ISSN 1977-0758

Publicatieblad

van de Europese Unie

L 135

European flag  

Uitgave in de Nederlandse taal

Wetgeving

62e jaargang
22 mei 2019


Inhoud

 

I   Wetgevingshandelingen

Bladzijde

 

 

VERORDENINGEN

 

*

Verordening (EU) 2019/816 van het Europees Parlement en de Raad van 17 april 2019 tot invoering van een gecentraliseerd systeem voor de vaststelling welke lidstaten over informatie beschikken inzake veroordelingen van onderdanen van derde landen en staatlozen (Ecris-TCN) ter aanvulling van het Europees Strafregisterinformatiesysteem en tot wijziging van Verordening (EU) 2018/1726

1

 

*

Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad

27

 

*

Verordening (EU) 2019/818 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van politiële en justitiële samenwerking, asiel en migratie en tot wijziging van Verordeningen (EU) 2018/1726, (EU) 2018/1862 en (EU) 2019/816

85

NL

Besluiten waarvan de titels mager zijn gedrukt, zijn besluiten van dagelijks beheer die in het kader van het landbouwbeleid zijn genomen en die in het algemeen een beperkte geldigheidsduur hebben.

Besluiten waarvan de titels vet zijn gedrukt en die worden voorafgegaan door een sterretje, zijn alle andere besluiten.


I Wetgevingshandelingen

VERORDENINGEN

22.5.2019   

NL

Publicatieblad van de Europese Unie

L 135/1


VERORDENING (EU) 2019/816 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 17 april 2019

tot invoering van een gecentraliseerd systeem voor de vaststelling welke lidstaten over informatie beschikken inzake veroordelingen van onderdanen van derde landen en staatlozen (Ecris-TCN) ter aanvulling van het Europees Strafregisterinformatiesysteem en tot wijziging van Verordening (EU) 2018/1726

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 82, lid 1, tweede alinea, onder d),

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Handelend volgens de gewone wetgevingsprocedure (1),

Overwegende hetgeen volgt:

(1)

De Unie heeft zich ten doel gesteld haar burgers een ruimte van vrijheid, veiligheid en recht zonder binnengrenzen te bieden waarin het vrije verkeer van personen is gewaarborgd. Deze doelstelling moet onder meer bereikt worden door passende maatregelen ter voorkoming en bestrijding van criminaliteit, waaronder georganiseerde misdaad en terrorisme.

(2)

Die doelstelling vereist dat gegevens betreffende de in de lidstaten uitgesproken veroordelingen buiten de lidstaat van veroordeling in aanmerking worden genomen in het kader van nieuwe strafrechtelijke procedures, zoals bepaald in Kaderbesluit 2008/675/JBZ van de Raad (2), alsook ter voorkoming van nieuwe strafbare feiten.

(3)

Die doelstelling vereist dat gegevens uit de strafregisters tussen de bevoegde autoriteiten van de lidstaten worden uitgewisseld. Die gegevensuitwisseling wordt georganiseerd en gefaciliteerd door de regels in Kaderbesluit 2009/315/JBZ van de Raad (3) en door het Europees Strafregisterinformatiesysteem (Ecris), opgericht bij Besluit 2009/316/JBZ van de Raad (4).

(4)

Het bestaande juridisch kader van Ecris houdt echter onvoldoende rekening met de specifieke kenmerken van verzoeken betreffende onderdanen van derde landen. Het is weliswaar al mogelijk om via Ecris gegevens uit te wisselen over onderdanen van derde landen, maar er is geen gemeenschappelijke EU-procedure of gemeenschappelijk EU-mechanisme waarmee dat efficiënt, snel en nauwkeurig kan worden gedaan.

(5)

Er wordt in de Unie geen informatie verzameld over onderdanen van derde landen zoals dat gebeurt voor onderdanen van lidstaten, in de lidstaten van nationaliteit; die informatie wordt uitsluitend opgeslagen in de lidstaten waar de veroordeling is uitgesproken. Een volledig overzicht van de strafrechtelijke geschiedenis van een onderdaan van een derde land kan daarom alleen worden gewaarborgd als die informatie uit alle lidstaten wordt opgevraagd.

(6)

Dergelijke niet-specifieke verzoeken leiden tot een onevenredige administratieve last voor alle lidstaten, inclusief de lidstaten die niet over informatie over de betrokken onderdaan van het specifieke derde land beschikken. Praktisch gevolg daarvan is dat de lidstaten ervan afzien om bij andere lidstaten informatie op te vragen over onderdanen van derde landen, hetgeen de uitwisseling van informatie tussen hen ernstig belemmert, waardoor ze hun toegang tot de strafregistergegevens beperken tot de gegevens in hun eigen nationale register. Hierdoor neemt het risico op inefficiënte en onvolledige gegevensuitwisseling tussen de lidstaten toe, hetgeen dan weer van invloed is op het niveau van veiligheid en bescherming dat wordt geboden aan de burgers en personen die in de Unie verblijven.

(7)

Om de situatie te verbeteren, dient er een systeem in het leven te worden geroepen dat de centrale autoriteit van een lidstaat in staat stelt onmiddellijk en efficiënt na te gaan welke andere lidstaten strafregistergegevens over een onderdaan van een derde land hebben ("Ecris-TCN"). Het bestaande Ecris-kader kan dan worden gebruikt om de strafregistergegevens overeenkomstig Kaderbesluit 2009/315/JBZ bij die lidstaten op te vragen.

