30.1.2013   

NL

Publicatieblad van de Europese Unie

C 28/6

Samenvatting van het advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel van de Commissie voor een verordening van het Europees Parlement en de Raad betreffende vertrouwen en geloof in elektronische transacties in de interne markt (verordening elektronische vertrouwensdiensten)

(De volledige tekst van dit advies is beschikbaar in de Engelse, Franse en Duitse taal op de website van de Europese Toezichthouder voor gegevensbescherming (EDPS): http://www.edps.europa.eu)

2013/C 28/04

I.   Inleiding

I.1.   Het voorstel

1.

De Commissie heeft op 4 juni 2012 een voorstel aangenomen voor een verordening van het Europees Parlement en de Raad tot wijziging van Richtlijn 1999/93/EG van het Europees Parlement en de Raad met betrekking tot elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (hierna „het voorstel” genoemd) (1).

2.

Het voorstel maakt deel uit van de door de Commissie voorgestelde maatregelen om het gebruik van elektronische transacties in de Europese Unie te bevorderen. Aanleiding vormen de maatregelen die zijn voorzien in de Digitale Agenda voor Europa (2) met betrekking tot de verbetering van wetgeving inzake de e-handtekening (kernactie 3) en het verschaffen van een samenhangend kader voor de wederzijdse erkenning van e-identificatie en e-authenticatie (kernactie 16).

3.

Verwacht wordt dat het voorstel het vertrouwen in pan-Europese elektronische transacties vergroot en zorgt voor de grensoverschrijdende juridische erkenning van elektronische identificatie, authenticatie, handtekeningen en verwante vertrouwensdiensten in de interne markt, waarbij een hoog niveau van gegevensbescherming en gebruikersbevoegdheden wordt gewaarborgd.

4.

Een hoog niveau van gegevensbescherming is essentieel voor het gebruik van regelingen voor elektronische identificatie en vertrouwensdiensten. De ontwikkeling en het gebruik van dergelijke elektronische middelen hangt af van de correcte verwerking van persoonsgegevens door verleners van vertrouwensdiensten en instellingen die elektronische identiteiten uitgeven. Dit is des te belangrijker omdat een zo betrouwbaar mogelijke identificatie en authenticatie van natuurlijke (of rechts-) personen onder meer afhangt van deze verwerking.

I.2.   Raadpleging van de EDPS

5.

Voorafgaand aan de aanneming van het voorstel werd de EDPS door de Commissie in de gelegenheid gesteld om informele opmerkingen te maken. Veel van deze opmerkingen zijn in het voorstel in aanmerking genomen. Als gevolg hiervan zijn de waarborgen voor de gegevensbescherming in het voorstel versterkt.

6.

De EDPS verwelkomt het feit dat hij formeel wordt geraadpleegd door de Commissie overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001.

I.3.   Achtergrond van het voorstel

7.

Het voorstel is gebaseerd op artikel 114 van het Verdrag betreffende de werking van de Europese Unie. In het voorstel worden de voorwaarden en mechanismen voor de wederzijdse erkenning en aanvaarding van elektronische identificatie en vertrouwensdiensten tussen lidstaten vastgesteld. In het voorstel zijn met name de beginselen met betrekking tot de verlening van identificatie en elektronische vertrouwensdiensten opgenomen, met inbegrip van de regels ten aanzien van erkenning en aanvaarding. Daarnaast bevat het de eisen ten aanzien van het aanmaken, verifiëren, valideren, hanteren en bewaren van elektronische handtekeningen, elektronische zegels, elektronische tijdstempels, elektronische documenten, elektronische bezorgingsdiensten, website-authenticatie en elektronische certificaten.

8.

Ook zijn in de voorgestelde verordening de voorschriften voor het toezicht op het aanbieden van vertrouwensdiensten en de verplichting voor lidstaten om toezichthoudende instanties voor dit doel in het leven te roepen vastgelegd. Deze instanties zullen onder andere beoordelen of de technische en organisatorische maatregelen die de aanbieders van elektronische vertrouwensdiensten uitvoeren in overeenstemming zijn met de regelgeving.

