lid 1, wordt het volgende punt toegevoegd:

„f) een verwijzing naar het gebruik van het Europese zoekportaal voor het doorzoeken van het EES als bedoeld in artikel 7, lid 2, van Verordening (EU) 2019/817.”;

15)

Artikel 63 wordt als volgt gewijzigd:

lid 2 wordt vervangen door:

„2.

Voor de toepassing van lid 1 worden de in dat lid bedoelde gegevens door eu-LISA opgeslagen in het centrale register voor rapportage en statistieken als bedoeld in artikel 39 van Verordening (EU) 2019/817.”;

aan lid 4 wordt de volgende alinea toegevoegd:

„De dagelijkse statistieken worden opgeslagen in het centrale register voor rapportage en statistieken.”.

Artikel 61

Wijziging van Verordening (EU) 2018/1240

Verordening (EU) 2018/1240 wordt als volgt gewijzigd:

in artikel 1 wordt het volgende lid toegevoegd:

„3.

Door identiteitsgegevens en reisdocumentgegevens op te slaan in het bij artikel 17, lid 1, van Verordening (EU) 2019/817 van het Europees Parlement en de Raad ( *4 ) ingestelde gemeenschappelijke identiteitsregister (CIR), draagt het Etias bij aan het vergemakkelijken en ondersteunen van de correcte identificatie van personen die in het Etias zijn geregistreerd onder de voorwaarden respectievelijk voor de doelstellingen van artikel 20 van die verordening.

aan artikel 3, lid 1, worden de volgende punten toegevoegd:

„23)	„CIR” : het gemeenschappelijke identiteitsregister ingesteld bij artikel 17, lid 1, van Verordening (EU) 2019/817;

24)	„ESP” : het Europees onderzoeksportaal ingesteld bij artikel 6, lid 1 van Verordening (EU) 2019/817;

25)	„centraal ETIAS-systeem” : het centrale systeem bedoeld in artikel 6, lid 2, onder a bis), samen met het CIR voor zover het CIR de in artikel 6, lid 2 bis, bedoelde gegevens bevat;

26)	„dentiteitsgegevens” : de gegevens bedoeld in artikel 17, lid 2, onder a), b) en c);

27)	„reisdocumentgegevens” : de gegevens bedoeld in artikel 17, lid 2, onder d) en e), en de drielettercode van het land dat het reisdocument heeft afgegeven als bedoeld in artikel 19, lid 3, onder c).”;

aan artikel 4 wordt het volgende punt toegevoegd:

„g) bijdragen tot de correcte identificatie van personen.”;

Artikel 6 wordt als volgt gewijzigd:

lid 2 wordt als volgt gewijzigd:

punt a) wordt vervangen door:

„a) een centraal systeem, waarin de in artikel 34 bedoelde Etias-observatielijst is opgenomen;”;

ii)

het volgende punt wordt ingevoegd:

„a bis) het CIR;”;

iii)

punt d) wordt vervangen door:

„d) een beveiligde communicatie-infrastructuur tussen het centrale systeem en de centrale infrastructuur van het ESP en het CIR;”;

het volgende lid wordt ingevoegd:

„2 bis.

Het CIR bevat de identiteitsgegevens en reisdocumentgegevens. De overige gegevens worden opgeslagen in het centrale systeem.”;

Artikel 13 wordt als volgt gewijzigd:

het volgende lid wordt ingevoegd:

„4 bis.

De toegang met het oog op het raadplegen van de in het CIR opgeslagen Etias-identiteitsgegevens en Etias-reisdocumentgegevens is voorbehouden aan de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat en aan de naar behoren gemachtigde personeelsleden van de Unie-agentschappen die bevoegd zijn voor de in de artikelen 20 en 21 van Verordening (EU) 2019/817 vastgestelde doeleinden. Deze toegang is beperkt tot de mate waarin de gegevens nodig zijn voor de uitvoering van hun taken Unie-agentschappen overeenkomstig deze doeleinden en is evenredig met de nagestreefde doelen.”;

lid 5 wordt vervangen door:

„5.

Elke lidstaat wijst de in de leden 1, 2, 4 en 4 bis van dit artikel bedoelde bevoegde nationale autoriteiten aan en deelt, overeenkomstig artikel 87, lid 2, aan eu-LISA onverwijld een lijst met deze autoriteiten mee. In deze lijst wordt vermeld voor welk doel de naar behoren gemachtigde personeelsleden van elke autoriteit overeenkomstig de leden 1, 2, 4 en 4 bis van dit artikel toegang hebben tot de in het Etias-informatiesysteem opgenomen gegevens.”.

artikel 17, lid 2, wordt als volgt gewijzigd:

punt a) wordt vervangen door:

„a) achternaam (familienaam), voornaam(-namen), achternaam bij geboorte; geboortedatum, geboorteplaats, geslacht, huidige nationaliteit;”;

het volgende punt wordt ingevoegd:

„a bis) geboorteland, voornaam (-namen) van de ouders van de aanvrager;”;

In artikel 19, lid 4, wordt „artikel 17, lid 2, onder a)” vervangen door „artikel 17, lid 2, onder a) en a bis)”;

Artikel 20 wordt als volgt gewijzigd:

in lid 2 wordt de eerste alinea vervangen door:

„2.

Het centrale Etias-systeem geeft een zoekopdracht door het ESP te gebruiken om de relevante gegevens bedoeld in artikel 17, lid 2, onder a), a bis), b), c), d), f), g), j), k) en m), en in artikel 17, lid 8, te vergelijken met de gegevens in een notitie, dossier of signalering in een aanvraag die is opgeslagen in het centrale Etias-systeem, het SIS, het EES, VIS, Eurodac, de Europol-gegevens en de Interpol-databanken SLTD en TDAWN.”;

in lid 4 wordt „artikel 17, lid 2, onder a), b), c), d), f), g), j), k) en m),” vervangen door „artikel 17, lid 2, onder a), a bis), b), c), d), f), g), j), k) en m)”;

in lid 5, wordt „artikel 17, lid 2, onder a), c), f), h) en i)” vervangen door „artikel 17, lid 2, onder a), a bis), c), f), h) en i)”;

in artikel 23 wordt lid 1 vervangen door:

„1.

Het centrale Etias-systeem geeft een zoekopdracht door het ESP te gebruiken om de relevante gegevens bedoeld in artikel 17, lid 2, onder a), a bis), b) en d), te vergelijken met de gegevens in het SIS teneinde vast te stellen of ten aanzien van de aanvrager een van de volgende signaleringen is uitgevaardigd:

een signalering van vermiste personen;

een signalering van personen die worden gezocht met het oog op een gerechtelijke procedure;

een signalering van personen met het oog op discrete controles of gerichte controles.”