(8)

Bij deze verordening moeten daarom regels voor de totstandbrenging op Unieniveau van een gecentraliseerd systeem dat persoonsgegevens bevat, worden vastgelegd en de regels voor de taakverdeling tussen de lidstaat en de organisatie die belast is met de ontwikkeling en het onderhoud van het gecentraliseerd systeem, alsook eventuele specifieke gegevensbeschermingsbepalingen die nodig zijn om de reeds bestaande gegevensbeschermingsregelingen aan te vullen en om een adequaat algeheel niveau van gegevensbescherming, gegevensbeveiliging en bescherming van de grondrechten van de betrokken personen te bieden.

(9)

De doelstelling om de burgers van de Unie een ruimte van vrijheid, veiligheid en recht zonder binnengrenzen te bieden waarin het vrije verkeer van personen is gewaarborgd, vereist ook dat de informatie over veroordelingen van burgers van de Unie die tevens de nationaliteit van een derde land hebben, volledig is. Aangezien het mogelijk is dat die personen één of meer nationaliteiten voorleggen, en dat verschillende veroordelingen worden opgeslagen in de lidstaat van veroordeling of in de lidstaat van nationaliteit, moeten burgers van de Unie die tevens de nationaliteit van een derde land hebben, onder deze verordening vallen. De uitsluiting van dergelijke personen zou leiden tot het opslaan van onvolledige informatie in Ecris-TCN. Dit zou de betrouwbaarheid van het systeem in gevaar brengen. Aangezien die personen echter het burgerschap van de Unie bezitten, dienen de voorwaarden waarop hun vingerafdrukgegevens in Ecris-TCN kunnen worden opgenomen, vergelijkbaar te zijn met de voorwaarden waaronder vingerafdrukgegevens van burgers van de Unie tussen lidstaten worden uitgewisseld in het kader van het bij Kaderbesluit 2009/315/JBZ en Besluit 2009/316/JBZ ingevoerde Ecris. Daarom mogen vingerafdrukgegevens van burgers van de Unie die ook de nationaliteit van een derde land hebben, alleen in Ecris-TCN worden opgenomen als zij overeenkomstig het nationale recht in het kader van strafrechtelijke procedures zijn verzameld, met dien verstande dat de lidstaten met het oog op die opneming vingerafdrukgegevens moeten kunnen gebruiken die zijn verzameld voor andere doeleinden dan een strafrechtelijke procedure, wanneer dat gebruik krachtens het nationale recht is toegestaan.

(10)

Met Ecris-TCN moeten vingerafdrukgegevens kunnen worden verwerkt teneinde na te gaan welke lidstaten beschikken over strafregistergegevens van een onderdaan van een derde land. Het moet ook de gezichtsopnamen kunnen verwerken om diens identiteit te bevestigen. Het is van essentieel belang dat de invoering en het gebruik van vingerafdrukgegevens en gezichtsopnamen beperkt blijven tot hetgeen strikt noodzakelijk is voor het beoogde doel, dat de grondrechten, waaronder het belang van het kind, worden geëerbiedigd en dat de toepasselijke voorschriften van de Unie inzake gegevensbescherming worden nageleefd.

(11)

Het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), dat is opgericht bij Verordening (EU) 2018/1726 van het Europees Parlement en de Raad (5) moet daarom, gezien zijn ervaring met het beheer van andere grootschalige systemen op het gebied van justitie en binnenlandse zaken, worden belast met de taak het Ecris-TCN te ontwikkelen en te gebruiken. Het mandaat van het agentschap moet worden afgestemd op deze nieuwe taken.

(12)

Eu-LISA moet de nodige financiële en personele middelen krijgen om zich de in deze verordening vermelde verantwoordelijkheden op zich te kunnen nemen.

(13)

Gezien de noodzaak nauwe technische koppelingen tot stand te brengen tussen Ecris-TCN en Ecris, moet eu-LISA ook worden belast met de taak de Ecris-referentie-implementatie verder te ontwikkelen en te onderhouden en het mandaat van eu-LISA moet dienovereenkomstig worden aangepast.

(14)

Vier lidstaten hebben hun eigen nationale Ecris-implementatiesoftware ontwikkeld in overeenstemming met Besluit 2009/316/JBZ van de Raad, en hebben deze in plaats van de Ecris-referentie-implementatie gebruikt voor de uitwisseling van strafregistergegevens. Gezien de bijzondere kenmerken die deze lidstaten in hun systemen hebben ingevoerd voor nationaal gebruik en de investeringen die zij hebben gedaan, moeten zij hun nationale Ecris-implementatiesoftware kunnen gebruiken, ook voor de toepassing van Ecris-TCN, mits aan de voorwaarden van deze verordening wordt voldaan.

(15)

Ecris-TCN dient alleen de identiteitsgegevens te bevatten van onderdanen van derde landen die binnen de Unie door een strafrechter zijn veroordeeld. Dergelijke identiteitsgegevens dienen alfanumerieke gegevens en vingerafdrukgegevens te bevatten. Gezichtsopnamen moeten ook kunnen worden toegevoegd, mits het recht van de lidstaat waar een veroordeling is uitgesproken, het verzamelen en opslaan van gezichtsopnamen van een veroordeelde toelaat.

