EUROPESE COMMISSIE

Straatsburg, 12.12.2017

COM(2017) 793 final

2017/0351(COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

tot vaststelling van een kader voor interoperabiliteit tussen de EU-informatiesystemen (grenzen en visa) en tot wijziging van Beschikking 2004/512/EG van de Raad, Verordening (EG) nr. 767/2008, Besluit 2008/633/JBZ van de Raad, Verordening (EU) 2016/399 en Verordening (EU) 2017/2226

{SWD(2017) 473 final}
{SWD(2017) 474 final}

TOELICHTING

1.ACHTERGROND VAN HET VOORSTEL

•Achtergrond van het voorstel

De afgelopen drie jaar heeft de EU te maken gekregen met een toenemend aantal irreguliere overschrijdingen van haar buitengrenzen en met een evoluerende en constante bedreiging van de interne veiligheid, getuige een aantal terroristische aanslagen. De EU-burgers rekenen erop dat de personencontrole aan de buitengrens en de controles binnen het Schengengebied doeltreffend zijn, gedegen migratiebeheer mogelijk maken en tot de interne veiligheid bijdragen. Deze uitdagingen hebben eens te meer duidelijk gemaakt dat de informatiemiddelen voor grensbeheer, migratie en veiligheid dringend over de hele linie moeten worden gekoppeld en versterkt.

Informatie kan en moet in de EU doeltreffender en doelmatiger worden beheerd, met volledige inachtneming van de grondrechten, waaronder met name het recht op bescherming van persoonsgegevens, teneinde de buitengrenzen van de EU beter te beschermen, het migratiebeheer te verbeteren en de interne veiligheid voor alle burgers te bevorderen. Er bestaat op EU-niveau al een aantal informatiesystemen om grenswachters, immigratieambtenaren en rechtshandhavingsfunctionarissen van informatie over personen te voorzien, en er worden nog meer van dergelijke systemen ontwikkeld. Wil deze ondersteuning doeltreffend zijn, dan moeten de EU-informatiesystemen informatie verstrekken die volledig, juist en betrouwbaar is. De informatiebeheerstructuur van de EU vertoont echter structurele tekortkomingen. De nationale autoriteiten hebben te maken met een complex landschap van op verschillende manieren beheerde informatiesystemen. Bovendien is de architectuur op het gebied van gegevensbeheer voor grenstoezicht en veiligheid gefragmenteerd, aangezien informatie afzonderlijk wordt opgeslagen in niet-gekoppelde systemen. Dit leidt tot blinde vlekken. Hierdoor zijn de diverse informatiesystemen op EU-niveau momenteel niet interoperabel – het is niet mogelijk er gegevens zodanig mee uit te wisselen en te delen dat autoriteiten en bevoegde ambtenaren overal en altijd beschikken over de informatie die zij nodig hebben. Interoperabiliteit van informatiesystemen op EU-niveau kan een aanzienlijke bijdrage leveren tot het wegnemen van de huidige blinde vlekken; vooralsnog kunnen personen namelijk onder verschillende aliassen geregistreerd staan in verschillende, niet-gekoppelde databanken. Daarbij kan het ook gaan om personen die mogelijk bij terroristische activiteiten betrokken zijn.

In april 2016 presenteerde de Commissie een mededeling over krachtigere en slimmere informatiesystemen voor grenzen en veiligheid 1 om een aantal structurele tekortkomingen in verband met informatiesystemen aan te pakken 2 . De mededeling van april 2016 had ten doel een discussie op gang te brengen over hoe de informatiesystemen in de Europese Unie het grens- en migratiebeheer en de interne veiligheid krachtiger kunnen bevorderen. De Raad heeft van zijn kant eveneens onderkend dat er op dit gebied dringend actie moet worden ondernomen. In juni 2016 heeft de Raad zijn goedkeuring gehecht aan een routekaart voor het verbeteren van informatie-uitwisseling en informatiebeheer op het gebied van justitie en binnenlandse zaken, onder meer door middel van interoperabiliteitsoplossingen 3 . De routekaart had ten doel operationeel onderzoek te ondersteunen en praktijkmensen (zoals politieambtenaren, grenswachters, officieren van justitie en immigratieambtenaren) van uitgebreide, actuele en hoogwaardige informatie te voorzien, zodat zij doeltreffend kunnen samenwerken en optreden. Ook het Europees Parlement heeft aangedrongen op actie op dit gebied. In zijn resolutie van juli 2016 4 over het werkprogramma van de Commissie voor 2017 drong het Europees Parlement aan op “voorstellen ter verbetering en ontwikkeling van bestaande informatiesystemen, het aanpakken van informatieleemten en de bevordering van interoperabiliteit, en voorstellen voor verplichte gegevensuitwisseling op EU-niveau, samen met de nodige waarborgen voor gegevensbescherming”. In de Staat van de Unie van september 2016 5 van voorzitter Juncker en in de conclusies van de Europese Raad van december 2016 6 is erop gewezen dat het van groot belang is de tekortkomingen op het gebied van gegevensbeheer te verhelpen en de interoperabiliteit van de informatiesystemen te verbeteren.

In juni 2016 heeft de Commissie naar aanleiding van de mededeling van april 2016 een deskundigengroep op hoog niveau inzake informatiesystemen en interoperabiliteit 7 opgericht en deze belast met de aanpak van de juridische, technische en operationele aspecten van een grotere interoperabiliteit van informatiesystemen, waaronder de noodzakelijkheid, de technische haalbaarheid en de evenredigheid van de beschikbare opties en de implicaties ervan voor de gegevensbescherming. Het eindverslag van deze deskundigengroep op hoog niveau is in mei 2017 gepubliceerd 8 . Het bevat een reeks aanbevelingen om de informatiesystemen van de EU en hun interoperabiliteit te verbeteren. Het Bureau van de Europese Unie voor de grondrechten, de Europese Toezichthouder voor gegevensbescherming en de EU-coördinator voor terrorismebestrijding hebben elk actief deelgenomen aan de werkzaamheden van de deskundigengroep. Elk van deze partijen sprak zijn steun uit, waarbij werd aangetekend dat gaandeweg wel werk dient te worden gemaakt van bredere kwesties op het gebied van grondrechten en gegevensbescherming. Vertegenwoordigers van het secretariaat van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken van het Europees Parlement en van het secretariaat-generaal van de Raad traden op als waarnemer. De conclusies van de deskundigengroep op hoog niveau waren dat het noodzakelijk en technisch haalbaar is praktische oplossingen voor interoperabiliteit na te streven, en dat deze in beginsel zowel operationele voordelen kunnen opleveren als met inachtneming van de voorschriften inzake gegevensbescherming kunnen worden vastgesteld.

Voortbouwend op het verslag en de aanbevelingen van de deskundigengroep presenteerde de Commissie in haar Zevende voortgangsverslag over de totstandbrenging van een echte en doeltreffende Veiligheidsunie 9 een nieuwe beheersaanpak voor de gegevens inzake grenzen, veiligheid en migratiebeheer, waarbij alle gecentraliseerde EU-informatiesystemen voor veiligheid, grenzen en migratiebeheer interoperabel zijn en de grondrechten ten volle worden geëerbiedigd. De Commissie maakte bekend te willen werken aan een Europees zoekportaal waarmee alle relevante EU-systemen op het gebied van veiligheid, grensbeheer en migratiebeheer gelijktijdig kunnen worden doorzocht, eventueel met beter gestroomlijnde regels inzake toegang voor rechtshandhavingsdoeleinden, en voor deze systemen zowel een gezamenlijke dienst voor biometrische matching (eventueel met de mogelijkheid om treffers te markeren 10 ) als een gemeenschappelijk identiteitenregister te zullen ontwikkelen. Zij deelde mee zo spoedig mogelijk met een wetgevingsvoorstel inzake interoperabiliteit te zullen komen.

De Europese Raad wees er in zijn conclusies van juni 2017 11 nogmaals op dat optreden geboden was. Voortbouwend op de conclusies van juni 2017 12 van de Raad Justitie en Binnenlandse Zaken verzocht de Europese Raad de Commissie om zo snel mogelijk ontwerpwetgeving op te stellen waarin de aanbevelingen van de deskundigengroep op hoog niveau zijn verwerkt. Met dit initiatief wordt ook gevolg gegeven aan de roep van de Raad om een breed kader voor de toegang voor rechtshandhavingsdoeleinden tot de verschillende databanken op het gebied van justitie en binnenlandse zaken, teneinde meer vereenvoudiging, consistentie, doeltreffendheid en aandacht voor operationele behoeften te verwezenlijken 13 . Ter versterking van de inspanningen om de samenleving van de Europese Unie veiliger te maken, met volledige inachtneming van de grondrechten, kondigde de Commissie in het kader van haar werkprogramma voor 2018 14 aan tegen eind 2017 met een voorstel te zullen komen inzake de interoperabiliteit van informatiesystemen.

•Doelstellingen van het voorstel

De algemene doelstellingen van dit initiatief hangen samen met de op het Verdrag gebaseerde doelen om het beheer van de buitengrenzen van het Schengengebied te verbeteren en tot de interne veiligheid van de Europese Unie bij te dragen. Ook vloeien zij voort uit de beleidsbeslissingen van de Commissie en de desbetreffende conclusies van de Europese Raad. Deze doelstellingen worden verder uitgewerkt in de Europese migratieagenda en de daaropvolgende mededelingen, waaronder de mededeling over de instandhouding en de versterking van Schengen 15 , de Europese veiligheidsagenda 16 en de werkzaamheden en voortgangsverslagen van de Commissie ter voorbereiding van een echte en doeltreffende veiligheidsunie 17 .

Ofschoon de doelstellingen van dit voorstel met name uit de mededeling van april 2016 en de bevindingen van de deskundigengroep op hoog niveau voortvloeien, hangen zij intrinsiek samen met voornoemde teksten.

De specifieke doelstellingen van dit voorstel zijn:

(1)waarborgen dat eindgebruikers (met name grenswachters, rechtshandhavingsambtenaren, immigratiefunctionarissen en gerechtelijke autoriteiten) snelle, naadloze, systematische en gecontroleerde toegang hebben tot de informatie die zij nodig hebben om hun taken te verrichten;

(2)zorgen voor een oplossing voor het opsporen van gevallen waarin meerdere identiteiten gelinkt zijn aan dezelfde reeks biometrische gegevens, met als dubbel oogmerk enerzijds bonafide personen correct te identificeren en anderzijds identiteitsfraude te bestrijden;

(3)het gemakkelijker maken voor politiediensten om de identiteit te controleren van onderdanen van derde landen die zich op het grondgebied van een lidstaat bevinden. alsmede

(4)vergemakkelijken en stroomlijnen van de toegang van rechtshandhavingsinstanties tot niet voor rechtshandhaving bedoelde informatiesystemen op EU-niveau, waar dit nodig is voor preventie, opsporing, onderzoek of vervolging van zware criminaliteit en terrorisme.

Naast deze primaire operationele doelstellingen zal dit voorstel ook bijdragen tot:

·het vergemakkelijken van de technische en operationele implementatie van bestaande en toekomstige (nieuwe) informatiesystemen door de lidstaten;

·het versterken en stroomlijnen van de voorwaarden inzake gegevensbeveiliging en -bescherming voor de respectieve systemen: alsmede

·het verbeteren en harmoniseren van de vereisten inzake de gegevenskwaliteit van de respectieve systemen.

Ten slotte bevat dit voorstel voorschriften inzake het vaststellen en beheren van het Universal Message Format (UMF) als EU-standaard voor de ontwikkeling van informatiesystemen op het gebied van justitie en binnenlandse zaken, en inzake het instellen van een centraal register voor rapportage en statistieken.

•Toepassingsgebied van het voorstel

Net als het bijbehorende, op dezelfde datum gepresenteerde voorstel heeft dit voorstel inzake interoperabiliteit betrekking op de op centraal niveau geëxploiteerde EU-informatiesystemen voor veiligheid, grensbeheer en migratiebeheer. Van deze systemen bestaan er al drie. Daarnaast is er een systeem dat zeer binnenkort wordt ontwikkeld en voor nog twee andere systemen zijn voorstellen ingediend die de medewetgevers momenteel bespreken. Elk systeem heeft zijn eigen doelstellingen, doelen, rechtsgrondslagen, regels, gebruikers en institutionele context.

De drie reeds bestaande gecentraliseerde informatiesystemen zijn:

·het Schengeninformatiesysteem (SIS), met een breed spectrum van signaleringen inzake personen (weigeringen van toegang of verblijf, Europees aanhoudingsbevel, vermissingen, rechtshulp, onopvallende en gerichte controles) en voorwerpen (onder meer verloren, gestolen en ongeldig gemaakte identiteitsbewijzen of reisdocumenten) 18 .

·het Eurodac-systeem met vingerafdrukken van asielzoekers en onderdanen van derde landen die de buitengrens irregulier hebben overschreden of illegaal in een lidstaat verblijven; en

·het Visuminformatiesysteem (VIS) met gegevens over visa voor kort verblijf.

Naast deze bestaande systemen heeft de Commissie in 2016-2017 drie nieuwe gecentraliseerde EU-informatiesystemen voorgesteld:

·het inreis-uitreissysteem (EES), waarvoor onlangs de rechtsgrondslag is vastgesteld en dat in de plaats zal komen van het huidige systeem waarbij paspoorten handmatig worden afgestempeld. In het EES zal automatisch een registratie worden opgenomen van de naam, het soort reisdocument, biometrische gegevens en de datum en plaats van inreis en uitreis van onderdanen van derde landen die het Schengengebied voor een kort verblijf bezoeken;

·het voorgestelde Europees systeem voor reisinformatie en -autorisatie (ETIAS), dat – eenmaal vastgesteld – grotendeels automatisch de informatie moet verzamelen en controleren die niet-visumplichtige onderdanen van derde landen voorafgaand aan hun reis naar het Schengengebied opgeven; en

·het voorgestelde Europees Strafregister Informatiesysteem voor onderdanen van derde landen (ECRIS-TCN), een elektronisch systeem voor de uitwisseling van informatie over eerdere veroordelingen van onderdanen van derde landen door de strafrechter in de EU.

Deze zes systemen zijn complementair en — met uitzondering van het SIS — uitsluitend gericht op onderdanen van derde landen. De systemen ondersteunen de nationale autoriteiten bij het grens-, migratie-, visum- en asielbeheer en bij de bestrijding van criminaliteit en terrorisme. Dit geldt met name voor het SIS, momenteel het meest gebruikte instrument voor informatie-uitwisseling in het kader van rechtshandhaving.

Naast deze centraal, op EU-niveau, beheerde informatiesystemen omvat het toepassingsgebied van dit voorstel ook de databank van Interpol voor verloren en gestolen reisdocumenten (SLTD), die krachtens de Schengengrenscode stelselmatig wordt doorzocht aan de buitengrenzen van de EU, en de databank van Interpol voor reisdocumenten met signaleringen (TDAWN). Dit initiatief heeft ook betrekking op gegevens van Europol, voor zover deze van belang zijn voor de werking van het voorgestelde ETIAS-systeem en voor het assisteren van de lidstaten bij het zoeken naar gegevens over zware criminaliteit en terrorisme.

Nationale informatiesystemen en gedecentraliseerde EU-informatiesystemen vallen buiten het toepassingsgebied van dit initiatief. Mits wordt aangetoond dat zulks noodzakelijk is, kunnen gedecentraliseerde systemen zoals de instrumenten die worden beheerd krachtens het Prümkader 19 , de richtlijn over het gebruik van persoonsgegevens van passagiers(PNR) 20 en de richtlijn betreffende persoonsgegevens van passagiers 21 in een latere fase worden gekoppeld aan een of meer van de uit hoofde van dit initiatief voorgestelde componenten 22 .

Om het onderscheid in acht te nemen tussen enerzijds zaken die een ontwikkeling vormen van het Schengenacquis inzake grenzen en visa en anderzijds systemen die betrekking hebben op het Schengenacquis inzake politiesamenwerking of losstaan van het Schengenacquis, betreft dit voorstel de toegang tot het Visuminformatiesysteem, het Schengeninformatiesysteem zoals momenteel geregeld door Verordening (EG) nr. 1987/2006, het inreis-uitreissysteem en het Europees systeem voor reisinformatie en -autorisatie.

•Technische componenten die nodig zijn om interoperabiliteit te verwezenlijken

Om de doelstellingen van dit voorstel te bereiken, moeten met het oog op interoperabiliteit vier componenten tot stand worden gebracht:

·Europees zoekportaal (European search portal — ESP)

·Gezamenlijke dienst voor biometrische matching (biometric matching service — BMS)

·Gemeenschappelijk identiteitenregister (common identity repository — CIR)

·Detector van meerdere identiteiten (multiple-identity detector — MID)

Deze componenten worden elk uitvoerig beschreven in het werkdocument van de diensten van de Commissie over de effectbeoordeling bij dit voorstel.

De vier componenten vormen samen de volgende interoperabiliteitsoplossing:

De doelstellingen en werking van deze vier componenten kunnen als volgt worden samengevat:

1)    Het Europees zoekportaal (ESP) moet het mogelijk maken om gelijktijdig meerdere systemen (het centrale SIS, Eurodac, het VIS, het toekomstige EES, de voorgestelde systemen ETIAS en ECRIS-TCN, alsmede de relevante systemen van Interpol en gegevens van Europol), te doorzoeken aan de hand van identiteitsgegevens (zowel biografische als biometrische gegevens). Hierdoor zouden gebruikers van de EU-informatiesystemen snel, naadloos, doeltreffend, systematisch en gecontroleerd toegang krijgen tot alle informatie die zij nodig hebben om hun taken te verrichten.

Een zoekopdracht via het Europees zoekportaal moet in slechts enkele seconden, informatie opleveren uit de diverse systemen waartoe de gebruiker rechtens toegang heeft. Afhankelijk van het doel van de zoekopdracht en de overeenkomstige toegangsrechten moet het ESP specifiek worden geconfigureerd.

Het is niet de bedoeling dat het ESP nieuwe gegevens verwerkt of gegevens opslaat; het moet louter dienen als één loket of “messagebroker” voor het doorzoeken van verscheidene centrale systemen en voor het naadloos opzoeken van de nodige informatie. De voorschriften inzake toegangscontrole en gegevensbescherming van de onderliggende systemen zouden hierbij ten volle worden geëerbiedigd. Met het ESP moet het eenvoudiger worden om elk van de bestaande EU-informatiesystemen op de juiste en toegestane wijze te benutten en moet het gemakkelijker en goedkoper worden voor de lidstaten om de systemen te raadplegen en gebruiken overeenkomstig de rechtsinstrumenten die daarop van toepassing zijn.

2)    De gezamenlijke dienst voor biometrische matching (gezamenlijke BMS) moet het mogelijk maken om biometrische gegevens (vingerafdrukken en gezichtsopnames) te doorzoeken en te vergelijken vanuit meerdere centrale systemen (met name het SIS, Eurodac, het VIS, het toekomstige EES en het voorgestelde ECRIS-TCN). Het voorgestelde ETIAS zal geen biometrische gegevens bevatten en het zal dan ook niet worden gekoppeld aan de gezamenlijke BMS.

Waar elk centraal systeem (het SIS, Eurodac, het VIS) momenteel met een specifieke propriëtaire zoekmachine voor biometrische gegevens werkt 23 , zou een gezamenlijke dienst voor biometrische matching fungeren als een gezamenlijk platform waarop de gegevens gelijktijdig worden doorzocht en vergeleken. De gezamenlijke BMS moet aanzienlijke voordelen qua veiligheid, kosten, onderhoud en beheer opleveren door te werken met één enkele technologische component, in plaats van met vijf verschillende. De biometrische gegevens (vingerafdrukken en gezichtsopnames) worden uitsluitend bewaard in de onderliggende systemen. De gezamenlijke BMS moet een mathematische representatie van de biometrische informatie (een template) genereren en bewaren, maar de eigenlijke gegevens buiten beschouwing laten; deze gegevens worden dus slechts eenmaal, op één locatie, opgeslagen.

De gezamenlijke BMS zou het een stuk gemakkelijker maken om verbanden te ontdekken tussen gegevensreeksen en de meerdere identiteiten waaronder één en dezelfde persoon in verschillende centrale systemen bekendstaat. Zonder een gezamenlijke BMS fungeert geen van de andere drie componenten.

3) Het gemeenschappelijke identiteitenregister (CIR) moet fungeren als de gezamenlijke component voor het bewaren van biografische 24 en biometrische identiteitsgegevens van onderdanen van derde landen die zijn opgeslagen in Eurodac, het VIS, het toekomstige EES, het voorgestelde ETIAS en het voorgestelde ECRIS-TCN. Elk van deze vijf centrale systemen legt om specifieke redenen biografische gegevens over specifieke personen vast. Daarin zou geen verandering komen. De relevante identiteitsgegevens zouden worden bewaard in het CIR, maar moeten deel blijven uitmaken van de onderliggende systemen waarin deze gegevens zijn geregistreerd.

Het CIR zou geen SIS-gegevens bevatten. Door de complexe technische architectuur van SIS – met nationale kopieën, gedeeltelijke nationale kopieën en eventuele nationale systemen voor biometrische matching – zou het CIR zo complex worden dat het technisch en financieel onuitvoerbaar wordt.

Het CIR moet het in de eerste plaats gemakkelijker maken een onderdaan van een derde land te identificeren. Dit zou operaties sneller doen verlopen, de doelmatigheid verbeteren en schaalvoordelen opleveren. De totstandbrenging van het CIR is nodig om de identiteit van onderdanen van derde landen doeltreffend te kunnen controleren, ook op het grondgebied van een lidstaat. Door aan het CIR de mogelijkheid toe te voegen om treffers te markeren, moet het mogelijk worden om aan de hand van een eenvoudige “treffer/geen treffer”-melding na te gaan of gegevens al dan niet voorkomen in een of meer van de door het CIR bestreken systemen. Zo zou het CIR ook helpen om de toegang van rechtshandhavingsinstanties tot niet voor rechtshandhaving bedoelde informatiesystemen te stroomlijnen en tegelijk de gegevensbescherming krachtig te blijven waarborgen (zie het onderstaande deel over de tweefasenaanpak van de toegang voor rechtshandhaving).

Van de vijf systemen die het CIR zou moeten bestrijken, zijn het toekomstige EES, het voorgestelde ETIAS en het voorgestelde ECRIS-TCN nieuw; deze systemen moeten nog worden ontwikkeld. Het huidige Eurodac bevat geen biografische gegevens; hiervoor wordt een uitbreiding ontwikkeld wanneer de nieuwe rechtsgrondslag voor Eurodac eenmaal is vastgesteld. Het huidige VIS bevat geen biografische gegevens, maar de nodige interacties tussen het VIS en het toekomstige EES nopen tot modernisering van het VIS in zijn huidige vorm. De totstandbrenging van het CIR zou dan ook op het juiste moment komen. Het CIR zou bestaande gegevens op geen enkele manier dupliceren. Technisch zou het CIR worden ontwikkeld op basis van het EES/ETIAS-platform.

4) De detector van meerdere identiteiten (MID) moet controleren of de gezochte identiteitsgegevens voorkomen in meer dan één van de aan de detector gekoppelde systemen. De MID bestrijkt de systemen die identiteitsgegevens in het CIR opslaan (Eurodac, het VIS, het toekomstige EES, het voorgestelde ETIAS en het voorgestelde ECRIS-TCN) en het SIS. De MID moet het mogelijk maken gevallen op te sporen waarin meerdere identiteiten gelinkt zijn aan dezelfde reeks biometrische gegevens, met als dubbel oogmerk enerzijds bonafide personen correct te identificeren en anderzijds identiteitsfraude te bestrijden.

Dankzij de MID zou kunnen worden vastgesteld dat verschillende namen betrekking hebben op dezelfde identiteit. Deze innovatie is noodzakelijk voor een doeltreffende aanpak van het frauduleuze gebruik van identiteiten, dat een ernstige inbreuk op de veiligheid vormt. Het is de bedoeling dat de MID alleen de biografische identiteitsgegevens weergeeft waarnaar in meerdere centrale systemen wordt gelinkt. Deze links moeten worden ontdekt door gebruik te maken van de gezamenlijke dienst voor biometrische matching en zouden moeten worden bevestigd of terzijde geschoven door de instantie die de gegevens heeft opgeslagen in het informatiesysteem van waaruit de link is gelegd. Om de bevoegde gebruikers van de MID bij deze taak te ondersteunen, zou het systeem de geïdentificeerde links in vier categorieën moeten onderverdelen:

·gele link –    mogelijk verschillende biografische identiteiten van dezelfde persoon

·witte link – bevestiging dat de verschillende biografische identiteiten van een en dezelfde bonafide persoon zijn

·groene link – bevestiging dat verschillende bonafide personen toevallig dezelfde biografische identiteit delen

·rode link – vermoeden dat één persoon onwettig gebruikmaakt van verschillende biografische identiteiten.

Dit voorstel beschrijft de procedures die zouden moeten worden ingevoerd om met deze verschillende categorieën om te gaan. Er dient zo snel mogelijk uitsluitsel te worden geboden over de identiteit van de betrokken bonafide personen, door de gele link om te zetten in een bevestigde groene of witte link, teneinde onnodige hinder te voorkomen. Waar de beoordeling echter uitwijst dat er inderdaad sprake is van een rode link of dat een gele link moet worden veranderd in een rode link, zou passende actie moeten worden ondernomen.

•    De tweefasenaanpak van de toegang voor rechtshandhavingsdoeleinden via het gemeenschappelijke identiteitenregister

Rechtshandhaving is een secundaire of nevendoelstelling van Eurodac, het VIS, het toekomstige EES en het voorgestelde ETIAS. De mogelijkheden om toegang tot de in deze systemen opgeslagen gegevens te krijgen voor rechtshandhavingsdoeleinden zijn dan ook beperkt. Rechtshandhavingsinstanties mogen deze niet voor rechtshandhaving bedoelde informatiesystemen alleen raadplegen met het oog op preventie, opsporing, onderzoek of vervolging van terrorisme en andere vormen van zware criminaliteit. Bovendien lopen de toegangsvoorwaarden en waarborgen voor de verschillende systemen uiteen en zouden sommige van de huidige regels de snelheid van het rechtmatig gebruik door deze instanties kunnen drukken. Meer algemeen beperkt het beginsel dat eerst in nationale databanken moet worden gezocht de mogelijkheden van de autoriteiten van de lidstaten om systemen te raadplegen voor rechtmatige rechtshandhavingsdoeleinden, waardoor kansen om benodigde informatie boven water te krijgen, wellicht onbenut blijven.

In haar mededeling van april 2016 onderkende de Commissie dat de bestaande instrumenten voor rechtshandhavingsdoeleinden dienen te worden geoptimaliseerd, met inachtneming van de gegevensbeschermingsvoorschriften. Deze zienswijze werd bevestigd en nogmaals tot uitdrukking gebracht door de lidstaten en de relevante agentschappen in het kader van de deskundigengroep op hoog niveau. 

Door de totstandbrenging van het CIR, waarmee treffers kunnen worden gemarkeerd, voorziet dit voorstel derhalve in de mogelijkheid om het EES, het VIS, het ETIAS en Eurodac door middel van een tweefasenaanpak te raadplegen. Deze tweefasenaanpak zou onverlet laten dat rechtshandhaving louter een nevendoelstelling van deze systemen is en dat er voor de toegang voor rechtshandhavingsdoeleinden strikte voorwaarden moeten gelden.

Eerst zou een rechtshandhavingsambtenaar een zoekopdracht betreffende een specifiek persoon uitvoeren op basis van diens identiteitsgegevens, reisdocument of biometrische gegevens, om na te gaan of er informatie over de gezochte persoon is opgeslagen in het CIR. Als dergelijke gegevens aanwezig zijn, ontvangt de ambtenaar een antwoord waaruit blijkt welk(e) van de EU-informatiesystemen informatie over de betrokkene bevat(ten) (treffermarkering). De ambtenaar zou geen toegang tot gegevens in de onderliggende systemen krijgen.

In tweede instantie zou de ambtenaar kunnen vragen om toegang tot elk afzonderlijk systeem waarvan is bericht dat het gegevens bevat, teneinde het volledige dossier te verkrijgen over de persoon op wie de zoekopdracht betrekking had, overeenkomstig de bestaande regels en procedures die voor elk van de betrokken systemen gelden. Bij deze tweede stap zouden voor toegang nog steeds voorafgaande toestemming van een bevoegde autoriteit alsmede een specifieke user-ID en registratie in logbestanden vereist zijn.

Deze nieuwe benadering zou ook een meerwaarde hebben voor de rechtshandhavingsinstanties, door het bestaan van potentiële links in de MID. De MID zou het CIR helpen om bestaande links te identificeren, waardoor de zoekopdracht nog aan nauwkeurigheid wint. De MID zou kunnen aangeven of de persoon in verschillende informatiesystemen onder verschillende identiteiten bekendstaat.

De tweefasenaanpak inzake gegevensraadpleging is met name van belang voor zaken waarin de verdachte, de dader of het mogelijke slachtoffer van een terroristisch misdrijf of ander ernstig strafbaar feit onbekend is. In dergelijke gevallen zou het CIR met een enkele zoekopdracht het informatiesysteem kunnen identificeren waarin de betrokkene is opgenomen. Hierdoor worden de huidige voorwaarden dat eerst in de nationale databanken en vervolgens in het geautomatiseerd identificatiesysteem voor vingerafdrukken van andere lidstaten krachtens Besluit 2008/615/JBZ (“Prümcontrole”) moet worden gezocht, overbodig.

De nieuwe tweefasenaanpak inzake raadpleging zou pas van kracht moeten worden wanneer de nodige interoperabiliteitscomponenten volledig operationeel zijn.   

•Aanvullende elementen van dit voorstel ter ondersteuning van de interoperabiliteitscomponenten/onderdelen

1)    Naast de bovenstaande componenten bevat deze ontwerpverordening ook het voorstel om een centraal register voor rapportage en statistieken (CRRS) op te zetten. Dit register is nodig om verslagen met (anonieme) statistische gegevens samen te stellen en te delen voor operationele, beleids- en gegevenskwaliteitsdoeleinden. De huidige praktijk waarbij statistische informatie alleen op de afzonderlijke informatiesystemen wordt verzameld, is ongunstig voor de gegevensbeveiliging en prestaties. Bovendien is het hierdoor niet mogelijk dwarsverbanden te leggen tussen gegevens in verschillende systemen.