9.

Hoofdstuk II betreft de elektronische identificatiediensten, en hoofdstuk III is gewijd aan andere elektronische vertrouwensdiensten zoals elektronische handtekeningen, zegels, tijdstempels, documenten, bezorgingsdiensten, certificaten en website-authenticatie. Elektronische identificatiediensten betreffen nationale ID-kaarten en kunnen worden gebruikt bij de toegang tot digitale diensten, met name elektronische overheidsdiensten; dit betekent dat een entiteit die elektronische identiteiten uitgeeft optreedt namens een lidstaat, die ervoor verantwoordelijk is dat er een verband bestaat tussen een bepaalde persoon en zijn/haar elektronische identificatiemiddel. Ten aanzien van andere elektronische vertrouwensdiensten is de aanbieder/uitgevende instantie een natuurlijke of rechtspersoon die ervoor verantwoordelijk is dat deze diensten correct en veilig worden aangeboden.

I.4.   Gegevensbeschermingsaspecten van het voorstel

10.

De verwerking van persoonsgegevens is inherent aan het gebruik van identificatieregelingen, en in mindere mate ook aan het aanbieden van andere vertrouwensdiensten (bijvoorbeeld bij elektronische handtekeningen). De verwerking van persoonsgegevens is noodzakelijk om een persoon op betrouwbare wijze te koppelen aan een elektronisch identificatie- en authenticatiemiddel dat wordt gebruikt door een natuurlijke (of rechts-) persoon. Zo kan worden gegarandeerd dat de persoon achter het elektronische certificaat daadwerkelijk degene is die hij/zij zegt te zijn. Zo hebben elektronische identificatiemiddelen of elektronische certificaten betrekking op natuurlijke personen en bevatten zij een aantal gegevens die deze personen op ondubbelzinnige wijze aanduiden. Met andere woorden, de aanmaak, verificatie, validatie en hantering van elektronische middelen waarnaar in artikel 3, lid 12, van het voorstel wordt verwezen, zal in veel gevallen de verwerking van persoonsgegevens met zich meebrengen, waardoor gegevensbescherming relevant wordt.

11.

Het is daarom van essentieel belang dat de verwerking van gegevens in het kader van het aanbieden van elektronische identificatieregelingen of elektronische vertrouwensdiensten plaatsvindt in overeenstemming met het kader voor gegevensbescherming in de EU, en dan met name met nationale bepalingen tot omzetting van Richtlijn 95/46/EG.

12.

In dit advies zal de EDPS vooral drie wezenlijke vraagstukken onderzoeken:

a)

hoe gegevensbescherming in het voorstel wordt behandeld;

b)

gegevensbeschermingsaspecten van elektronische identificatieregelingen die grensoverschrijdend moeten worden erkend en aanvaard, en

c)

gegevensbeschermingsaspecten van elektronische vertrouwensdiensten die grensoverschrijdend moeten worden erkend en aanvaard.

III.   Conclusies

50.

De EDPS verwelkomt het voorstel daar het kan bijdragen aan de wederzijdse erkenning (en aanvaarding) van elektronische vertrouwensdiensten en identificatieregelingen op Europees niveau. Ook verwelkomt hij de vaststelling van een gemeenschappelijke reeks eisen waaraan moet worden voldaan door de instellingen die elektronische identificatiemiddelen uitgeven en door de aanbieders van vertrouwensdiensten. Niettegenstaande zijn algemene steun voor het voorstel wil de EDPS de volgende algemene aanbevelingen doen:

bepalingen over gegevensbescherming uit het voorstel moeten niet alleen van toepassing zijn op dienstverleners, maar ook op de verwerking van persoonsgegevens in de regelingen voor elektronische identificatie die worden beschreven in hoofdstuk II van het voorstel;

de voorgestelde verordening moet een gemeenschappelijke reeks veiligheidseisen bevatten voor aanbieders van vertrouwensdiensten en instellingen die elektronische identificatie uitgeven. Een alternatief zou kunnen zijn dat de Commissie krachtens de verordening de bevoegdheid krijgt om waar nodig de criteria, voorwaarden en eisen voor veiligheid in elektronische vertrouwensdiensten en identificatieregelingen te definiëren door middel van een selectieve toepassing van gedelegeerde handelingen of uitvoeringsmaatregelen.