(16)

De alfanumerieke gegevens die door de lidstaten in het centrale systeem worden ingevoerd, moeten de achternaam (familienaam) en de voornaam (voornamen) van de veroordeelde bevatten, alsmede diens pseudoniemen of aliassen voor zover deze gegevens voor de centrale autoriteit beschikbaar zijn. Indien andere afwijkende persoonsgegevens, zoals een andere spelling van een naam in een ander alfabet, bij de betrokken lidstaat bekend zijn, moet het mogelijk zijn deze gegevens als aanvullende gegevens in te voeren in het centrale systeem.

(17)

De alfanumerieke gegevens moeten tevens, als aanvullende gegevens, het identiteitsnummer, of het soort en nummer van het (de) identificatiedocument(en) van de betrokkene bevatten, alsmede de naam van de autoriteit die deze documenten heeft afgegeven, wanneer deze informatie voor de centrale autoriteit beschikbaar is. De lidstaat moet de authenticiteit van identificatiedocumenten proberen te verifiëren voordat hij de betrokken informatie in het centrale systeem invoert. Die informatie moet echter in alle gevallen met de nodige omzichtigheid worden gebruikt aangezien zij onbetrouwbaar kan zijn.

(18)

De centrale autoriteiten moeten gebruikmaken van Ecris-TCN om vast te stellen welke lidstaten beschikken over strafregistergegevens over een onderdaan van een derde land wanneer om strafregistergegevens over die persoon in de betrokken lidstaat wordt verzocht ten behoeve van een strafrechtelijke procedure tegen die persoon, ten behoeve van de in deze verordening genoemde doelstellingen. Hoewel Ecris-TCN in principe in al dergelijke gevallen moet worden gebruikt, moet de autoriteit die verantwoordelijk is voor het voeren van de strafrechtelijke procedure, kunnen besluiten dat Ecris-TCN niet mag worden gebruikt wanneer dit in de gegeven omstandigheden niet passend zou zijn, bijvoorbeeld in bepaalde typen urgente strafprocedures, in geval van transit, wanneer strafregistergegevens recentelijk via Ecris zijn verkregen, of met betrekking tot lichte strafbare feiten, met name lichte verkeersovertredingen, lichte overtredingen van algemene gemeentelijke verordeningen en lichte schendingen van de openbare orde.

(19)

De lidstaten moeten Ecris-TCN ook voor de in deze verordening vermelde doeleinden kunnen gebruiken, in overeenstemming is met het nationale recht indien het daarin voorziet. Om het gebruik van Ecris-TCN nog transparanter te maken, dienen lidstaten evenwel die andere doeleinden te melden aan de Commissie, die alle kennisgevingen in het Publicatieblad van de Europese Unie publiceert.

(20)

Het moet voor andere autoriteiten die om strafregistergegevens verzoeken ook mogelijk zijn om te beslissen dat Ecris-TCN niet mag worden gebruikt indien dit in de omstandigheden van het geval niet passend zou zijn, bijvoorbeeld wanneer bepaalde vaste administratieve controles moeten worden verricht met betrekking tot de beroepskwalificaties van een persoon, vooral indien bekend is dat strafregistergegevens niet zullen worden gevraagd van andere lidstaten, ongeacht het resultaat van de zoekopdracht in Ecris-TCN. Ecris-TCN moet evenwel altijd worden gebruikt wanneer het verzoek om strafregistergegevens gedaan wordt door een persoon die verzoekt om gegevens over zichzelf in het strafregister overeenkomstig Kaderbesluit 2009/315/JBZ, of indien het is gedaan om strafregistergegevens te verkrijgen overeenkomstig Richtlijn 2011/93/EU van het Europees Parlement en de Raad (6)

(21)

Onderdanen van derde landen dienen recht te hebben op schriftelijke informatie over zichzelf in het strafregister, in overeenstemming met de wetten van de lidstaat waar ze om dergelijke informatie verzoeken en overeenkomstig Kaderbesluit 2009/315/JBZ. Alvorens dergelijke informatie te verstrekken aan een onderdaan van een derde land, dient de lidstaat Ecris-TCN te bevragen.

(22)

Burgers van de Unie die ook de nationaliteit van een derde land hebben, zullen alleen worden opgenomen in Ecris-TCN als de bevoegde autoriteiten weten dat die personen de nationaliteit van een derde land hebben. Ook als de bevoegde autoriteiten niet weten dat burgers van de Unie ook de nationaliteit van een derde land hebben, kan het toch mogelijk zijn dat die personen eerdere veroordelingen op hun naam hebben staan als burgers van een derde land. Om ervoor te zorgen dat de bevoegde autoriteiten een volledig overzicht van de strafregisters hebben, moet Ecris-TCN ook bevraagd kunnen worden om met betrekking tot een burger van de Unie na te gaan of een lidstaat over strafregistergegevens over deze persoon als onderdaan van een derde land beschikt.