Het CRRS moet dienen als een speciaal, afzonderlijk register voor geanonimiseerde statistische gegevens die ontleend zijn aan het SIS, het VIS, Eurodac, het toekomstige EES, het voorgestelde ETIAS, het voorgestelde ECRIS-TCN, het gemeenschappelijke identiteitenregister, de detector van meerdere identiteiten en de gezamenlijke dienst voor biometrische matching. Het register moet de mogelijkheid bieden om verslagen op beveiligde wijze te delen (conform de voorschriften van de respectieve rechtsinstrumenten) met de lidstaten, de Commissie (met inbegrip van Eurostat) en EU-agentschappen.

Het is goedkoper om één centraal register te ontwikkelen in plaats van afzonderlijke registers voor elk systeem, en de totstandkoming, het beheer en het onderhoud ervan zouden minder inspanningen vergen. Ook de gegevensbeveiliging zou erdoor verbeteren, aangezien de gegevensopslag en de toegangscontrole zich beperken tot één register.

2)    In deze ontwerpverordening wordt ook voorgesteld om een Universal Message Format (UMF) vast te stellen als de standaard die op EU-niveau moet worden gebruikt om op interoperabele wijze de interactie tussen meerdere systemen – waaronder de door eu-LISA ontwikkelde en beheerde systemen – in goede banen te leiden. Het gebruik van de standaard door Europol en Interpol zou ook worden aangemoedigd.

Met de UMF-standaard worden gemeenschappelijke uniforme formuleringen ingevoerd voor het beschrijven en linken van gegevenselementen, en met name de elementen die betrekking hebben op personen en (reis)documenten. Het gebruik van het UMF bij de ontwikkeling van nieuwe informatiesystemen vereenvoudigt de integratie en interoperabiliteit met andere systemen, met name voor lidstaten die interfaces moeten bouwen om met deze nieuwe systemen te communiceren. Wat dat betreft kan het verplichte gebruik van het UMF bij de ontwikkeling van nieuwe systemen worden beschouwd als een noodzakelijke randvoorwaarde voor de invoering van de in deze verordening voorgestelde interoperabiliteitscomponenten.

Om ervoor te zorgen dat de UMF-standaard in de hele EU volledig wordt ingevoerd, wordt een passende beheerstructuur voorgesteld. Het zou de taak zijn van de Commissie om de UMF-standaard vast te stellen en te ontwikkelen, in het kader van een onderzoeksprocedure met de lidstaten. De geassocieerde Schengenlanden, de EU-agentschappen en de internationale organen die bij de UMF-projecten betrokken zijn (zoals eu-LISA, Europol en Interpol), zullen hier ook bij worden betrokken. De voorgestelde beheerstructuur is van vitaal belang om het UMF brede ingang te doen vinden en daarbij optimale bruikbaarheid en toepasbaarheid te waarborgen.

3)    Bij deze ontwerpverordening worden bovendien geautomatiseerde mechanismen voor de controle van gegevenskwaliteit en gemeenschappelijke indicatoren voor gegevenskwaliteit ingevoerd; ook worden de lidstaten ertoe verplicht om bij het invoeren van gegevens in de systemen en het gebruik van die systemen een optimale gegevenskwaliteit te waarborgen. Als de gegevenskwaliteit niet optimaal is, kan dat niet alleen gevolgen hebben doordat gezochte personen niet kunnen worden geïdentificeerd, maar kunnen ook de grondrechten van onschuldige mensen worden aangetast. Om de problemen te verhelpen die zouden kunnen voortvloeien uit de door menselijke gebruikers ingevoerde gegevens, zouden bepalingen inzake automatische validering kunnen voorkomen dat operatoren fouten maken. Daarbij zou het streven erop gericht zijn kennelijk onjuiste of inconsistente gegevensinvoer automatisch te herkennen, zodat de lidstaat die de gegevens heeft ingevoerd, deze kan verifiëren en zo nodig corrigerende maatregelen kan nemen. Ter aanvulling hiervan zou eu-LISA regelmatig verslag kunnen uitbrengen over de gegevenskwaliteit.

•Consequenties voor andere rechtsinstrumenten

Deze ontwerpverordening en het bijbehorende voorstel omvatten innovaties die nopen tot wijziging van andere rechtsinstrumenten:

·Verordening (EU) 2016/399 (Schengengrenscode)

·Verordening (EU) 2017/2226 (EES-verordening)

·Verordening (EG) nr. 767/2008 (VIS-verordening)

·Beschikking 2004/512/EG van de Raad (VIS-beschikking)

·Besluit 2008/633/JBZ van de Raad (besluit over VIS/toegang voor rechtshandhavingsdoeleinden)

·[ETIAS-verordening]

·[Eurodac-verordening]

·[SIS-verordeningen]

·[ECRIS-TCN-verordening, met inbegrip van de overeenkomstige bepalingen van Verordening (EU) 2016/1624 (verordening betreffende de Europese grens- en kustwacht)]

· [eu-LISA-verordening]

Zowel het onderhavige als het bijbehorende voorstel bevat gedetailleerde bepalingen inzake de veranderingen die moeten worden aangebracht in de rechtsinstrumenten waarvoor de medewetgevers stabiele voorschriften hebben vastgesteld: de Schengengrenscode, de EES-verordening, de VIS-verordening, Besluit 2008/633/JBZ van de Raad en Beschikking 2004/512/EG van de Raad.

Over de overige vermelde instrumenten (verordeningen inzake het ETIAS, Eurodac, het SIS, ECRIS-TCN en eu-LISA) wordt momenteel onderhandeld in het Europees Parlement en de Raad. Vooralsnog kunnen de wijzigingen die nodig zijn voor deze instrumenten derhalve niet worden vastgesteld. De Commissie zal dergelijke wijzigingen voor elk van deze instrumenten presenteren binnen twee weken nadat over de respectieve ontwerpverordeningen een politiek akkoord is bereikt.

•Verenigbaarheid met bestaande bepalingen op het beleidsterrein

•Samenhang met ander beleid van de Unie op het gebied van justitie en binnenlandse zaken

Het onderhavige en het bijbehorende voorstel vloeien voort uit en stroken met de Europese migratieagenda en navolgende mededelingen, waaronder de mededeling over de instandhouding en de versterking van Schengen 30 , alsook met de Europese veiligheidsagenda 31 en het werk en de voortgangsverslagen van de Commissie ter voorbereiding van een echte en doeltreffende veiligheidsunie 32 . Dit voorstel is in overeenstemming met ander beleid van de Unie, met name op het gebied van:

·Interne veiligheid: volgens de Europese veiligheidsagenda zijn strenge gemeenschappelijke normen voor grensbeheer essentieel om grensoverschrijdende criminaliteit en terrorisme te voorkomen. Dit voorstel draagt verder bij tot een hoge mate van interne veiligheid door de middelen aan te reiken die autoriteiten snelle, naadloze, systematische en gecontroleerde toegang bieden tot de informatie die zij nodig hebben.

·Asiel: het voorstel merkt Eurodac aan als een van de centrale EU-systemen die interoperabel moeten worden gemaakt.

·Buitengrensbeheer en veiligheid: dit voorstel versterkt het SIS en het VIS, die bijdragen tot de doeltreffende controle van de buitengrenzen van de Unie, alsook het toekomstige EES, het voorgestelde ETIAS en het voorgestelde ECRIS-TCN.

2.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

•Rechtsgrondslag

•Subsidiariteit

•Evenredigheid

•Keuze van het instrument

3.RAADPLEGINGEN VAN BELANGHEBBENDEN EN EFFECTBEOORDELINGEN

•Openbare raadpleging

·het personeel in de praktijk helpen toegang te krijgen tot de informatie die zij nodig hebben;

·zouden voorkomen dat gegevens meermaals worden verzameld, elkaar zouden overlappen of onderling afwijkingen zouden vertonen;

·personen – met inbegrip van personen met meerdere identiteiten – betrouwbaarder wijze zouden identificeren en identiteitsfraude zouden terugdringen.

•Eurobarometer-enquête

In juni 2017 is een speciale Eurobarometer-enquête 34 gehouden, waaruit blijkt dat de strategie van de EU om ter bestrijding van criminaliteit en terrorisme informatie op EU-niveau te delen, op grote steun onder de bevolking kan rekenen: bijna alle respondenten (92 %) vinden dat de nationale autoriteiten informatie zouden moeten delen met de autoriteiten van andere lidstaten met het oog op een betere bestrijding van criminaliteit en terrorisme. 

Een duidelijke meerderheid (69 %) van de respondenten stelde zich op het standpunt dat de politie en andere nationale wetshandhavingsinstanties informatie op stelselmatige basis zouden moeten uitwisselen met andere EU-landen. In alle lidstaten vindt een meerderheid van de respondenten dat informatie in alle gevallen zou moeten worden gedeeld.

•Deskundigengroep op hoog niveau inzake informatiesystemen en interoperabiliteit

Deze ontwerpverordening beantwoordt tevens aan de aanbevelingen van de deskundigengroep op hoog niveau over gegevenskwaliteit, het Universal Message Format (UMF) en de totstandbrenging van een datapakhuis (hier gepresenteerd als het centrale register voor rapportage en statistieken (CRRS)).

De vierde interoperabiliteitscomponent van deze ontwerpverordening (de detector van meerdere identiteiten) is niet aangedragen door de deskundigengroep op hoog niveau, maar is voortgevloeid uit een aanvullende technische analyse en de door de Commissie verrichte evenredigheidsbeoordeling.

•Technische studies

•Effectbeoordeling

Bij de effectbeoordeling is geëvalueerd of en zo ja hoe elk van de geformuleerde doelstellingen zou kunnen worden bereikt met behulp van een of meer van de door de deskundigengroep op hoog niveau vastgestelde technische componenten en door middel van daaropvolgende analyse. Waar nodig werd tevens gekeken naar de subopties die nodig zijn om deze doelstellingen te halen, met inachtneming van het kader voor gegevensbescherming. De conclusie van de effectbeoordeling luidde als volgt:

·ter verwezenlijking van de doelstelling om bevoegde gebruikers te voorzien van snelle, naadloze, systematische en gecontroleerde toegang tot relevante informatiesystemen, dient een Europees zoekportaal (ESP) te worden gecreëerd, op basis van een gezamenlijke dienst voor biometrische matching (gezamenlijke BMS) die alle databanken bestrijkt;

·ter verwezenlijking van de doelstelling om door gemachtigde ambtenaren verrichte identiteitscontroles van onderdanen van derde landen op het grondgebied van een lidstaat te vergemakkelijken, dient op basis van dezelfde gezamenlijke BMS een gemeenschappelijk identiteitenregister (CIR) te worden gecreëerd, dat de minimale reeks identificatiegegevens bevat;

·ter verwezenlijking van de doelstelling om meerdere aan dezelfde reeks biometrische gegevens gelinkte identiteiten op te sporen, teneinde zowel identiteitscontroles voor bonafide reizigers te vergemakkelijken als identiteitsfraude te bestrijden, dient een detector van meerdere identiteiten te worden gebouwd, die links bevat tussen meerdere identiteiten in verschillende systemen;

·ter verwezenlijking van de doelstelling om de toegang van rechtshandhavingsinstanties tot niet voor rechtshandhaving bedoelde informatiesystemen te vergemakkelijken en te stroomlijnen, met het oog op preventie, opsporing, onderzoek of vervolging van zware criminaliteit en terrorisme, dient aan het CIR de mogelijkheid te worden toegevoegd treffers te markeren.

Aangezien aan alle doelstellingen moet worden voldaan, bestaat de complete oplossing in een combinatie van het ESP, het CIR (met treffermarkering) en de MID, telkens met gebruik van de gezamenlijke BMS.

De belangrijkste positieve impact zal bestaan in beter grensbeheer en grotere interne veiligheid van de Europese Unie. De nieuwe componenten zullen de toegang van de nationale autoriteiten tot de nodige informatie en identificatie van onderdanen van derde landen stroomlijnen en versnellen. De autoriteiten zullen hierdoor bij grenscontroles, de behandeling van visum- of asielaanvragen en politiewerk dwarsverbanden kunnen leggen met bestaande essentiële, informatie over natuurlijke personen. Hierdoor kan toegang worden verkregen tot informatie die ertoe kan bijdragen dat betrouwbare besluiten worden genomen, of het nu gaat om onderzoek van zware criminaliteit en terrorisme of om besluiten op het gebied van migratie en asiel. Hoewel de voorstellen geen rechtstreekse gevolgen zullen hebben voor burgers van de EU (de voorgestelde maatregelen hebben in de eerste plaats betrekking op onderdanen van derde landen wier gegevens zijn opgenomen in gecentraliseerde informatiesysteem van de EU), zullen zij naar verwachting leiden tot een groter vertrouwen onder de bevolking, doordat het ontwerp en de toepassing van de maatregelen de veiligheid van de EU-burgers bevorderen.

•Grondrechten

•Bescherming van persoonsgegevens

Interoperabiliteit zal vooral gevolgen hebben voor het recht op de bescherming van persoonsgegevens. Dit recht is vastgelegd in artikel 8 van het Handvest, artikel 16 van het Verdrag betreffende de werking van de Europese Unie en artikel 8 van het Europees Verdrag voor de rechten van de mens. Zoals het Hof van Justitie van de Europese Unie heeft beklemtoond 39 , heeft het recht op bescherming van persoonsgegevens geen absolute gelding, maar moet het in relatie tot de functie ervan in de maatschappij worden beschouwd 40 . Er bestaat een nauw verband tussen gegevensbescherming en de eerbiediging van het privéleven en het familie- en gezinsleven, dat door artikel 7 van het Handvest wordt beschermd.

Volgens de algemene verordening gegevensbescherming 41 dient het vrije verkeer van persoonsgegevens in de Unie niet te worden beperkt om redenen die verband houden met gegevensbescherming. Er moet echter wel een aantal beginselen worden geëerbiedigd. Zo kunnen aan de uitoefening van de in het Handvest erkende grondrechten alleen in rechte beperkingen worden gesteld, als wordt voldaan aan de navolgende criteria, die zijn vastgelegd in artikel 52, lid 1, van het Handvest:

·de beperkingen moeten bij wet worden gesteld;

·zij moeten de wezenlijke inhoud van de rechten eerbiedigen;

·zij moeten daadwerkelijk aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen beantwoorden;

·zij moeten noodzakelijk zijn; en

·zij moeten evenredig zijn.

In het huidige voorstel zijn al deze regels inzake gegevensbescherming geïntegreerd, zoals uitvoerig wordt uiteengezet in de effectbeoordeling bij dit voorstel voor een verordening. Het voorstel is gebaseerd op de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Het omvat alle passende voorschriften, waardoor alleen gegevens worden verwerkt die nodig zijn voor een bepaald doel en toegang alleen wordt verleend op "need to know"-basis. De gegevensbewaringstermijnen (indien van toepassing) zijn passend en beperkt. De toegang is uitsluitend voorbehouden aan de naar behoren gemachtigde personeelsleden van de autoriteiten van de lidstaten en de EU-organen die bevoegd zijn voor de specifieke doelen van elk informatiesysteem, en geldt enkel voor de gegevens die vereist zijn voor de uitvoering van hun taken overeenkomstig deze doelen.

4.GEVOLGEN VOOR DE BEGROTING

De gevolgen voor de begroting zijn opgenomen in het financieel memorandum bij dit voorstel. Het memorandum bestrijkt de resterende periode van het huidige meerjarig financieel kader (tot 2020) en de zeven jaar van de daaropvolgende periode (2021-2027). De voorgestelde begroting voor de jaren 2021 en daarna is opgenomen ter illustratie en loopt niet vooruit op het volgende meerjarig financieel kader.

(1)De ontwikkeling en integratie door eu-LISA van de vier interoperabiliteitscomponenten en het centrale register voor rapportage en statistieken, alsmede het daaropvolgende onderhoud en beheer.

(2)De migratie van gegevens naar de gezamenlijke dienst voor biometrische matching (gezamenlijke BMS) en het gemeenschappelijke identiteitenregister (CIR). Wat de gezamenlijke BMS betreft, dienen de biometrische templates van de overeenkomstige gegevens uit de drie systemen die momenteel gebruikmaken van biometrische gegevens (SIS, VIS en Eurodac), opnieuw te worden aangemaakt in de gezamenlijke BMS. In het geval van het CIR dienen de persoonsgegevens uit het VIS te migreren naar het CIR en is validering nodig van de mogelijke links die worden ontdekt tussen identiteiten in het SIS, het VIS en Eurodac. Met name dit laatste proces vergt veel middelen.

(3)De modernisering door eu-LISA van de nationale uniforme interface (NUI), die reeds is opgenomen in de EES-verordening en een generieke component moet worden voor de uitwisseling van berichten tussen de lidstaten en de centrale systemen.

(4)De integratie van de nationale systemen van de lidstaten en de NUI die de berichten doorgeeft die met het CIR/de detector van meerdere identiteiten zijn uitgewisseld via het Europees zoekportaal.

(5)De opleiding inzake het gebruik van de interoperabiliteitscomponenten door de eindgebruikers, met name het Agentschap van de Europese Unie voor opleiding op het gebied van rechtshandhaving (Cepol).

(1)Een budget van 225 miljoen EUR voor eu-LISA heeft betrekking op de totale kosten voor de ontwikkeling van een programma dat de vijf interoperabiliteitscomponenten tot stand moet brengen (68,3 miljoen EUR), de onderhoudskosten van het moment dat de componenten gereed zijn tot en met 2027 (56,1 miljoen EUR), een specifiek budget van 25 miljoen EUR voor de migratie van gegevens uit bestaande systemen naar de gezamenlijke BMS en de aanvullende kosten voor de modernisering, het netwerk, opleidingen en vergaderingen inzake de NUI. Een specifiek budget van 18,7 miljoen EUR moet de kosten dekken voor het upgraden en beheren van ECRIS-TCN in hogebeschikbaarheidsmodus vanaf 2022.

(2)Een budget van 136,3 miljoen EUR voor de lidstaten, ter dekking van de kosten van de veranderingen in hun nationale systemen voor het gebruik van de interoperabiliteitscomponenten, de door eu-LISA ontwikkelde NUI en de opleiding van de aanzienlijke groep eindgebruikers.

(3)Een begroting van 48,9 miljoen EUR voor Europol, ter dekking van de kosten van de upgrade van zijn IT-systemen met het oog op het te verwerken aantal berichten en ter dekking van de kosten van de betere prestaties 42 . De interoperabiliteitscomponenten zullen door het ETIAS worden gebruikt om de gegevens van Europol te raadplegen.

(4)Een budget van 4,8 miljoen EUR voor het Europees grens- en kustwachtagentschap, ter bekostiging van een team van deskundigen dat gedurende één jaar de links tussen identiteiten zal valideren wanneer de detector van meerdere identiteiten in werking treedt.

(5)Een budget van 2,0 miljoen EUR voor het Agentschap van de Europese Unie voor opleiding op het gebied van rechtshandhaving (Cepol), ter dekking van de voorbereiding en uitvoering van opleiding voor het operationele personeel.

(6)Een voorziening van 7,7 miljoen EUR voor DG HOME, ter dekking van de kosten van een beperkte personeelsuitbreiding en van daarmee samenhangende kosten gedurende de ontwikkelingsfase van de verschillende componenten, aangezien de Commissie gedurende die periode ook aanvullende taken zal moeten uitvoeren en de verantwoordelijkheid op zich neemt voor de met het Universal Message Format belaste commissie.

De verordening inzake het Fonds voor interne veiligheid (ISF) – Grenzen is het financiële instrument waarin het budget voor de uitvoering van het interoperabiliteitsinitiatief is opgenomen. In artikel 5, lid 5, onder b), is daarom voorzien in een bedrag van 791 miljoen EUR voor de ontwikkeling van IT-systemen gebaseerd op bestaande en/of nieuwe IT-systemen ter beheersing van de migratiestromen langs de buitengrenzen, mits de desbetreffende wetgevingshandelingen van de Unie worden vastgesteld, en onder de voorwaarden van artikel 15, lid 5. Van deze 791 miljoen EUR is 480,2 miljoen EUR gereserveerd voor de ontwikkeling van het EES, 210 miljoen EUR voor het ETIAS en 67,9 miljoen EUR voor de herziening van het SIS. De rest (32,9 miljoen EUR) dient te worden herschikt via de ISF-B-mechanismen. Met het onderhavige voorstel is 32,1 miljoen EUR gemoeid voor de looptijd van het huidige meerjarig financieel kader (2019/20); dit bedrag past binnen het resterende budget.

5.AANVULLENDE INFORMATIE

•Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage

•Artikelsgewijze toelichting

Hoofdstuk I bevat de algemene bepalingen van deze verordening. Het gaat om: de beginselen die aan de verordening ten grondslag liggen, de bij de verordening ingestelde componenten, de doelstellingen van interoperabiliteit, het toepassingsgebied van de verordening, de omschrijving van de in de verordening gebruikte termen en het beginsel van non-discriminatie wat betreft de gegevensverwerking krachtens de verordening.

In hoofdstuk II staan de bepalingen inzake het Europees zoekportaal (ESP). Dit hoofdstuk voorziet in de totstandkoming van het ESP en de technische architectuur daarvan, die door eu-LISA zal worden ontwikkeld. Het doel van het ESP wordt genoemd en er wordt vastgesteld wie het ESP mogen gebruiken en hoe de gebruikers daarbij te werk moeten gaan, gelet op de bestaande toegangsrechten voor elk van de centrale systemen. Bepaald wordt dat eu-LISA gebruikersprofielen aanmaakt voor elke categorie gebruikers. Dit hoofdstuk regelt hoe het ESP de centrale systemen zal doorzoeken en bevat bepalingen inzake de vorm en de inhoud van de antwoorden aan de gebruikers. Verder bepaalt hoofdstuk II dat eu-LISA logs dient bij te houden van alle verwerkingsoperaties en voorziet het in de vangnetprocedure voor het geval dat het ESP geen toegang heeft tot een of meer van de centrale systemen.

Hoofstuk III bevat bepalingen inzake de gezamenlijke dienst voor biometrische matching (gezamenlijke BMS). Dit hoofdstuk regelt de totstandkoming van de gezamenlijke BMS en de technische architectuur daarvan, die door eu-LISA zal worden ontwikkeld. Ook wordt uiteengezet wat het doel is van de gezamenlijke BMS en welke gegevens erin worden opgeslagen. Voorts wordt de relatie tussen de gezamenlijke BMS en de andere componenten uitgelegd. Ten slotte bepaalt hoofdstuk III dat de gezamenlijke BMS gegevens niet blijft bewaren wanneer deze niet meer in het respectieve centrale systeem staan en dat eu-LISA logs bijhoudt van alle verwerkingen.

In hoofdstuk IV staan de bepalingen inzake het gemeenschappelijke identiteitenregister (CIR). Dit hoofdstuk voorziet in de totstandkoming van het CIR en de technische architectuur daarvan, die door eu-LISA zal worden ontwikkeld. Het bepaalt het doel van het CIR en legt uit welke gegevens zullen worden opgeslagen, en hoe. Ook bevat dit hoofdstuk bepalingen die de kwaliteit van de opgeslagen gegevens moeten waarborgen. Voorts wordt in hoofdstuk IV geregeld dat het CIR individuele bestanden aanmaakt op basis van de in de centrale systemen opgenomen gegevens en dat individuele bestanden worden bijgewerkt als er veranderingen in de individuele centrale systemen worden aangebracht. Ook beschrijft hoofdstuk IV hoe het CIR werkt met betrekking tot de detector van meerdere identiteiten. Bepaald wordt wie er toegang hebben tot het CIR en hoe die personen toegang tot de gegevens kunnen verkrijgen overeenkomstig de toegangsrechten. Ook bevat het hoofdstuk meer specifieke bepalingen, die van toepassing zijn naargelang het gaat om toegang die identificatie ten doel heeft of – als de eerste fase van de tweefasenaanpak – om toegang tot het EES, het VIS, het ETIAS en Eurodac via het CIR voor rechtshandhavingsdoeleinden. Hoofdstuk IV schrijft ook voor dat eu-LISA logs bijhoudt van de verwerkingen met betrekking tot het CIR.

Hoofdstuk V bevat de bepalingen inzake de detector van meerdere identiteiten (MID). Dit hoofdstuk voorziet in de totstandkoming van de MID en de technische architectuur daarvan, die door eu-LISA zal worden ontwikkeld. Het doel van de MID wordt uitgelegd en het gebruik van de MID overeenkomstig de toegangsrechten voor elk van de centrale systemen wordt geregeld. Hoofdstuk V bepaalt wanneer en hoe de MID overgaat tot het zoeken naar meervoudige identiteiten, hoe de resultaten worden aangeleverd en welk gevolg hieraan wordt gegeven, zo nodig via handmatige controle. Hoofdstuk V bevat een classificatie van de soorten links die kunnen voortvloeien uit de zoekopdracht, naargelang deze gegevens betreffende één identiteit, meerdere identiteiten of een gedeelde identiteit oplevert. Dit hoofdstuk bepaalt dat de MID gelinkte gegevens die in de centrale systemen staan, opslaat, terwijl de gegevens in twee of meer individuele centrale systemen worden bewaard. Hoofdstuk V bepaalt ook dat eu-LISA logs bijhoudt van alle verwerkingsactiviteiten in verband met de MID.

Hoofdstuk VI voorziet in maatregelen ter ondersteuning van de interoperabiliteit. Het voorziet in de mogelijkheid de gegevenskwaliteit te verbeteren, het Universal Message Format vast te stellen als gemeenschappelijke standaard voor informatie-uitwisseling ter ondersteuning van interoperabiliteit, en een centraal register voor rapportage en statistieken in te stellen.

Hoofdstuk VII betreft gegevensbescherming. Het bevat bepalingen die waarborgen dat de krachtens deze verordening verwerkte gegevens op rechtmatige en passende wijze worden verwerkt, overeenkomstig de bepalingen van Verordening nr. 45/2001. Verder wordt uitgelegd wie voor elk van de in deze verordening voorgestelde interoperabiliteitsmaatregelen de gegevensverwerker is en welke maatregelen eu-LISA en de autoriteiten van de lidstaten moeten nemen voor het waarborgen van de beveiliging van de gegevensverwerking, de vertrouwelijkheid van de gegevens, de passende behandeling van veiligheidsincidenten en het passende toezicht op de naleving van de in deze verordening vervatte maatregelen. Het hoofdstuk bevat ook bepalingen over de rechten van de betrokkenen, waaronder het recht te worden geïnformeerd dat gegevens over hen krachtens deze verordening zijn opgeslagen en verwerkt, alsook het recht om toegang te krijgen tot krachtens deze verordening opgeslagen en verwerkte persoonsgegevens. In dit hoofdstuk wordt ook het beginsel vastgesteld dat de krachtens deze verordening verwerkte gegevens niet mogen worden doorgegeven aan of ter beschikking gesteld van derde landen, internationale organisaties of derden, met uitzondering van Interpol (voor een aantal specifieke doeleinden) en van gegevens die van Europol zijn ontvangen via het Europees zoekportaal, waarvoor de regels van Verordening 2016/794 inzake verdere gegevensverwerking gelden. Ten slotte bevat het hoofdstuk de bepalingen inzake toezicht en audit met betrekking tot gegevensbescherming.

Hoofdstuk VIII beschrijft de verantwoordelijkheden van eu-LISA voor en na de inwerkingtreding van de maatregelen in dit voorstel, alsmede de verantwoordelijkheden van de lidstaten, Europol en de centrale ETIAS-eenheid.

Hoofdstuk VI betreft wijzigingen van andere rechtsinstrumenten van de Unie. Deze wijzigingen zijn nodig om ervoor te zorgen dat dit interoperabiliteitsvoorstel volledig ten uitvoer wordt gelegd. Dit voorstel bevat gedetailleerde bepalingen inzake de veranderingen die moeten worden aangebracht in de rechtsinstrumenten die momenteel als stabiele tekst zijn vastgesteld door de medewetgevers: de Schengengrenscode, de EES-verordening, de VIS-verordening (EC), Beschikking 2004/512/EC van de Raad (de VIS-beschikking) en Besluit 2008/633/JBZ van de Raad (besluit over het VIS/toegang voor rechtshandhavingsdoeleinden).

Hoofdstuk X bevat gegevens over: de vereisten inzake rapportage en statistieken in verband met de krachtens deze verordening verwerkte gegevens, de nodige overgangsmaatregelen, regelingen inzake de kosten die uit deze verordening voortvloeien, de vereisten inzake kennisgevingen, het proces voor de aanvang van de in deze verordening voorgestelde activiteiten, governanceregelingen, onder meer inzake de samenstelling van een comité en een adviesgroep, de taken van eu-LISA op het gebied van opleiding en een praktische handleiding ter ondersteuning van de implementatie en het beheer van de interoperabiliteitscomponenten, procedures voor het toezicht op en de evaluatie van de in deze verordening voorgestelde maatregelen en een bepaling inzake de inwerkingtreding van deze verordening.

2017/0351 (COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

tot vaststelling van een kader voor interoperabiliteit tussen de EU-informatiesystemen (grenzen en visa) en tot wijziging van Beschikking 2004/512/EG van de Raad, Verordening (EG) nr. 767/2008, Besluit 2008/633/JBZ van de Raad, Verordening (EU) 2016/399 en Verordening (EU) 2017/2226

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2, artikel 74 en artikel 77, lid 2, onder a), b), d) en e),

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Na raadpleging van de Europese Toezichthouder voor gegevensbescherming,

Gezien het advies van het Europees Economisch en Sociaal Comité 43 ,

Gezien het advies van het Comité van de Regio’s 44 ,

Handelend volgens de gewone wetgevingsprocedure,

Overwegende hetgeen volgt:

(1)In haar mededeling Krachtigere en slimmere informatiesystemen voor grenzen en veiligheid 45 van 6 april 2016 heeft de Commissie benadrukt dat de EU-architectuur voor gegevensbeheer voor grensbeheer en veiligheid moest worden verbeterd. De mededeling gaf de aanzet tot een proces dat moet leiden tot interoperabiliteit tussen de EU-informatiesystemen voor veiligheid, grensbeheer en migratiebeheer, met als doel de structurele tekortkomingen in verband met deze systemen, die het werk van de nationale instanties hinderen, te verhelpen en ervoor te zorgen dat grenswachters, douaneautoriteiten, politieambtenaren en gerechtelijke autoriteiten over de nodige informatie beschikken.