10)

in artikel 52 wordt het volgende lid ingevoegd:

„1 bis.

Ingeval de aangewezen autoriteiten een zoekopdracht aan het CIR hebben gestart overeenkomstig artikel 22 van Verordening (EU) 2019/817, hebben zij voor raadpleging toegang tot de in het centrale Etias-systeem opgeslagen aanvraagdossiers als het ontvangen antwoord als bedoeld in artikel 22, lid 2, van Verordening (EU) 2019/817 uitwijst dat gegevens zijn opgeslagen in de aanvraagdossiers die zijn opgeslagen in het centrale Etias-systeem.”;

11)

in artikel 53 wordt het volgende lid ingevoegd:

„1 bis.

Ingeval Europol een zoekopdracht aan het CIR heeft gestart overeenkomstig artikel 22 van Verordening (EU) 2019/817, heeft Europol voor raadpleging toegang tot de in het centrale Etias-systeem opgeslagen aanvraagdossiers als het ontvangen antwoord als bedoeld in artikel 22, lid 2, van Verordening (EU) 2019/817 uitwijst dat gegevens zijn opgeslagen in de aanvraagdossiers die zijn opgeslagen in het centrale Etias-systeem.”;

12)

in artikel 65, lid 3, vijfde alinea, wordt „artikel 17, lid 2, onder a), b), d), e) en f)” vervangen door „artikel 17, lid 2, onder a), a bis), b), d), e) en f)”;

13)

in artikel 69, lid 1, wordt het volgende punt ingevoegd:

„ca) waar van toepassing, een verwijzing naar het gebruik van het ESP voor het doorzoeken van het centrale Etias-systeem als bedoeld in artikel 7, lid 2, van Verordening (EU) 2019/817”;

14)

in artikel 73, lid 2, worden de woorden „centrale gegevensopslagplaats” vervangen door „centraal register voor rapportage en statistieken als bedoeld in artikel 39 van Verordening (EU) 2019/817 voor zover dit gegevens bevat die overeenkomstig artikel 84 van deze verordening zijn verkregen uit het centrale Etias-systeem”;

15)

in artikel 74, lid 1, wordt de eerste alinea vervangen door:

„1.

Na de ingebruikneming van Etias is eu-LISA verantwoordelijk voor het technisch beheer van het centrale Etias-systeem en de NUI's. eu-LISA is ook verantwoordelijk voor de technische testen die nodig zijn voor de totstandkoming en actualisering van de Etias-screeningsregels. eu-LISA zorgt er in samenwerking met de lidstaten voor dat te allen tijde de meest geavanceerde technologie wordt gebruikt, onder voorbehoud van een kosten-batenanalyse. eu-LISA is ook verantwoordelijk voor het technisch beheer van de communicatie-infrastructuur tussen het centrale Etias-systeem en de NUI's, en verzorgt de openbare website, de app voor mobiele apparaten, de e-maildienst, de beveiligdeaccountdienst, het verificatie-instrument voor aanvragers, het instemmingsinstrument voor aanvragers, het beoordelingsinstrument voor de Etias-observatielijst, het toegangsportaal voor vervoerders, de webdienst en de software voor de verwerking van de aanvragen.”;

16)

in artikel 84, lid 2, wordt de eerste alinea vervangen door:

„2.

Voor de toepassing van lid 1 van dit artikel slaat eu-LISA de in dat lid bedoelde gegevens op in het centrale register voor rapportage en statistieken als bedoeld in artikel 39 van Verordening (EU) 2019/817. Overeenkomstig artikel 39, lid 1, van die verordening kunnen de in lid 1 van dit artikel bedoelde autoriteiten aan de hand van systeemoverschrijdende statistische gegevens en analytische verslagen op maat gesneden verslagen en statistieken krijgen om de toepassing van de in artikel 33 bedoelde Etias-screeningregels te ondersteunen, veiligheidsrisico's, risico's op het gebied van illegale immigratie en hoge epidemiologische risico's beter te beoordelen, de grenscontroles doeltreffender te maken en de centrale Etias-eenheid en de nationale Etias-eenheden te helpen bij de behandeling van reisautorisatieaanvragen.”;

17)

aan artikel 84, lid 4, wordt de volgende alinea toegevoegd:

„De dagelijkse statistieken worden opgeslagen in het centrale register voor rapportage en statistieken als bedoeld in artikel 39 van Verordening (EU) 2019/817.”.

Artikel 62

Wijzigingen van Verordening (EU) 2018/1726

Verordening (EU) 2018/1726 wordt als volgt gewijzigd:

Artikel 12 wordt vervangen door:

„Artikel 12

Gegevenskwaliteit

Onverminderd de verantwoordelijkheden van de lidstaten met betrekking tot de gegevens die worden ingevoerd in de systemen waarvoor het Agentschap operationeel verantwoordelijk is, stelt het Agentschap, met nauwe betrokkenheid van zijn adviesgroepen, voor alle systemen waarvoor het operationeel verantwoordelijk is geautomatiseerde controlemechanismen voor gegevenskwaliteit en gemeenschappelijke indicatoren voor gegevenskwaliteit vast, alsook minimumkwaliteitsnormen voor gegevensopslag, overeenkomstig de relevante bepalingen van de rechtsinstrumenten voor die informatiesystemen en artikel 37 van Verordeningen (EU) 2019/817 ( *5 ) en (EU) 2019/818 ( *6 ) van het Europees Parlement en de Raad.

Het Agentschap stelt een centraal register voor verslagen en statistieken vast dat uitsluitend geanonimiseerde gegevens bevat, overeenkomstig artikel 39 van Verordening (EU) 2019/817 en (EU) 2019/818 van het Europees Parlement en de Raad, onder voorbehoud van specifieke bepalingen in de rechtsinstrumenten betreffende de ontwikkeling, de instelling, de werking en het gebruik van de door het Agentschap beheerde grootschalige IT-systemen.