(23)

Wanneer er sprake is van een match tussen de in het centrale systeem opgeslagen gegevens en die welke door een lidstaat voor een zoekopdracht zijn gebruikt ("treffer"), worden de identiteitsgegevens aan de hand waarvan een treffer werd vastgesteld, samen met de treffer verstrekt. Het resultaat van een zoekopdracht mag uitsluitend worden gebruikt door de centrale autoriteiten, met het oog op het opstellen van een verzoek via Ecris of, met betrekking tot het EU-Agentschap voor justitiële samenwerking in strafzaken (Eurojust), opgericht bij Verordening (EU) 2018/1727 van het Europees Parlement en de Raad (7), het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol), opgericht bij Verordening (EU) 2016/794 van het Europees Parlement en de Raad (8), en het Europees Openbaar Ministerie (het EOM), opgericht bij Verordening (EU) 2017/1939 van de Raad (9), uitsluitend met het oog op het opstellen van een verzoek om gegevens over veroordelingen als bedoeld in deze verordening.

(24)

In eerste instantie mogen de in Ecris-TCN opgenomen gezichtsopnamen alleen worden gebruikt met het oog op de verificatie van de identiteit van een onderdaan van een derde land, om vast te stellen welke lidstaten over gegevens over eerdere veroordelingen van die onderdaan van een derde land beschikken. Het is mogelijk dat gezichtsopnamen in de toekomst gebruikt worden voor automatische biometrische matching, mits aan de technische en beleidsvereisten is voldaan. De Commissie dient, rekening houdend met de vraag of dit noodzakelijk en proportioneel is, alsmede met de technische ontwikkelingen op het gebied van gezichtsopnamen, de beschikbaarheid en geschiktheid van de vereiste technologie te evalueren vóór de vaststelling van de gedelegeerde handeling betreffende het gebruik van gezichtsopnamen om onderdanen van derde landen te identificeren met de bedoeling vast te stellen welke lidstaten over gegevens over eerdere veroordelingen van die onderdanen beschikken.

(25)

Het gebruik van biometrische gegevens is noodzakelijk omdat het de meest betrouwbare methode voor de identificatie van onderdanen van derde landen op het grondgebied van de lidstaten is, aangezien deze vaak niet over documenten of andere identificatiemiddelen beschikken, en omdat het een betrouwbaardere matching van de gegevens van onderdanen van derde landen mogelijk maakt

(26)

De lidstaten moeten in het centrale systeem vingerafdrukgegevens van veroordeelde onderdanen van derde landen opnemen die overeenkomstig het nationale recht tijdens een strafrechtelijke procedure zijn verzameld. Om zo volledig mogelijke identiteitsgegevens beschikbaar te hebben in het centrale systeem, moeten de lidstaten in het centrale systeem ook de vingerafdrukgegevens kunnen opnemen die zijn verzameld voor andere doeleinden dan een strafrechtelijke procedure, wanneer die vingerafdrukgegevens volgens het nationale recht beschikbaar zijn voor gebruik in strafrechtelijke procedures.

(27)

Deze verordening moet minimumcriteria bepalen met betrekking tot de vingerafdrukgegevens die de lidstaten in het centrale systeem moeten opnemen. De lidstaten dienen de keuze te hebben: zij kunnen ofwel vingerafdrukgegevens opnemen van onderdanen van derde landen die een vrijheidsstraf van ten minste zes maanden hebben gekregen, ofwel vingerafdrukgegevens van onderdanen van derde landen die zijn veroordeeld voor een strafbaar feit waarop volgens het recht van de betrokken lidstaat een maximale vrijheidsstraf staat van ten minste twaalf maanden.

(28)

De lidstaten dienen in Ecris-TCN gegevensbestanden over veroordeelde onderdanen van derde landen te creëren. Dit moet, waar mogelijk, automatisch en onverwijld gebeuren nadat hun veroordeling in het nationale strafregister geregistreerd werd. In overeenstemming met deze verordening moeten de lidstaten alfanumerieke gegevens en vingerafdrukgegevens opnemen in het centrale systeem met betrekking tot veroordelingen die na de datum van aanvang van de invoering van gegevens in Ecris-TCN hebben plaatsgevonden. Met ingang van dezelfde datum, en op elk tijdstip daarna, kunnen de lidstaten gezichtsopnamen in het centrale systeem invoeren.

(29)

De lidstaten moeten ook, overeenkomstig deze verordening, gegevensbestanden in Ecris-TCN creëren over onderdanen van derde landen die vóór de datum van aanvang van de invoering van gegevens zijn veroordeeld teneinde ervoor te zorgen dat het systeem zo doeltreffend mogelijk is. De lidstaten mogen daartoe echter niet verplicht worden om informatie te verzamelen die niet reeds vóór de datum van aanvang van de invoering van gegevens in hun strafregisters was ingevoerd. De vingerafdrukgegevens van onderdanen van derde landen in verband met dergelijke eerdere veroordelingen dienen uitsluitend te worden opgenomen indien zij tijdens strafrechtelijke procedures zijn verzameld en indien de betrokken lidstaat van oordeel is dat zij duidelijk kunnen worden gematcht met andere identiteitsgegevens in het strafregister.

(30)

Een betere uitwisseling van gegevens over veroordelingen moet de lidstaten helpen bij hun uitvoering van Kaderbesluit 2008/675/JBZ, dat de lidstaten verplicht om bij nieuwe strafrechtelijke procedures rekening te houden met eerdere veroordelingen in andere lidstaten, voor zover volgens het nationale recht met eerdere nationale veroordelingen rekening wordt gehouden.