(2)In zijn routekaart voor het verbeteren van informatie-uitwisseling en informatiebeheer op het gebied van justitie en binnenlandse zaken van 6 juni 2016 46 heeft de Raad verscheidene juridische, technische en operationele problemen in verband met de interoperabiliteit van de EU-informatiesystemen geïdentificeerd en ertoe opgeroepen daar oplossingen voor te vinden.

(3)In zijn resolutie van 6 juli 2016 over de strategische prioriteiten met betrekking tot het werkprogramma van de Commissie voor 2017 47 heeft het Europees Parlement aangedrongen op voorstellen om de bestaande EU-informatiesystemen te verbeteren en verder te ontwikkelen, informatieleemten aan te pakken en de interoperabiliteit tussen voornoemde systemen te bevorderen, en op voorstellen voor verplichte gegevensuitwisseling op EU-niveau, samen met de nodige waarborgen voor gegevensbescherming.

(4)De Europese Raad van 15 december 2016 48 heeft gevraagd om te blijven werken aan de interoperabiliteit van informatiesystemen en databanken.

(5)In zijn eindverslag van 11 mei 2017 49 heeft de deskundigengroep inzake informatiesystemen en interoperabiliteit geconcludeerd dat het noodzakelijk en technisch haalbaar is om praktische oplossingen voor interoperabiliteit na te streven, en dat deze in beginsel zowel operationele voordelen kunnen opleveren als met inachtneming van de voorschriften inzake gegevensbescherming kunnen worden vastgesteld.

(6)In haar mededeling van 16 mei 2017 (Zevende voortgangsverslag over de totstandbrenging van een echte en doeltreffende Veiligheidsunie 50 ) heeft de Commissie, overeenkomstig haar mededeling van 6 april 2016 en conform de bevindingen en aanbevelingen van de deskundigengroep op hoog niveau, een nieuwe aanpak beschreven voor het beheer van gegevens voor grenzen, veiligheid en migratie, waarbij alle gecentraliseerde EU-informatiesystemen voor veiligheid, grensbeheer en migratiebeheer interoperabel zijn, met volledige inachtneming van de grondrechten.

(7)In zijn conclusies van 9 juni 2017 51 over de verdere stappen voor het verbeteren van de informatie-uitwisseling en het waarborgen van de interoperabiliteit van de EU-informatiesystemen, heeft de Raad de Commissie verzocht om de door de deskundigengroep op hoog niveau voorgestelde oplossingen inzake operabiliteit na te streven.

(8)De Europese Raad van 23 juni 2017 52 heeft de noodzaak onderstreept van een verbetering van de interoperabiliteit tussen databanken en de Commissie verzocht zo spoedig mogelijk ontwerpwetgeving op te stellen en daarin de voorstellen uit te werken van de deskundigengroep op hoog niveau inzake informatiesystemen en interoperabiliteit.

(9)Teneinde het beheer van de buitengrenzen te verbeteren en bij te dragen aan het voorkomen en bestrijden van irreguliere migratie en aan een hoog niveau van veiligheid in de ruimte van vrijheid, veiligheid en recht van de Unie, met inbegrip van handhaving van de openbare orde en veiligheid en de vrijwaring van de veiligheid op het grondgebied van de lidstaten, dient er interoperabiliteit tot stand te worden gebracht tussen een aantal EU-informatiesystemen, namelijk [het inreis-uitreissysteem (EES)], het Visuminformatiesysteem (VIS), [het Europees systeem voor reisinformatie en -autorisatie (ETIAS)], Eurodac, het Schengeninformatiesysteem (SIS) en [het Europees Strafregister Informatiesysteem voor onderdanen van derde landen (ECRIS-TCN)], opdat deze EU-informatiesystemen en gegevens elkaar aanvullen. Hiertoe dienen de volgende interoperabiliteitscomponenten tot stand te worden gebracht: een Europees zoekportaal (ESP), een gezamenlijke dienst voor biometrische matching (gezamenlijke BMS), een gemeenschappelijk identiteitenregister (CIR) en een detector van meerdere identiteiten (MID).

(10)De interoperabiliteit tussen de informatiesystemen van de EU moet deze systemen in staat stellen elkaar aan te vullen teneinde de correcte identificatie van personen te vergemakkelijken, bijdragen tot de bestrijding van identiteitsfraude, vereisten inzake de gegevenskwaliteit van de respectieve Europese informatiesystemen verbeteren en harmoniseren, de technische en operationele implementatie van de bestaande en de toekomstige informatiesystemen van de EU door de lidstaten vergemakkelijken, de waarborgen inzake gegevensbeveiliging en -bescherming die van toepassing zijn op de informatiesystemen van de EU versterken en vereenvoudigen, en de toegang van rechtshandhavingsinstanties tot het EES, het VIS, het [ETIAS] en Eurodac stroomlijnen en de doelen van het EES, het VIS, het [ETIAS], Eurodac, het SIS en het [ECRIS-TCN] ondersteunen.

(11)De interoperabiliteitscomponenten dienen betrekking te hebben op het EES, het VIS, het ETIAS, Eurodac, het SIS en het [ECRIS-TCN]. Voornoemde componenten dienen ook van toepassing te zijn op de gegevens van Europol, in de zin dat zij het mogelijk moeten maken gegevens van Europol gelijktijdig met de EU-informatiesystemen te doorzoeken.

(12)De interoperabiliteitscomponenten moeten betrekking hebben op personen van wie persoonsgegevens in de EU-informatiesystemen en door Europol worden verwerkt, namelijk onderdanen van derde landen van wie persoonsgegevens in de EU-informatiesystemen en door Europol worden verwerkt alsook EU-burgers van wie persoonsgegevens in het SIS en door Europol worden verwerkt.

(13)Het Europees zoekportaal (ESP) dient te worden opgericht om het langs technische weg gemakkelijker te maken voor de autoriteiten van de lidstaten en de EU-organen om snel, ononderbroken, efficiënt, systematisch en gecontroleerd toegang te krijgen tot de EU-informatiesystemen, de gegevens van Europol en de databanken van Interpol die zij nodig hebben om hun taken te verrichten, zulks overeenkomstig hun toegangsrechten en ter ondersteuning van de doelstellingen van het EES, het VIS, het [ETIAS], Eurodac, het SIS, het [ECRIS-TCN] en de gegevens van Europol. Door het mogelijk te maken gelijktijdig en parallel te zoeken in alle relevante EU-informatiesystemen, alsook in de gegevens van Europol en de databanken van Interpol, dient het ESP te dienen als één loket of “messagebroker” voor het naadloos doorzoeken van verscheidene centrale systemen en opvragen van de nodige informatie, met volledige inachtneming van de voorschriften inzake toegangscontrole en gegevensbescherming van de onderliggende systemen.

(14)Aan de hand van de databank voor gestolen en verloren reisdocumenten (SLTD) van de Internationale Criminele Politieorganisatie (Interpol) kunnen gemachtigde rechtshandhavingsinstanties in de lidstaten, zoals immigratie- en grenscontrolediensten, vaststellen of een reisdocument geldig is. Het [ETIAS] doorzoekt de SLTD en de databank van Interpol voor reisdocumenten met signaleringen (TDAWN) bijvoorbeeld in het kader van de beoordeling of een aanvrager van een reisautorisatie wellicht tot irreguliere migratie zal overgaan of een bedreiging voor de veiligheid zou kunnen vormen. Het Europees zoekportaal (ESP) dient het mogelijk te maken de SLTD en de TDAWN te doorzoeken aan de hand van iemands identiteitsgegevens. Wanneer persoonsgegevens vanuit de Unie via de ESP worden doorgegeven aan Interpol, dienen de bepalingen inzake internationale doorgiften in hoofdstuk V van Verordening (EU) 2016/679 van het Europees Parlement en de Raad 53 , of de nationale bepalingen ter omzetting van hoofdstuk V van Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad 54 van toepassing te zijn. Dit mag geen afbreuk doen aan de specifieke regels van Gemeenschappelijk Standpunt 2005/69/JBZ van de Raad 55 en van Besluit 2007/533/JBZ van de Raad 56 .

(15)Het Europees zoekportaal (ESP) dient zodanig te worden ontwikkeld en geconfigureerd dat het niet mogelijk is bij de zoekopdracht gegevensvelden te gebruiken die geen verband houden met personen of reisdocumenten of die niet in een informatiesysteem van de EU, in de gegevens van Europol of in de databank van Interpol zijn opgenomen.

(16)Om ervoor te zorgen dat alle EU-informatiesystemen snel en systematisch worden gebruikt, dient het Europees zoekportaal (ESP) te worden gebruikt voor het doorzoeken van het gemeenschappelijke identiteitenregister, het EES, het VIS, [het ETIAS], Eurodac en [het ECRIS-TCN]. De nationale verbinding met de verschillende EU-informatiesystemen dient echter te blijven bestaan, bij wijze van technisch vangnet. Het ESP dient ook door organen van de Unie te worden gebruikt om het centrale SIS overeenkomstig hun toegangsrechten te doorzoeken voor het verrichten van hun taken. Het ESP dient een aanvullend middel te zijn voor het doorzoeken van het centrale SIS, de gegevens van Europol en de systemen van Interpol, ter aanvulling van de interfaces die daarvoor al beschikbaar zijn.

(17)Biometrische gegevens zoals vingerafdrukken en gezichtsopnamen zijn uniek en derhalve voor de identificatie van een persoon veel betrouwbaarder dan alfanumerieke gegevens. De gezamenlijke dienst voor biometrische matching (gezamenlijke BMS) dient als technisch instrument het werk van de relevante EU-informatiesystemen en andere interoperabiliteitscomponenten te versterken en vereenvoudigen. De gezamenlijke BMS heeft in de eerste plaats ten doel de identificatie te vergemakkelijken van een natuurlijke persoon die wellicht geregistreerd is in verschillende databanken, door biometrische gegevens tussen verschillende systemen te matchen en door te werken met één enkele technologische component in plaats van vijf afzonderlijke componenten in elk van de onderliggende systemen. De gezamenlijke BMS dient de veiligheid te bevorderen alsmede voordelen uit financieel, operationeel en onderhoudsoogpunt op te leveren, door uit te gaan van één enkele technologische component in plaats van meerdere, per onderliggend systeem verschillende componenten. Alle geautomatiseerde vingerafdrukidentificatiesystemen, waaronder de momenteel voor Eurodac, het VIS en het SIS gebruikte toepassingen, maken gebruik van biometrische templates met gegevens die zijn verkregen door specifieke kenmerken te extraheren uit concrete biometrische informatie. De gezamenlijke BMS dient al deze biometrische templates te bundelen en op één locatie op te slaan, zodat systeemoverschrijdende vergelijkingen op basis van biometrische gegevens gemakkelijker worden en schaalvoordelen bij de ontwikkeling en het onderhoud van de centrale EU-systemen kunnen worden behaald.

(18)Biometrische gegevens zijn gevoelige persoonsgegevens. Deze verordening dient de grondslag en de waarborgen vast te stellen voor de verwerking van dergelijke gegevens met het oog op de unieke identificatie van de betrokkenen.

(19)De systemen die zijn ingesteld bij Verordening (EU) 2017/2226 van het Europees Parlement en de Raad 57 , Verordening (EG) nr. 767/2008 van het Europees Parlement en de Raad 58 en de ETIAS-verordening] voor het beheer van de grenzen van de Unie, het systeem dat is ingesteld bij [de Eurodac-verordening] voor de identificatie van personen die om internationale bescherming verzoeken en de bestrijding van irreguliere migratie, en het systeem dat is ingesteld bij [de ECRIS-TCN-verordening] kunnen alleen doeltreffend zijn als de onderdanen wier persoonsgegevens daarin worden opgeslagen, accuraat zijn geïdentificeerd.

(20)Het gemeenschappelijke identiteitenregister (CIR) dient derhalve de correcte identificatie van personen die zijn geregistreerd in het EES, het VIS, [het ETIAS], Eurodac en [het ECRIS-TCN], te bevorderen en vereenvoudigen.

(21)Persoonsgegevens die in deze EU-informatiesystemen zijn opgeslagen, kunnen betrekking hebben op dezelfde personen, van wie echter verschillende of onvolledige identiteitsgegevens kunnen zijn geregistreerd. De lidstaten beschikken over efficiënte manieren om hun burgers of de geregistreerde permanent ingezetenen op hun grondgebied te identificeren, maar dat geldt niet voor onderdanen van derde landen. De interoperabiliteit tussen de EU-informatiesystemen dient bij te dragen tot de correcte identificatie van onderdanen van derde landen. In het gemeenschappelijke identiteitenregister (CIR) dienen de in de systemen opgenomen persoonsgegevens betreffende onderdanen van derde landen te worden opgeslagen die nodig zijn om de betrokkenen zo accuraat mogelijk te identificeren; het gaat dus onder meer om hun identiteitsgegevens, gegevens van reisdocumenten en biometrische gegevens en het doet er niet toe in welk systeem de gegevens oorspronkelijk werden verzameld. Alleen de persoonsgegevens die strikt noodzakelijk zijn voor een accurate identiteitscontrole dienen in het CIR te worden opgeslagen. De in het CIR opgeslagen persoonsgegevens dienen niet langer te worden bewaard dan strikt noodzakelijk is voor de doeleinden van de onderliggende systemen en dienen automatisch te worden gewist wanneer de gegevens worden verwijderd uit de onderliggende systemen, met inachtneming van de logische scheiding van die systemen.

(22)De nieuwe verwerkingsverrichting die erin bestaat dat die gegevens worden opgeslagen in het gemeenschappelijke identiteitenregister (CIR), in plaats van in elk van de afzonderlijke systemen, is noodzakelijk om de accuratesse te bevorderen van de identificatie die mogelijk wordt gemaakt door het geautomatiseerde vergelijken en matchen van die gegevens. Het feit dat de identiteit en de biometrische gegevens van onderdanen van derde landen in het CIR worden opgeslagen, mag op geen enkele wijze de gegevensverwerking voor de doeleinden van de verordeningen inzake het EES, het VIS, het ETIAS, Eurodac of ECRIS-TCN verhinderen, aangezien het CIR een nieuwe gezamenlijke component van dergelijke onderliggende systemen dient te zijn.

(23)In dat verband dient voor eenieder die is geregistreerd in het EES, het VIS, het ETIAS, Eurodac of het ECRIS-TCN een afzonderlijk bestand te worden aangelegd in het gemeenschappelijke identiteitenregister, zowel ter verwezenlijking van het doel onderdanen van derde landen in het Schengengebied correct te identificeren als ter ondersteuning van de detector van meerdere identiteiten; het tweeledige doel hiervan is de identiteitscontrole van bonafide reizigers te vergemakkelijken en identiteitsfraude te bestrijden. Dit afzonderlijke bestand dient op één plaats te worden bewaard en gemachtigde eindgebruikers toegang te bieden tot alle mogelijke identiteiten die aan een persoon zijn gelinkt.

(24)Het gemeenschappelijke identiteitenregister (CIR) dient aldus de werking van de detector van meerdere identiteiten te ondersteunen en de rechtshandhavingsinstanties op eenvoudiger en gestroomlijnde wijze toegang te bieden tot de EU-informatiesystemen die niet uitsluitend zijn ingesteld voor preventie, opsporing, onderzoek of vervolging van ernstige criminaliteit.

(25)Het gemeenschappelijke identiteitenregister (CIR) dient te voorzien in een gedeelde datacontainer voor biometrische en identiteitsgegevens van onderdanen van derde landen die geregistreerd zijn in het EES, het VIS, [het ETIAS], Eurodac en het [ECRIS-TCN], en deze datacontainer dient voor deze systemen te fungeren als de gezamenlijke component voor het opslaan en doorzoeken van dergelijke gegevens.

(26)Alle records in het gemeenschappelijke identiteitenregister (CIR) dienen logisch te worden gescheiden door elke record automatisch te voorzien van een label waaruit blijkt van welk onderliggend systeem het deel uitmaakt. Bij de toegangscontrole van het CIR dienen deze te worden gebruikt om te bepalen of een record al dan niet toegankelijk is.

(27)Om de correcte identificatie van een persoon te waarborgen, dient het de autoriteiten van de lidstaten die bevoegd zijn voor het voorkomen en bestrijden van irreguliere migratie en de bevoegde autoriteiten in de zin van artikel 3, lid 7, van Richtlijn 2016/680 te worden toegestaan om het gemeenschappelijke identiteitenregister (CIR) te doorzoeken aan de hand van de tijdens een identiteitscontrole vastgestelde biometrische gegevens van de betrokkene.

(28)Als de biometrische gegevens van de persoon niet kunnen worden gebruikt of wanneer het zoeken aan de hand van die gegevens geen resultaat oplevert, dient te worden gezocht aan de hand van de identiteitsgegevens van de betrokkene in combinatie met gegevens van reisdocumenten. Als de zoekopdracht uitwijst dat er gegevens over de betrokkene zijn opgeslagen in het gemeenschappelijke identiteitenregister (CIR), dienen de autoriteiten van de lidstaten daartoe toegang te hebben om de in het CIR opgeslagen gegevens van de betrokkene te raadplegen, zonder dat op enige wijze wordt duidelijk gemaakt van welk informatiesysteem van de EU die gegevens deel uitmaken.

(29)De lidstaten dienen nationale wetgevingsmaatregelen vast te stellen tot aanwijzing van de instanties die bevoegd zijn voor het uitvoeren van identiteitscontroles met behulp van het gemeenschappelijke identiteitenregister (CIR) en tot vaststelling van de procedures, voorwaarden en criteria van deze controles overeenkomstig het evenredigheidsbeginsel. De nationale wetgevingsmaatregelen dienen met name te voorzien in de bevoegdheid om biometrische gegevens te verzamelen wanneer iemand door een vertegenwoordiger van voornoemde instanties aan een identiteitscontrole wordt onderworpen.

(30)Deze verordening dient het tevens mogelijk te maken om de aangewezen rechtshandhavingsinstanties van de lidstaten alsmede Europol gestroomlijnde toegang te bieden tot andere gegevens dan identiteitsgegevens in het EES, het VIS, [het ETIAS] of Eurodac. De systemen bevatten naast identiteitsgegevens ook andere gegevens die in een specifiek geval noodzakelijk kunnen zijn om terroristische misdrijven of andere ernstige strafbare feiten te voorkomen, op te sporen, te onderzoeken en te vervolgen.

(31)De volledige toegang tot de nodige gegevens in de informatiesystemen van de EU (andere dan de relevante identiteitsgegevens uit het gemeenschappelijke identiteitenregister (CIR) die zijn verkregen door gebruik te maken van tijdens een identiteitscontrole vastgestelde biometrische gegevens) dient, wanneer die toegang noodzakelijk is met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten, onderworpen te blijven aan de bepalingen in de respectieve rechtsinstrumenten. De aangewezen rechtshandhavingsinstanties en Europol weten vooraf niet welke EU-informatiesystemen gegevens bevatten van de personen waarover zij informatie nodig hebben. Dit leidt tot vertragingen en inefficiëntie bij de uitvoering van hun taken. De door de aangewezen instantie gemachtigde eindgebruiker dient derhalve te kunnen zien in welke van de EU-informatiesystemen de gegevens betreffende de ingevoerde zoekopdracht worden geregistreerd. Het betrokken systeem moet dus worden gemarkeerd nadat automatisch is geverifieerd dat het systeem een treffer bevat (treffermarkering).

(32)De logbestanden van de zoekopdrachten van het gemeenschappelijke identiteitenregister dienen het doel van de zoekopdracht te vermelden. Als een zoekopdracht is verricht door raadpleging via de tweefasenaanpak, dienen de logbestanden een verwijzing te bevatten naar het nationale dossier van het onderzoek of de zaak en te vermelden dat een dergelijke zoekopdracht is gestart met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten.

(33)Wil een zoekopdracht in het gemeenschappelijke identiteitenregister (CIR) door de aangewezen autoriteiten en Europol leiden tot een antwoord met treffermarkering waaruit blijkt dat de gegevens zijn geregistreerd in het EES, het VIS, [het ETIAS] of Eurodac, dan is automatische verwerking van persoonsgegevens vereist. Een treffermarkering dient geen persoonsgegevens te onthullen, maar hoogstens te vermelden dat bepaalde persoonsgegevens van de betrokkene in een van de systemen zijn opgeslagen. De gemachtigde eindgebruiker mag niet louter op grond van een treffermarkering een beslissing nemen die ongunstig is voor de betrokkene. De toegang van een eindgebruiker tot een treffermarkering houdt een zeer beperkte inmenging in het recht op bescherming van de persoonsgegevens van de betrokkene in en is nodig om de aangewezen autoriteit en Europol in staat te stellen hun verzoek om toegang tot persoonsgegevens rechtstreeks te richten tot het systeem dat de gegevens volgens de markering bevat, hetgeen doeltreffender is.

(34)De tweefasenaanpak inzake gegevensraadpleging is met name van belang voor zaken waarin de verdachte, de dader of het mogelijke slachtoffer van een terroristisch misdrijf of ander ernstig strafbaar feit onbekend is. In dergelijke gevallen dient het gemeenschappelijke identiteitenregister (CIR) met een enkele zoekopdracht het informatiesysteem te kunnen identificeren waarin de betrokkene is opgenomen. Door het gebruik van deze nieuwe aanpak inzake de toegang voor rechtshandhavingsdoeleinden in dergelijke gevallen verplicht te stellen, hoeft voordat toegang wordt geboden tot de in het EES, het VIS, [het ETIAS] en Eurodac opgeslagen persoonsgegevens, niet eerst een zoekopdracht te worden verricht in de nationale databanken en een zoekopdracht te worden gestart in het geautomatiseerde vingerafdrukidentificatiesysteem van andere lidstaten krachtens Besluit 2008/615/JHA. Het beginsel dat eerst in nationale databanken moet worden gezocht, beperkt de mogelijkheden van de autoriteiten van de lidstaten om systemen te raadplegen voor rechtmatige rechtshandhavingsdoeleinden, waardoor kansen om benodigde informatie boven water te krijgen, wellicht onbenut blijven. De vereisten eerst een zoekopdracht te verrichten in de nationale databanken en vervolgens een zoekopdracht te starten in het geautomatiseerde vingerafdrukidentificatiesysteem van andere lidstaten krachtens Besluit 2008/615/JBZ dienen van toepassing te blijven tot de tweefasenaanpak van toegang voor wetshandhavingsdoeleinden via het CIR als alternatieve waarborg volledig operationeel is geworden.

(35)Om de werking van het gemeenschappelijke identiteitenregister te ondersteunen en de doelstellingen van het EES, het VIS, [het ETIAS], Eurodac, het SIS en [het ECRIS-TCN] te bevorderen, dient een detector van meerdere identiteiten (MID) te worden opgezet. Al deze informatiesystemen van de EU kunnen alleen aan hun respectieve doelstellingen beantwoorden, als de personen wier persoonsgegevens erin worden opgeslagen, nauwkeurig worden geïdentificeerd.

(36)De doelstellingen van de informatiesystemen van de EU kunnen vooralsnog niet worden bereikt, doordat de autoriteiten die deze systemen gebruiken, niet in staat zijn om een voldoende betrouwbare verificatie te verrichten van de identiteit van onderdanen van derde landen van wie gegevens in verschillende systemen worden opgeslagen. Dat zij hiertoe niet in staat zijn, komt doordat de reeks identiteitsgegevens die is opgeslagen in een bepaald systeem frauduleus, onjuist of onvolledig kan zijn en het op dit moment niet mogelijk is dergelijke frauduleuze, onjuiste of onvolledige identiteitsgegevens op te sporen door middel van vergelijking met gegevens die zijn opgeslagen in een ander systeem. Om deze situatie te verhelpen, is op het niveau van de Unie een technisch instrument nodig waarmee onderdanen van derde landen voor deze doeleinden accuraat kunnen worden geïdentificeerd.

(37)De detector van meerdere identiteiten (MID) dient links tussen gegevens in de verschillende EU-informatiesystemen aan te brengen en op te slaan, zodat meerdere identiteiten kunnen worden opgespoord, met als tweeledig doel zowel identiteitscontroles voor bonafide reizigers te vergemakkelijken als identiteitsfraude te bestrijden. De MID dient enkel de links te bevatten tussen natuurlijke personen die in meer dan één EU-informatiesysteem voorkomen en daarbij gaat het nadrukkelijk alleen om de gegevens die nodig zijn om te controleren of een persoon al dan niet rechtmatig in verschillende systemen onder diverse biografische identiteiten geregistreerd staat dan wel om te verduidelijken dat het bij twee personen met vergelijkbare biografische gegevens niet om dezelfde persoon hoeft te gaan. De gegevensverwerking via het Europees zoekportaal (ESP) en de gezamenlijke dienst voor biometrische matching (BMS) voor het aanbrengen van links tussen individuele dossiers in afzonderlijke systemen dient tot het absolute minimum te worden beperkt en gaat dan ook niet verder dan de opsporing van meerdere identiteiten op het moment dat nieuwe gegevens worden toegevoegd aan een van de informatiesystemen die zijn opgenomen in het gemeenschappelijke identiteitenregister en in het SIS. De MID dient waarborgen te bevatten tegen mogelijke discriminatie of ongunstige beslissingen jegens personen met meerdere rechtmatige identiteiten.

(38)Deze verordening voorziet in nieuwe gegevensverwerkingsverrichtingen voor het correct identificeren van de betrokkenen. Dit vormt een inmenging in hun grondrechten die worden beschermd door de artikelen 7 en 8 van het Handvest van de grondrechten. Aangezien de EU-informatiesystemen alleen doeltreffend kunnen worden geïmplementeerd als de betrokkenen correct worden geïdentificeerd, is een dergelijke inmenging gerechtvaardigd op grond van dezelfde doelstellingen als die waarvoor elk van deze systemen tot stand is gebracht, namelijk het doeltreffende beheer van de grenzen van de Unie, de interne veiligheid van de Unie, de doeltreffende tenuitvoerlegging van het asiel- en visumbeleid van de Unie en de bestrijding van irreguliere migratie.

(39)Het Europees zoekportaal (ESP) en de gezamenlijke dienst voor biometrische matching (gezamenlijke BMS) dienen in het gemeenschappelijke identiteitenregister (CIR) en het SIS opgeslagen gegevens over personen te vergelijken wanneer een nationale autoriteit of een EU-orgaan nieuwe records aanmaakt. Deze vergelijking moet automatisch worden verricht. Het CIR en het SIS dienen het gezamenlijke BMS te gebruiken om mogelijke links op te sporen op basis van biometrische gegevens. Het CIR en het SIS dienen gebruik te maken van het ESP om mogelijke links op basis van alfanumerieke gegevens op te sporen. Het CIR en het SIS dienen identieke of vergelijkbare gegevens over een onderdaan van een derde land in meerdere systemen te kunnen identificeren. In voorkomend geval dient een link te worden aangebracht waaruit blijkt dat het om dezelfde persoon gaat. Het CIR en het SIS dienen zodanig te worden geconfigureerd dat kleine transliteratie- of spelfouten zodanig worden opgemerkt dat de betrokken onderdaan van een derde land geen onnodige hinder ondervindt.

(40)De nationale autoriteit of het EU-orgaan dat de gegevens in het betrokken EU-informatiesysteem heeft geregistreerd, dient deze links te bevestigen of veranderen. Deze autoriteit dient toegang te hebben tot de gegevens die zijn opgeslagen in het gemeenschappelijke identiteitenregister (CIR) of het SIS en in de detector van meerdere identiteiten (MID) met het oog op manuele identiteitsverificatie.

(41)De autoriteiten van de lidstaten en de EU-organen die toegang hebben tot ten minste één EU-informatiesysteem dat is opgenomen in het gemeenschappelijke identiteitenregister, of tot het SIS, dienen slechts toegang tot zogeheten rode links te krijgen, wanneer de gelinkte gegevens dezelfde biometrische gegevens maar andere identiteitsgegevens bevatten en er volgens de autoriteit die verantwoordelijk is voor de verificatie van verschillende identiteiten onrechtmatig naar dezelfde persoon wordt verwezen, of wanneer de gelinkte gegevens vergelijkbare identiteitsgegevens bevatten en er volgens de autoriteit die verantwoordelijk is voor de verificatie van meerdere identiteiten, onrechtmatig naar dezelfde persoon wordt verwezen. Wanneer de gelinkte gegevens niet vergelijkbaar zijn, dient een gele link te worden aangebracht en een manuele verificatie plaats te vinden teneinde de kleur van de link te bevestigen dan wel te veranderen.

(42)De manuele verificatie van meerdere identiteiten dient te worden gewaarborgd door de autoriteit die verantwoordelijk is voor het genereren of bijwerken van de gegevens die leiden tot een treffer naar aanleiding waarvan een link is aangebracht met reeds in een ander EU-informatiesysteem opgeslagen gegevens. De instantie die verantwoordelijk is voor de verificatie van meerdere identiteiten dient te beoordelen of er sprake is van meerdere rechtmatige of onrechtmatige identiteiten. Een dergelijke beoordeling dient, indien mogelijk, te worden uitgevoerd in aanwezigheid van de onderdaan van het derde land en, zo nodig, door om nadere toelichting of informatie te vragen. Een dergelijke beoordeling dient onverwijld te worden uitgevoerd, overeenkomstig de wettelijke voorschriften betreffende de juistheid van informatie op grond van het Unierecht en het nationaal recht.

(43)Voor de links die zijn verkregen in verband met het Schengeninformatiesysteem (SIS) voor signaleringen van personen die worden gezocht met het oog op aanhouding ten behoeve van overlevering of uitlevering, van vermiste of kwetsbare personen, van personen die worden gezocht met het oog op een gerechtelijke procedure, personen die aan een onopvallende of gerichte controle moeten worden onderworpen, dan wel onbekende gezochte personen, dient de autoriteit die verantwoordelijk is voor de verificatie van meerdere identiteiten het Sirene-bureau te zijn van de lidstaat die de signalering heeft gecreëerd. Deze categorieën SIS-signaleringen zijn namelijk gevoelig en dienen niet per se te worden gedeeld met de autoriteiten die de gegevens in een van de andere EU-informatiesystemen creëren of bijwerken. Het aanbrengen van een link met SIS-gegevens dient de maatregelen die moeten worden genomen overeenkomstig de [SIS-verordeningen] onverlet te laten.