Artikel 19, lid 1, wordt als volgt gewijzigd:

het volgende punt wordt ingevoegd:

„ee bis) verslagen vast te stellen over de stand van zaken met betrekking tot de ontwikkeling van de interoperabiliteitscomponenten overeenkomstig artikel 78, lid 2, van Verordening (EU) 2019/817 en artikel 74, lid 2, van Verordening (EU) 2019/818.”;

punt ff) wordt vervangen door:

„ff) verslagen vast te stellen over de technische werking van SIS overeenkomstig artikel 60, lid 7, van Verordening (EU) 2018/1861 van het Europees Parlement en de Raad ( *7 ) en artikel 74, lid 8 van Verordening (EU) 2018/1862 van het Europees Parlement en de Raad ( *8 ), de technische werking van het VIS overeenkomstig artikel 50, lid 3, van Verordening (EG) nr. 767/2008 en artikel 17, lid 3, van Besluit 2008/633/JBZ, de technische werking van het EES overeenkomstig artikel 72, lid 4, van Verordening (EU) 2017/2226, de technische werking van het Etias overeenkomstig artikel 92, lid 4, van Verordening (EU) 2018/2140 van het ECRIS-TCN en van de ECRIS-referentie-implementatie krachtens artikel 36, lid 8, van Verordening (EU) 2019/816 van het Europees Parlement en de Raad ( *9 ) en de technische werking van de interoperabiliteitscomponenten overeenkomstig artikel 78, lid 3, van Verordening (EU) 2019/817 en artikel 74, lid 3, van Verordening (EU) 2019/818;

punt hh) wordt vervangen door:

„hh) formeel opmerkingen vast te stellen over de verslagen van de Europese Toezichthouder voor gegevensbescherming betreffende zijn audits op grond van artikel 56, lid 2, van Verordening (EU) 2018/1861, artikel 42, lid 2, van Verordening (EG) nr. 767/2008 en artikel 31, lid 2, van Verordening (EU) nr. 603/2013, artikel 56, lid 2, van Verordening (EU) 2017/2226 en artikel 67 van Verordening (EU) 2018/1240, artikel 29, lid 2, van Verordening (EU) 2019/816 en artikel 52 van Verordeningen (EU) 2019/817 en (EU) 2019/818 en ervoor te zorgen dat aan die audits het passende gevolg wordt gegeven;”;

punt mm) wordt vervangen door:

„(mm) erop toe te zien dat jaarlijks de lijst van bevoegde autoriteiten die gemachtigd zijn tot directe bevraging van de in SIS opgenomen gegevens wordt bekendgemaakt, overeenkomstig artikel 41, lid 8, van Verordening (EU) 2018/1861 en artikel 56, lid 7, van Verordening (EU) 2018/1862, alsmede de lijst van autoriteiten van de nationale systemen van SIS (N.SIS) en Sirene-bureaus overeenkomstig respectievelijk artikel 7, lid 3, van Verordening (EU) 2018/1861 en artikel 7, lid 3, van Verordening (EU) 2018/1862, alsook de lijst van bevoegde autoriteiten overeenkomstig artikel 65, lid 2, van Verordening (EU) 2017/2226, de lijst van bevoegde autoriteiten overeenkomstig artikel 87, lid 2, van Verordening (EU) 2018/1240, de lijst van centrale autoriteiten overeenkomstig artikel 34, lid 2, van Verordening (EU) 2019/816 en de lijst van autoriteiten overeenkomstig artikel 71, lid 1, van Verordening (EU) 2019/817 en artikel 67, lid 1, van Verordening (EU) 2019/818.”;

Artikel 22, lid 4, wordt vervangen door:

„4.

Europol en Eurojust kunnen de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake SIS II met betrekking tot de toepassing van Besluit 2007/533/JBZ op de agenda staat.

Het Europees Grens- en kustwachtagentschap kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake SIS met betrekking tot de toepassing van Verordening (EU) 2016/1624 op de agenda staat.

Europol kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake het VIS met betrekking tot de toepassing van Besluit 2008/633/JBZ op de agenda staat of wanneer een vraagstuk inzake Eurodac met betrekking tot de toepassing van Verordening (EU) nr. 603/2013 op de agenda staat.

Europol kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake het EES met betrekking tot de toepassing van Verordening (EU) 2017/2226 op de agenda staat of wanneer een vraagstuk inzake het Etias met betrekking tot Verordening (EU) 2018/1240 op de agenda staat.

Het Europees Grens- en kustwachtagentschap kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake het Etias met betrekking tot de toepassing van Verordening (EU) 2018/1240 op de agenda staat.

Eurojust, Europol en het Europees Openbaar Ministerie kunnen de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake Verordening (EU) 2019/816 op de agenda staat.

Europol, Eurojust en het Europees Grens- en kustwachtagentschap kunnen de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake Verordeningen (EU) 2019/817 en (EU) 2019/818 op de agenda staat.

De raad van bestuur kan andere personen wier mening van belang kan zijn, uitnodigen om als waarnemer de vergaderingen bij te wonen.”.

in artikel 24, lid 3, wordt punt p) vervangen door:

„p) het onverminderd artikel 17 van het Statuut van de ambtenaren vaststellen van vertrouwelijkheidsvoorschriften teneinde te voldoen aan artikel 17 van Verordening (EG) nr. 1987/2006, artikel 17 van Besluit 2007/533/JBZ, artikel 26, lid 9, van Verordening (EG) nr. 767/2008 en artikel 4, lid 4, van Verordening (EU) nr. 603/2013, artikel 37, lid 4, van Verordening (EU) 2017/2226, artikel 74, lid 2, van Verordening (EU) 2018/1240, artikel 11, lid 16, van Verordening (EU) 2019/816 en artikel 55, lid 2, van Verordeningen (EU) 2019/817 en (EU) 2019/818;”;

Artikel 27 wordt als volgt gewijzigd:

▼C1

in lid 1 wordt het volgende punt ingevoegd:

„d ter) de adviesgroep inzake interoperabiliteit;”;

▼B

lid 3 wordt vervangen door:

„3.

Europol, Eurojust en het Europees Grens- en kustwachtagentschap kunnen elk een vertegenwoordiger in de adviesgroep-SIS II benoemen.

Europol kan ook een vertegenwoordiger benoemen in de VIS-adviesgroep, de Eurodac-adviesgroep en de adviesgroep-EES-Etias.

Het Europees Grens- en kustwachtagentschap kan ook een vertegenwoordiger in de adviesgroep EES-Etias benoemen.

Eurojust, Europol en het Europees Openbaar Ministerie kunnen ook een vertegenwoordiger in de adviesgroep voor het ECRIS-TCN benoemen.

Europol en Eurojust en het Europees Grens- en kustwachtagentschap kunnen elk een vertegenwoordiger in de adviesgroep inzake interoperabiliteit benoemen.”.