(31)

Een door Ecris-TCN gesignaleerde treffer mag op zichzelf genomen niet betekenen dat de betrokken onderdaan van een derde land in de genoemde lidstaten is veroordeeld. Het bestaan van eerdere veroordelingen dient alleen te worden bevestigd op grond van informatie die afkomstig is uit de strafregisters van de betrokken lidstaten.

(32)

Niettegenstaande de mogelijkheid een beroep te doen op de financiële programma's van de Unie overeenkomstig de toepasselijke regels, moet elke lidstaat zelf de kosten dragen voor de uitvoering, het beheer, het gebruik en het onderhoud van zijn nationale strafregisterdatabank en vingerafdrukdatabanken en voor de uitvoering, het beheer, het gebruik en het onderhoud van de technische aanpassingen die nodig zijn om Ecris-TCN te kunnen gebruiken, met inbegrip van hun verbindingen met het nationale centrale toegangspunt.

(33)

Eurojust, Europol en het EOM dienen ter ondersteuning van hun wettelijke taken toegang te hebben tot Ecris-TCN met het oog op het vaststellen van welke lidstaten over strafregistergegevens over een onderdaan van een derde land beschikken. Ook moet Eurojust directe toegang tot Ecris-TCN hebben om de bij deze verordening toegewezen taak van contactpunt voor derde landen en internationale organisaties te vervullen, onverminderd de toepassing van beginselen van justitiële samenwerking in strafzaken, met inbegrip van voorschriften inzake wederzijdse rechtshulp. Hoewel er rekening dient te worden gehouden met de positie van de lidstaten die geen deel uitmaken van de nauwere samenwerkingsprocedure tot instelling van het EOM, mag het EOM de toegang tot gegevens over veroordelingen niet worden geweigerd om de enkele reden dat de betrokken lidstaat niet aan die nauwere samenwerking deelneemt.

(34)

Deze verordening voorziet in strenge regels voor de toegang tot Ecris-TCN en in de noodzakelijke waarborgen, waaronder de verantwoordelijkheid van de lidstaten voor het verzamelen en gebruiken van de gegevens. Zij stelt ook vast op welke wijze de betrokken personen hun recht kunnen uitoefenen op compensatie, toegang, rectificatie, wissing en verhaal, in het bijzonder het recht op een effectief rechtsmiddel, en het toezicht op de verwerkingsactiviteiten door onafhankelijke openbare autoriteiten. In deze verordening worden derhalve de grondrechten en vrijheden geëerbiedigd die zijn erkend in met name het Handvest van de grondrechten van de Europese Unie, met inbegrip van het recht op bescherming van persoonsgegevens, het beginsel van gelijkheid voor de wet en het algehele discriminatieverbod. In dit verband wordt in de verordening ook rekening gehouden met het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, het Internationaal Verdrag inzake burgerrechten en politieke rechten en andere mensenrechtenverplichtingen op grond van het internationale recht.

(35)

Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (10) moet van toepassing zijn op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van bedreigingen voor de openbare veiligheid. Verordening (EU) 2016/679 van het Europees Parlement en de Raad (11) moet van toepassing zijn op de verwerking van persoonsgegevens door nationale autoriteiten wanneer die verwerking niet onder Richtlijn (EU) 2016/680 valt. Er moet gezorgd worden voor gecoördineerd toezicht overeenkomstig Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (12), die ook van toepassing moet zijn op de verwerking van persoonsgegevens door eu-LISA.

(36)

Met betrekking tot eerdere veroordelingen moeten de centrale autoriteiten alfanumerieke gegevens aan het eind van de periode voor het invoeren van gegevens krachtens deze verordening opnemen, en vingerafdrukgegevens binnen twee jaar na de datum van ingebruikneming van Ecris-TCN. De lidstaten moeten alle gegevens op hetzelfde tijdstip kunnen opnemen, op voorwaarde dat deze termijnen worden gerespecteerd.

(37)

Er dienen regels te worden vastgesteld betreffende de aansprakelijkheid van de lidstaten en van Eurojust, Europol, het EOM en eu-LISA wat betreft schade die het gevolg is van een schending van de bepalingen van deze verordening.

(38)

Teneinde beter te kunnen nagaan welke lidstaten over gegevens over eerdere veroordelingen van onderdanen van derde landen beschikken, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie (VWEU) handelingen vast te stellen met betrekking tot het aanvullen van deze verordening door te voorzien in het gebruik van gezichtsopnamen voor de identificatie van onderdanen van derde landen ter vaststelling van de lidstaten die over gegevens over eerdere veroordelingen beschikken. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden de nodige raadplegingen doet, onder meer op deskundigenniveau, en wel overeenkomstig de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven (13). Met name om te kunnen zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die de gedelegeerde handelingen voorbereiden.

(39)

Om eenvormige voorwaarden voor de invoering en het operationeel beheer van Ecris-TCN te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (14).

(40)

De lidstaten nemen de nodige maatregelen om zo spoedig mogelijk aan deze verordening te voldoen teneinde de goede werking van Ecris-TCN te garanderen, rekening houdend met de tijd die eu-LISA nodig heeft voor het ontwikkelen en implementeren van Ecris-TCN. De lidstaten moeten evenwel ten minste 36 maanden na de inwerkingtreding van deze verordening de tijd krijgen om de maatregelen te nemen die nodig zijn om aan deze verordening te voldoen.