(44)eu-LISA dient geautomatiseerde mechanismen voor de controle van gegevenskwaliteit en gemeenschappelijke indicatoren voor gegevenskwaliteit vast te stellen. eu-LISA dient een centrale controlecapaciteit voor gegevenskwaliteit te ontwikkelen en regelmatig verslag uit te brengen over de gegevenskwaliteit, teneinde de controle te verbeteren van de wijze waarop de lidstaten de EU-informatiesystemen implementeren en toepassen. De gemeenschappelijke kwaliteitsindicatoren dienen de minimumkwaliteitsnormen voor gegevensopslag in de EU-informatiesystemen en de interoperabiliteitscomponenten te omvatten. Met behulp van dergelijke gegevenskwaliteitsnormen dienen de EU-informatiesystemen en interoperabiliteitscomponenten kennelijk onjuiste of inconsistente gegevensinvoer automatisch te kunnen herkennen, zodat de lidstaat die de gegevens heeft ingevoerd deze kan verifiëren en zo nodig corrigerende maatregelen kan nemen.

(45)De Commissie dient de kwaliteitsverslagen van eu-LISA te evalueren en zo nodig aanbevelingen te doen aan de lidstaten. De lidstaten dienen te worden belast met het opstellen van een actieplan met een beschrijving van de maatregelen om tekortkomingen in de kwaliteit van de gegevens te verhelpen en dienen regelmatig verslag uit te brengen over de geboekte voortgang.

(46)Het Universal Message Format (UMF) dient als norm te gelden voor de gestructureerde, grensoverschrijdende informatie-uitwisseling tussen informatiesystemen, autoriteiten en/of organisaties op het gebied van justitie en binnenlandse zaken. In de UMF-norm dienen een gemeenschappelijk vocabularium en logische structuren voor informatie-uitwisseling te worden vastgesteld met als doel de interoperabiliteit te bevorderen door het mogelijk te maken de inhoud van de uitwisseling op een consistente en semantisch gelijkwaardige manier te creëren en te lezen.

(47)Er dient een centraal register voor rapportage en statistieken (CRRS) te worden ingesteld om systeemoverschrijdende statistische gegevens en analytische verslagen te genereren voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit. eu-LISA dient op zijn technische locaties te zorgen voor het opstellen, implementeren en hosten van het CRRS, met daarin anonieme statistische gegevens van voornoemde systemen, het gemeenschappelijke identiteitenregister, de detector van meerdere identiteiten en de gezamenlijke dienst voor biometrische matching. Het mag niet mogelijk zijn om aan de hand van de in het CRRS opgenomen gegevens personen te identificeren. eu-LISA dient de gegevens te anonimiseren en de geanonimiseerde gegevens te registreren in het CRRS. Het anonimiseren van de gegevens dient automatisch te gebeuren en het personeel van eu-LISA mag geen directe toegang worden verleend tot persoonsgegevens die zijn opgeslagen in de informatiesystemen van de EU of de interoperabiliteitscomponenten.

(48)Verordening (EU) 2016/679 dient van toepassing te zijn op de verwerking van persoonsgegevens door de nationale autoriteiten uit hoofde van deze verordening, tenzij de verwerking wordt verricht door de aangewezen autoriteiten of centrale toegangspunten van de lidstaten met het oog op het voorkomen, onderzoeken of opsporen van terroristische misdrijven of andere ernstige strafbare feiten; in die gevallen dient Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad namelijk van toepassing te zijn.

(49)De specifieke voorschriften inzake gegevensbescherming van [de EES-verordening], Verordening (EG) nr. 767/2008, [de ETIAS-verordening] en [de SIS-verordening op het gebied van grenscontroles] dienen van toepassing te zijn op de verwerking van persoonsgegevens in die respectieve systemen.

(50)Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad 59 dient van toepassing te zijn op de verwerking van persoonsgegevens door eu-LISA en andere instellingen en organen van de Unie wanneer deze hun taken in het kader van deze verordening uitvoeren, onverminderd Verordening (EU) 2016/794, die dient te gelden voor de verwerking van persoonsgegevens door Europol.

(51)De krachtens [Verordening (EU) 2016/679] ingestelde nationale toezichthoudende autoriteiten dienen toe te zien op de rechtmatigheid van de verwerking van persoonsgegevens door de lidstaten, terwijl de bij Verordening (EG) nr. 45/2001 ingestelde Europese Toezichthouder voor gegevensbescherming toezicht dient uit te oefenen op de werkzaamheden van de instellingen en organen van de Unie in verband met de verwerking van persoonsgegevens. De Europese Toezichthouder voor gegevensbescherming en de toezichthoudende autoriteiten dienen samen te werken bij het toezicht op de verwerking van persoonsgegevens door interoperabiliteitscomponenten.

(52)"(...) De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 en heeft op … een advies uitgebracht."

(53)Wat de vertrouwelijkheid betreft, dienen ambtenaren en andere personeelsleden die werkzaamheden in verband met het SIS verrichten, zich te houden aan de relevante bepalingen van het Statuut van de ambtenaren en de regeling welke van toepassing is op de andere personeelsleden van de Europese Unie.

(54)Zowel de lidstaten als eu-LISA dienen beveiligingsplannen bij te houden om de uitvoering van hun verplichtingen op het gebied van beveiliging te vereenvoudigen, en met elkaar samen te werken om beveiligingsvraagstukken vanuit een gemeenschappelijke invalshoek te benaderen. eu-LISA dient er ook voor te zorgen dat steeds gebruik wordt gemaakt van de meest recente technologische ontwikkelingen teneinde de gegevensintegriteit te waarborgen in verband met de ontwikkeling, het ontwerp en het beheer van de interoperabiliteitscomponenten.

(55)De implementatie van de interoperabiliteitscomponenten van deze verordening zal effecten hebben op de wijze waarop controles aan de grensdoorlaatposten worden verricht. Deze effecten zullen voortvloeien uit een gecombineerde toepassing van de bestaande regels van Verordening (EU) 2016/399 van het Europees Parlement en de Raad 60 en de regels inzake interoperabiliteit van deze verordening.

(56)Als gevolg van deze gecombineerde toepassing van de regels dient het Europees zoekportaal het belangrijkste toegangspunt te zijn voor de verplichte stelselmatige raadpleging van databanken voor onderdanen van derde landen aan grensdoorlaatposten, overeenkomstig de Schengengrenscode. Bovendien dienen de identiteitsgegevens die ertoe hebben geleid dat een link in de detector van meerdere identiteiten (MID) als rood is geclassificeerd, in aanmerking te worden genomen door de grenswachters bij de beoordeling of de betrokkene voldoet aan de voorwaarden voor toegang als omschreven in de Schengengrenscode. Het bestaan van een rode link alleen is op zich echter geen grond voor weigering van toegang en de bestaande gronden voor weigering van toegang zoals die worden vermeld in de Schengengrenscode, hoeven dan ook niet te worden gewijzigd.

(57)Het zou passend zijn om het praktisch handboek voor grenswachters bij te werken om deze punten te verduidelijken.

(58)Er zou echter een wijziging van Verordening (EU) 2016/399 nodig zijn om de bepaling toe te voegen dat de grenswachter een onderdaan van een derde land moet doorsturen naar een tweedelijnscontrole ingeval de raadpleging van de detector van meerdere identiteiten (MID) via het Europees zoekportaal (ESP) duidt op het bestaan van een gele of rode link, teneinde de wachttijd bij de eerstelijnscontroles niet te verlengen.

(59)Mocht de zoekopdracht aan de detector van meerdere identiteiten (MID) via het Europees zoekportaal (ESP) leiden tot een gele link of de constatering van een rode link, dan dient de tweedelijns grenswachter het gemeenschappelijke identiteitenregister en/of het Schengeninformatiesysteem te raadplegen om de informatie over de te controleren persoon te beoordelen, zijn andere identiteit manueel te verifiëren en de kleur van de link zo nodig aan te passen.

(60)Ter ondersteuning van de rapportage en statistieken is het noodzakelijk toegang te verlenen aan gemachtigde personeelsleden van de in deze verordening bedoelde bevoegde autoriteiten, instellingen en organen, zodat zij bepaalde gegevens kunnen raadplegen die verband houden met bepaalde interoperabiliteitscomponenten, zonder dat individuele identificatie mogelijk wordt gemaakt.

(61)Om de bevoegde autoriteiten en de EU-organen in staat te stellen zich aan te passen aan de nieuwe vereisten inzake het gebruik van het Europees zoekportaal (ESP), dient er te worden voorzien in een overgangsperiode. Evenzo dienen met het oog op de samenhangende en optimale werking van de detector van meerdere identiteiten (MID) overgangsmaatregelen te worden vastgesteld voor de ingebruikneming ervan.

(62)De kosten in verband met het ontwikkelen van de interoperabiliteitscomponenten worden in het huidige meerjarige financiële kader lager geraamd dan het saldo van de begroting die in Verordening (EU) nr. 515/2014 van het Europees Parlement en de Raad is uitgetrokken voor slimme grenzen 61 . Overeenkomstig artikel 5, lid 5, onder b), van Verordening (EU) nr. 515/2014 dient het bedrag dat thans voor de ontwikkeling van IT-systemen ter beheersing van de migratiestromen over de buitengrenzen is toegewezen, op grond van deze verordening te worden herbestemd.

(63)Ter aanvulling van bepaalde gedetailleerde technische aspecten van deze verordening dient de bevoegdheid om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen, aan de Commissie worden gedelegeerd met betrekking tot de profielen voor de gebruikers van het Europees zoekportaal (ESP) en de inhoud en het format van de ESP-antwoorden. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden, onder meer op deskundigenniveau, passende raadplegingen verricht overeenkomstig de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord over beter wetgeven van 13 april 2016 62 . Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen, dienen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip te ontvangen als de deskundigen van de lidstaten, en dienen hun deskundigen systematisch toegang te hebben tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

(64)Om ervoor te zorgen dat de omstandigheden waarin deze verordening ten uitvoer wordt gelegd, overal dezelfde zijn, dienen aan de Commissie uitvoeringsbevoegdheden te worden toegekend om gedetailleerde regels vast te stellen inzake: de mechanismen, procedures en indicatoren voor de geautomatiseerde controle van gegevenskwaliteit; de ontwikkeling van de UMF-norm; procedures voor het vaststellen van gevallen waarin identiteiten een gelijkenis vertonen; de werking van het centraal register voor rapportage en statistieken; en de procedure voor samenwerking bij veiligheidsincidenten. Deze bevoegdheden dienen te worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad 63 .

(65)Verordening 2016/794 is van toepassing op de verwerking van gegevens voor de doeleinden van deze verordening door Europol.

(66)Deze verordening laat de toepassing van Richtlijn 2004/38/EG onverlet.

(67)Deze verordening houdt een ontwikkeling in van de bepalingen van het Schengenacquis. 

(68)Overeenkomstig de artikelen 1 en 2 van het Protocol (nr. 22) betreffende de positie van Denemarken, dat aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie is gehecht, neemt Denemarken niet deel aan de vaststelling van deze verordening, die derhalve niet bindend is voor, noch van toepassing is op deze lidstaat. Aangezien deze verordening voortbouwt op het Schengenacquis, beslist Denemarken overeenkomstig artikel 4 van dit protocol binnen een termijn van zes maanden na de vaststelling van deze verordening of het deze in zijn nationale recht zal omzetten.

(69)Deze verordening houdt een ontwikkeling in van de bepalingen van het Schengenacquis waaraan het Verenigd Koninkrijk niet deelneemt, overeenkomstig Besluit 2000/365/EG van de Raad 64 ; het Verenigd Koninkrijk neemt derhalve niet deel aan de aanneming van deze verordening, die niet bindend is voor, noch van toepassing is op deze lidstaat.

(70)Deze verordening houdt een ontwikkeling in van de bepalingen van het Schengenacquis waaraan Ierland niet deelneemt, overeenkomstig Besluit 2002/192/EG van de Raad 65 ; Ierland neemt derhalve niet deel aan de aanneming van deze verordening, die niet bindend is voor, noch van toepassing is op deze lidstaat.

(71)Wat IJsland en Noorwegen betreft, houdt deze verordening een ontwikkeling in van de bepalingen van het Schengenacquis als bedoeld in de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis 66 , die vallen onder het gebied bedoeld in artikel 1, punten A, B en G, van Besluit 1999/437/EG van de Raad van 17 mei 1999 inzake bepaalde toepassingsbepalingen van die overeenkomst 67 .

(72)Wat Zwitserland betreft, houdt deze verordening een ontwikkeling in van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis 68 , die vallen onder het gebied bedoeld in artikel 1, onder A, B en G, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2008/146/EG van de Raad 69 .

(73)Wat Liechtenstein betreft, houdt deze verordening een ontwikkeling in van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis 70 , die vallen onder het gebied bedoeld in artikel 1, onder A, B en G, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2011/350/EU van de Raad 71 .

(74)Wat Cyprus betreft, zijn de bepalingen inzake het SIS en het VIS bepalingen die op het Schengenacquis voortbouwen of anderszins daaraan zijn gerelateerd in de zin van artikel 3, lid 2, van de Toetredingsakte van 2003.

(75)Wat Bulgarije en Roemenië betreft, zijn de bepalingen inzake het SIS en het VIS bepalingen die op het Schengenacquis voortbouwen of anderszins daaraan zijn gerelateerd in de zin van artikel 4, lid 2, van de Toetredingsakte van 2005 in samenhang met Besluit 2010/365/EU van de Raad 72 en Besluit 2017/1908 van de Raad 73 .

(76)Wat Bulgarije en Roemenië betreft, vormt dit besluit een rechtshandeling die op het Schengenacquis voortbouwt, of anderszins daaraan is gerelateerd in de zin van artikel 4, lid 2, van de Toetredingsakte van 2011, en moet dit besluit worden gelezen in samenhang met Besluit (EU) 2017/733 van de Raad 74 .

(77)Deze verordening eerbiedigt de grondrechten en de beginselen die met name zijn vastgelegd in het Handvest van de grondrechten van de Europese Unie, en dient te worden toegepast overeenkomstig die rechten en beginselen.

(78)Om ervoor te zorgen dat deze verordening past in het bestaande rechtskader dienen de Verordeningen (EU) 2016/399, Verordening (EU) 2016/2226, Besluit 2008/633/JBZ van de Raad, Verordening (EG) 767/2008 en Verordening (EU) 2004/512/EG dienovereenkomstig te worden gewijzigd,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I
Algemene bepalingen

Artikel 1

Onderwerp

1.Bij deze verordening, in combinatie met [Verordening (EU) 2018/xx tot vaststelling van een kader voor interoperabiliteit tussen de EU-informatiesystemen (politiële en justitiële samenwerking, asiel en migratie)], wordt een kader vastgesteld dat ervoor moet zorgen dat het inreis-uitreissysteem (EES), het Visuminformatiesysteem (VIS), [het Europees systeem voor reisinformatie en -autorisatie (ETIAS)], Eurodac, het Schengeninformatiesysteem (SIS) en [het Europees Strafregister Informatiesysteem voor onderdanen van derde landen (ECRIS-TCN)] interoperabel zijn en dat deze systemen en de daarin opgenomen gegevens elkaar aanvullen.

2.Het kader bestaat onder meer uit de volgende interoperabiliteitscomponenten:

(a)een Europees zoekportaal (European search portal – ESP);

(b)een gezamenlijke dienst voor biometrische matching (biometric matching service – gezamenlijke BMS);

(c)een gemeenschappelijk identiteitenregister (common identity repository – CIR);

(d)een detector van meerdere identiteiten (multiple-identity detector – MID).

3.De verordening bevat ook bepalingen inzake de vereisten op het gebied van gegevenskwaliteit, inzake een Universal Message Format (UMF) en inzake een centraal register voor rapportage en statistieken (CRRS), alsook een omschrijving van de verantwoordelijkheden van de lidstaten en van het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) met betrekking tot het ontwerp en de werking van de interoperabiliteitscomponenten.

4.De verordening behelst tevens een aanpassing van de procedures en voorwaarden waaraan de rechtshandhavingsinstanties van de lidstaten en het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) zich moeten houden om toegang tot het inreis-uitreissysteem (EES), het Visuminformatiesysteem (VIS), [het Europees systeem voor reisinformatie en -autorisatie (ETIAS)] en Eurodac te krijgen met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten die onder hun bevoegdheid vallen.

Artikel 2
Doelstellingen van de interoperabiliteit

1.Door de interoperabiliteit te waarborgen, dient deze verordening de volgende doelstellingen:

(a)verbeteren van het beheer van de buitengrenzen;

(b)bijdragen tot het voorkomen en bestrijden van irreguliere migratie;

(c)bijdragen aan een hoog niveau van veiligheid in de ruimte van vrijheid, veiligheid en recht van de Unie, met inbegrip van handhaving van de openbare orde en veiligheid en vrijwaring van de veiligheid op het grondgebied van de lidstaten;

(d)verbeteren van de uitvoering van het gemeenschappelijk visumbeleid; en

(e)verlenen van bijstand bij de behandeling van verzoeken om internationale bescherming.

2.De met het waarborgen van de interoperabiliteit nagestreefde doelstellingen worden bereikt door:

(a)een correcte identificatie van personen te verzekeren;

(b)bij te dragen tot de bestrijding van identiteitsfraude;

(c)te zorgen voor betere en geharmoniseerde vereisten inzake gegevenskwaliteit voor de respectieve EU-informatiesystemen;

(d)de technische en operationele implementatie van bestaande en toekomstige EU-informatiesystemen door de lidstaten te vergemakkelijken;

(e)de voorwaarden inzake gegevensbeveiliging en -bescherming voor de respectieve EU-informatiesystemen strenger, eenvoudiger en uniformer te maken;

(f)de voorwaarden voor de toegang van rechtshandhavingsinstanties tot het EES, het VIS, [het ETIAS] en Eurodac te stroomlijnen;

(g)de doelstellingen van het EES, het VIS, [het ETIAS], Eurodac, het SIS en [het ECRIS-TCN] te ondersteunen.

Artikel 3

Toepassingsgebied

1.Deze verordening is van toepassing op [het inreis-uitreissysteem (EES)], het Visuminformatiesysteem (VIS), [het Europees systeem voor reisinformatie en -autorisatie (ETIAS)] en het Schengeninformatiesysteem (SIS).

2.Deze verordening is van toepassing op personen ten aanzien van wie persoonsgegevens mogen worden verwerkt in de in lid 1 bedoelde EU-informatiesystemen.

Artikel 4
Definities

Voor de toepassing van deze verordening wordt verstaan onder:

(1)"buitengrenzen": de buitengrenzen in de zin van artikel 2, punt 2, van Verordening (EU) 2016/399;

(2)"grenscontroles": grenscontroles in de zin van artikel 2, punt 11, van Verordening (EU) 2016/399;

(3)"grensautoriteit": de grenswachter die overeenkomstig het nationaal recht is aangewezen voor het verrichten van grenscontroles;

(4)"toezichthoudende autoriteiten": de krachtens artikel 51, lid 1, van Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteit en de krachtens artikel 41, lid 1, van Richtlijn (EU) 2016/680 ingestelde toezichthoudende autoriteit;

(5)"verificatie": het proces waarbij reeksen gegevens worden vergeleken om vast te stellen of een beweerde identiteit correct is (één-op-éénvergelijking);

(6)"identificatie": het proces waarbij de identiteit van een persoon wordt vastgesteld door middel van een zoekopdracht in een databank en vergelijking met verscheidene reeksen gegevens (één-op-veelvergelijking);

(7)"onderdaan van een derde land": een persoon die geen burger van de Unie is in de zin van artikel 20, lid 1, van het Verdrag, of een staatloze persoon, of een persoon van wie de nationaliteit niet bekend is;

(8)"alfanumerieke gegevens": gegevens die worden weergegeven door letters, cijfers, speciale tekens, spaties en leestekens;

(9)"identiteitsgegevens": de gegevens als bedoeld in artikel 27, lid 3, onder a) tot en met h);

(10)"vingerafdrukgegevens": de gegevens betreffende de vingerafdrukken van een persoon;

(11)"gezichtsopname": een digitale afbeelding van het gezicht;

(12)"biometrische gegevens": vingerafdrukgegevens en/of gezichtsopname;

(13)"biometrische template": een mathematische weergave die wordt verkregen door uit biometrische gegevens uitsluitend de kenmerken te extraheren die nodig zijn voor identificatie- en verificatiedoeleinden;

(14)"reisdocument": een paspoort of een ander gelijkwaardig document dat de houder ervan het recht geeft de buitengrenzen te overschrijden en waarin een visum kan worden aangebracht;

(15)"reisdocumentgegevens": het type en nummer van het reisdocument, de naam en drielettercode van het land dat het reisdocument heeft afgegeven, en de datum waarop de geldigheidstermijn van het reisdocument verstrijkt;

(16)"reisautorisatie": een reisautorisatie in de zin van artikel 3 van [de ETIAS-verordening];

(17)"visum voor kort verblijf": een visum in de zin van artikel 2, punt 2, onder a), van Verordening (EG) nr. 810/2009;

(18)"EU-informatiesystemen": de door eu-LISA beheerde grootschalige IT-systemen;

(19)"gegevens van Europol": persoonsgegevens die door Europol zijn verstrekt voor het in artikel 18, lid 2, onder a), van Verordening (EU) 2016/794 bedoelde doel;

(20)"databanken van Interpol": de Interpol-databank voor gestolen en verloren reisdocumenten (SLTD) en de Interpol-databank voor reisdocumenten met signaleringen (TDAWN);

(21)"match": een verband dat aan het licht wordt gebracht door het vergelijken van tweemaal of vaker voorkomende persoonsgegevens die in een informatiesysteem of databank zijn of worden geregistreerd;

(22)"treffer": de bevestiging van een of meer matches;

(23)"politieautoriteit": "bevoegde autoriteit" in de zin van artikel 3, punt 7, van Richtlijn (EU) 2016/680;

(24)"aangewezen autoriteiten": de aangewezen autoriteiten van de lidstaten als bedoeld in artikel 29, lid 1, van Verordening (EU) 2017/2226, artikel 3, lid 1, van Besluit 2008/633/JBZ van de Raad, [artikel 43 van de ETIAS-verordening] en [artikel 6 van de Eurodac-verordening];

(25)"terroristisch misdrijf": een strafbaar feit naar nationaal recht dat overeenkomt met of gelijkwaardig is aan een van de strafbare feiten bedoeld in Richtlijn (EU) 2017/541;

(26)"ernstig strafbaar feit": een strafbaar feit dat overeenkomt met of gelijkwaardig is aan een van de strafbare feiten bedoeld in artikel 2, lid 2, van Kaderbesluit 2002/584/JBZ, indien het volgens het nationaal recht strafbaar is gesteld met een vrijheidsstraf of een tot vrijheidsbeneming strekkende maatregel met een maximumduur van ten minste drie jaar;

(27)"EES": het inreis-uitreissysteem als bedoeld in Verordening (EU) 2017/2226;

(28)"VIS": het Visuminformatiesysteem als bedoeld in Verordening (EG) nr. 767/2008;

(29)[ETIAS": het Europees Systeem voor reisinformatie en -autorisatie als bedoeld in de ETIAS-verordening];

(30)"Eurodac": Eurodac als bedoeld in de [Eurodac-verordening];

(31)"SIS": het Schengeninformatiesysteem als bedoeld [in de SIS-verordening op het gebied van grenscontroles, de SIS-verordening op het gebied van rechtshandhaving en de SIS-verordening op het gebied van de terugkeer van illegaal verblijvende onderdanen van derde landen];

(32)["ECRIS-TCN": het Europees Strafregister Informatiesysteem met informatie inzake veroordelingen van onderdanen van derde landen en staatlozen als bedoeld in de verordening inzake het ECRIS-TCN];

(33)"ESP": het Europees zoekportaal als bedoeld in artikel 6;

(34)"gezamenlijke BMS": de gezamenlijke dienst voor biometrische matching als bedoeld in artikel 15;

(35)"CIR": het gemeenschappelijke identiteitenregister als bedoeld in artikel 17;

(36)"MID": de detector van meerdere identiteiten als bedoeld in artikel 25;

(37)"CRRS": het centrale register voor rapportage en statistieken als bedoeld in artikel 39.

Artikel 5
Non-discriminatie

De verwerking van persoonsgegevens voor de toepassing van deze verordening mag niet leiden tot discriminatie van personen op grond van, onder meer, geslacht, ras of etnische afstamming, godsdienst of overtuiging, handicap, leeftijd of seksuele geaardheid. Bij de verwerking worden de menselijke waardigheid en integriteit ten volle gerespecteerd. Bijzondere aandacht wordt geschonken aan kinderen, ouderen en personen met een handicap.

HOOFDSTUK II
Het Europees zoekportaal

Artikel 6

Het Europees zoekportaal

1.Er wordt een Europees zoekportaal (ESP) ingesteld om ervoor te zorgen dat de autoriteiten van de lidstaten en de EU-organen snel, ononderbroken, efficiënt, systematisch en gecontroleerd toegang hebben tot de EU-informatiesystemen, de gegevens van Europol en de databanken van Interpol die zij nodig hebben om hun taken te verrichten overeenkomstig hun toegangsrechten en ter ondersteuning van de doelstellingen van het EES, het VIS, [het ETIAS], Eurodac, het SIS, [het ECRIS-TCN] en de gegevens van Europol.

2.Het ESP bestaat uit:

(a)een centrale infrastructuur, inclusief een zoekportaal voor het gelijktijdig doorzoeken van het EES, het VIS, [het ETIAS], Eurodac, het SIS, [het ECRIS-TCN], alsmede van de gegevens van Europol en de databanken van Interpol;

(b)een beveiligd communicatiekanaal tussen het ESP, de lidstaten en de EU-organen die overeenkomstig het Unierecht gebruik mogen maken van het ESP;

(c)een beveiligde communicatie-infrastructuur tussen het ESP en het EES, het VIS, [het ETIAS], Eurodac, het centrale SIS, [het ECRIS-TCN)], de gegevens van Europol en de databanken van Interpol, alsmede tussen het ESP en de centrale infrastructuur van het CIR en de MID.

3.eu-LISA zorgt voor de ontwikkeling en het technische beheer van het ESP.

Artikel 7

Gebruik van het Europees zoekportaal

1.Het gebruik van het ESP is voorbehouden aan de autoriteiten van de lidstaten en de EU-organen die overeenkomstig het Unierecht of het desbetreffend nationaal recht toegang hebben tot het EES, [het ETIAS], het VIS, het SIS, Eurodac, [het ECRIS-TCN], het CIR en de MID, alsmede tot de gegevens van Europol en de databanken van Interpol.

2.De in lid 1 bedoelde autoriteiten gebruiken het ESP om overeenkomstig hun toegangsrechten uit hoofde van het Unierecht of het nationaal recht gegevens over personen of hun reisdocumenten te doorzoeken in de centrale systemen van het EES, het VIS en [het ETIAS]. Zij maken eveneens gebruik van het ESP om overeenkomstig hun toegangsrechten uit hoofde van deze verordening het CIR te doorzoeken voor de doeleinden bedoeld in de artikelen 20, 21 en 22.

3.De in lid 1 bedoelde autoriteiten van de lidstaat kunnen het ESP gebruiken om gegevens over personen of hun reisdocumenten te doorzoeken in het centrale SIS bedoeld in [de SIS-verordening op het gebied van grenscontroles en de SIS-verordening op het gebied van rechtshandhaving]. De toegang tot het centrale SIS via het ESP wordt tot stand gebracht door het nationale systeem (N.SIS) van elke lidstaat overeenkomstig [artikel 4, lid 2, van de SIS-verordening op het gebied van grenscontroles en de SIS-verordening op het gebied van rechtshandhaving].

4.EU-organen gebruiken het ESP voor het doorzoeken van gegevens over personen of hun reisdocumenten in het centrale SIS.

5.De in lid 1 bedoelde autoriteiten kunnen het ESP gebruiken om overeenkomstig hun toegangsrechten uit hoofde van het Unierecht of het nationaal recht gegevens over personen of hun reisdocumenten te doorzoeken in de databanken van Interpol.

Artikel 8

Profielen voor de gebruikers van het Europees zoekportaal

1.Om het gebruik van het ESP mogelijk te maken, maakt eu-LISA in overeenstemming met de in lid 2 bedoelde technische details en toegangsrechten en overeenkomstig het Unierecht en het nationaal recht een profiel aan voor elke categorie van ESP-gebruikers, met daarin:

(a)de voor de zoekopdrachten te gebruiken datavelden;

(b)de verplicht en facultatief te raadplegen EU-informatiesystemen, gegevens van Europol en databanken van Interpol die de gebruiker van een antwoord zullen voorzien; en

(c)de in elk antwoord te verstrekken gegevens.

2.De Commissie stelt overeenkomstig artikel 63 gedelegeerde handelingen vast waarin de in lid 1 bedoelde profielen van de in artikel 7, lid 1, bedoelde ESP-gebruikers technisch worden gespecificeerd in overeenstemming met de respectieve toegangsrechten.

Artikel 9

Zoekopdrachten

1.De ESP-gebruikers starten een zoekopdracht door gegevens in het ESP in te voeren overeenkomstig hun gebruikersprofiel en toegangsrechten. Zodra een zoekopdracht is gegeven, gebruikt het ESP de door de ESP-gebruiker ingevoerde gegevens om het EES, [het ETIAS], het VIS, het SIS, Eurodac, [het ECRIS-TCN] en het CIR, alsmede de gegevens van Europol en de databanken van Interpol gelijktijdig te doorzoeken.

2.De datavelden die worden gebruikt om via het ESP een zoekopdracht te starten, komen overeen met de datavelden betreffende personen of reisdocumenten die mogen worden gebruikt om de verschillende EU-informatiesystemen, de gegevens van Europol en de databanken van Interpol overeenkomstig de respectieve rechtsinstrumenten te doorzoeken.