aanbieders van elektronische vertrouwensdiensten en instellingen die elektronische identificatie uitgeven moeten ertoe worden verplicht degenen die gebruikmaken van hun diensten: i) de juiste informatie te verschaffen over de verzameling, doorgifte en bewaring van hun gegevens, alsmede ii) een manier om hun persoonsgegevens te controleren en hun gegevensbeschermingsrechten uit te oefenen;

de EDPS beveelt aan een selectievere keuze te maken welke bepalingen in het voorstel moeten worden opgenomen die de Commissie de bevoegdheid geven middels gedelegeerde of uitvoeringshandelingen concrete bepalingen vast te stellen of te preciseren na de aanneming van de voorgestelde verordening.

51.

Een aantal specifieke bepalingen betreffende de wederzijdse erkenning van regelingen voor elektronische identificatie moet ook worden verbeterd:

in de voorgestelde verordening moet worden vastgesteld welke gegevens of gegevenscategorieën worden verwerkt voor de grensoverschrijdende identificatie van personen. Deze specificatie moet ten minste hetzelfde detailleringsniveau hebben als de bijlagen voor andere vertrouwensdiensten en moet het evenredigheidsbeginsel eerbiedigen;

de waarborgen die vereist zijn voor het instellen van identificatieregelingen dienen minimaal te voldoen aan de eisen die gelden voor de aanbieders van gekwalificeerde vertrouwensdiensten;

het voorstel dient geëigende mechanismen te bevatten voor de opstelling van een kader voor de interoperabiliteit van nationale identificatieregelingen.

52.

Tot slot doet de EDPS ook de volgende aanbevelingen met betrekking tot de eisen aan de levering en erkenning van elektronische vertrouwensdiensten:

voor alle elektronische diensten moet worden vastgelegd of persoonsgegevens worden verwerkt, en wanneer dat het geval is, welke gegevens of gegevenscategorieën worden verwerkt;

de verordening moet passende waarborgen bevatten om overlap tussen de bevoegdheden van de toezichthoudende instanties voor elektronische vertrouwensdiensten en die van autoriteiten voor gegevensbescherming te vermijden;

de verplichtingen inzake inbreuken op gegevens en veiligheidsproblemen die zijn opgelegd aan de verleners van elektronische vertrouwensdiensten moeten overeenkomen met de eisen die zijn vastgelegd in de herziene e-privacyrichtlijn en in de voorgestelde verordening inzake gegevensbescherming;

de definitie van particuliere en publieke entiteiten die kunnen optreden als derde partij die bevoegd is om audits uit te voeren uit hoofde van de artikelen 16 en 17 of middelen voor het aanmaken van elektronische handtekeningen kan verifiëren uit hoofde van artikel 23, alsmede de criteria volgens welke de onafhankelijkheid van deze instanties zal worden vastgesteld moeten worden verduidelijkt;

in de verordening moet preciezer worden vastgelegd hoe lang de gegevens waarnaar in artikel 19, leden 2 en 4, wordt verwezen mogen worden bewaard (3).

Gedaan te Brussel, 27 september 2012.

Giovanni BUTTARELLI

Europese adjunct-toezichthouder voor gegevensbescherming

(1)  COM(2012) 238 definitief.

(2)  COM(2010) 245 van 19.5.2010.

(3)  Krachtens artikel 19, lid 2, onder g), moeten gekwalificeerde verleners van vertrouwensdiensten alle relevante informatie over de gegevens die zij verstrekken en ontvangen gedurende een passende periode bewaren. Krachtens artikel 19, lid 4, moeten gekwalificeerde verleners van vertrouwensdiensten die gekwalificeerde certificaten afgeven aan elke afhankelijke partij informatie verstrekken over de geldigheid of ingetrokken status van door hen afgegeven gekwalificeerde certificaten.