Artikel 63

Wijzigingen van Verordening (EU) 2018/1861

Verordening (EU) 2018/1861 wordt als volgt gewijzigd:

in artikel 3 worden de volgende punten toegevoegd:

„22)	„ESP” : het Europees zoekportaal ingesteld bij artikel 6, lid 1, van Verordening (EU) 2019/817 van het Europees Parlement en de Raad ( *10 );

23)	„gezamenlijke BMS” : de gezamenlijke dienst voor biometrische matching ingesteld bij artikel 12, lid 1, van Verordening (EU) 2019/817;

24)	„CIR” : het gemeenschappelijke identiteitsregister ingesteld bij artikel 17, lid 1, van Verordening (EU) 2019/817;

25)	„MID” : de detector van meerdere identiteiten ingesteld bij artikel 25, lid 1, van Verordening (EU) 2019/817.

Artikel 4 wordt als volgt gewijzigd:

in lid 1 worden de punten b) en c) vervangen door:

„b)

een nationaal systeem (N.SIS) in elk van de lidstaten, bestaande uit de nationale datasystemen die in verbinding staan met het centrale SIS, en minstens één nationale of gedeelde N.SIS-back-up,

een communicatie-infrastructuur tussen CS-SIS, CS-SIS-back-up en de NI-SIS („communicatie-infrastructuur”) waarmee een versleuteld virtueel netwerk tot stand wordt gebracht dat specifiek bestemd is voor SIS-gegevens en voor de uitwisseling van gegevens tussen de Sirene-bureaus, als bedoeld in artikel 7, lid 2, en

een beveiligde communicatie-infrastructuur tussen CS-SIS en de centrale infrastructuren van het ESP, de gezamenlijke BMS en de MID.”.

de volgende leden worden toegevoegd:

„8.

Onverminderd de leden 1 tot en met 5, kunnen SIS-gegevens tevens worden doorzocht via het ESP.

Onverminderd de leden 1 tot en met 5, kunnen SIS-gegevens tevens worden doorgegeven via de beveiligde communicatie-infrastructuur als bedoeld in lid 1, onder d). Deze doorgifte is beperkt tot de gegevens die vereist zijn voor de doeleinden van Verordening (EU) 2019/817.”;

in artikel 7 wordt het volgende lid ingevoegd:

„2 bis.

De Sirene-bureaus zorgen ook voor de manuele verificatie van meerdere identiteiten overeenkomstig artikel 29 van Verordening (EU) 2019/817. Voor zover dit voor de uitvoering van deze taak nodig is, hebben de Sirene-bureaus toegang tot de in het CIR en de MID opgeslagen gegevens voor de in de artikelen 21 en 26 van Verordening (EU) 2019/817 omschreven doeleinden.”;

in artikel 12 wordt lid 1 vervangen door:

„1.

De lidstaten zorgen ervoor dat elke toegang tot en uitwisseling van persoonsgegevens in CS-SIS wordt vastgelegd in hun N.SIS met het oog op controle op de rechtmatigheid van de bevraging, monitoring van de rechtmatigheid van de gegevensverwerking, interne monitoring, de goede werking van hun N.SIS en de integriteit en beveiliging van de gegevens. Dit voorschrift is niet van toepassing op de automatische processen bedoeld in artikel 4, lid 6, onder a), b) en c).

De lidstaten zorgen ervoor dat elke toegang tot persoonsgegevens via het ESP wordt vastgelegd in een logbestand met het oog op controle op de rechtmatigheid van de bevraging, monitoring van de rechtmatigheid van de gegevensverwerking, interne monitoring en de integriteit en beveiliging van de gegevens.”;

aan artikel 34, lid 1, wordt het volgende punt toegevoegd:

„g) het verifiëren van meerdere identiteiten en het bestrijden van identiteitsfraude overeenkomstig hoofdstuk V van Verordening (EU) 2019/817.”;

in artikel 60 wordt lid 6 vervangen door:

„6.

Voor de toepassing van artikel 15, lid 4, en de leden 3, 4 en 5 van dit artikel slaat eu-LISA in artikel 15, lid 4, en in de in lid 3 van dit artikel bedoelde gegevens aan de hand waarvan geen personen kunnen worden geïdentificeerd, op in het in artikel 39 van Verordening (EU) 2019/817 bedoelde centrale register voor rapportage en statistieken.

eu-LISA geeft de Commissie en de in lid 5 van dit artikel bedoelde organen de mogelijkheid verslagen en statistieken op maat te verkrijgen. Op verzoek verleent eu-LISA de lidstaten, de Commissie, Europol en het Europees Grens- en kustwachtagentschap toegang tot het centrale register voor verslagen en statistieken overeenkomstig artikel 39 van Verordening (EU) 2019/817.”.

Artikel 64

Wijzigingen van Beschikking 2004/512/EG

Artikel 1, lid 2, van Beschikking 2004/512/EG wordt vervangen door:

„2.

Het Visuminformatiesysteem wordt gebaseerd op een gecentraliseerde architectuur en bestaat uit:

de centrale infrastructuur van het gemeenschappelijke identiteitsregister bedoeld in artikel 17, lid 2, onder a), van Verordening (UE) 2019/817 van het Europees Parlement en de Raad ( *11 ),

een centraal informatiesysteem, hierna „centraal visuminformatiesysteem” te noemen (CS-VIS),

een interface in elke lidstaat, hierna „nationale interface” te noemen (NI-VIS), die voor de verbinding met de bevoegde centrale nationale autoriteit van de betrokken lidstaat zorgt,

een communicatie-infrastructuur tussen het centrale visuminformatiesysteem en de nationale interfaces,

een beveiligd communicatiekanaal tussen het centrale systeem van het EES en het CS-VIS,

een beveiligde communicatie-infrastructuur tussen het centrale systeem van het VIS en de centrale infrastructuur van het Europees zoekportaal ingesteld bij artikel 6, lid 1, van Verordening (EU) 2019/817 en van het gemeenschappelijke identiteitsregister ingesteld bij artikel 17, lid 1, van Verordening (EU) 2019/817.

Artikel 65

Wijzigingen in Beschikking 2008/633/JBZ

Besluit 2008/633/JBZ wordt als volgt gewijzigd:

in artikel 5 wordt het volgende lid ingevoegd:

„1 bis.