3.eu-LISA implementeert voor het ESP een interface control document (ICD) op basis van de in artikel 38 bedoelde UMF-norm.

4.De via het ESP gegeven zoekopdracht heeft tot gevolg dat het EES, [het ETIAS], het VIS, het SIS, Eurodac, [het ECRIS-TCN], het CIR en de MID, alsmede de gegevens van Europol en de databanken van Interpol de gegevens verstrekken die zij bevatten.

5.Wat het doorzoeken van de databanken van Interpol betreft, wordt het ESP zodanig ontworpen dat de gegevens aan de hand waarvan de ESP-gebruiker een zoekopdracht geeft, niet worden gedeeld met de eigenaars van de gegevens van Interpol.

6.Het antwoord aan de ESP-gebruiker is uniek en bevat alle gegevens waartoe de gebruiker op grond van het Unierecht toegang heeft. In voorkomend geval wordt in het door het ESP verstrekte antwoord vermeld van welk informatiesysteem of van welke databank de gegevens deel uitmaken.

7.De Commissie stelt overeenkomstig artikel 63 een gedelegeerde handeling vast met specificaties voor de inhoud en het format van de ESP-antwoorden.

Artikel 10

Bijhouden van logbestanden

1.Onverminderd [artikel 46 van de EES-verordening], artikel 34 van Verordening (EG) nr. 767/2008, [artikel 59 van het ETIAS-voorstel] en de artikelen 12 en 18 van de SIS-verordening op het gebied van grenscontroles, houdt eu-LISA logbestanden bij van alle gegevensverwerkingsverrichtingen in het ESP. In deze logbestanden wordt met name het volgende vermeld:

(a)de autoriteit van de lidstaat en de individuele ESP-gebruiker, met inbegrip van het gebruikte ESP-profiel bedoeld in artikel 8;

(b)de datum en het tijdstip van de zoekopdracht;

(c)de doorzochte EU-informatiesystemen en databanken van Interpol;

(d)overeenkomstig de nationale regels of in voorkomend geval Verordening (EU) nr. 45/2001, het identificatiekenmerk van de persoon die de zoekopdracht heeft verricht.

2.De logbestanden worden uitsluitend gebruikt voor het toezicht op de gegevensbescherming, onder meer door de ontvankelijkheid van een verzoek en de wettigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging in de zin van artikel 42. De logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist, tenzij zij nodig zijn voor reeds aangevangen toezichtprocedures.

Artikel 11

Vangnetprocedures voor wanneer het Europees zoekportaal om technische redenen niet kan worden gebruikt

1.Indien het ESP vanwege een interne technische storing niet kan worden gebruikt om een of meer van de in artikel 9, lid 1, genoemde EU-informatiesystemen of het CIR te doorzoeken, brengt eu-LISA de ESP-gebruikers daarvan op de hoogte.

2.Indien het ESP vanwege een technische storing in de nationale infrastructuur van een lidstaat niet kan worden gebruikt om een of meer van de in artikel 9, lid 1, genoemde EU-informatiesystemen of het CIR te doorzoeken, brengt de bevoegde autoriteit van die lidstaat eu-LISA en de Commissie daarvan op de hoogte.

3.Tijdens de technische storing is in beide gevallen de in artikel 7, leden 2 en 4, bedoelde verplichting niet van toepassing en kunnen de lidstaten via hun respectieve nationale uniforme interfaces of nationale communicatie-infrastructuur rechtstreeks toegang krijgen tot de in artikel 9, lid 1, bedoelde informatiesystemen of tot het CIR.

HOOFDSTUK III
Gezamenlijke dienst voor biometrische matching

Artikel 12

Gezamenlijke dienst voor biometrische matching

1.Om het CIR en de MID te ondersteunen en de doelstellingen van het EES, het VIS, Eurodac, het SIS en [het ECRIS-TCN] te bevorderen, wordt een gezamenlijke dienst voor biometrische matching (gezamenlijke BMS) opgezet, die biometrische templates opslaat en het mogelijk maakt om aan de hand van biometrische gegevens zoekopdrachten in meerdere EU-informatiesystemen uit te voeren.

2.De gezamenlijke BMS bestaat uit:

(a)een centrale infrastructuur, waarvan een zoekmachine en de opslag voor de in artikel 13 bedoelde gegevens deel uitmaken;

(b)een beveiligde communicatie-infrastructuur tussen de gezamenlijke BMS, het centrale SIS en het CIR.

3.eu-LISA zorgt voor de ontwikkeling en het technische beheer van de gezamenlijke BMS.

Artikel 13

Opslag van gegevens in de gemeenschappelijke dienst voor biometrische matching

1.In de gezamenlijke BMS worden de biometrische templates opgeslagen die de dienst extraheert uit de volgende biometrische gegevens:

(a)de gegevens bedoeld in artikel 16, lid 1, onder d), en artikel 17, lid 1, onder b) en c), van Verordening (EU) 2017/2226;

(b)de gegevens bedoeld in artikel 9, lid 6, van Verordening (EG) nr. 767/2008;

(c)[de gegevens bedoeld in artikel 20, lid 2, onder w) en x), van de SIS-verordening op het gebied van grenscontroles;

(d)de gegevens bedoeld in artikel 20, lid 3, onder w) en x), van de SIS-verordening op het gebied van rechtshandhaving;

(e)de gegevens bedoeld in artikel 4, lid 3, onder t) en u), van de SIS-verordening op het gebied van de terugkeer van illegaal verblijvende onderdanen van derde landen];

(f)[de gegevens bedoeld in artikel 13, onder a), van de Eurodac-verordening;]

(g)[de gegevens bedoeld in artikel 5, lid 1, onder b), en artikel 5, lid 2, van de ECRIS-TCN-verordening.]

2.Elke in de gezamenlijke BMS opgeslagen biometrische template bevat een verwijzing naar de informatiesystemen waarin de overeenkomstige biometrische gegevens zijn opgeslagen.

3.Biometrische templates worden pas in de gezamenlijke BMS opgenomen nadat de gezamenlijke BMS door middel van een automatische kwaliteitscontrole heeft vastgesteld dat de aan een van de informatiesystemen toegevoegde biometrische gegevens voldoen aan een minimumnorm voor gegevenskwaliteit.

4.De opslag van de in lid 1 bedoelde gegevens moet voldoen aan de in artikel 37, lid 2, bedoelde kwaliteitsnormen.

Artikel 14

Doorzoeken van biometrische gegevens met de gezamenlijke dienst voor biometrische matching

Het CIR en het SIS doorzoeken de in het CIR en het SIS opgeslagen biometrische gegevens aan de hand van de in de gezamenlijke BMS opgeslagen biometrische templates. Zoekopdrachten aan de hand van biometrische gegevens worden uitgevoerd overeenkomstig de doelstellingen vastgesteld in deze verordening, de EES-verordening, de VIS-verordening, de Eurodac-verordening, de [SIS-verordeningen] en [de ECRIS-TCN-verordening].

Artikel 15

Bewaring van gegevens in de gezamenlijke dienst voor biometrische matching

De termijn voor de opslag van de in artikel 13 bedoelde gegevens in de gezamenlijke BMS stemt overeen met die voor de opslag van de overeenkomstige biometrische gegevens in het CIR of het SIS.

Artikel 16

Bijhouden van logbestanden

1.Onverminderd [artikel 46 van de EES-verordening], artikel 34 van Verordening (EG) nr. 767/2008 en [de artikelen 12 en 18 van de SIS-verordening op het gebied van rechtshandhaving] houdt eu-LISA logbestanden bij van alle gegevensverwerkingsverrichtingen in het gezamenlijke BMS. In deze logbestanden wordt met name het volgende vermeld:

(a)het relaas in verband met het aanmaken en opslaan van de biometrische templates;

(b)een verwijzing naar de EU-informatiesystemen die zijn doorzocht met de in de gezamenlijke BMS opgeslagen biometrische templates;

(c)de datum en het tijdstip van de zoekopdracht;

(d)het soort biometrische gegevens dat is gebruikt om de zoekopdracht te starten;

(e)de duur van de zoekopdracht;

(f)de resultaten van de zoekopdracht en de datum en het tijdstip van het resultaat;

(g)overeenkomstig de nationale regels of in voorkomend geval Verordening (EU) nr. 45/2001, het identificatiekenmerk van de persoon die de zoekopdracht heeft verricht.

2.De logbestanden worden uitsluitend gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een verzoek en de wettigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging in de zin van artikel 42. De logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist, tenzij zij nodig zijn voor reeds aangevangen toezichtprocedures. De in lid 1, onder a), bedoelde logbestanden worden gewist zodra de gegevens worden gewist.

HOOFDSTUK IV
Gemeenschappelijk identiteitenregister

Artikel 17

Gemeenschappelijk identiteitenregister

1.Er wordt een gemeenschappelijk identiteitenregister (CIR) ingesteld, waarin voor elke in het EES, het VIS, [het ETIAS], Eurodac of [het ECRIS-TCN] geregistreerde persoon een afzonderlijk bestand met de in artikel 18 bedoelde gegevens wordt aangelegd, met als doel de correcte identificatie van in het EES, het VIS, [het ETIAS], Eurodac of [het ECRIS-TCN] geregistreerde personen te vergemakkelijken en te bevorderen, de werking van de MID te ondersteunen en de toegang van rechtshandhavingsinstanties tot niet voor rechtshandhaving bedoelde informatiesystemen op EU-niveau te vergemakkelijken en te stroomlijnen wanneer dat nodig is voor de preventie, het onderzoek, de opsporing of de vervolging van ernstige criminaliteit.

2.Het CIR bestaat uit:

(a)een centrale infrastructuur die in de plaats komt van de centrale systemen van respectievelijk het EES, het VIS, [het ETIAS], Eurodac en [het ECRIS-TCN], voor zover de in artikel 18 bedoelde gegevens in deze centrale infrastructuur worden opgeslagen;

(b)een beveiligd communicatiekanaal tussen het CIR, de lidstaten en de EU-organen die overeenkomstig het Unierecht gebruik mogen maken van het ESP;

(c)een beveiligde communicatie-infrastructuur tussen het CIR, het EES, [het ETIAS], het VIS, Eurodac, [het ECRIS-TCN] en de centrale infrastructuur van het ESP, de gezamenlijke BMS en de MID.

3.eu-LISA zorgt voor de ontwikkeling en het technische beheer van het CIR.

Artikel 18

De opslag van gegevens in het gemeenschappelijke identiteitenregister

1.In het CIR worden de volgende gegevens – logisch gescheiden – opgeslagen per informatiesysteem waaruit de gegevens afkomstig zijn:

(a)de gegevens bedoeld in artikel 16, lid 1, onder a) tot en met d), en artikel 17, lid 1, onder a) tot en met c), van de EES-verordening];

(b)de gegevens bedoeld in artikel 9, lid 4, onder a) tot en met c), en leden 5 en 6, van Verordening (EG) nr. 767/2008;

(c)[de gegevens bedoeld in artikel 15, lid 2, onder a) tot en met e), van de [ETIAS-verordening];

(d)– (niet van toepassing);

(e)– (niet van toepassing);

2.In het CIR wordt voor elke reeks gegevens, als bedoeld in lid 1, een verwijzing opgenomen naar de informatiesystemen waar de gegevens deel van uitmaken.

3.De opslag van de in lid 1 bedoelde gegevens moet voldoen aan de in artikel 37, lid 2, bedoelde kwaliteitsnormen.

Artikel 19

Toevoeging, wijziging en wissing van gegevens in het gemeenschappelijke identiteitenregister

1.Wanneer gegevens worden toegevoegd, gewijzigd of gewist in het EES, het VIS en [het ETIAS], worden de overeenkomstige in artikel 18 bedoelde gegevens die zijn opgeslagen in het afzonderlijke CIR-bestand, automatisch toegevoegd, gewijzigd of gewist.

2.Wanneer de MID overeenkomstig de artikelen 32 en 33 een witte of een rode link aanmaakt tussen de gegevens van twee of meer van de EU-informatiesystemen die deel uitmaken van het CIR, maakt het CIR geen nieuw afzonderlijk bestand aan, maar voegt het de nieuwe gegevens toe aan het afzonderlijke bestand waarin de gelinkte gegevens voorkomen.

       Artikel 20

Toegang tot het gemeenschappelijke identiteitenregister met het oog op identificatie

1.Een politieautoriteit van een lidstaat kan, mits zij daartoe op grond van nationale wetgevingsmaatregelen als bedoeld in lid 2 is gemachtigd, het CIR doorzoeken aan de hand van de bij een identiteitscontrole genomen biometrische gegevens van een persoon, doch uitsluitend met het oog op de identificatie van die persoon.

Als de zoekopdracht uitwijst dat in het CIR gegevens over die persoon zijn opgeslagen, krijgt de autoriteit van de lidstaat toegang om de in artikel 18, lid 1, bedoelde gegevens te raadplegen.

Wanneer de biometrische gegevens van de persoon niet kunnen worden gebruikt of wanneer het zoeken aan de hand van die gegevens geen resultaat oplevert, wordt gezocht aan de hand van de identiteitsgegevens van de persoon in combinatie met gegevens van reisdocumenten, of aan de hand van de door die persoon verstrekte identiteitsgegevens.

2.Lidstaten die gebruik wensen te maken van de in dit artikel bedoelde mogelijkheid, stellen daartoe nationale wetgevingsmaatregelen vast. In deze wetgevingsmaatregelen wordt bepaald welke specifieke doelstellingen met de identiteitscontroles worden nagestreefd in het kader van de in artikel 2, lid 1, onder b) en c), omschreven doelen. Voorts worden in de wetgevingsmaatregelen de bevoegde politieautoriteiten aangewezen en de procedures, voorwaarden en criteria voor deze controles vastgelegd.

Artikel 21

Toegang tot het gemeenschappelijke identiteitenregister met het oog op het detecteren van meerdere identiteiten

1.Wanneer een zoekopdracht in het CIR overeenkomstig artikel 28, lid 4, een gele link oplevert, krijgt de in artikel 29 bedoelde autoriteit die bevoegd is voor de verificatie van meerdere identiteiten, uitsluitend voor die verificatie toegang tot de in het CIR opgeslagen identiteitsgegevens die deel uitmaken van de informatiesystemen die in verband staan met de gele link.

2.Wanneer een zoekopdracht in het CIR overeenkomstig artikel 32 een rode link oplevert, krijgen de in artikel 26, lid 2, bedoelde autoriteiten uitsluitend voor de bestrijding van identiteitsfraude toegang tot de in het CIR opgeslagen identiteitsgegevens die deel uitmaken van de informatiesystemen die in verband staan met de rode link.

Artikel 22

Doorzoeken van het gemeenschappelijke identiteitenregister met het oog op rechtshandhaving

1.De aangewezen autoriteiten van de lidstaten en Europol mogen het CIR raadplegen om terroristische misdrijven of andere ernstige strafbare feiten te voorkomen, op te sporen en te onderzoeken, en om zich ervan te vergewissen of het EES, het VIS en [het ETIAS] gegevens over een bepaalde persoon bevatten.

2.De aangewezen autoriteiten van de lidstaten en Europol hebben niet het recht om bij het raadplegen van het CIR voor de in lid 1 bedoelde doeleinden, gegevens te raadplegen die deel uitmaken van [het ECRIS-TCN].

3.Wanneer het CIR naar aanleiding van een zoekopdracht aangeeft dat het EES, het VIS en [het ETIAS] gegevens over de betrokken persoon bevatten, verwijst het CIR in zijn antwoord aan de aangewezen autoriteiten van de lidstaten en Europol naar de informatiesystemen die de gegevens bevatten die een match opleveren, als bedoeld in artikel 18, lid 2. Het CIR antwoordt op zodanige wijze dat de beveiliging van de gegevens niet in gevaar wordt gebracht.

4.Volledige toegang tot in de EU-informatiesystemen opgenomen gegevens met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten blijft onderworpen aan de voorwaarden en procedures als vastgesteld in de desbetreffende wetgevingsinstrumenten waarbij deze toegang wordt geregeld.

Artikel 23

Bewaring van gegevens in het gemeenschappelijke identiteitenregister

1.De in artikel 18, leden 1 en 2, bedoelde gegevens worden gewist in het CIR overeenkomstig de bepalingen over de bewaring van gegevens als vastgesteld in respectievelijk [de EES-verordening], de VIS-verordening en [de ETIAS-verordening].

2.De termijn voor de opslag van het afzonderlijke bestand in het CIR stemt overeen met die voor de opslag van de overeenkomstige gegevens in ten minste één van de informatiesystemen waaruit de in het CIR aanwezige gegevens afkomstig zijn. Het aanmaken van een link heeft geen gevolgen voor de bewaringstermijn van elk element van de gelinkte gegevens.

Artikel 24

Bijhouden van logbestanden

1.Onverminderd [artikel 46 van de EES-verordening], artikel 34 van Verordening (EG) nr. 767/2008 en [artikel 59 van het ETIAS-voorstel] houdt eu-LISA overeenkomstig de leden 2, 3 en 4 logbestanden bij van alle gegevensverwerkingsverrichtingen in het CIR.

2.Met betrekking tot de toegang tot het CIR op grond van artikel 20 houdt eu-LISA logbestanden bij van alle gegevensverwerkingsverrichtingen in het CIR. In deze logbestanden wordt met name het volgende vermeld:

(a)het doel van de toegang dat wordt beoogd door de gebruiker die een zoekopdracht via het CIR geeft;

(b)de datum en het tijdstip van de zoekopdracht;

(c)het soort gegevens dat is gebruikt om de zoekopdracht te starten;

(d)de resultaten van de zoekopdracht;

(e)overeenkomstig de nationale regels of Verordening (EU) 2016/794 of in voorkomend geval Verordening (EU) nr. 45/2001, het identificatiekenmerk van de persoon die de zoekopdracht heeft verricht.

3.Met betrekking tot de toegang tot het CIR op grond van artikel 21 houdt eu-LISA logbestanden bij van alle gegevensverwerkingsverrichtingen in het CIR. In deze logbestanden wordt met name het volgende vermeld:

(a)het doel van de toegang dat wordt beoogd door de gebruiker die een zoekopdracht via het CIR geeft;

(b)de datum en het tijdstip van de zoekopdracht;

(c)in voorkomend geval, de gegevens die zijn gebruikt om de zoekopdracht te starten;

(d)in voorkomend geval, de resultaten van de zoekopdracht;

(e)overeenkomstig de nationale regels of Verordening (EU) 2016/794 of in voorkomend geval Verordening (EU) nr. 45/2001, het identificatiekenmerk van de persoon die de zoekopdracht heeft verricht.

4.Met betrekking tot de toegang tot het CIR op grond van artikel 22 houdt eu-LISA logbestanden bij van alle gegevensverwerkingsverrichtingen in het CIR. In deze logbestanden wordt met name het volgende vermeld:

(a)het referentiekenmerk van het nationale bestand;

(b)de datum en het tijdstip van de zoekopdracht;

(c)het soort gegevens dat is gebruikt om de zoekopdracht te starten;

(d)de resultaten van de zoekopdracht;

(e)de naam van de autoriteit die het CIR raadpleegt;

(f)overeenkomstig de nationale regels of Verordening (EU) 2016/794 of in voorkomend geval Verordening (EU) nr. 45/2001, het identificatiekenmerk van de functionaris die de zoekopdracht heeft verricht, en van de functionaris die de zoekopdracht heeft gelast.

De overeenkomstig artikel 51 van Verordening (EU) 2016/679 of artikel 41 van Richtlijn (EU) 2016/680 ingestelde toezichthoudende autoriteit verifieert de logbestanden over deze toegang regelmatig, met tussenpozen van ten hoogste zes maanden, om na te gaan of de procedures en voorwaarden als bedoeld in artikel 22, leden 1, 2 en 3, in acht zijn genomen.

5.Elke lidstaat houdt logbestanden bij van de zoekopdrachten die zijn uitgevoerd door personeelsleden die naar behoren zijn gemachtigd om het CIR overeenkomstig de artikelen 20, 21 en 22 te gebruiken.

6.De in de leden 1 en 5 bedoelde logbestanden worden uitsluitend gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een verzoek en de wettigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging in de zin van artikel 42. De logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist, tenzij zij nodig zijn voor reeds aangevangen toezichtprocedures.

7.eu-LISA bewaart de logbestanden met het relaas van de in een afzonderlijk bestand opgeslagen gegevens, met het oog op de in lid 6 bedoelde doeleinden. De logbestanden met het relaas van de opgeslagen gegevens worden gewist zodra de gegevens worden gewist.

HOOFDSTUK V
Detector van meerdere identiteiten

Artikel 25

Detector van meerdere identiteiten

1.Om de werking van het CIR te ondersteunen en de doelstellingen van het EES, het VIS, [het ETIAS], Eurodac, het SIS en [het ECRIS-TCN] te bevorderen, wordt een detector van meerdere identiteiten (MID) ingesteld, die zorgt voor het aanmaken en opslaan van links tussen gegevens in de EU-informatiesystemen die zijn opgenomen in het CIR en het SIS, en op basis daarvan meerdere identiteiten detecteert, met als tweeledig doel de identiteitscontroles te vergemakkelijken en identiteitsfraude te bestrijden.

2.De MID bestaat uit:

(a)een centrale infrastructuur, waarin links en verwijzingen naar informatiesystemen worden opgeslagen;

(b)een beveiligde communicatie-infrastructuur om de MID te verbinden met het SIS en de centrale infrastructuur van het ESP en het CIR.

3.eu-LISA zorgt voor de ontwikkeling en het technische beheer van de MID.

Artikel 26

Toegang tot de detector van meerdere identiteiten

1.Met het oog op de in artikel 29 bedoelde manuele identiteitsverificatie wordt toegang tot de in artikel 34 bedoelde, in de MID opgeslagen gegevens verleend aan:

(a)grensautoriteiten bij het aanleggen of bijwerken van een persoonlijk dossier als bedoeld in artikel 14 van de [EES-verordening];

(b)de bevoegde autoriteiten bedoeld in artikel 6, leden 1 en 2, van Verordening 767/2008 bij het aanmaken of bijwerken van een aanvraagdossier in het VIS overeenkomstig artikel 8 van Verordening (EG) nr. 767/2008;

(c)[de centrale ETIAS-eenheid en de nationale ETIAS-eenheden bij het verrichten van de in de artikelen 20 en 22 van de ETIAS-verordening bedoelde beoordeling];

(d)– (niet van toepassing);

(e)het Sirene-bureau van de lidstaat die een [SIS-signalering overeenkomstig de SIS-verordening op het gebied van grenscontroles] creëert;

(f)– (niet van toepassing).

2.De autoriteiten van de lidstaten en de EU-organen die toegang hebben tot ten minste één EU-informatiesysteem dat is opgenomen in het CIR, of tot het SIS, krijgen toegang tot de in artikel 34, onder a) en b), bedoelde gegevens wanneer sprake is van een rode link als bedoeld in artikel 32.

Artikel 27

Detectie van meerdere identiteiten

1.In het CIR en het CIS wordt een detectie van meerdere identiteiten gestart wanneer:

(a)een persoonlijk dossier wordt aangelegd of bijgewerkt in [het EES overeenkomstig artikel 14 van de EES-verordening];

(b)een aanvraagdossier wordt opgesteld of bijgewerkt in het VIS overeenkomstig artikel 8 van Verordening (EG) nr. 767/2008;

(c)[een aanvraagdossier wordt opgesteld of bijgewerkt in het ETIAS overeenkomstig artikel 17 van de ETIAS-verordening];

(d)– (niet van toepassing);

(e)[een signalering van een persoon wordt gecreëerd of bijgewerkt in het SIS overeenkomstig hoofdstuk V van de SIS-verordening op het gebied van grenscontroles];

(f)– (niet van toepassing).

2.Wanneer de gegevens in een informatiesysteem als bedoeld in lid 1 biometrische gegevens bevatten, maken het CIR en het centrale SIS voor de detectie van meerdere identiteiten gebruik van de gezamenlijke BMS. De gezamenlijke BMS maakt een vergelijking tussen de uit nieuwe biometrische gegevens verkregen biometrische templates en de reeds in de gezamenlijke BMS opgenomen biometrische templates om na te gaan of over een bepaalde onderdaan van een derde land reeds gegevens zijn opgeslagen in het CIR of het centrale SIS.

3.Naast de in lid 2 bedoelde procedure maken het CIR en het centrale SIS gebruik van het ESP om de in het CIR en het centrale SIS opgeslagen gegevens te doorzoeken aan de hand van de volgende gegevens:

(a)achternaam (familienaam); voornaam/voornamen; geboortedatum, geslacht en nationaliteit(en) als bedoeld in artikel 16, lid 1, onder a), van de [EES-verordening.]

(b)[achternaam (familienaam); voornaam/voornamen; geboortedatum, geslacht en nationaliteit(en) als bedoeld in artikel 9, punt 4, onder a), van Verordening (EG) nr. 767/2008;

(c)[achternaam (familienaam); voornaam/voornamen; achternaam bij geboorte; geboortedatum, geslacht en nationaliteit(en) als bedoeld in artikel 15, lid 2, onder a), van de ETIAS-verordening;]

(d)– (niet van toepassing);

(e)[achternaam/achternamen; voornaam/voornamen; naam/namen bij geboorte, voorheen gebruikte namen en aliassen; geboortedatum, geboorteplaats, nationaliteit(en) en geslacht als bedoeld in artikel 20, lid 2, van de SIS-verordening op het gebied van grenscontroles; ]

(f)– (niet van toepassing);

(g)– (niet van toepassing);

(h)– (niet van toepassing).

4.De detectie van meerdere identiteiten wordt alleen gestart om gegevens die in een informatiesysteem beschikbaar zijn, te vergelijken met gegevens die in andere informatiesystemen beschikbaar zijn.

Artikel 28
Resultaten van de detectie van meerdere identiteiten

1.Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2 of lid 3, geen treffer oplevert, blijven de in artikel 27, lid 1, bedoelde procedures erop van toepassing overeenkomstig de desbetreffende verordeningen.

2.Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2 of lid 3, een of meer treffers oplevert, maakt het CIR, en in voorkomend geval het SIS, een link aan tussen de gegevens die zijn gebruikt om de zoekopdracht te starten en de gegevens die tot de treffer hebben geleid.

In het geval van meerdere treffers wordt een link aangemaakt tussen alle gegevens die tot de treffer hebben geleid. Als de gegevens al gelinkt waren, wordt de bestaande link uitgebreid tot de gegevens die zijn gebruikt om de zoekopdracht te starten.

3.Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2 of lid 3, een of meer treffers oplevert en de identiteitsgegevens van de gelinkte bestanden identiek of vergelijkbaar zijn, wordt een witte link aangemaakt overeenkomstig artikel 33.

4.Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2 of lid 3, een of meer treffers oplevert en de identiteitsgegevens van de gelinkte bestanden niet als vergelijkbaar kunnen worden beschouwd, wordt een gele link aangemaakt overeenkomstig artikel 30 en is de in artikel 29 bedoelde procedure van toepassing.

5.De Commissie stelt bij uitvoeringshandeling de procedures vast aan de hand waarvan moet worden bepaald welke identiteitsgegevens als identiek of vergelijkbaar worden beschouwd. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 64, lid 2, bedoelde onderzoeksprocedure vastgesteld.

6.De links worden opgeslagen in het in artikel 34 bedoelde identiteitsbevestigingsbestand.

De Commissie stelt bij uitvoeringshandeling de technische voorschriften vast voor het koppelen van gegevens uit verschillende informatiesystemen. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 64, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 29
Manuele verificatie van meerdere identiteiten

1.Onverminderd lid 2 is de autoriteit die verantwoordelijk is voor de verificatie van meerdere identiteiten:

(a)de grensautoriteit voor treffers die zich voordoen bij het aanleggen van een persoonlijk dossier in [het EES overeenkomstig artikel 14 van de EES-verordening];

(b)de bevoegde autoriteiten bedoeld in artikel 6, leden 1 en 2, van Verordening 767/2008 voor treffers die zich voordoen bij het opstellen of bijwerken van een aanvraagdossier in het VIS overeenkomstig artikel 8 van Verordening (EG) nr. 767/2008;

(c)[de centrale ETIAS-eenheid en de nationale ETIAS-eenheden voor treffers die zich voordoen overeenkomstig de artikelen 18, 20 en 22 van de ETIAS-verordening;]

(d)– (niet van toepassing);

(e)het Sirene-bureau van de lidstaat voor treffers die zich voordoen bij het creëren van een SIS-signalering overeenkomstig de [SIS-verordening op het gebied van grenscontroles];

(f)– (niet van toepassing).

De MID vermeldt in het identiteitsbevestigingsbestand welke autoriteit verantwoordelijk is voor het verifiëren van meerdere identiteiten.

2.Wanneer een link wordt aangemaakt met gegevens in een hieronder omschreven signalering, wordt het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd, beschouwd als de in het identiteitsbevestigingsbestand bedoelde autoriteit die verantwoordelijk is voor het verifiëren van meerdere identiteiten:

(a)een signalering van personen die worden gezocht met het oog op aanhouding ten behoeve van overlevering of uitlevering als bedoeld in artikel 26 van [de SIS-verordening op het gebied van rechtshandhaving];

(b)een signalering van vermiste of kwetsbare personen als bedoeld in artikel 32 van [de SIS-verordening op het gebied van rechtshandhaving];

(c)een signalering van personen die worden gezocht met het oog op een gerechtelijke procedure als bedoeld in artikel 34 van [de SIS-verordening op het gebied van rechtshandhaving];

(d)[een signalering inzake terugkeer overeenkomstig de SIS-verordening op het gebied van de terugkeer van illegaal verblijvende onderdanen van derde landen];

(e)een signalering van personen met het oog op onopvallende controle, ondervragingscontrole of gerichte controle als bedoeld in artikel 36 van [de SIS-verordening op het gebied van rechtshandhaving];

(f)een signalering van onbekende personen die worden gezocht met het oog op identificatie overeenkomstig het nationale recht en bevraging aan de hand van biometrische gegevens als bedoeld in artikel 40 van [de SIS-verordening op het gebied van rechtshandhaving];

3.De autoriteit die verantwoordelijk is voor het verifiëren van meerdere identiteiten, heeft onverminderd lid 4 toegang tot de betrokken gegevens in het desbetreffende identiteitsbevestigingsbestand en tot de gelinkte identiteitsgegevens in het gemeenschappelijke identiteitenregister en, in voorkomend geval, in het SIS, beoordeelt de verschillende identiteiten, actualiseert de link overeenkomstig de artikelen 31, 32 en 33 en voegt deze onverwijld toe aan het identiteitsbevestigingsbestand.