(41)

Daar de doelstelling van deze verordening, namelijk het mogelijk maken van de snelle en efficiënte uitwisseling van nauwkeurige strafregistergegevens over onderdanen van derde landen, niet voldoende door de lidstaten kan worden verwezenlijkt, maar beter door de Unie kan worden verwezenlijkt door gemeenschappelijke regels in te voeren, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om deze doelstelling te verwezenlijken.

(42)

Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 betreffende de positie van Denemarken, gehecht aan het VEU en het VWEU, neemt Denemarken niet deel aan de vaststelling van deze verordening; deze is derhalve niet bindend voor, noch van toepassing op deze lidstaat.

(43)

Overeenkomstig de artikelen 1 en 2 en artikel 4 bis, lid 1, van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, gehecht aan het VEU en het VWEU, en onverminderd artikel 4 van dat protocol, neemt Ierland niet deel aan de vaststelling van deze verordening; deze is derhalve niet bindend voor, noch van toepassing op deze lidstaat.

(44)

Overeenkomstig artikel 3 en artikel 4 bis, lid 1, van Protocol nr. 21, heeft het Verenigd Koninkrijk te kennen gegeven dat het aan de vaststelling en toepassing van deze verordening wenst deel te nemen.

(45)

De Europese toezichthouder voor gegevensbescherming is geraadpleegd in overeenstemming met artikel 28, lid 2, van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (15) en heeft op 12 december 2017 een advies uitgebracht (16),

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I

Algemene bepalingen

Artikel 1

Onderwerp

Bij deze verordening worden vastgesteld:

a)

een systeem om vast te stellen welke lidstaten over informatie over eerdere veroordelingen van onderdanen van derde landen beschikken (Ecris-TCN);

b)

de voorwaarden waaronder Ecris-TCN wordt gebruikt door de centrale autoriteiten om informatie over die eerdere veroordelingen te verkrijgen via het Europees Strafregisterinformatiesysteem (Ecris), ingesteld bij Besluit 2009/316/JBZ, alsmede de voorwaarden waaronder Eurojust, Europol en het EOM Ecris-TCN gebruiken.

Artikel 2

Toepassingsgebied

Deze verordening is van toepassing op de verwerking van identiteitsgegevens van onderdanen van derde landen die in de lidstaten veroordeeld zijn, teneinde te kunnen bepalen in welke lidstaten die veroordelingen zijn uitgesproken. Met uitzondering van artikel 5, lid 1, onder b), punt ii), zijn de bepalingen van deze verordening die gelden voor onderdanen van derde landen ook van toepassing op burgers van de Unie die tevens de nationaliteit van een derde land bezitten en die in de lidstaten veroordeeld zijn.

Artikel 3

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1.   "veroordeling": iedere definitieve beslissing die door een strafgerecht jegens een natuurlijk persoon met betrekking tot een strafbaar feit wordt uitgesproken en die in de lidstaat van veroordeling in het strafregister wordt vermeld;

2.   "strafrechtelijke procedure": de fase die aan het strafproces voorafgaat, het strafproces zelf en de tenuitvoerlegging van de veroordeling;

3.   "strafregister": het nationale register of de nationale registers waarin de veroordelingen overeenkomstig het nationale recht worden opgetekend;

4.   "lidstaat van veroordeling": de lidstaat waar een veroordeling is uitgesproken;

5.   "centrale autoriteit": autoriteit die is aangewezen overeenkomstig artikel 3, lid 1, van Kaderbesluit 2009/315/JBZ;

6.   "bevoegde autoriteiten": de centrale autoriteiten en Eurojust, Europol en het EOM, die bevoegd zijn Ecris-TCN te raadplegen of te bevragen overeenkomstig deze verordening;

7.   "onderdaan van een derde land": persoon die geen burger van de Unie is in de zin van artikel 20, lid 1, VWEU, of een staatloze, of een persoon wiens nationaliteit niet bekend is;

8.   "centraal systeem": de door eu-LISA ontwikkelde en onderhouden databank(en) die de identiteitsgegevens van onderdanen van derde landen die in de lidstaten zijn veroordeeld, bevat(ten);

9.   "interfacesoftware": de door de bevoegde autoriteiten gehoste software waarmee zij toegang hebben tot het centrale systeem via de in artikel 4, lid 1, onder d), bedoelde communicatie-infrastructuur;

10.   "identiteitsgegevens": de alfanumerieke gegevens, vingerafdrukgegevens en gezichtsopnamen die worden gebruikt om een verband te leggen tussen deze gegevens en een natuurlijke persoon;

11.   "alfanumerieke gegevens": gegevens die worden weergegeven door letters, cijfers, speciale tekens, spaties en leestekens;

12.   "vingerafdrukgegevens": gegevens betreffende vlakke en gerolde vingerafdrukken van alle vingers van een persoon;

13.   "gezichtsopname": een digitale afbeelding van het gezicht van een persoon;

14.   "treffer": de overeenstemming of overeenstemmingen die worden vastgesteld door in het centrale systeem opgeslagen identiteitsgegevens te vergelijken met de identiteitsgegevens die voor een opzoeking worden gebruikt;

15.   "nationaal centraal toegangspunt": het nationale verbindingspunt met de in artikel 4, lid 1, onder d), bedoelde communicatie-infrastructuur;

16.   "Ecris-referentie-implementatie": de door de Commissie ontwikkelde en aan de lidstaten ter beschikking gestelde software voor de uitwisseling van strafregistergegevens via Ecris;

17.   "nationale toezichthoudende instantie": een onafhankelijke openbare instantie die krachtens toepasselijke gegevensbeschermingsregels van de Unie is opgericht door een lidstaat;

18.   "toezichthoudende instanties": de Europese toezichthouder voor gegevensbescherming en de nationale toezichthoudende instantie.