Ingeval de aangewezen autoriteiten een zoekopdracht in het CIR hebben gestart overeenkomstig artikel 22 van Verordening (EU) 2019/817 van het Europees Parlement en de Raad ( *12 ), en als aan de in dit artikel vastgestelde voorwaarden voor toegang is voldaan, hebben zij toegang tot het VIS voor raadpleging als het ontvangen antwoord als bedoeld in artikel 22, lid 2, van die verordening uitwijst dat gegevens zijn opgeslagen in het VIS.

in artikel 7 wordt het volgende lid ingevoegd:

„1 bis.

Ingeval Europol een zoekopdracht in het CIR heeft gestart overeenkomstig artikel 22 van Verordening (EU) 2019/817, en als aan de in dit artikel vastgestelde voorwaarden voor toegang is voldaan, heeft Europol toegang tot het VIS voor raadpleging als het ontvangen antwoord als bedoeld artikel 22, lid2, van die verordening uitwijst dat gegevens zijn opgeslagen in het VIS.”.

HOOFDSTUK X

Slotbepalingen

Artikel 66

Verslagen en statistieken

De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke autoriteiten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken, de volgende gegevens inzake het ESP raadplegen:

het aantal zoekopdrachten per ESP-gebruiker;

het aantal zoekopdrachten per Interpol-databank.

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

het aantal zoekopdrachten als bedoeld in de artikelen 20, 21 en 22;

nationaliteit, geslacht en geboortejaar van de betrokken persoon;

het soort reisdocument en de drielettercode van het land dat het reisdocument heeft afgegeven;

het aantal met en zonder biometrische gegevens uitgevoerde zoekopdrachten.

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

het aantal met en zonder biometrische gegevens uitgevoerde zoekopdrachten;

het aantal en het type links en de Unie-informatiesystemen waartussen de links werden gelegd;

de periode gedurende welke een gele en rode link in het systeem werd gehandhaafd.

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

De naar behoren gemachtigde personeelsleden van het Europees Grens- en kustwachtagentschap hebben toegang om de in de leden 1, 2 en 3 van dit artikel bedoelde gegevens te raadplegen, teneinde risico- en kwetsbaarheidsbeoordelingen zoals bedoeld in de artikelen 11 en 13 van Verordening (EU) 2016/1624 van het Europees Parlement en de Raad ( 9 ) te kunnen uitvoeren.

De naar behoren gemachtigde personeelsleden van Europol hebben toegang om de in de leden 2 en 3 van dit artikel bedoelde gegevens te raadplegen, teneinde strategische, thematische en operationele analyses zoals bedoeld in artikel 18, lid 2, onder b) en c), van Verordening (EU) 2016/794 te kunnen uitvoeren.

Voor de toepassing van de leden 1, 2 en 3 slaat eu-LISA de in die leden bedoelde gegevens op in het CRRS. De in het CRRS opgenomen gegevens mogen het niet mogelijk maken om personen te identificeren, maar de gegevens moeten de in de leden 1, 2 en 3 bedoelde autoriteiten in staat te stellen op maat gesneden verslagen en statistieken op te stellen met als doel de grenscontroles doeltreffender te maken, de autoriteiten te helpen bij de verwerking van visumaanvragen en een op feiten gebaseerde beleidsvorming inzake migratie en veiligheid in de Unie te ondersteunen.

Op verzoek stelt de Commissie aan het Bureau van de Europese Unie voor de grondrechten relevante informatie ter beschikking om de gevolgen van deze verordening voor de grondrechten te beoordelen.

Artikel 67

Overgangsperiode voor het gebruik van het Europees zoekportaal

Gedurende een periode van twee jaar vanaf de ingebruikneming van het ESP zijn de verplichtingen als bedoeld in artikel 7, leden 2 en 4, niet van toepassing en is het gebruik van het ESP facultatief.

De Commissie is bevoegd overeenkomstig artikel 73 een gedelegeerde handeling vast te stellen om de in lid 1 van dit artikel bedoelde periode eenmaal met maximaal 1 jaar te verlengen wanneer uit een beoordeling van de tenuitvoerlegging van het ESP blijkt dat een dergelijke verlenging nodig is met name vanwege de gevolgen van de ingebruikname van het ESP voor de organisatie en de duur van grenscontroles.

Artikel 68

Overgangsperiode voor de toepassing van de bepalingen inzake de toegang tot het gemeenschappelijke identiteitsregister met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten

Artikel 22, de punten 8 en 9 van artikel 60, de punten 10 en 11 van artikel 61 en artikel 65 zijn van toepassing vanaf de datum van ingebruikneming van het CIR als bedoeld in artikel 72, lid 3.

Artikel 69

Overgangsperiode voor de detectie van meerdere identiteiten

Gedurende een periode van één jaar nadat eu-LISA de voltooiing van de test van de MID als bedoeld in artikel 72, lid 4, onder b), heeft gemeld en voordat de MID in gebruik wordt genomen, is de centrale Etias-eenheid verantwoordelijk voor het uitvoeren van een detectie van meerdere identiteiten aan de hand van de gegevens die zijn opgeslagen in het EES, VIS, Eurodac en SIS. Voor de detectie van meerdere identiteiten wordt uitsluitend gebruik gemaakt van biometrische gegevens.

Wanneer een zoekopdracht een of meer matches oplevert en de identiteitsgegevens in de gelinkte bestanden identiek of vergelijkbaar zijn, wordt een witte link aangemaakt overeenkomstig artikel 33.

Wanneer een zoekopdracht een of meer matches oplevert en de identiteitsgegevens in de gelinkte bestanden niet als vergelijkbaar kunnen worden beschouwd, wordt een gele link aangemaakt overeenkomstig artikel 30 en is de in artikel 29 bedoelde procedure van toepassing.

In het geval van meerdere matches wordt een link aangemaakt tussen alle gegevenselementen die tot de match hebben geleid.

Wanneer een gele link wordt aangemaakt, verleent de MID de centrale Etias-eenheid toegang tot de identiteitsgegevens in de verschillende Unie-informatiesystemen.

Wanneer een link wordt aangemaakt met een signalering in SIS, anders dan een signalering op grond van artikel 3 van Verordening (EU) 2018/1860, de artikelen 24 en 25 van Verordening (EU) 2018/1861 of artikel 38 van Verordening (EU) 2018/1862, verleent de MID aan het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd, toegang tot de identiteitsgegevens in de verschillende informatiesystemen.