4.Wanneer de voor het verifiëren van meerdere identiteiten in het identiteitsbevestigingsbestand verantwoordelijke autoriteit de grensautoriteit is die een afzonderlijk bestand in het EES aanlegt of bijwerkt overeenkomstig artikel 14 van de EES-verordening, en er een gele link is verkregen, verricht de grensautoriteit aanvullende verificaties in het kader van een tweedelijnscontrole. Bij deze tweedelijnscontrole hebben de grensautoriteiten toegang tot de daarmee verband houdende gegevens in het identiteitsbevestigingsbestand, beoordelen zij de verschillende identiteiten, werken zij de link bij overeenkomstig de artikelen 31, 32 en 33 en voegen zij deze link onverwijld toe aan het identiteitsbevestigingsbestand.

5.In het geval van meer dan één link wordt elke link afzonderlijk beoordeeld door de autoriteit die verantwoordelijk is voor het verifiëren van meerdere identiteiten.

6.Als de gegevens die een treffer opleveren, al gelinkt zijn, houdt de autoriteit die verantwoordelijk is voor het verifiëren van meerdere identiteiten, rekening met de bestaande links wanneer zij het aanmaken van nieuwe links beoordeelt.

Artikel 30

Gele link

1.Een link tussen gegevens uit twee of meer informatiesystemen wordt in de volgende gevallen ingedeeld als geel:

(a)de gelinkte gegevens hebben dezelfde biometrische gegevens maar andere identiteitsgegevens, en de verschillende identiteiten zijn niet manueel gecontroleerd;

(b)de gelinkte gegevens hebben andere identiteitsgegevens, en de verschillende identiteiten zijn niet manueel gecontroleerd.

2.Indien een link overeenkomstig lid 1 is ingedeeld als geel, is de procedure van artikel 29 van toepassing.

Artikel 31

Groene link

1.Een link tussen gegevens van twee of meer informatiesystemen wordt als groen ingedeeld als de gelinkte gegevens niet dezelfde biometrische gegevens maar wel vergelijkbare identiteitsgegevens hebben en volgens de autoriteit die verantwoordelijk is voor de verificatie van meerdere identiteiten, verwijzen naar twee verschillende personen.

2.Wanneer het CIR of het SIS wordt doorzocht en er een groene link bestaat tussen twee of meer van de informatiesystemen die deel uitmaken van het CIR of het SIS, geeft de MID aan dat de identiteitsgegevens van de gelinkte gegevens niet overeenstemmen met dezelfde persoon. Het doorzochte informatiesysteem vermeldt in zijn antwoord alleen de gegevens van de persoon wiens gegevens voor de zoekopdracht zijn gebruikt, zonder een treffer tot stand te brengen voor de gegevens waartussen een groene link bestaat.

Artikel 32

Rode link

1.Een link tussen gegevens van twee of meer informatiesystemen wordt in de volgende gevallen ingedeeld als rood:

(a)de gelinkte gegevens hebben dezelfde biometrische gegevens maar andere identiteitsgegevens, en verwijzen volgens de autoriteit die verantwoordelijk is voor de verificatie van meerdere identiteiten, onrechtmatig naar dezelfde persoon;

(b)de gelinkte gegevens hebben vergelijkbare identiteitsgegevens en verwijzen volgens de autoriteit die verantwoordelijk is voor de verificatie van meerdere identiteiten, onrechtmatig naar dezelfde persoon.

2.Wanneer het CIR of het SIS wordt doorzocht en er een rode link bestaat tussen twee of meer van de informatiesystemen die deel uitmaken van het CIR of het SIS, vermeldt de MID in zijn antwoord de in artikel 34 bedoelde gegevens. De follow-up van een rode link verloopt overeenkomstig het Unierecht en het nationaal recht.

3.Wanneer er een rode link wordt aangemaakt tussen gegevens van het EES, het VIS, [het ETIAS], Eurodac of [het ECRIS-TCN], wordt het afzonderlijke bestand dat in het CIR is opgeslagen, bijgewerkt overeenkomstig artikel 19, lid 1.

4.Onverminderd de bepalingen in verband met de behandeling van signaleringen in het SIS als bedoeld in [de SIS-verordeningen op het gebied van grenscontroles, rechtshandhaving en de terugkeer van illegaal verblijvende onderdanen van derde landen], en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat een nationaal onderzoek niet in gevaar wordt gebracht, meldt de autoriteit die verantwoordelijk is voor de verificatie van meerdere identiteiten, in het geval van een rode link, aan de betrokken persoon dat meerdere onrechtmatige identiteiten zijn geconstateerd.

5.Wanneer een rode link wordt aangemaakt, stelt de autoriteit die verantwoordelijk is voor de verificatie van meerdere identiteiten een referentie ter beschikking van de autoriteiten die verantwoordelijk zijn voor de gelinkte gegevens.

Artikel 33

Witte link

1.Een link tussen gegevens van twee of meer informatiesystemen wordt in de volgende gevallen ingedeeld als wit:

(a)de gelinkte gegevens hebben dezelfde biometrische gegevens en dezelfde of vergelijkbare identiteitsgegevens;

(b)de gelinkte gegevens hebben dezelfde of vergelijkbare identiteitsgegevens en ten minste één informatiesysteem heeft geen biometrische gegevens van de persoon;

(c)de gelinkte gegevens hebben dezelfde biometrische gegevens maar andere identiteitsgegevens, en verwijzen volgens de autoriteit die verantwoordelijk is voor de verificatie van meerdere identiteiten, naar dezelfde persoon die rechtmatig verschillende identiteitsgegevens heeft.

2.Wanneer het CIR of het SIS wordt doorzocht en er een witte link bestaat tussen een of meer van de informatiesystemen die deel uitmaken van het CIR of het SIS, geeft de MID aan dat de identiteitsgegevens van de gelinkte gegevens overeenstemmen met dezelfde persoon. De doorzochte informatiesystemen vermelden in hun antwoord, in voorkomend geval, alle gelinkte gegevens van de persoon en brengen zo een treffer tot stand met de gegevens waartussen een witte link bestaat, indien de autoriteit die de zoekopdracht heeft gestart, overeenkomstig het Unierecht of het nationaal recht toegang heeft tot de gelinkte gegevens.

3.Wanneer er een witte link wordt aangemaakt tussen gegevens van het EES, het VIS, [het ETIAS], Eurodac of [het ECRIS-TCN], wordt het afzonderlijke bestand dat in het CIR is opgeslagen, bijgewerkt overeenkomstig artikel 19, lid 1.

4.Wanneer na een manuele verificatie van meerdere identiteiten een witte link wordt aangemaakt, brengt de autoriteit die verantwoordelijk is voor de verificatie van meerdere identiteiten, de betrokken persoon op de hoogte van de aanwezigheid van afwijkingen tussen diens in verschillende systemen geregistreerde gegevens, en stelt zij een referentie ter beschikking van de autoriteiten die verantwoordelijk zijn voor de gelinkte gegevens – zulks onverminderd de bepalingen in verband met de behandeling van signaleringen in het SIS als bedoeld in [de SIS-verordeningen op het gebied van grenscontroles, rechtshandhaving en de terugkeer van illegaal verblijvende onderdanen van derde landen].

Artikel 34

Identiteitsbevestigingsbestand

Het identiteitsbevestigingsbestand bevat de volgende gegevens:

(a)de links, met vermelding van de kleur als bedoeld in de artikelen 30 tot en met 33;

(b)een verwijzing naar de informatiesystemen die de gelinkte gegevens bevatten;

(c)een uniek identificatienummer om de gegevens van de betrokken gelinkte bestanden op te vragen uit de informatiesystemen;

(d)in voorkomend geval, de autoriteit die verantwoordelijk is voor de verificatie van meerdere identiteiten.

Artikel 35

Bewaring van gegevens in de detector van meerdere identiteiten

De termijn voor opslag van de identiteitsbevestigingsbestanden en de desbetreffende gegevens, inclusief links, in de MID is niet langer dan die voor de opslag van de gelinkte gegevens die zijn opgeslagen in twee of meer EU-informatiesystemen.

Artikel 36

Bijhouden van logbestanden

1.eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen in de MID. In deze logbestanden wordt met name het volgende vermeld:

(a)het doel waarvoor de gebruiker toegang heeft en diens toegangsrechten;

(b)de datum en het tijdstip van de zoekopdracht;

(c)het soort gegevens dat is gebruikt om de zoekopdracht te starten;

(d)de referentie naar de gelinkte gegevens;

(e)het relaas van het identiteitsbevestigingsbestand;

(f)het identificatiekenmerk van de persoon die de zoekopdracht heeft verricht.

2.Elke lidstaat houdt de logbestanden bij van de personeelsleden die naar behoren gemachtigd zijn om de MID te gebruiken.

3.De logbestanden worden uitsluitend gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een verzoek en de wettigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging in de zin van artikel 42. De logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist, tenzij zij nodig zijn voor reeds aangevangen toezichtprocedures. De logbestanden met het relaas van identiteitsbevestigingsbestand worden gewist zodra de gegevens in het identiteitsbevestigingsbestand worden gewist.

HOOFDSTUK VI
Maatregelen ter ondersteuning van interoperabiliteit

Artikel 37

Gegevenskwaliteit

1.eu-LISA stelt automatische mechanismen en procedures vast voor het controleren van de kwaliteit van de gegevens die worden opgeslagen in het EES, het [ETIAS], het VIS, het SIS, de gezamenlijke dienst voor biometrische matching (gezamenlijke BMS), het gemeenschappelijke identiteitenregister (CIR) en de detector van meerdere identiteiten (MID).

2.eu-LISA stelt gemeenschappelijke indicatoren voor gegevenskwaliteit vast, alsook de minimumkwaliteitsnormen voor de opslag van gegevens in het EES, het [ETIAS], het VIS, het SIS, de gezamenlijke BMS, het CIR en de MID.

3.eu-LISA brengt regelmatig verslag uit aan de lidstaten over de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit en over de gemeenschappelijke indicatoren voor gegevenskwaliteit. eu-LISA brengt ook regelmatig verslag uit aan de Commissie over problemen die zijn geconstateerd en de lidstaten die hierbij zijn betrokken.

4.Bij uitvoeringshandelingen worden nadere bepalingen vastgesteld inzake de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen voor de opslag van gegevens in het EES, het [ETIAS], het VIS, het SIS, de gezamenlijke BMS, het CIR en de MID, met name met betrekking tot biometrische gegevens. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 64, lid 2, bedoelde onderzoeksprocedure vastgesteld.

5.Eén jaar na de vaststelling van de automatische mechanismen en procedures voor het controleren van gegevenskwaliteit en de gemeenschappelijke indicatoren voor gegevenskwaliteit, en vervolgens om het jaar, evalueert de Commissie de prestaties van de lidstaten op het gebied van gegevenskwaliteit en doet zij zo nodig aanbevelingen. De lidstaten dienen bij de Commissie een actieplan in om de in het evaluatieverslag geconstateerde gebreken te verhelpen en brengen verslag over de voortgang van het actieplan uit tot dit volledig is uitgevoerd. De Commissie legt het evaluatieverslag voor aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten dat is opgericht bij Verordening (EG) nr. 168/2007 van de Raad 75 .

Artikel 38

Universal Message Format (UMF)

1.Hierbij wordt de norm inzake het Universal Message Format (UMF-norm) ingesteld. De UMF-norm definieert bepaalde elementen van de inhoud van grensoverschrijdende informatie-uitwisseling tussen informatiesystemen, autoriteiten en/of organisaties op het gebied van justitie en binnenlandse zaken.

2.Toepassing van de UMF-norm is verplicht bij de ontwikkeling van het EES, het [ETIAS], het Europees zoekportaal, het CIR, de MID en in voorkomend geval bij de ontwikkeling, door eu-LISA of een ander EU-orgaan, van nieuwe informatie-uitwisselingsmodellen en informatiesystemen op het gebied van justitie en binnenlandse zaken.

3.Toepassing van de UMF-norm is facultatief in het VIS, het SIS en in bestaande of nieuwe transnationale informatie-uitwisselingsmodellen en informatiesystemen op het gebied van justitie en binnenlandse zaken die worden ontwikkeld door lidstaten of geassocieerde landen.

4.De Commissie stelt een uitvoeringshandeling vast voor het vastleggen en ontwikkelen van de in lid 1 bedoelde UMF-norm. Deze uitvoeringshandeling wordt overeenkomstig de in artikel 64, lid 2, bedoelde onderzoeksprocedure aangenomen.

Artikel 39

Centraal register voor rapportage en statistieken

1.Er wordt een centraal register voor rapportage en statistieken (CRRS) ingesteld om de doelstellingen van het EES, het VIS, [het ETIAS] en het SIS te ondersteunen en om systeemoverschrijdende statistische gegevens en analytische verslagen te genereren voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit.

2.eu-LISA zorgt op zijn technische locaties voor het opstellen, implementeren en hosten van het CRRS, met daarin de logisch gescheiden gegevens als bedoeld in [artikel 63 van de EES-verordening], artikel 17 van Verordening (EG) nr. 767/2008, [artikel 73 van de ETIAS-verordening] en [artikel 54 van de VIS-verordening op het gebied van grenscontroles]. Aan de hand van in het CRRS opgenomen gegevens kunnen geen personen worden geïdentificeerd. Toegang tot het CRRS wordt uitsluitend met het oog op het opstellen van rapporten en statistieken verleend aan de in [artikel 63 van de EES-verordening], artikel 17 van Verordening (EG) nr. 767/2008, [artikel 73 van de ETIAS-verordening] en [artikel 54 van de SIS-verordening op het gebied van grenscontroles] bedoelde autoriteiten door middel van een beveiligde toegang via TESTA (trans-Europese diensten voor telematica tussen overheidsdiensten) met toegangscontrole en specifieke gebruikersprofielen.

3.eu-LISA anonimiseert de gegevens en registreert de geanonimiseerde gegevens in het CRRS. Het anonimiseren van de gegevens gebeurt automatisch.

4.Het CRRS bestaat uit:

(a)een centrale infrastructuur, bestaande uit een gegevensregister waaruit anonieme gegevens kunnen worden opgevraagd;

(b)een beveiligde communicatie-infrastructuur voor de verbinding van het CRRS met het EES, [het ETIAS], het VIS en het SIS en met de centrale infrastructuren van de gezamenlijke BMS, het CIR en de MID.

5.De Commissie stelt bij uitvoeringshandelingen nadere bepalingen vast over de werking van het CRRS, met inbegrip van specifieke waarborgen voor de verwerking van persoonsgegevens overeenkomstig de leden 2 en 3, en veiligheidsvoorschriften voor het register. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 64, lid 2, bedoelde onderzoeksprocedure aangenomen.

HOOFDSTUK VII
Gegevensbescherming

Artikel 40
Verwerkingsverantwoordelijke

1.Met betrekking tot de verwerking van gegevens in de gezamenlijke BMS worden de autoriteiten van de lidstaten die verwerkingsverantwoordelijke zijn voor het VIS, het EES of het SIS ook als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 beschouwd met betrekking tot de door hen in de respectieve systemen ingevoerde biometrische templates die worden verkregen uit de in artikel 13 bedoelde gegevens, en zijn deze autoriteiten verantwoordelijk voor de verwerking van de biometrische templates in de gezamenlijke BMS.

2.Met betrekking tot de verwerking van gegevens in het CIR worden de autoriteiten van de lidstaten die verwerkingsverantwoordelijke zijn voor het VIS, het EES of [het ETIAS] ook als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 beschouwd met betrekking tot de in artikel 18 bedoelde gegevens die zij in de respectieve systemen invoeren, en zijn deze autoriteiten verantwoordelijk voor de verwerking van die persoonsgegevens in het CIR.

3.Met betrekking tot de verwerking van gegevens in de MID geldt dat:

(a)het Europees Grens- en kustwachtagentschap met betrekking tot de verwerking van persoonsgegevens door de centrale ETIAS-eenheid wordt beschouwd als verantwoordelijke voor de verwerking in de zin van artikel 2, punt b), van Verordening (EG) nr. 45/2001.

(b)de autoriteiten van de lidstaten die toevoegingen of wijzigingen aanbrengen aan de gegevens in het identiteitsbevestigingsbestand ook als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 worden beschouwd en verantwoordelijk zijn voor de verwerking van de persoonsgegevens in de MID.

Artikel 41
Verwerker

Met betrekking tot de verwerking van persoonsgegevens in het CIR wordt eu-LISA beschouwd als de verwerker in de zin van artikel 2, punt e), van Verordening (EG) nr. 45/2001.

Artikel 42
Beveiliging van de verwerking

1.Zowel eu-LISA als de autoriteiten van de lidstaten zorgen voor de beveiliging van de verwerking van persoonsgegevens uit hoofde van deze verordening. eu-LISA, [de centrale ETIAS-eenheid] en de autoriteiten van de lidstaten werken samen aan taken op het gebied van beveiliging.

2.Onverminderd artikel 22 van Verordening (EG) nr. 45/2001 neemt eu-LISA de nodige maatregelen ter beveiliging van de interoperabiliteitscomponenten en de bijbehorende communicatie-infrastructuur.

3.Met name neemt eu-LISA passende maatregelen, waaronder de vaststelling van een veiligheidsplan, een bedrijfscontinuïteitsplan en een uitwijkplan, om:

(a)de gegevens fysiek te beschermen, onder meer met noodplannen voor de bescherming van kritieke infrastructuur;

(b)te voorkomen dat gegevensdragers onrechtmatig worden gelezen, gekopieerd, gewijzigd of verwijderd;

(c)te voorkomen dat gegevens onrechtmatig worden ingevoerd en dat opgeslagen persoonsgegevens onrechtmatig worden ingezien, gewijzigd of verwijderd;

(d)te voorkomen dat gegevens onrechtmatig worden verwerkt, gekopieerd, gewijzigd of verwijderd;

(e)te waarborgen dat personen die toestemming hebben voor toegang tot de interoperabiliteitscomponenten, uitsluitend toegang hebben tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft, en uitsluitend door middel van persoonlijke gebruikersidentiteiten en geheime toegangsprocedures;

(f)te waarborgen dat kan worden nagegaan en vastgesteld aan welke instanties persoonsgegevens mogen worden doorgegeven door middel van datatransmissieapparatuur;

(g)te waarborgen dat kan worden nagegaan en vastgesteld welke gegevens wanneer, door wie en met welk doel in de interoperabiliteitscomponenten zijn verwerkt;

(h)te voorkomen, in het bijzonder door middel van passende versleutelingstechnieken, dat bij de doorgifte van persoonsgegevens vanuit en naar de interoperabiliteitscomponenten of gedurende het transport van gegevensdragers de gegevens onrechtmatig worden gelezen, gekopieerd, gewijzigd of verwijderd;

(i)de doelmatigheid van de in dit lid bedoelde beveiligingsmaatregelen te controleren, en met betrekking tot de interne controle de nodige organisatorische maatregelen te nemen om te waarborgen dat deze verordening wordt nageleefd.

4.Om de verwerking van persoonsgegevens door autoriteiten met recht op toegang tot een of meer interoperabiliteitscomponenten te beveiligen, nemen de lidstaten maatregelen die gelijkwaardig zijn aan die van lid 3 van dit artikel.

Artikel 43

Vertrouwelijkheid van de SIS-gegevens

1.Alle lidstaten passen, in overeenstemming met hun nationaal recht, de voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op alle personen en instanties die moeten werken met SIS-gegevens waartoe zij via een of meer interoperabiliteitscomponenten toegang hebben. Deze geheimhoudingsplicht blijft gelden nadat deze personen hun functie of dienstverband hebben beëindigd of de instanties hun werkzaamheden hebben stopgezet.

2.Onverminderd artikel 17 van het Statuut van de ambtenaren en de regeling welke van toepassing is op de andere personeelsleden van de Europese Unie, past eu-LISA adequate voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op alle personen die met SIS-gegevens moeten werken, aan de hand van normen die vergelijkbaar zijn met die van lid 1. Deze geheimhoudingsplicht blijft gelden nadat de personen hun functie of dienstverband hebben beëindigd of hun werkzaamheden hebben stopgezet.

Artikel 44
Beveiligingsincidenten

1.Elke gebeurtenis die gevolgen heeft of kan hebben voor de beveiliging van de interoperabiliteitscomponenten en kan leiden tot beschadiging of verlies van gegevens die in de componenten zijn opgeslagen, wordt beschouwd als een beveiligingsincident, met name wanneer onrechtmatige toegang tot gegevens kan zijn verkregen of wanneer de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens in gevaar is of kan zijn gekomen.

2.Het beheer van beveiligingsincidenten is gericht op een snelle, doeltreffende en passende reactie.

3.Onverminderd de melding en mededeling van een inbreuk in verband met persoonsgegevens uit hoofde van artikel 33 van Verordening (EU) 2016/679, artikel 30 van Richtlijn (EU) 2016/680, of beide, stellen de lidstaten de Commissie, eu-LISA en de Europese Toezichthouder voor gegevensbescherming in kennis van beveiligingsincidenten. eu-LISA stelt de Commissie en de Europese Toezichthouder voor gegevensbescherming in kennis van beveiligingsincidenten in verband met de centrale infrastructuur van de interoperabiliteitscomponenten.

4.Informatie betreffende een beveiligingsincident dat gevolgen heeft of kan hebben voor de werking van interoperabiliteitscomponenten of voor de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens, wordt aan de lidstaten verstrekt en gerapporteerd in overeenstemming met het door eu-LISA te verstrekken incidentenbeheerplan.

5.De betrokken lidstaten en eu-LISA werken samen wanneer zich een beveiligingsincident voordoet. De Commissie stelt bij uitvoeringshandelingen de specificaties van deze samenwerkingsprocedure vast. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 64, lid 2, bedoelde onderzoeksprocedure aangenomen.

Artikel 45
Interne monitoring

De lidstaten en de betrokken EU-organen zorgen ervoor dat elke autoriteit met recht op toegang tot de interoperabiliteitscomponenten de nodige maatregelen treft met het oog op de naleving van deze verordening en, indien nodig, samenwerkt met de toezichthoudende autoriteit.

De in artikel 40 bedoelde verwerkingsverantwoordelijke neemt de nodige maatregelen, waaronder frequente verificatie van logbestanden, om na te gaan of de gegevens in overeenstemming met deze verordening worden verwerkt, en werkt, indien nodig, samen met de in de artikelen 49 en 50 bedoelde toezichthoudende autoriteiten.

Artikel 46
Recht op informatie

1.Onverminderd het recht op informatie als bedoeld in de artikelen 11 en 12 van Verordening (EG) nr. 45/2001 en de artikelen 13 en 14 van Verordening (EU) 2016/679, worden personen van wie gegevens worden opgeslagen in de gezamenlijke BMS, het CIR of de MID, door de autoriteit die hun gegevens verzamelt, ten tijde van de gegevensverzameling in kennis gesteld van de verwerking van persoonsgegevens met het oog op de toepassing van deze verordening, onder meer met betrekking tot de identiteit en de contactgegevens van de verwerkingsverantwoordelijken, de procedures voor het uitoefenen van hun recht op inzage in en rectificatie of wissing van hun gegevens, alsook de contactgegevens van de Europese Toezichthouder voor gegevensbescherming en van de nationale toezichthoudende autoriteit van de lidstaat die verantwoordelijk is voor het verzamelen van de gegevens.

2.Personen van wie gegevens in het EES, het VIS of [het ETIAS] worden opgeslagen, worden overeenkomstig lid 1 in kennis gesteld van de verwerking van persoonsgegevens met het oog op de toepassing van deze verordening, wanneer:

(a)[een persoonlijk dossier in het EES wordt aangelegd of bijgewerkt overeenkomstig artikel 14 van de EES-verordening];

(b)een aanvraagdossier wordt opgesteld of bijgewerkt in het VIS overeenkomstig artikel 8 van Verordening (EG) nr. 767/2008;

(c)[een aanvraagdossier wordt aangemaakt of bijgewerkt in het ETIAS overeenkomstig artikel 17 van de ETIAS-verordening];

(d)– (niet van toepassing);

(e)– (niet van toepassing).

Artikel 47
Recht van inzage, rectificatie en wissing

1.Voor de uitoefening van hun rechten krachtens de artikelen 13 tot en met 16 van Verordening (EG) nr. 45/2001 en de artikelen 15 tot en met 18 van Verordening (EU) 2016/679 heeft elke persoon het recht om zich te wenden tot de lidstaat die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten of tot een andere lidstaat, die het verzoek zal onderzoeken en beantwoorden.

2.De lidstaat die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten als bedoeld in artikel 29, of de aangezochte lidstaat beantwoordt dergelijke verzoeken binnen 45 dagen na ontvangst van het verzoek.

3.Als er een verzoek om rectificatie of wissing van persoonsgegevens wordt gericht tot een andere dan de verantwoordelijke lidstaat, neemt de aangezochte lidstaat binnen zeven dagen contact op met de autoriteiten van de verantwoordelijke lidstaat, die binnen 30 dagen na dit contact de juistheid van de gegevens en de rechtmatigheid van de gegevensverwerking controleren.

4.Wanneer na onderzoek blijkt dat de in de MID opgeslagen gegevens feitelijk onjuist zijn of onrechtmatig zijn geregistreerd, worden deze gegevens gerectificeerd of gewist door de verantwoordelijke lidstaat of, in voorkomend geval, door de aangezochte lidstaat.

5.Wanneer de verantwoordelijke lidstaat tijdens de geldigheidsduur gegevens in de MID wijzigt, bepaalt hij aan de hand van de in artikel 27 en, in voorkomend geval, artikel 29 bedoelde verwerking of een link tussen de gewijzigde gegevens moet worden aangemaakt. Wanneer de verwerking geen treffer oplevert, verwijdert de verantwoordelijke lidstaat of, in voorkomend geval, de aangezochte lidstaat de gegevens uit het identiteitsbevestigingsbestand. Indien de automatische verwerking een of meer treffers oplevert, wordt de link dienovereenkomstig door de verantwoordelijke lidstaat aangemaakt of bijgewerkt overeenkomstig de desbetreffende bepalingen van deze verordening.

6.Indien de verantwoordelijke lidstaat of, in voorkomend geval, de aangezochte lidstaat niet van oordeel is dat de in de MID opgeslagen gegevens feitelijk onjuist zijn of onrechtmatig zijn geregistreerd, stelt die lidstaat een administratief besluit vast waarbij hij de betrokken persoon onverwijld schriftelijk uitlegt waarom hij niet bereid is de gegevens betreffende die persoon te corrigeren of te wissen.

7.Dit besluit informeert de betrokkene tevens over de mogelijkheid om de beslissing inzake het in lid 3 bedoelde verzoek aan te vechten en, indien relevant, over de wijze waarop hij een rechtsvordering kan instellen of een klacht kan indienen bij de bevoegde autoriteiten of rechtbanken, alsmede over bijstand, onder meer van de bevoegde nationale toezichthoudende autoriteiten.

8.Elk verzoek krachtens lid 3 bevat de informatie die nodig is om de betrokkene te identificeren. Deze informatie wordt uitsluitend gebruikt om de uitoefening van de in lid 3 bedoelde rechten mogelijk te maken en wordt onmiddellijk nadien gewist.

9.De verantwoordelijke lidstaat of, in voorkomend geval, de aangezochte lidstaat legt in een schriftelijk document vast dat een in lid 3 bedoeld verzoek is ingediend en op welke wijze dit is behandeld, en stelt dit document onverwijld ter beschikking van de bevoegde nationale toezichthoudende autoriteiten voor gegevensbescherming.

Artikel 48
Mededeling van persoonsgegevens aan derde landen, internationale organisaties en particuliere partijen

Persoonsgegevens die worden opgeslagen in de interoperabiliteitscomponenten of waartoe deze componenten toegang hebben, worden niet doorgegeven aan of ter beschikking gesteld van derde landen, internationale organisaties of particuliere partijen, met uitzondering van doorgiften aan Interpol voor het verrichten van de automatische verwerking bedoeld in [artikel 18, lid 2, onder b) en m), van de ETIAS-verordening] of voor de doeleinden van artikel 8, lid 2 van Verordening (EU) 2016/399. Dergelijke doorgiften van persoonsgegevens aan Interpol moeten in overeenstemming zijn met het bepaalde in artikel 9 van Verordening (EG) nr. 45/2001 en hoofdstuk V van Verordening (EU) 2016/679.

Artikel 49
Toezicht door de nationale toezichthoudende autoriteit

1.De krachtens artikel 49 van Verordening 2016/679 aangewezen toezichthoudende autoriteiten zorgen ervoor dat ten minste om de vier jaar een audit van de gegevensverwerkingsverrichtingen van de verantwoordelijke nationale autoriteiten wordt uitgevoerd overeenkomstig de desbetreffende internationale auditnormen.

2.De lidstaten zorgen ervoor dat hun toezichthoudende autoriteit over voldoende middelen beschikt om haar taken uit hoofde van deze verordening te kunnen vervullen.

Artikel 50
Toezicht door de Europese Toezichthouder voor gegevensbescherming

De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat ten minste om de vier jaar een audit van de activiteiten van eu-LISA op het gebied van de verwerking van persoonsgegevens wordt uitgevoerd overeenkomstig de desbetreffende internationale auditnormen. Een verslag over deze audit wordt toegezonden aan het Europees Parlement, de Raad, eu-LISA, de Commissie en de lidstaten. Voordat de verslagen worden aangenomen, wordt eu-LISA in de gelegenheid gesteld opmerkingen te maken.