Artikel 4

Technische architectuur van Ecris-TCN

1.   Ecris-TCN bestaat uit:

a)

een centraal systeem waarin identiteitsgegevens van veroordeelde onderdanen van derde landen worden opgeslagen;

b)

een nationaal centraal toegangspunt in elke lidstaat;

c)

interfacesoftware waarmee de bevoegde autoriteiten verbinding kunnen maken met het centrale systeem via het nationale centrale toegangspunt en de communicatie-infrastructuur zoals bedoeld onder d);

d)

een communicatie-infrastructuur tussen het centrale systeem en de nationale centrale toegangspunten.

2.   Het centrale systeem wordt door eu-LISA gehost op zijn technische locaties.

3.   De interfacesoftware wordt geïntegreerd in de Ecris-referentie-implementatie. De lidstaten gebruiken de Ecris-referentie-implementatie of, in de situatie en de omstandigheden bedoeld in de leden 4 tot en met 8, de nationale Ecris-implementatiesoftware, om Ecris-TCN te bevragen, alsmede om daaropvolgende verzoeken om gegevens uit strafregisters te verzenden.

4.   De lidstaten die hun nationale Ecris-implementatiesoftware gebruiken, zien erop toe dat hun nationale Ecris-implementatiesoftware hun met het nationale strafregister belaste autoriteiten in staat stelt Ecris-TCN, met uitzondering van de interfacesoftware, overeenkomstig deze verordening te gebruiken. Daartoe zorgen zij er, vóór de datum van ingebruikneming van Ecris-TCN krachtens artikel 35, lid 4, voor dat hun nationale Ecris-implementatiesoftware functioneert conform de protocollen en technische specificaties die bij de in artikel 10 bedoelde uitvoeringshandelingen zijn vastgesteld, en conform eventuele nadere technische voorschriften die door eu-LISA uit hoofde van deze verordening zijn vastgesteld op basis van die uitvoeringshandelingen.

5.   Zolang zij geen gebruikmaken van de Ecris-referentie-implementatie, zorgen de lidstaten die hun nationale Ecris-implementatiesoftware gebruiken tevens zonder onnodige vertraging voor de implementatie van eventuele latere technische aanpassingen van hun nationale Ecris-implementatiesoftware die noodzakelijk zijn vanwege wijzigingen van de technische specificaties die bij de in artikel 10 bedoelde uitvoeringshandelingen zijn vastgesteld, of wijzigingen van eventuele nadere technische voorschriften die door eu-LISA uit hoofde van deze verordening zijn vastgesteld op basis van die uitvoeringshandelingen.

6.   De lidstaten die hun nationale Ecris-implementatiesoftware gebruiken, dragen alle kosten die verbonden zijn aan de implementatie, het onderhoud en de verdere ontwikkeling van hun nationale Ecris-implementatiesoftware en de onderlinge koppeling ervan met Ecris-TCN, met uitzondering van de interfacesoftware.

7.   Indien een lidstaat die zijn nationale Ecris-implementatiesoftware gebruikt niet in staat is zijn verplichtingen uit hoofde van dit artikel na te komen, wordt hij verplicht gebruik te maken van de Ecris-referentie-implementatie, met inbegrip van de geïntegreerde interfacesoftware, om Ecris-TCN te gebruiken.

8.   De betrokken lidstaten verschaffen de Commissie alle noodzakelijke informatie met het oog op de door de Commissie uit te voeren beoordeling uit hoofde van artikel 36, lid 10, onder b).

HOOFDSTUK II

Invoer en gebruik van gegevens door centrale autoriteiten

Artikel 5

Invoer van gegevens in Ecris-TCN

1.   Voor elke veroordeelde onderdaan van een derde land creëert de centrale autoriteit van de lidstaat van veroordeling een gegevensbestand in het centrale systeem. Het gegevensbestand bevat:

a)

wat betreft alfanumerieke gegevens:

i)

informatie die moet worden opgenomen tenzij die informatie in individuele gevallen niet bekend is bij de centrale autoriteit (verplichte informatie):

achternaam (familienaam);

voornaam/-namen;

geboortedatum;

geboorteplaats (gemeente en land);

nationaliteit(en);

geslacht;

vroegere naam (namen), indien van toepassing;

de code van de lidstaat van veroordeling,

ii)

informatie die moet worden opgenomen indien opgenomen in het strafregister (facultatieve gegevens):

namen van de ouders,

iii)

informatie die moet worden opgenomen indien beschikbaar voor de centrale overheid (aanvullende gegevens):

identiteitsnummer, of soort en nummer van het identiteitsdocument (de identiteitsdocumenten), alsmede de naam van de autoriteit van afgifte;

pseudoniemen of aliassen.

b)

wat betreft vingerafdrukgegevens:

i)

vingerafdrukgegevens die overeenkomstig het nationale recht tijdens strafrechtelijke procedures zijn verzameld;

ii)

ten minste vingerafdrukgegevens verzameld op basis van een van de volgende criteria:

de onderdaan van een derde land is veroordeeld tot een gevangenisstraf van ten minste zes maanden;

de onderdaan van een derde land is veroordeeld voor een strafbaar feit waarop volgens het recht van de lidstaat een maximale gevangenisstraf staat van ten minste twaalf maanden.