De centrale Etias-eenheid of, in de in lid 4 van dit artikel bedoelde gevallen, het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd, heeft toegang tot de gegevens in het identiteitsbevestigingsbestand, maakt een beoordeling van de verschillende identiteiten, werkt de link bij overeenkomstig de artikelen 31, 32 en 33 en voegt deze toe aan het identiteitsbevestigingsbestand.

De centrale Etias-eenheid stelt de Commissie overeenkomstig artikel 71, lid 3, pas in kennis wanneer alle gele links manueel zijn geverifieerd en hun status in groene, witte of rode links zijn veranderd.

Waar nodig helpen de lidstaten de centrale Etias-eenheid bij het uitvoeren van de detectie van meerdere identiteiten overeenkomstig dit artikel.

De Commissie is bevoegd overeenkomstig artikel 73 een gedelegeerde handeling vast te stellen tot wijziging van deze verordening om de in lid 1 van dit artikel bedoelde periode met zes maanden te verlengen, waarbij tweemaal een verdere verlenging met telkens zes maanden mogelijk is. Een dergelijke verlenging wordt slechts toegestaan wanneer uit een beoordeling van de geraamde tijdspanne voor het voltooien van de detectie van meerdere identiteiten uit hoofde van dit artikel, blijkt dat detectie van meerdere identiteiten niet kan worden voltooid voor het verstrijken van de resterende periode in de zin van lid 1 van dit artikel of een lopende verlenging om redenen buiten de wil van de centrale Etias-eenheid en dat er geen corrigerende maatregelen kunnen worden getroffen. De beoordeling moet uiterlijk drie maanden voor het verstrijken van een dergelijke periode of een lopende verlenging worden verricht.

Artikel 70

Kosten

De kosten in verband met de instelling en de werking van het ESP, de gezamenlijke BMS, het CIR en de MID komen ten laste van de algemene begroting van de Unie.

De kosten in verband met de integratie van de bestaande nationale infrastructuur, de aansluiting van die infrastructuur op de nationale uniforme interfaces en het hosten van de nationale uniforme interfaces komen ten laste van de algemene begroting van de Unie.

De volgende kosten komen niet in aanmerking:

de dienst voor projectbeheer van de lidstaten (vergaderingen, missies, kantoren);

het hosten van nationale IT-systemen (ruimte, implementatie, elektriciteit, koeling);

exploitatie van nationale IT-systemen (exploitanten en contracten voor ondersteuning);

ontwerp, ontwikkeling, implementatie, exploitatie en onderhoud van nationale communicatienetwerken.

Onverminderd verdere financiering voor dit doel uit andere bronnen van de algemene begroting van de Europese Unie komt een bedrag van 32 077 000 EUR uit de 791 000 000 EUR aan middelen als vastgelegd in artikel 5, lid 5, onder b), van Verordening (EU) nr. 515/2014 voor de in de leden 1 en 2 van dit artikel bedoelde kosten voor de uitvoering van deze verordening.

Van de in lid 3 bedoelde middelen wordt 22 861 000 EUR toegewezen aan eu-LISA, 9 072 000 EUR aan Europol en 144 000 EUR aan het Agentschap van de Europese Unie voor opleiding op het gebied van rechtshandhaving (Cepol), ter ondersteuning van deze agentschappen bij de uitvoering van hun respectieve taken overeenkomstig deze verordening. Deze financiering wordt uitgevoerd onder indirect beheer.

De kosten die worden gemaakt door de aangewezen autoriteiten worden respectievelijk gedragen door de aangewezen lidstaten. De kosten voor de aansluiting van de aangewezen autoriteit op het CIR worden door elke lidstaat gedragen.

De door Europol gemaakte kosten, waaronder die welke verband houden met het CIR, worden door Europol gedragen.

Artikel 71

Kennisgevingen

De lidstaten melden aan eu-LISA welke in de artikelen 7, 20, 21 en 26 bedoelde autoriteiten gebruik kunnen maken van of toegang hebben tot het ESP, het CIR en de MID.

Binnen drie maanden na de ingebruikneming van elke interoperabiliteitscomponent overeenkomstig artikel 72 wordt een geconsolideerde lijst van deze autoriteiten bekendgemaakt in het Publicatieblad van de Europese Unie. Wanneer de lijst wordt gewijzigd, maakt eu-LISA eenmaal per jaar een bijgewerkte geconsolideerde versie bekend.

eu-LISA stelt de Commissie in kennis van de succesvolle afsluiting van de testen als bedoeld in artikel 72, lid 1, onder b), lid 2, onder b), lid 3, onder b), lid 4, onder b), lid 5, onder b) en lid 6, onder b).

De centrale Etias-eenheid stelt de Commissie in kennis van de succesvolle afsluiting van de overgangsperiode als bedoeld in artikel 69.

De Commissie stelt de op grond van lid 1 meegedeelde informatie ter beschikking van lidstaten en het publiek door middel van een permanent bijgewerkte openbare website.

Artikel 72

Ingebruikneming

De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop het ESP in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

de in artikel 8, lid 2, artikel 9, lid 7, en artikel 43, lid 5, bedoelde maatregelen zijn goedgekeurd;

eu-LISA heeft verklaard dat een uitgebreide test van het ESP, die eu-LISA samen met de lidstatelijke autoriteiten en de Unie-agentschappen die gebruik kunnen maken van het ESP, heeft uitgevoerd, met succes is afgesloten;

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 8, lid 1, bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden.

Het ESP bevraagt de Interpol-databanken pas nadat de technische regelingen het mogelijk maken artikel 9, lid 5, na te leven. Elke onmogelijkheid om artikel 9, lid 5, na te leven, leidt ertoe dat het ESP de Interpol-databanken niet bevraagt, maar de ingebruikneming van het ESP loopt daardoor geen vertraging op.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

▼M1

1 ter.

Onverminderd lid 1 van dit artikel wordt het ESP uitsluitend ten behoeve van de geautomatiseerde verificaties op grond van artikel 20, artikel 23, artikel 24, lid 6, punt c), punt ii), artikel 41 en artikel 54, lid 1, punt b), van Verordening (EU) 2018/1240 in gebruik genomen zodra aan de voorwaarden van artikel 88 van die verordening is voldaan.