Artikel 51
Samenwerking tussen de nationale toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming

1.De Europese Toezichthouder voor gegevensbescherming werkt nauw samen met de nationale toezichthoudende autoriteiten in verband met specifieke kwesties waarvoor nationale betrokkenheid vereist is, met name wanneer de Europese Toezichthouder voor gegevensbescherming of een nationale toezichthoudende autoriteit grote verschillen tussen praktijken van de lidstaten constateert of potentieel onrechtmatige gegevensdoorgifte via de communicatiekanalen van de interoperabiliteitscomponenten constateert, dan wel in de context van vragen die door een of meer nationale toezichthoudende autoriteiten worden gesteld ten aanzien van de uitvoering en de uitlegging van deze verordening.

2.In de in lid 1 bedoelde gevallen wordt gezorgd voor gecoördineerd toezicht in overeenstemming met artikel 62 van Verordening (EU) 2018/XXXX [herziene Verordening (EG) nr. 45/2001].

HOOFDSTUK VIII
Verantwoordelijkheden

Artikel 52
Verantwoordelijkheden van eu-LISA gedurende de ontwerp- en ontwikkelingsfase

1.eu-LISA zorgt ervoor dat de centrale infrastructuur van de interoperabiliteitscomponenten wordt beheerd in overeenstemming met deze verordening.

2.De interoperabiliteitscomponenten worden door eu-LISA gehost op zijn technische locaties en voorzien in de in deze verordening beschreven functies overeenkomstig de voorwaarden inzake beveiliging, beschikbaarheid, kwaliteit en snelheid bedoeld in artikel 53, lid 1.

3.eu-LISA is verantwoordelijk voor de ontwikkeling van de interoperabiliteitscomponenten en voor alle aanpassingen die nodig zijn met het oog op de interoperabiliteit tussen de centrale systemen van het EES, het VIS, [het ETIAS], het SIS, Eurodac en [ECRIS-TCN], en het ESP, de gezamenlijke BMS, het CIR en de MID.

Het ontwerp van de fysieke architectuur van de interoperabiliteitscomponenten, met inbegrip van de communicatie-infrastructuur alsook de technische specificaties en de evolutie daarvan met betrekking tot de centrale infrastructuur en de beveiligde communicatie-infrastructuur, wordt door eu-LISA bepaald en na een gunstig advies van de Commissie vastgesteld door de raad van bestuur. eu-LISA verricht ook de nodige aanpassingen van het EES, [het ETIAS], het SIS of het VIS als voortvloeiend uit de totstandbrenging van de interoperabiliteit en bedoeld in deze verordening.

eu-LISA ontwikkelt en implementeert de interoperabiliteitscomponenten zo spoedig mogelijk na de inwerkingtreding van deze verordening en de vaststelling door de Commissie van de maatregelen bedoeld in artikel 8, lid 2, artikel 9, lid 7, artikel 28, leden 5 en 6, artikel 37, lid 4, artikel 38, lid 4, artikel 39, lid 5, en artikel 44, lid 5.

De ontwikkeling omvat de uitwerking en implementatie van de technische specificaties, het testen en de algehele projectcoördinatie.

4.Gedurende de ontwerp- en ontwikkelingsfase wordt een programmabestuursraad met ten hoogste tien leden ingesteld. Deze raad bestaat uit zeven door de raad van bestuur van eu-LISA uit zijn eigen leden of plaatsvervangers aangewezen leden, de voorzitter van de in artikel 65 bedoelde adviesgroep inzake interoperabiliteit, een door de uitvoerend directeur benoemd lid dat eu-LISA vertegenwoordigt, en één door de Commissie benoemd lid. De door de raad van bestuur van eu-LISA aangewezen leden worden bij uitsluiting gekozen uit de lidstaten die ten volle gebonden zijn door de wetgeving van de Unie betreffende de ontwikkeling, de oprichting, de exploitatie en het gebruik van de door eu-LISA beheerde grootschalige IT-systemen, en die aan de interoperabiliteitscomponenten zullen deelnemen.

5.De programmabestuursraad komt op gezette tijden, en ten minste driemaal per kwartaal, bijeen. Hij zorgt voor een passend beheer van de fasen waarin de interoperabiliteitscomponenten worden ontworpen en ontwikkeld.

De programmabestuursraad brengt maandelijks schriftelijk verslag over de voortgang van het project uit aan de raad van bestuur. De programmabestuursraad heeft geen beslissingsbevoegdheid of mandaat om de leden van de raad van bestuur van eu-LISA te vertegenwoordigen.

6.De raad van bestuur van eu-LISA stelt het reglement van de programmabestuursraad op, dat met name regels bevat inzake:

(a)het voorzitterschap;

(b)de plaats van vergadering;

(c)de voorbereiding van vergaderingen;

(d)de toelating van deskundigen tot de vergaderingen;

(e)communicatieplannen die zorgen voor volledige informatievoorziening aan de niet-deelnemende leden van de raad van bestuur.

Het voorzitterschap wordt bekleed door een lidstaat die ten volle is gebonden door de wetgeving van de Unie betreffende de ontwikkeling, de oprichting, de exploitatie en het gebruik van de door eu-LISA beheerde grootschalige IT-systemen.

Alle door de leden van de programmabestuursraad gemaakte reis- en verblijfkosten worden betaald door eu-LISA en artikel 10 van het reglement van orde van eu-LISA is van overeenkomstige toepassing. Het secretariaat van de programmabestuursraad wordt verzorgd door eu-LISA.

Tot de ingebruikneming van de interoperabiliteitscomponenten komt de in artikel 65 bedoelde adviesgroep inzake interoperabiliteit op gezette tijden bijeen. Zij brengt na elke bijeenkomst verslag uit aan de programmabestuursraad. Zij ondersteunt de programmabestuursraad met technische deskundigheid en houdt de voortgang van de voorbereidingen van de lidstaten bij.

Artikel 53
Verantwoordelijkheden van eu-LISA na de ingebruikneming

1.Na de ingebruikneming van elke interoperabiliteitscomponent is eu-LISA verantwoordelijk voor het technisch beheer van de centrale infrastructuur en de nationale uniforme interfaces. eu-LISA zorgt in samenwerking met de lidstaten te allen tijde voor de beste beschikbare technologie, onder voorbehoud van een kosten-batenanalyse. eu-LISA is ook verantwoordelijk voor het technisch beheer van de communicatie-infrastructuur als bedoeld in de artikelen 6, 12, 17, 25 en 39.

Het technisch beheer van de interoperabiliteitscomponenten omvat alle taken die nodig zijn om de interoperabiliteitscomponenten zeven dagen per week en 24 uur per dag overeenkomstig deze verordening te laten functioneren, met name de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een bevredigende technische kwaliteit van de interoperabiliteitscomponenten, in het bijzonder wat betreft de tijd die nodig is voor raadpleging van de centrale infrastructuur overeenkomstig de technische specificaties.

2.Onverminderd artikel 17 van het Statuut van de ambtenaren van de Europese Unie past eu-LISA passende voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op alle personeelsleden die moeten werken met in de interoperabiliteitscomponenten opgeslagen gegevens. Deze geheimhoudingsplicht blijft ook gelden nadat deze personeelsleden hun functie of dienstverband hebben beëindigd of hun werkzaamheden hebben stopgezet.

3.eu-LISA ontwikkelt en onderhoudt een mechanisme en procedures voor het uitvoeren van kwaliteitscontroles op de in de gezamenlijke BMS en het CIR opgeslagen gegevens overeenkomstig artikel 37.

4.eu-LISA verricht ook taken met betrekking tot het aanbieden van opleiding in het technische gebruik van de interoperabiliteitscomponenten.

Artikel 54
Verantwoordelijkheden van de lidstaten

1.Elke lidstaat is verantwoordelijk voor:

(a)de aansluiting op de communicatie-infrastructuur van het ESP en het CIR;

(b)de integratie van de bestaande nationale systemen en infrastructuur met het ESP, de gezamenlijke BMS, het CIR en de MID;

(c)de organisatie, het beheer, de werking en het onderhoud van de bestaande nationale infrastructuur en de aansluiting daarvan op de interoperabiliteitscomponenten;

(d)het beheer en de regelingen op grond waarvan de naar behoren gemachtigde personeelsleden van de bevoegde nationale autoriteiten overeenkomstig deze verordening toegang hebben tot het ESP, het CIR en de MID, en de opstelling en regelmatige bijwerking van een lijst van de betrokken personeelsleden en hun profiel;

(e)de vaststelling van de in artikel 20, lid 3, bedoelde wettelijke maatregelen om toegang te krijgen tot het CIR voor identificatiedoeleinden;

(f)de manuele verificatie van meerdere identiteiten, als bedoeld in artikel 29;

(g)de toepassing van de vereisten inzake gegevenskwaliteit op de EU-informatiesystemen en de interoperabiliteitscomponenten;

(h)het verhelpen van tekortkomingen die zijn geconstateerd in het evaluatieverslag van de Commissie over de gegevenskwaliteit als bedoeld in artikel 37, lid 5.

2.Elke lidstaat sluit zijn in artikel 4, punt 24, bedoelde aangewezen autoriteiten aan op het CIR.

Artikel 55
Verantwoordelijkheden van de centrale ETIAS-eenheid

De centrale ETIAS-eenheid is verantwoordelijk voor:

(a)de manuele verificatie van meerdere identiteiten als bedoeld in artikel 29;

(b)het uitvoeren van een detectie van meerdere identiteiten aan de hand van de gegevens die zijn opgeslagen in het VIS, Eurodac en het SIS als bedoeld in artikel 59.

HOOFDSTUK IX
Wijzigingen van andere instrumenten van de Unie

Artikel 55 bis

Wijzigingen van Verordening (EU) 2016/399

Verordening (EU) 2016/399 wordt als volgt gewijzigd:

Aan artikel 8 van Verordening (EU) 2016/399 wordt het volgende lid 4 bis toegevoegd:

“4 bis. Wanneer bij inreis of uitreis de raadpleging van de relevante databanken, waaronder de detector van meerdere identiteiten via het Europees zoekportaal als bedoeld in respectievelijk [artikel 4, punten 36 en 33, van Verordening 2018/XX inzake interoperabiliteit], leidt tot een gele link of tot de constatering van een rode link, wordt de gecontroleerde persoon doorverwezen naar de tweedelijnscontrole.

De grenswachter bij de tweedelijnscontrole raadpleegt de detector van meerdere identiteiten samen met het gemeenschappelijke identiteitenregister bedoeld in [artikel 4, punt 35, van Verordening 2018/XX inzake interoperabiliteit] en/of het Schengeninformatiesysteem ter beoordeling van de verschillen tussen de gelinkte identiteiten en hij verricht aanvullende controles als die nodig zijn voor het nemen van een beslissing over de status en de kleur van de link en voor een beslissing over de toegang of de weigering van toegang van de betrokkene.

Overeenkomstig [artikel 59, lid 1, van Verordening 2018/XX] wordt deze alinea pas van toepassing wanneer de detector van meerdere identiteiten in gebruik wordt genomen."

Artikel 55 ter

Wijzigingen van Verordening (EU) 2017/2226

Verordening (EU) 2017/2226 wordt als volgt gewijzigd:

1)    Aan artikel 1 wordt het volgende lid toegevoegd:

   “1 bis. Door identiteitsgegevens, gegevens van reisdocumenten en biometrische gegevens op te slaan in het bij [artikel 17 van Verordening 2018/XX inzake interoperabiliteit] ingestelde gemeenschappelijke identiteitenregister (CIR), draagt het EES bij aan het vergemakkelijken en ondersteunen van de correcte identificatie van personen die in het EES zijn geregistreerd onder de voorwaarden respectievelijk voor de uiteindelijke doelstellingen bedoeld in [artikel 20] van die verordening.”

2)    Aan artikel 3 wordt het volgende punt 21 bis toegevoegd:

   “"CIR": het gemeenschappelijke identiteitenregister in de zin van [artikel 4, punt 35, van Verordening 2018/XX inzake interoperabiliteit]

3)    Artikel 3, lid 1, punt 22, wordt vervangen door:

   “22. "EES-gegevens": alle gegevens die in het centraal systeem van het EES en in het CIR zijn opgeslagen overeenkomstig artikel 14 en de artikelen 16 tot en met 20.

4)    Aan artikel 3 wordt het volgende punt 22 bis toegevoegd:

“22 bis. "identiteitsgegevens": de gegevens bedoeld in artikel 16, lid 1, onder a);

5)    Aan artikel 6, lid 1, wordt het volgende punt toegevoegd:

"j) een correcte identificatie van personen verzekeren."

6)    Artikel 7, lid 1, onder a), wordt vervangen door:

   "a) het gemeenschappelijke identiteitenregister (CIR) in de zin van [artikel 17, lid 2, onder a), van Verordening 2018/XX inzake interoperabiliteit];

aa) een centraal systeem (het centrale systeem van het EES);"

7)    Artikel 7, lid 1, onder f), wordt vervangen door:

“f) een beveiligde communicatie-infrastructuur tussen het centrale systeem van het EES en de centrale infrastructuren van het Europees zoekportaal ingesteld bij [artikel 6 van Verordening 2018/XX inzake interoperabiliteit], de gezamenlijke dienst voor biometrische matching ingesteld bij [artikel 12 van Verordening 2018/XX inzake interoperabiliteit], het gemeenschappelijke identiteitenregister ingesteld bij [artikel 17 van Verordening 2018/XX inzake interoperabiliteit] en de detector van meerdere identiteiten ingesteld bij [artikel 25 van Verordening 2018/XX inzake interoperabiliteit]".

8)    Aan artikel 7 wordt het volgende lid toegevoegd:

   “1 bis. Het CIR bevat de gegevens bedoeld in artikel 16, lid 1, onder a) tot en met d), en artikel 17, lid 1, onder a) tot en met c); de overige EES-gegevens worden opgeslagen in het centrale systeem van het EES.

9)    Aan artikel 9 wordt het volgende lid toegevoegd:

“3. De toegang voor het raadplegen van de in het CIR opgeslagen EES-gegevens is voorbehouden aan de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat en aan de naar behoren gemachtigde personeelsleden van de EU-organen die bevoegd zijn voor de in [de artikelen 20 en 21 van Verordening 2018/XX inzake interoperabiliteit] vastgestelde doeleinden. Deze toegang is beperkt tot wat nodig is voor de uitvoering van de taken van deze nationale autoriteiten en EU-organen overeenkomstig deze doeleinden en is evenredig met de nagestreefde doelen.”

10)    In artikel 21, lid 1, worden de woorden “centrale systeem van het EES” telkens vervangen door de woorden “centrale systeem van het EES of het CIR”.

11)    In artikel 21, lid 2, worden de woorden “het centrale systeem van het EES en in het NUI” vervangen door de woorden “zowel het centrale systeem van het EES en het CIR enerzijds als het NUI anderzijds”.

12)    In artikel 21, lid 2, worden de woorden “ingevoerd in het centrale systeem van het EES” vervangen door de woorden “ingevoerd in het centrale systeem van het EES en het CIR”.

13)    Aan artikel 32 wordt een nieuw lid 1 bis toegevoegd:

“1 bis. Ingeval de aangewezen autoriteiten een zoekopdracht aan het CIR hebben gegeven overeenkomstig [artikel 22 van Verordening 2018/XX inzake interoperabiliteit], hebben zij toegang tot het EES voor raadpleging als het ontvangen antwoord als bedoeld in lid 3 van [artikel 22 van Verordening 2018/XX inzake interoperabiliteit] uitwijst dat gegevens zijn opgeslagen in het EES.”

14)    Artikel 32, lid 2, wordt vervangen door:

   “2. Toegang tot het EES als instrument voor het identificeren van een onbekende verdachte, een onbekende dader of een onbekend vermoedelijk slachtoffer van een terroristisch misdrijf of een ander ernstig strafbaar feit wordt enkel toegestaan als een zoekopdracht is gegeven aan het CIR overeenkomstig [artikel 22 van Verordening 2018/XX inzake interoperabiliteit] en is voldaan aan alle in lid 1 en lid 1 bis vermelde voorwaarden.

Deze aanvullende voorwaarde is evenwel niet van toepassing in dringende gevallen, wanneer een dreigend gevaar voor het leven van een persoon in verband met een terroristisch misdrijf of een ander ernstig strafbaar feit moet worden voorkomen. Die gegronde redenen worden vermeld in het gemotiveerde elektronische of schriftelijke verzoek dat de operationele dienst van de aangewezen autoriteit naar het centrale toegangspunt stuurt.”

15)    Artikel 32, lid 4, wordt geschrapt.

16)    Aan artikel 33 wordt een nieuw lid 1 bis toegevoegd:

“1 bis. Ingeval Europol een zoekopdracht aan het CIR heeft gegeven overeenkomstig [artikel 22 van Verordening 2018/XX inzake interoperabiliteit], heeft Europol toegang tot het EES voor raadpleging als het ontvangen antwoord als bedoeld in lid 3 van [artikel 22 van Verordening 2018/XX inzake interoperabiliteit] uitwijst dat gegevens zijn opgeslagen in het EES.”

17)    Artikel 33, lid 3, wordt vervangen door:

   “De in artikel 32, leden 3en 5, vermelde voorwaarden zijn van overeenkomstige toepassing.”

18)    In artikel 34, leden 1 en 2, worden de woorden “in het centrale systeem van het EES” vervangen door de woorden “in respectievelijk het CIR en het centrale systeem van het EES”.

19)    In artikel 34, lid 5, worden de woorden “uit het centrale systeem van het EES” vervangen door de woorden “uit het centrale systeem van het EES en het CIR”.

20)    Artikel 35, lid 7, wordt vervangen door:

   “Het centrale systeem van het EES en het CIR informeren alle lidstaten onmiddellijk over de verwijdering van EES- of CIR-gegevens en verwijderen deze, in voorkomend geval, uit de in artikel 12, lid 3, bedoelde lijst van geïdentificeerde personen.”

21)    In artikel 36 worden de woorden “van het centrale systeem van het EES” vervangen door de woorden “van het centrale systeem van het EES en het CIR”.

22)    In artikel 37, lid 1, worden de woorden “ontwikkeling van het centrale systeem van het EES” vervangen door de woorden “ontwikkeling van het centrale systeem van het EES en het CIR”.

23)    In de eerste alinea van artikel 37, lid 3, worden de woorden “het centrale systeem van het centrale systeem van het EES” vervangen door “het centrale systeem van het EES en het CIR” en de derde keer dat de woorden “het centrale systeem van het EES” voorkomen, worden deze vervangen door “het centrale systeem van het EES en het CIR”.

24)    Aan artikel 46, lid 1, wordt het volgende punt f) toegevoegd:

   “f) waar van toepassing, een verwijzing naar het gebruik van het Europese zoekportaal voor het doorzoeken van het EES als bedoeld in [artikel 7, lid 2, van Verordening 2018/XX inzake interoperabiliteit].

25)    Artikel 63, lid 2, wordt vervangen door:

“2. Voor de toepassing van lid 1 van dit artikel worden de in lid 1 bedoelde gegevens door eu-LISA opgeslagen in het centraal register voor rapportage en statistieken bedoeld in [artikel 39 van Verordening 2018/XX inzake interoperabiliteit].”

26) Aan artikel 63, lid 4, wordt een nieuwe alinea toegevoegd:

   “De dagelijkse statistieken worden opgeslagen in het centraal register voor rapportage en statistieken.”

Artikel 55 quater

Wijzigingen van Beschikking 2004/512/EG van de Raad

Beschikking 2004/512/EG van de Raad betreffende het opzetten van het Visuminformatiesysteem (VIS) wordt als volgt gewijzigd:

Artikel 1, lid 2, wordt als volgt gewijzigd:

“2. Het Visuminformatiesysteem wordt gebaseerd op een gecentraliseerde architectuur en bestaat uit:

"a) het gemeenschappelijke identiteitenregister (CIR) bedoeld in [artikel 17, lid 2, onder a), van Verordening 2018/XX inzake interoperabiliteit],

b) een centraal informatiesysteem, hierna „centraal visuminformatiesysteem” te noemen (CS-VIS),

c) een interface in elke lidstaat, hierna „nationale interface” te noemen (NI-VIS), die voor de verbinding met de bevoegde centrale nationale autoriteit van de betrokken lidstaat zorgt,

d) een communicatie-infrastructuur tussen het centrale visuminformatiesysteem en de nationale interfaces,

e) een beveiligd communicatiekanaal tussen het centrale systeem van het EES en het CS-VIS,

f) een beveiligde communicatie-infrastructuur tussen het centrale systeem van het VIS en de centrale infrastructuren van het Europees zoekportaal ingesteld bij [artikel 6 van Verordening 2018/XX inzake interoperabiliteit], de gezamenlijke dienst voor biometrische matching ingesteld bij [artikel 12 van Verordening 2018/XX inzake interoperabiliteit], het gemeenschappelijke identiteitenregister en de detector van meerdere identiteiten (MID) ingesteld bij [artikel 25 van Verordening 2018/XX inzake interoperabiliteit]”.

Artikel 55 quinquies

Wijzigingen van Verordening (EU) 767/2008

1)    Aan artikel 1 wordt het volgende lid toegevoegd:

“2. Door identiteitsgegevens, gegevens van reisdocumenten en biometrische gegevens op te slaan in het bij [artikel 17 van Verordening 2018/XX inzake interoperabiliteit] ingestelde gemeenschappelijke identiteitenregister (CIR), draagt het VIS bij aan het vergemakkelijken en ondersteunen van de correcte identificatie van personen die in het VIS zijn geregistreerd onder de voorwaarden respectievelijk voor de uiteindelijke doelstellingen bedoeld in lid 1 van dit artikel.”

2)    Aan artikel 4 worden de volgende punten toegevoegd:

“12. “VIS-gegevens: alle gegevens die zijn opgeslagen in het centrale systeem van het VIS en het CIR overeenkomstig de artikelen 9 tot en met 14.

13. "identiteitsgegevens": de gegevens als bedoeld in artikel 9, lid 4, onder a) tot en met aa);

14. “vingerafdrukgegevens”: de gegevens betreffende de vijf vingerafdrukken van de wijsvinger, de middelvinger, de ringvinger, de pink en de duim van de rechterhand, indien aanwezig, en van de linkerhand;

15."gezichtsopname": een digitale afbeelding van het gezicht;

16."biometrische gegevens": vingerafdrukgegevens en gezichtsopname;

3)    Aan artikel 5 wordt het volgende lid toegevoegd:

“1 bis. Het CIR bevat de gegevens bedoeld in artikel 9, lid 4, onder a) tot en met cc), en artikel 9, leden 5 en 6; de overige VIS-gegevens worden opgeslagen in het centrale systeem van het VIS.”

4)    Artikel 6, lid 2, wordt als volgt gewijzigd:

“2. De toegang tot het VIS voor raadpleging van de gegevens is uitsluitend voorbehouden aan de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat die bevoegd zijn voor de in de artikelen 15 tot en met 22 genoemde doelen, en voor de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat en van de EU-organen die bevoegd zijn voor de in de [artikelen 20 en 21 van Verordening 2018/XX inzake interoperabiliteit] vastgestelde doeleinden, is beperkt tot de gegevens die vereist zijn voor de uitvoering van hun taken overeenkomstig deze doelen en staat in verhouding tot de doelstellingen.”

5)    Artikel 9, punt 4, onder a) tot en met c), wordt als volgt gewijzigd:

“a)[achternaam (familienaam); voornaam/voornamen; geboortedatum; nationaliteit/nationaliteiten; geslacht;

aa) achternaam bij de geboorte (vroegere familienaam/-namen); plaats en land van geboorte; nationaliteit bij de geboorte;

b)het type en nummer van het reisdocument/de reisdocumenten en de drielettercode van het land dat het reisdocument/de reisdocumenten heeft afgegeven;

c)de datum waarop de geldigheidstermijn van het reisdocument/de reisdocumenten verstrijkt;

cc)de autoriteit die het reisdocument heeft afgegeven en de datum van afgifte;

6) Artikel 9, lid 5, wordt vervangen door:

“gezichtsopname” in de zin van artikel 4, lid 15”.

7)    In artikel 29, lid 2, onder a), wordt het woord “VIS” in beide gevallen vervangen door de woorden “VIS of het CIR”.

Artikel 55 sexies

Wijzigingen in Beschikking 2008/633/JBZ van de Raad

1) Aan artikel 5 wordt een nieuw lid 1 bis toegevoegd:

“1 bis. Ingeval de aangewezen autoriteiten een zoekopdracht aan het CIR hebben gegeven overeenkomstig [artikel 22 van Verordening 2018/XX inzake interoperabiliteit], hebben zij toegang tot het VIS voor raadpleging als het ontvangen antwoord als bedoeld in lid 2 van [artikel 22 van Verordening 2018/XX inzake interoperabiliteit] uitwijst dat gegevens zijn opgeslagen in het VIS.”

2) Aan artikel 7 wordt een nieuw lid 1 bis toegevoegd:

“1 bis. Ingeval Europol een zoekopdracht aan het CIR heeft gegeven overeenkomstig [artikel 22 van Verordening 2018/XX inzake interoperabiliteit], heeft Europol toegang tot het VIS voor raadpleging als het ontvangen antwoord als bedoeld in lid 3 van [artikel 22 van Verordening 2018/XX inzake interoperabiliteit] uitwijst dat gegevens zijn opgeslagen in het VIS.”

HOOFDSTUK IX
Slotbepalingen

Artikel 56

Verslagen en statistieken

1.De naar behoren gemachtigde personeelsleden van de bevoegde autoriteiten van de lidstaten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken en zonder dat daarbij personen kunnen worden geïdentificeerd, de volgende gegevens inzake het ESP raadplegen:

(a)het aantal zoekopdrachten per persoon die het ESP-profiel gebruikt;

(b)het aantal zoekopdrachten per gegevensbank van Interpol;

2.De naar behoren gemachtigde personeelsleden van de bevoegde autoriteiten van de lidstaten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken en zonder dat daarbij personen kunnen worden geïdentificeerd, de volgende gegevens inzake het CIR raadplegen:

(a)het aantal zoekopdrachten als bedoeld in de artikelen 20, 21 en 22;    

(b)nationaliteit, geslacht en geboortejaar van de betrokken persoon;

(c)het soort reisdocument en de drielettercode van het land dat het reisdocument heeft afgegeven;

(d)het aantal met en zonder biometrische gegevens uitgevoerde zoekopdrachten.

3.De naar behoren gemachtigde personeelsleden van de bevoegde autoriteiten van de lidstaten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken en zonder dat daarbij personen kunnen worden geïdentificeerd, de volgende gegevens inzake de MID raadplegen:

(a)    nationaliteit, geslacht en geboortejaar van de betrokken persoon;

(b)het soort reisdocument en de drielettercode van het land dat het reisdocument heeft afgegeven;

(c)het aantal met en zonder biometrische gegevens uitgevoerde zoekopdrachten;

(d)het aantal en het type links.

4.De naar behoren gemachtigde personeelsleden van het Europees Grens- en kustwachtagentschap, opgericht bij Verordening (EU) 2016/1624 van het Europees Parlement en de Raad 76 , hebben toegang om de in de leden 1, 2 en 3 bedoelde gegevens te raadplegen, teneinde risico- en kwetsbaarheidsbeoordelingen zoals bedoeld in de artikelen 11 en 13 van die verordening te kunnen uitvoeren.

5.Voor de toepassing van lid 1 slaat eu-LISA de in lid 1 bedoelde gegevens op in het in hoofdstuk VII behandelde CRRS. De in het CRRS opgenomen gegevens worden niet gebruikt om personen te identificeren, maar om de in lid 1 bedoelde autoriteiten in staat te stellen op maat gesneden verslagen en statistieken op te stellen met als doel de grenscontroles doeltreffender te maken, de autoriteiten te helpen bij de verwerking van visumaanvragen en een op feiten gebaseerde beleidsvorming inzake migratie en veiligheid in de Unie te ondersteunen.

Artikel 57
Overgangsperiode voor het gebruik van het Europees zoekportaal

Gedurende een periode van twee jaar vanaf de ingebruikneming van het ESP zijn de verplichtingen als bedoeld in artikel 7, leden 2 en 4, niet van toepassing en is het gebruik van het ESP facultatief.

Artikel 58

Overgangsperiode voor toepassing van de bepalingen inzake de toegang tot het gemeenschappelijke identiteitenregister voor rechtshandhavingsdoeleinden

Artikel 22, de punten 13 tot en met 16 van artikel 55 ter en artikel 55 sexies zijn van toepassing vanaf de datum van ingebruikneming als bedoeld in artikel 62, lid 1.

Artikel 59
Overgangsperiode voor de detectie van meerdere identiteiten

1.Gedurende een periode van één jaar nadat eu-LISA de voltooiing van de test van de MID als bedoeld in artikel 62, lid 1, onder b), heeft gemeld en voordat de MID in gebruik wordt genomen, is de centrale ETIAS-eenheid bedoeld in [artikel 33, onder a), van Verordening (EU) 2016/1624] verantwoordelijk voor het uitvoeren van een detectie van meerdere identiteiten aan de hand van de gegevens die zijn opgeslagen in het VIS, Eurodac en het SIS. Voor de detectie van meerdere identiteiten wordt uitsluitend gebruik gemaakt van biometrische gegevens als bedoeld in artikel 27, lid 2, van deze verordening.

2.Wanneer een zoekopdracht een of meer treffers oplevert en de identiteitsgegevens van de gelinkte bestanden identiek of vergelijkbaar zijn, wordt een witte link aangemaakt overeenkomstig artikel 33.

Wanneer een zoekopdracht een of meer treffers oplevert en de identiteitsgegevens van de gelinkte bestanden niet als vergelijkbaar kunnen worden beschouwd, wordt een gele link aangemaakt overeenkomstig artikel 30 en is de in artikel 29 bedoelde procedure van toepassing.

In het geval van meerdere treffers wordt een link aangemaakt tussen alle gegevenselementen die tot de treffer hebben geleid.

3.Wanneer een gele link wordt aangemaakt, verleent de MID de centrale ETIAS-eenheid toegang tot de identiteitsgegevens in de verschillende informatiesystemen.

4.Wanneer een link wordt aangemaakt met een signalering in het SIS, tenzij deze signalering een weigering van toegang of een als verloren, gestolen of ongeldig gemaakt reisdocument betreft als bedoeld in respectievelijk artikel 24 van de SIS-verordening op het gebied van grenscontroles en artikel 38 van de SIS-verordening op het gebied van rechtshandhaving, verleent de MID aan het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd, toegang tot de identiteitsgegevens in de verschillende informatiesystemen.

5.De centrale ETIAS-eenheid of het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd, heeft toegang tot de gegevens in het identiteitsbevestigingsbestand, maakt een beoordeling van de verschillende identiteiten, werkt de link bij overeenkomstig de artikelen 31, 32 en 33 en voegt deze toe aan het identiteitsbevestigingsbestand.

6.Waar nodig helpt eu-LISA de centrale ETIAS-eenheid bij het uitvoeren van de detectie van meerdere identiteiten als bedoeld in dit artikel.

Artikel 60
Kosten

1.De kosten in verband met de instelling en de werking van het ESP, de gezamenlijke BMS, het CIR en de MID komen ten laste van de algemene begroting van de Unie.

2.De kosten in verband met de integratie van de bestaande nationale infrastructuur, de aansluiting van die infrastructuur op de nationale uniforme interfaces en het hosten van de nationale uniforme interfaces komen ten laste van de algemene begroting van de Unie.

De volgende kosten komen niet in aanmerking:

(a)de dienst voor projectbeheer van de lidstaten (vergaderingen, missies, kantoren);

(b)het hosten van nationale IT-systemen (ruimte, implementatie, elektriciteit, koeling);

(c)het beheer van nationale IT-systemen (operatoren en contracten voor ondersteuning);

(d)ontwerp, ontwikkeling, implementatie, beheer en onderhoud van nationale communicatienetwerken.

3.De kosten die worden gemaakt door de aangewezen autoriteiten als bedoeld in artikel 4, punt 24, worden respectievelijk door iedere lidstaat en door Europol gedragen. De kosten voor de aansluiting van de aangewezen autoriteiten op het CIR worden respectievelijk door iedere lidstaat en door Europol gedragen.

Artikel 61
Kennisgevingen

1.De lidstaten melden aan eu-LISA welke in de artikelen 7, 20, 21 en 26 bedoelde autoriteiten gebruik kunnen maken van of toegang hebben tot het ESP, het CIR en de MID.

Binnen drie maanden na de ingebruikneming van elke interoperabiliteitscomponent overeenkomstig artikel 62 wordt een geconsolideerde lijst van deze autoriteiten bekendgemaakt in het Publicatieblad van de Europese Unie. Wanneer de lijst wordt gewijzigd, maakt eu-LISA eenmaal per jaar een bijgewerkte geconsolideerde versie bekend.

2.eu-LISA stelt de Commissie in kennis van de succesvolle afsluiting van de in artikel 62, lid 1, onder b), bedoelde test.

3.De centrale ETIAS-eenheid stelt de Commissie in kennis van de succesvolle afsluiting van de overgangsmaatregel als bedoeld in artikel 59.

4.De Commissie stelt de lidstaten en het publiek door middel van een permanent bijgewerkte openbare website in kennis van de op grond van lid 1 meegedeelde informatie.

Artikel 62
Ingebruikneming

1.De Commissie stelt de datum vast waarop elke interoperabiliteitscomponent in gebruik wordt genomen, nadat aan de volgende voorwaarden is voldaan:

(a)de in artikel 8, lid 2, artikel 9, lid 7, artikel 28, leden 5 en 6, artikel 37, lid 4, artikel 38, lid 4, artikel 39, lid 5, en artikel 44, lid 5, bedoelde maatregelen zijn goedgekeurd;

(b)eu-LISA heeft verklaard dat een uitgebreide test van de betrokken interoperabiliteitscomponent, die eu-LISA samen met de lidstaten heeft uitgevoerd, met succes is afgesloten;

(c)eu-LISA heeft de technische en wettelijke regelingen om de in artikel 8, lid 1, en in de artikelen 13, 19, 34 en 39 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden;

(d)de lidstaten hebben de in artikel 61, lid 1, bedoelde kennisgevingen aan de Commissie gedaan;

(e)wat de MID betreft, heeft de centrale ETIAS-eenheid de Commissie in kennis gesteld als bedoeld in artikel 61, lid 3.

2.De Commissie stelt het Europees Parlement en de Raad in kennis van de resultaten van de overeenkomstig lid 1, onder b), uitgevoerde test.

3.Het in lid 1 bedoelde besluit van de Commissie wordt bekendgemaakt in het Publicatieblad van de Europese Unie.

4.De lidstaten en Europol nemen de interoperabiliteitscomponenten in gebruik op de overeenkomstig lid 1 door de Commissie bepaalde datum.

Artikel 63
Uitoefening van de bevoegdheidsdelegatie

1.De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2.De in artikel 8, lid 2, en artikel 9, lid 7, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor onbepaalde tijd met ingang van [de datum van inwerkingtreding van deze verordening].

3.Het Europees Parlement of de Raad kan de in artikel 8, lid 2, en artikel 9, lid 7, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord over beter wetgeven van 13 april 2016.

5.Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

6.Een overeenkomstig artikel 8, lid 2, en artikel 9, lid 7, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Op initiatief van het Europees Parlement of de Raad wordt die termijn met [twee maanden] verlengd.

Artikel 64
Comitéprocedure

1.De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 65
Adviesgroep

eu-LISA richt een adviesgroep op, die het agentschap voorziet van expertise inzake interoperabiliteit, in het bijzonder bij de opstelling van het jaarlijkse werkprogramma en van het jaarlijkse activiteitenverslag. Tijdens de fase waarin de interoperabiliteitscomponenten worden ontworpen en ontwikkeld, is artikel 52, leden 4, 5 en 6, van toepassing.

Artikel 66
Opleiding

eu-LISA vervult taken met betrekking tot opleiding over het technische gebruik van de interoperabiliteitscomponenten overeenkomstig Verordening (EU) nr. 1077/2011.

Artikel 67
Praktische handleiding

De Commissie stelt, in nauwe samenwerking met de lidstaten, eu-LISA en andere betrokken agentschappen, een praktische handleiding ter beschikking voor de implementatie en het beheer van de interoperabiliteitscomponenten. De praktische handleiding bevat technische en operationele richtsnoeren, aanbevelingen en beste praktijken. De praktische handleiding wordt door de Commissie in de vorm van een aanbeveling goedgekeurd.

Artikel 68
Monitoring en evaluatie

1.eu-LISA zorgt voor procedures om de ontwikkeling van de interoperabiliteitscomponenten te monitoren in het licht van de doelstellingen op het gebied van planning en kosten, en om de werking van de interoperabiliteitscomponenten te monitoren in het licht van doelstellingen inzake technische resultaten, kosteneffectiviteit, beveiliging en kwaliteit van de dienstverlening.

2.Uiterlijk [zes maanden na de inwerkingtreding van deze verordening – OPOCE: voeg de juiste datum in] en vervolgens om de zes maanden tijdens de fase waarin de interoperabiliteitscomponenten worden ontwikkeld, legt eu-LISA het Europees Parlement en de Raad een verslag voor over de stand van zaken bij de ontwikkeling van de interoperabiliteitscomponenten. Zodra de ontwikkeling is afgerond, wordt bij het Europees Parlement en de Raad een verslag ingediend waarin uitvoerig wordt uiteengezet hoe de doelstellingen, met name op het vlak van planning en kosten, zijn bereikt en waarin eventuele afwijkingen worden gerechtvaardigd.

3.Met het oog op het technisch onderhoud heeft eu-LISA toegang tot de nodige informatie over de in de interoperabiliteitscomponenten uitgevoerde gegevensverwerkingsverrichtingen.

4.Vier jaar na de ingebruikneming van elke interoperabiliteitscomponent en vervolgens om de vier jaar legt eu-LISA aan het Europees Parlement, de Raad en de Commissie een verslag voor over de technische werking en de beveiliging van de interoperabiliteitscomponenten.

5.Eén jaar na elk verslag van eu-LISA stelt de Commissie een algemene evaluatie van de componenten op, met inbegrip van:

(a)een beoordeling van de toepassing van deze verordening;

(b)een toetsing van de bereikte resultaten aan de doelstellingen, en een beoordeling van de gevolgen voor de grondrechten;

(c)een beoordeling van de onverminderde geldigheid van de uitgangspunten voor de interoperabiliteitscomponenten;

(d)een beoordeling van de beveiliging van de interoperabiliteitscomponenten;

(e)een beoordeling van alle mogelijke gevolgen, met inbegrip van disproportionele gevolgen voor de verkeersstroom aan grensdoorlaatposten en gevolgen voor de begroting van de Unie.

In de evaluaties worden zo nodig aanbevelingen opgenomen. De Commissie legt het evaluatieverslag voor aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten, dat is opgericht bij Verordening (EG) nr. 168/2007 van de Raad 77 .

6.De lidstaten en Europol verstrekken eu-LISA en de Commissie de informatie die nodig is om de in de leden 4 en 5 bedoelde verslagen op te stellen. Deze informatie brengt de werkmethoden niet in gevaar en bevat geen informatie waardoor bronnen, namen van personeelsleden of onderzoeken van de aangewezen autoriteiten worden onthuld.

7.eu-LISA verstrekt de Commissie de informatie die nodig is om de in lid 5 bedoelde evaluaties op te stellen.

8.Elke lidstaat en Europol stellen met inachtneming van de nationaalrechtelijke bepalingen inzake de bekendmaking van gevoelige informatie jaarlijkse verslagen op over de doeltreffendheid van de toegang tot in het CIR opgeslagen gegevens met het oog op rechtshandhaving, en nemen daarin informatie en statistieken op over:

(a)het exacte doel van de raadpleging, met inbegrip van het soort terroristisch misdrijf of ander ernstig strafbaar feit;

(b)gegronde redenen voor het gegronde vermoeden dat de verdachte, de overtreder of het slachtoffer onder de [EES-verordening], de VIS-verordening of de [ETIAS-verordening] valt;

(c)het aantal verzoeken om toegang tot het CIR voor rechtshandhavingsdoeleinden;

(d)het aantal en het soort van gevallen die hebben geleid tot succesvolle identificaties;

(e)de noodzaak en het gebruik van het uitzonderlijk dringend geval, met inbegrip van de gevallen waarin dat dringend karakter niet werd aanvaard bij de verificatie achteraf door het centrale toegangspunt.

De jaarlijkse verslagen van de lidstaten en van Europol worden aan de Commissie toegezonden vóór 30 juni van het daaropvolgende jaar.

Artikel 69
Inwerkingtreding en toepasselijkheid

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat overeenkomstig de Verdragen.

Gedaan te Straatsburg,

FINANCIEEL MEMORANDUM

1.KADER VAN HET VOORSTEL/INITIATIEF

1.1.Benaming van het voorstel/initiatief 

1.2.Betrokken beleidsterrein(en)

1.3.Aard van het voorstel/initiatief

1.4.Doelstelling(en)

1.5.Motivering van het voorstel/initiatief

1.6.Duur en financiële gevolgen

1.7.Beheersvorm(en)

2.BEHEERSMAATREGELEN 

2.1.Regels inzake het toezicht en de verslagen

2.2.Beheers- en controlesysteem

2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden

3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF 

3.1.Rubriek(en) van het meerjarig financieel kader en betrokken begrotingsonderde(e)l(en) voor uitgaven

3.2.Geraamde gevolgen voor de uitgaven 

3.2.1.Samenvatting van de geraamde gevolgen voor de uitgaven

3.2.2.Geraamde gevolgen voor de beleidskredieten

3.2.3.Geraamde gevolgen voor de administratieve kredieten

3.2.4.Verenigbaarheid met het huidig meerjarig financieel kader

3.2.5.Bijdragen van derden

3.3.Geraamde gevolgen voor de ontvangsten

FINANCIEEL MEMORANDUM

1.KADER VAN HET VOORSTEL/INITIATIEF 

1.1.Benaming van het voorstel/initiatief 

1.2.Betrokken beleidsterrein(en) 

1.3.Aard van het voorstel/initiatief 

X Het voorstel/initiatief betreft een nieuwe actie 

◻ Het voorstel/initiatief betreft een nieuwe actie na een proefproject/een voorbereidende actie 78  

◻ Het voorstel/initiatief betreft de verlenging van een bestaande actie 

◻Het voorstel/initiatief betreft een actie die wordt omgebogen naar een nieuwe actie 

1.4.Doelstelling(en)

1.4.1.De met het voorstel/initiatief beoogde strategische meerjarendoelstelling(en) van de Commissie 

1.4.2.Specifieke doelstelling(en) en bijbehorend nummer [ ] 

(a)het beheer van de buitengrenzen verbeteren;

(b)bijdragen tot het voorkomen en bestrijden van irreguliere migratie; en

(c)bijdragen aan een hoog niveau van veiligheid in de ruimte van vrijheid, veiligheid en recht van de Unie, met inbegrip van handhaving van de openbare orde en veiligheid en vrijwaring van de veiligheid op het grondgebied van de lidstaten.

1.4.3.Verwacht(e) resulta(a)t(en) en gevolg(en)

Vermeld de gevolgen die het voorstel/initiatief zou moeten hebben op de begunstigden/doelgroepen

1.4.4.Resultaat- en effectindicatoren 

Indicatoren aan de hand waarvan kan worden nagegaan in hoeverre het voorstel/initiatief is uitgevoerd.

1.5.Motivering van het voorstel/initiatief 

1.5.1.Behoefte(n) waarin op korte of lange termijn moet worden voorzien 

1.5.2.Toegevoegde waarde van de betrokkenheid van de Unie (deze kan het resultaat zijn van verschillende factoren, o.a. coördinatiewinst, rechtszekerheid, een grotere doeltreffendheid en complementariteit). Voor de toepassing van dit punt wordt onder "toegevoegde waarde van de betrokkenheid van de Unie" verstaan de waarde die een optreden van de Unie oplevert bovenop de waarde die zou zijn gecreëerd indien alleen de lidstaat een maatregel had getroffen.

1.5.3.Nuttige ervaring die bij soortgelijke activiteiten in het verleden is opgedaan

1.5.4.Verenigbaarheid en eventuele synergie met andere passende instrumenten

1.6.Duur en financiële gevolgen 

◻ Voorstel/initiatief met een beperkte geldigheidsduur

–◻    Voorstel/initiatief is van kracht vanaf [DD/MM]JJJJ tot en met [DD/MM]JJJJ

–◻    Financiële gevolgen vanaf JJJJ tot en met JJJJ

⌧ Voorstel/initiatief met een onbeperkte geldigheidsduur

–Ontwikkelingsperiode van 2019 tot en met 2023, gevolgd door een volledige uitvoering.

–Daarom hebben de gegevens over de financiële gevolgen betrekking op de periode van 2019 tot en met 2027.

1.7.Beheersvorm(en) 83  

⌧ Direct beheer door de Commissie

–X door haar diensten, waaronder het personeel in de delegaties van de Unie;

–◻    door de uitvoerende agentschappen

⌧ Gedeeld beheer met lidstaten

⌧ Indirect beheer door begrotingsuitvoeringstaken te delegeren aan:

–◻ derde landen of de door hen aangewezen organen;

–◻ internationale organisaties en hun agentschappen (geef aan welke);

–◻ de EIB en het Europees Investeringsfonds;

–⌧ de in de artikelen 208 en 209 van het Financieel Reglement bedoelde organen;

–◻ publiekrechtelijke organen;

–◻ privaatrechtelijke organen met een openbaredienstverleningstaak, voor zover zij voldoende financiële garanties bieden;

–◻ privaatrechtelijke organen van een lidstaat, waaraan de uitvoering van een publiek-privaat partnerschap is toevertrouwd en die voldoende financiële garanties bieden;

–◻ personen aan wie de uitvoering van specifieke maatregelen op het gebied van het GBVB in het kader van titel V van het VEU is toevertrouwd en die worden genoemd in de betrokken basishandeling.

–Verstrek, indien meer dan een beheersvorm is aangekruist, extra informatie onder "Opmerkingen".

Opmerkingen

(1) In dit instrument zijn geen bedragen opgenomen voor de operationele fase.

2.BEHEERSMAATREGELEN 

2.1.Monitoring- en rapportageregels 

Vermeld frequentie en voorwaarden.

2.2.Beheers- en controlesysteem 

2.2.1.Mogelijke risico's 

2.2.2.Informatie over het ingestelde systeem voor interne controle

2.2.3.Raming van de kosten en baten van de controles en beoordeling van het verwachte foutenrisico 

2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden 

Vermeld de bestaande en geplande preventie- en beschermingsmaatregelen.

3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF 

3.1.Rubriek(en) van het meerjarig financieel kader en betrokken begrotingsonderde(e)l(en) voor uitgaven 

·Bestaande begrotingsonderdelen

In volgorde van de rubrieken van het meerjarig financieel kader en de begrotingsonderdelen

3.2.Geraamde gevolgen voor de uitgaven 

[Dit deel moet worden ingevuld op de spreadsheet met administratieve begrotingsgegevens (tweede document in de bijlage bij dit financieel memorandum), te uploaden in DECIDE met het oog op overleg tussen de diensten.]

3.2.1.Samenvatting van de geraamde gevolgen voor de uitgaven 

miljoen EUR (tot op drie decimalen)

De uitgaven betreffen:

–de kosten voor het aanpassen van de nationale uniforme interface (NUI) die met financiële middelen uit hoofde van het EES-voorstel wordt ontwikkeld, voor het afstemmen van de systemen in de lidstaten op de veranderde centrale systemen, en voor het opleiden van de eindgebruikers.

–De begroting voor de Europese grens- en kustwacht (EGKW) omvat de uitgaven voor een team dat de door de MID (detector van meerdere identiteiten) aangemaakte links tussen de bestaande gegevens valideert (min of meer 14 miljoen registraties). Het aantal manueel te valideren links wordt geschat op ca. 550 000.
Vanwege de functioneel nauwe band en om de kosten voor het oprichten van een nieuw team te besparen, wordt dit specifieke team toegevoegd aan het EGKW-team dat is opgezet voor het ETIAS. Dit werk zal waarschijnlijk in 2023 worden uitgevoerd. De contractanten worden uiterlijk drie maanden vooraf aangeworven en hun contracten lopen uiterlijk twee maanden na het einde van de migratie af. Een ander deel van het vereiste personeelsbestand zal niet als contractant worden aangeworven, maar als consultant worden ingehuurd. Dit verklaart de kosten onder titel 3 voor 2023. Deze personen zouden een maand van tevoren worden ingehuurd. Nadere gegevens over het personeelsbestand worden later verstrekt.

–Titel 1 omvat dus de kosten van twintig interne personeelsleden en de begrotingsmiddelen om het leidinggevend en ondersteunend personeel te versterken.

–Titel 2 omvat de extra accommodatiekosten voor de tien extra personeelsleden van de contractant.

–Titel 3 omvat de vergoeding voor de tien extra personeelsleden van de contractant. Er zijn geen andere soorten kosten opgenomen.

De uitgaven van Europol omvatten de upgrade van de ICT-systemen van Europol die nodig is om het berichtenvolume te verwerken en de vereiste hogere prestatieniveaus (responstijd) te halen.

Titel 1: de personeelsuitgaven dekken de kosten die verband houden met de aanwerving van extra ICT-personeel om de informatiesystemen van Europol te versterken (zie hierboven). Nadere gegevens over de verdeling van de posten tussen tijdelijke en contractuele functionarissen en hun deskundigheid worden hieronder gegeven.

Titel 3 omvat de kosten voor de hardware en software die nodig zijn om de informatiesystemen van Europol te versterken. Momenteel worden de IT-systemen van Europol door een beperkte, afgebakende groep van Europol-gebruikers, verbindingsofficieren van Europol en onderzoekers in de lidstaten gebruikt voor analyse- en onderzoeksdoeleinden. Na de implementatie van Quest (de systeeminterface waarmee het ESP gegevens van Europol kan doorzoeken) op basisbeschermingsniveau (momenteel zijn de informatiesystemen van Europol geaccrediteerd tot de vertrouwelijkheidsniveaus "EU restricted" en "EU confidential") zal een veel bredere, speciaal daartoe gemachtigde rechtshandhavingsgemeenschap gebruik kunnen maken van de informatiesystemen van Europol. Bovenop deze uitbreidingen komt nog dat het ESP door het ETIAS zal worden gebruikt om de gegevens van Europol automatisch te doorzoeken in het kader van de behandeling van reisautorisaties. Hierdoor zal het aantal opdrachten voor het doorzoeken van Europol-gegevens toenemen van momenteel ongeveer 107 000 per maand tot meer dan 100 000 per dag, en zullen de informatiesystemen van Europol zeven dagen per week, 24 uur per dag beschikbaar moeten zijn en zeer snel moeten kunnen reageren om aan de vereisten van de ETIAS-verordening te voldoen. Het merendeel van de kosten wordt gemaakt in de periode voordat de interoperabiliteitscomponenten in gebruik worden genomen, maar er zijn ook doorlopende vastleggingen nodig om een grote en constante beschikbaarheid van de informatiesystemen van Europol te garanderen. Bovendien zijn bepaalde ontwikkelingswerkzaamheden nodig voor het implementeren van interoperabiliteitscomponenten door Europol als gebruiker.

Centraal gecoördineerde opleiding op EU-niveau zorgt voor meer coherentie in de opleidingscursussen op nationaal niveau en bijgevolg voor een correcte en succesvolle implementatie en benutting van de interoperabiliteitscomponenten. Cepol, het Agentschap van de Europese Unie voor opleiding op het gebied van rechtshandhaving, is goed geplaatst om centrale opleiding op EU-niveau te geven. Deze uitgaven hebben betrekking op de voorbereiding van de "opleidingen voor opleiders uit de lidstaten" op het gebied van het gebruik van de centrale systemen zodra deze zijn interoperabel zijn gemaakt. De kosten omvatten de kosten voor een beperkte personeelsuitbreiding die Cepol in staat moet stellen de cursussen te coördineren, beheren, organiseren en actualiseren, alsook de kosten voor het geven van een aantal opleidingssessies per jaar en voor het organiseren van de onlinecursus. Nadere bijzonderheden over deze kosten worden hieronder toegelicht. De opleidingen worden vooral gegeven in de periode onmiddellijk voorafgaand aan de ingebruikneming. Uit de ervaring met de bestaande opleiding inzake het Schengeninformatiesysteem blijkt dat opleiding ook na de ingebruikneming noodzakelijk blijft, aangezien de interoperabiliteitscomponenten worden onderhouden en er nieuwe opleiders komen.

Deze uitgaven dienen ter dekking van:

–de ontwikkeling en het onderhoud van de vier interoperabiliteitscomponenten (het Europees zoekportaal (ESP), de gezamenlijke dienst voor biometrische matching (gezamenlijke BMS), het gemeenschappelijke identiteitenregister (CIR) en de detector van meerdere identiteiten (MID)) die zijn opgenomen in het wetgevingsvoorstel, plus het centrale register voor rapportage en statistieken (CRRS). eu-LISA zal optreden als vertegenwoordiger van de projecteigenaar en zijn eigen personeel inzetten voor het opstellen van specificaties, het selecteren van contractanten, het aansturen van de werkzaamheden, het indienen van resultaten van een reeks tests en het aanvaarden van het geleverde werk.

–de kosten die gemoeid zijn met de migratie van de gegevens uit de bestaande systemen naar de nieuwe componenten. eu-LISA speelt echter geen rechtstreekse rol bij het opladen van de gegevens voor de MID (het valideren van de links) omdat dit een ingreep is ten aanzien van de inhoud van de gegevens zelf. Bij de migratie van biometrische gegevens uit bestaande systemen spelen alleen het format en de labeling van de gegevens een rol, en niet de inhoud ervan.

–de kosten voor het upgraden en beheren van ECRIS-TCN in hogebeschikbaarheidsmodus vanaf 2022. ECRIS-TCN is het centrale systeem met strafregistergegevens van onderdanen van derde landen. Volgens de planning moet het systeem uiterlijk in 2020 beschikbaar zijn – eveneens als hogebeschikbaarheidssysteem, aangezien de interoperabiliteitscomponenten er ook toegang toe moeten hebben. De operationele uitgaven omvatten de extra kosten voor het bereiken van die hoge beschikbaarheid. Qua kostenverloop zijn er forse ontwikkelingskosten in 2021, gevolgd door lopende kosten voor onderhoud en beheer. Deze kosten zijn niet opgenomen in het financieel memorandum van de herziening van de verordening tot oprichting van eu-LISA 88 , dat alleen de begrotingen van 2018 tot 2020 omvat en dus niet overlapt met dit begrotingsverzoek.

–Het uitgavenpatroon wordt bepaald door de opeenvolging van de onderdelen van het project. Omdat de verschillende componenten niet los staan van elkaar, loopt de ontwikkelingsfase over meerdere jaren, van 2019 tot 2023. Vanaf 2020 gaan de onderhouds- en beheerswerkzaamheden voor de eerste beschikbare componenten echter al van start. Dit verklaart waarom de uitgaven langzaam beginnen, stijgen en dan dalen naar een constante waarde.

–De uitgaven in het kader van titel 1 (personeelsuitgaven) volgen de opeenvolging van de projectonderdelen: voor de oplevering van het project is meer personeel nodig bij de contractant (voor zijn uitgaven: zie titel 3). Na de oplevering wordt een deel van het opleveringsteam ingezet voor evolutie en onderhoud. Tegelijkertijd stijgt het aantal personeelsleden voor het beheer van de pas opgeleverde systemen.

–De uitgaven in het kader van titel 2 (infrastructuur- en operationele uitgaven) dienen ter dekking van de extra kantoorruimte voor de teams van de contractant die tijdelijk worden ingezet voor ontwikkeling, onderhoud en beheer. Het verloop van de uitgaven in de tijd geeft dus ook de evolutie in de personeelsbezetting weer. De kosten voor het hosten van extra apparatuur zijn reeds opgenomen in de begroting van eu-LISA. Er zijn ook geen extra kosten voor het personeel van eu-LISA, aangezien deze zijn opgenomen in de standaard personeelskosten.

–De uitgaven in het kader van titel 3 (operationele uitgaven) omvatten de kosten van de contractant voor de ontwikkeling en het onderhoud van het systeem en de aankoop van specifieke hardware en software.    
De initiële kosten van de contractant houden verband met de studies voor het opstellen van de specificaties van de componenten en de ontwikkeling van, in eerste instantie, slechts één component (het CRRS). In de periode 2020-2022 nemen de kosten toe naarmate parallel meer componenten worden ontwikkeld. De kosten nemen na de piek niet af omdat de taken op het gebied van datamigratie bijzonder zwaar zijn bij dit project. De kosten van de contractant dalen naarmate de componenten worden opgeleverd en in gebruik genomen. Hiervoor is qua middelen een stabiel patroon vereist.    
Samen met de uitgaven in het kader van titel 3 nemen de uitgaven in 2020 sterk toe ten opzichte van het voorgaande jaar als gevolg van de initiële investeringen in hard- en software tijdens de ontwikkeling. De uitgaven in het kader van titel 3 (operationele uitgaven) stijgen in 2021 en 2022 fors omdat de investeringskosten voor hard- en software voor de operationele IT-omgevingen (productie en preproductie voor zowel de centrale eenheid als de centrale back-upeenheid) worden gemaakt in het jaar vóór de inbedrijfstelling, respectievelijk voor de interoperabiliteitscomponenten (het CIR en de MID) met hoge eisen op het gebied van hard- en software. Na de ingebruikneming komen de kosten voor hard- en software hoofdzakelijk neer op onderhoudskosten.

–Voor nadere gegevens: zie verder in de tekst.

miljoen EUR (tot op drie decimalen)

miljoen EUR (tot op drie decimalen)

3.2.2.Geraamde gevolgen voor de beleidskredieten 

3.2.2.1.Geraamde gevolgen voor de kredieten van het Europees Grens- en kustwachtagentschap

–◻    Voor het voorstel/initiatief zijn geen beleidskredieten nodig

–⌧    Voor het voorstel/initiatief zijn beleidskredieten nodig, zoals hieronder nader wordt beschreven:

Vastleggingskredieten, miljoen EUR (tot op drie decimalen)

Deze uitgaven dienen ter dekking van:

- de aanwerving van voldoende extra personeel (naar schatting een tiental deskundigen), naast het bestaande interne personeelsbestand (naar schatting een twintigtal personen), om in het Europees Grens- en kustwachtagentschap links te valideren. Vóór de geplande startdatum is er maar één maand de tijd om het ontbrekende personeel aan te werven.

- Voor het overige zijn er geen contractantkosten geraamd. De benodigde software valt onder de licentiekosten voor de gezamenlijke BMS. Op het gebied van hardware is er geen specifieke verwerkingscapaciteit. Het personeel van de contractant zou worden ondergebracht bij het Europees Grens- en kustwachtagentschap. Daarom zijn in de uitgaven in het kader van titel 2 de jaarlijkse kosten van gemiddeld 12 vierkante meter per persoon toegevoegd.

3.2.2.2.Geraamde gevolgen voor de kredieten van Europol

–◻    Voor het voorstel/initiatief zijn geen beleidskredieten nodig

–⌧    Voor het voorstel/initiatief zijn beleidskredieten nodig, zoals hieronder nader wordt beschreven:

Vastleggingskredieten, miljoen EUR (tot op drie decimalen)

Deze uitgaven dienen om de informatiesystemen en de infrastructuur van Europol te versterken, zodat de toename in het aantal zoekopdrachten kan worden opgevangen. Deze kosten omvatten:

–het upgraden van de beveiligings- en netwerkinfrastructuur, hardware (servers, opslag) en software (licenties). De upgrades moeten plaatsvinden voorafgaand aan de ingebruikneming van het Europees zoekportaal en het ETIAS in 2021. De kosten zijn gelijkelijk verdeeld over 2020 en 2021. Voor de periode vanaf 2022 zijn de onderhoudskosten berekend op basis van een jaarlijks onderhoudsniveau van 20 %. Voorts is uitgegaan van de standaardcyclus van vijf jaar voor het vervangen van verouderde hardware en infrastructuur.

–kosten van de contractant voor ontwikkelingswerkzaamheden met het oog op het implementeren van Quest op basisbeschermingsniveau.

3.2.2.3.Geraamde gevolgen voor de kredieten van Cepol

–◻    Voor het voorstel/initiatief zijn geen beleidskredieten nodig

–⌧    Voor het voorstel/initiatief zijn beleidskredieten nodig, zoals hieronder nader wordt beschreven:

Vastleggingskredieten, miljoen EUR (tot op drie decimalen)