▼B

De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop de gezamenlijke BMS in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

de in artikel 13, lid 5, en artikel 43, lid 5, bedoelde maatregelen zijn goedgekeurd;

eu-LISA heeft verklaard dat een uitgebreide test van de gezamenlijke BMS, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten;

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 13 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden;

eu-LISA heeft verklaard dat de in lid 5, onder b), bedoelde test met succes is afgesloten.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop het CIR in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

de in artikel 43, lid 5, en artikel 78, lid 10, bedoelde maatregelen zijn goedgekeurd;

eu-LISA heeft verklaard dat een uitgebreide test van het CIR, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten;

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 18 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden;

eu-LISA heeft verklaard dat de in lid 5, onder b), bedoelde test met succes is afgesloten.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop de MID in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

de in artikel 28, leden 5 en 7, artikel 32, lid 5, artikel 33, lid 6, artikel 43, lid 5, en artikel 49, lid 6, bedoelde maatregelen zijn goedgekeurd;

eu-LISA heeft verklaard dat een uitgebreide test van de MID, die eu-LISA samen met de lidstatelijke autoriteiten en de centrale Etias-eenheid heeft uitgevoerd, met succes is afgesloten;

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 34 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden;

de centrale Etias-eenheid heeft de Commissie in kennis gesteld overeenkomstig artikel 71, lid 3;

eu-LISA heeft verklaard dat de in lid 1, onder b), lid 2, onder b), lid 3, onder b) en lid 5, onder b) bedoelde tests met succes zijn afgesloten.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

De Commissie stelt door middel van uitvoeringshandelingen de datum vast vanaf wanneer de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen moeten worden gebruikt, zodra aan de volgende voorwaarden is voldaan:

de in artikel 37, lid 4, bedoelde maatregelen zijn goedgekeurd;

eu-LISA heeft verklaard dat een uitgebreide test van de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop het CRRS in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

de in artikel 39, lid 5, en artikel 43, lid 5, bedoelde maatregelen zijn goedgekeurd;

eu-LISA heeft verklaard dat een uitgebreide test van het CRRS, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten;

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 39 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

De Commissie stelt het Europees Parlement en de Raad in kennis van de resultaten van de overeenkomstig lid 1, onder b), lid 2, onder b), lid 3, onder b), lid 4, onder b), lid 5, onder b) en lid 6, onder b), uitgevoerde tests.

De lidstaten, de centrale Etias-eenheid en Europol nemen elk van de interoperabiliteitscomponenten in gebruik op de overeenkomstig respectievelijk de leden 1, 2, 3 en 4 door de Commissie bepaalde datum.

Artikel 73

Uitoefening van de bevoegdheidsdelegatie

De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

De in artikel 28, lid 5, artikel 39, lid 5, artikel 49, lid 6, artikel 67, lid 2, en artikel 69, lid 8, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van 11 juni 2019. De Commissie stelt uiterlijk negen maanden voor het einde van de termijn van vijf jaar een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.

Het Europees Parlement of de Raad kan de in artikel 28, lid 5, artikel 39, lid 5, artikel 49, lid 6, artikel 67, lid 2, en artikel 69, lid 8, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

Een overeenkomstig artikel 28, lid 5, artikel 39, lid 5, artikel 49, lid 6, artikel 67, lid 2, en artikel 69, lid 8, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

Artikel 74

Comitéprocedure

De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Indien door het comité geen advies wordt uitgebracht, stelt de Commissie de ontwerpuitvoeringshandeling niet vast en is artikel 5, lid 4, derde alinea, van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 75

Adviesgroep

eu-LISA richt een adviesgroep inzake interoperabiliteit op. Tijdens de fase waarin de interoperabiliteitscomponenten worden ontworpen en ontwikkeld, is artikel 54, leden 4, 5 en 6, van toepassing.

Artikel 76

Opleiding

eu-LISA vervult taken met betrekking tot opleiding over het technische gebruik van de interoperabiliteitscomponenten overeenkomstig Verordening (EU) nr. 2018/1726.

De lidstatelijke autoriteiten en de Unie-agentschappen verstrekken hun personeelsleden die gemachtigd zijn om gegevens met gebruikmaking van de interoperabiliteitscomponenten te verwerken, een passend opleidingsprogramma over gegevensbeveiliging, gegevenskwaliteit en gegevensbescherming, de gegevensverwerkingsprocedures en de informatieverplichtingen uit hoofde van de artikelen 32, lid 4, 33, lid 4, en 47.

Waar passend worden op Unieniveau gemeenschappelijke opleidingscursussen over deze onderwerpen georganiseerd, ter verbetering van de samenwerking en de uitwisseling van beste praktijken tussen de personeelsleden van de lidstatelijke autoriteiten en de Unie-agentschappen die gemachtigd zijn om gegevens met gebruikmaking van de interoperabiliteitscomponenten te verwerken. Bijzondere aandacht wordt geschonken aan het proces voor de detectie van meerdere identiteiten, met inbegrip van de manuele verificatie van meerdere identiteiten en de daarmee verbonden noodzaak om passende waarborgen voor de grondrechten te handhaven.

Artikel 77

Praktische handleiding

De Commissie stelt, in nauwe samenwerking met de lidstaten, eu-LISA en andere betrokken Unie-agentschappen, een praktische handleiding ter beschikking voor de implementatie en het beheer van de interoperabiliteitscomponenten. De praktische handleiding bevat technische en operationele richtsnoeren, aanbevelingen en beste praktijken. De praktische handleiding wordt door de Commissie in de vorm van een aanbeveling goedgekeurd.

Artikel 78

Monitoring en evaluatie

eu-LISA zorgt voor procedures om de ontwikkeling van de interoperabiliteitscomponenten en de aansluiting daarvan op de nationale uniforme interfaces te monitoren in het licht van de doelstellingen op het gebied van planning en kosten, en om de werking van de interoperabiliteitscomponenten te monitoren in het licht van doelstellingen inzake technische resultaten, kosteneffectiviteit, beveiliging en kwaliteit van de dienstverlening.

Uiterlijk op 12 december 2019 en vervolgens om de zes maanden tijdens de fase waarin de interoperabiliteitscomponenten worden ontwikkeld, legt eu-LISA het Europees Parlement en de Raad een verslag voor over de stand van zaken bij de ontwikkeling van de interoperabiliteitscomponenten en de aansluiting daarvan op de nationale uniforme interfaces. Zodra de ontwikkeling is afgerond, wordt bij het Europees Parlement en de Raad een verslag ingediend waarin uitvoerig wordt uiteengezet hoe de doelstellingen, met name op het vlak van planning en kosten, zijn bereikt en waarin eventuele afwijkingen worden gerechtvaardigd.

Vier jaar na de ingebruikneming van elke interoperabiliteitscomponent overeenkomstig artikel 72 en vervolgens om de vier jaar legt eu-LISA aan het Europees Parlement, de Raad en de Commissie een verslag voor over de technische werking en de beveiliging van de interoperabiliteitscomponenten.

Eén jaar na elk verslag van eu-LISA stelt de Commissie een algemene evaluatie van de interoperabiliteitscomponenten op, met inbegrip van:

een beoordeling van de toepassing van deze verordening;

een toetsing van de bereikte resultaten aan de doelstellingen van deze verordening, en een beoordeling van de gevolgen ervan voor de grondrechten, waaronder met name een beoordeling van de gevolgen van de interoperabiliteitscomponenten voor het recht op non-discriminatie;

een beoordeling van de werking van het webportaal, met inbegrip van cijfers over het gebruik van het webportaal en het aantal afgehandelde verzoeken;

een beoordeling van de onverminderde geldigheid van de uitgangspunten voor de interoperabiliteitscomponenten;

een beoordeling van de beveiliging van de interoperabiliteitscomponenten;

een beoordeling van het gebruik van het CIR voor identificatiedoeleinden;

een beoordeling van het gebruik van het CIR met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten;

een beoordeling van alle mogelijke gevolgen, met inbegrip van disproportionele gevolgen voor de verkeersstroom aan grensdoorlaatposten en gevolgen voor de algemene begroting van de Unie;

een beoordeling van het bevragen van de Interpol-databanken via het ESP, met inbegrip van informatie over het aantal matches dat de Interpol-databanken hebben opgeleverd en informatie over eventueel geconstateerde problemen.

In de algemene evaluatie overeenkomstig de eerste alinea van het eerste lid worden zo nodig aanbevelingen opgenomen. De Commissie legt de evaluatie voor aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten.

Uiterlijk op 12 juni 2020 en vervolgens elk jaar totdat de in artikel 72 bedoelde uitvoeringshandelingen van de Commissie zijn vastgesteld, dient de Commissie bij het Europees Parlement en de Raad een verslag in over de stand van de voorbereidingen voor de volledige tenuitvoerlegging van deze verordening. Dat verslag bevat ook gedetailleerde informatie over de gemaakte kosten en over eventuele risico's die van invloed kunnen zijn op de totale kosten.

Twee jaar na de ingebruikneming van de MID overeenkomstig artikel 72, lid 4, beoordeelt de Commissie de gevolgen van de MID voor het recht op non-discriminatie. Na dit eerste verslag maakt de beoordeling van de gevolgen van de MID voor het recht op non-discriminatie deel uit van de in lid 4, onder b), van dit artikel bedoelde beoordeling.

De lidstaten en Europol verstrekken eu-LISA en de Commissie de informatie die nodig is om de in de leden 3 tot en met 6 bedoelde verslagen op te stellen. Deze informatie brengt de werkmethoden niet in gevaar en bevat geen informatie waardoor bronnen, namen van personeelsleden of onderzoeken van de aangewezen autoriteiten worden onthuld.

eu-LISA verstrekt de Commissie de informatie die nodig is om de in lid 4 bedoelde algemene evaluaties op te stellen.

Elke lidstaat en Europol stellen met inachtneming van de nationaalrechtelijke bepalingen inzake de bekendmaking van gevoelige informatie en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat geen enkel nationaal onderzoek in gevaar wordt gebracht, jaarlijkse verslagen op over de doeltreffendheid van de toegang tot in het CIR opgeslagen gegevens met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten, en nemen daarin informatie en statistieken op over:

de exacte doelen van de raadpleging, met inbegrip van de soorten terroristische misdrijven of andere ernstige strafbare feiten;

de gegronde redenen voor een gegrond vermoeden dat een verdachte, overtreder of slachtoffer onder Verordening (EU) 2017/2226, Verordening (EG) nr. 767/2008 of Verordening (EU) 2018/1240 valt;

het aantal verzoeken om toegang tot het CIR met het oog het voorkomen, opsporen of onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten;

het aantal en de soorten gevallen die hebben geleid tot succesvolle identificaties;

de noodzaak en het gebruik van de uitzonderingen voor dringende gevallen, met inbegrip van de gevallen waarin dat dringend karakter niet werd aanvaard bij de verificatie achteraf door het centrale toegangspunt.

De door de lidstaten en Europol opgestelde jaarlijkse verslagen worden aan de Commissie toegezonden vóór 30 juni van het daaropvolgende jaar.

10.

Een technische oplossing wordt aan de lidstaten beschikbaar gesteld om de in artikel 22 bedoelde verzoeken om gebruikerstoegang te beheren en het gemakkelijker te maken de in de leden 7 en 9 van dit artikel bedoelde gegevens te verzamelen met het oog op het genereren van de in die leden bedoelde verslagen en statistieken. De Commissie stelt uitvoeringshandelingen vast betreffende de specificaties van de technische oplossing. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 79

Inwerkingtreding en toepasselijkheid

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

De bepalingen van deze verordening met betrekking tot het ESP zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 1, bepaalde datum.

De bepalingen van deze verordening met betrekking tot de gezamenlijke BMS zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 2, bepaalde datum.

De bepalingen van deze verordening met betrekking tot het CIR zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 3, bepaalde datum.

De bepalingen van deze verordening met betrekking tot de MID zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 4, bepaalde datum.

De bepalingen van deze verordening met betrekking tot de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 5, bepaalde datum

De bepalingen van deze verordening met betrekking tot het CRRS zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 6, bepaalde datum.

De artikelen 6, 12, 17, 25, 38, 42, 54, 56, 57, 70, 71, 73, 74, 75, 77 en 78, lid 1, zijn van toepassing vanaf 11 juni 2019.

Deze verordening is met betrekking tot Eurodac van toepassing vanaf de datum waarop de herschikking van Verordening (EU) nr. 603/2013 van toepassing wordt.

		Publicatieblad
		nr.	blz.	datum
►M1	VERORDENING (EU) 2021/1152 VAN HET EUROPEES PARLEMENT EN DE RAAD van 7 juli 2021	L 249	15	14.7.2021
►M2	VERORDENING (EU) 2024/982 VAN HET EUROPEES PARLEMENT EN DE RAAD van 13 maart 2024	L 982	1	5.4.2024
►M3	VERORDENING (EU) 2025/12 VAN HET EUROPEES PARLEMENT EN DE RAAD van 19 december 2024	L 12	1	8.1.2025

►C1	Rectificatie, PB L 010, 15.1.2020, blz. 4 (2019/817)
►C2	Rectificatie, PB L 90960, 27.11.2025, blz. 1 (2019/817)