2.   De in lid 1, onder b), van dit artikel bedoelde vingerafdrukgegevens voldoen aan de technische specificaties voor de kwaliteit, resolutie en het verwerken van vingerafdrukgegevens, die zijn voorzien in de in artikel 10, lid 1, onder b), bedoelde uitvoeringshandeling. De code van de lidstaat van veroordeling maakt deel uit van het referentienummer van de vingerafdrukgegevens van de veroordeelde.

3.   Indien het krachtens het nationale recht van de veroordelende lidstaat is toegestaan gezichtsopnamen van veroordeelden te verzamelen en op te slaan, kan het gegevensbestand ook gezichtsopnamen van veroordeelde onderdanen van een derde land bevatten.

4.   De veroordelende lidstaat creëert het gegevensbestand automatisch waar mogelijk en zo spoedig mogelijk nadat de veroordeling in het strafregister is opgenomen.

5.   De veroordelende lidstaten creëren tevens gegevensbestanden voor veroordelingen die vóór de datum van invoering van gegevens overeenkomstig artikel 35, lid 1 zijn uitgesproken, voor zover er in hun nationale databanken gegevens in verband met veroordeelden zijn opgeslagen. In dergelijke gevallen worden vingerafdrukgegevens uitsluitend opgenomen indien zij overeenkomstig het nationale recht tijdens strafrechtelijke procedures waren verzameld, en indien zij duidelijk kunnen worden gematcht met andere identiteitsgegevens in het strafregister.

6.   Om te voldoen aan de verplichtingen van lid 1, onder b), punten i) en ii), en lid 5, kunnen de lidstaten vingerafdrukgegevens gebruiken die zijn verzameld voor andere doeleinden dan een strafrechtelijke procedure, wanneer dat gebruik is toegestaan krachtens het nationale recht.

Artikel 6

Gezichtsopnamen

1.   Tot de inwerkingtreding van de in lid 2 bedoelde gedelegeerde handeling, worden gezichtsopnamen uitsluitend gebruikt ter bevestiging van de identiteit van een onderdaan van een derde land die werd geïdentificeerd als gevolg van een alfanumerieke zoekopdracht of een zoekopdracht op vingerafdrukgegevens.

2.   De Commissie is bevoegd overeenkomstig artikel 37 gedelegeerde handelingen vast te stellen om deze verordening betreffende het gebruik van gezichtsopnamen voor de vaststelling van de identiteit van onderdanen van derde landen aan te vullen teneinde vast te stellen welke lidstaten informatie hebben over eerdere veroordelingen met betrekking tot die personen, zodra dit technisch mogelijk is. Voordat de Commissie deze bevoegdheid uitoefent, beoordeelt zij, rekening houdend met noodzakelijkheid en evenredigheid, alsmede met de technische ontwikkelingen op het gebied van gezichtsherkenningssoftware, de beschikbaarheid en gereedheid van de vereiste technologie.

Artikel 7

Gebruik van Ecris-TCN om vast te stellen welke lidstaten over strafregistergegevens beschikken

1.   De centrale autoriteiten maken gebruik van Ecris-TCN om vast te stellen welke lidstaten beschikken over strafregistergegevens over een onderdaan van een derde land met als doel via Ecris informatie te verkrijgen over eerdere veroordelingen wanneer in de betrokken lidstaat wordt verzocht om strafregistergegevens over die persoon ten behoeve van een strafrechtelijke procedure tegen die persoon of voor een van de volgende doelen, overeenkomstig het nationaal recht indien het hierin voorziet:

het controleren van gegevens over zichzelf in het strafregister op verzoek;

veiligheidsmachtigingen;

het verkrijgen van een vergunning of machtiging;

veiligheidsonderzoek in verband met werving;

veiligheidsonderzoek in verband met vrijwillige activiteiten waarbij er sprake is van rechtstreeks en geregeld contact met kinderen of kwetsbare personen;

visa, verwerving van staatsburgerschap en migratieprocedures, inclusief asielprocedures; en

controles in verband met overheidsopdrachten en openbare onderzoeken.

In andere specifieke gevallen dan die waarin een onderdaan van een derde land de centrale autoriteit verzoekt om gegevens over zichzelf uit het strafregister, of waarin het verzoek wordt gedaan om strafregistergegevens te verkrijgen krachtens artikel 10, lid 2, van Richtlijn 2011/93/EU, kan de om strafregistergegevens verzoekende autoriteit besluiten dat het gebruik van Ecris-TCN niet gepast is.

2.   Iedere lidstaat die beslist om, overeenkomstig het nationaal recht indien het hierin voorziet, Ecris-TCN te gebruiken voor andere doeleinden dan bepaald in lid 1, om via Ecris informatie te verkrijgen betreffende eerdere veroordelingen, stelt uiterlijk op de datum van ingebruikneming overeenkomstig artikel 35, lid 4, of een latere datum, de Commissie in kennis van die andere doeleinden en van alle wijzigingen daartoe. Die kennisgevingen worden binnen dertig dagen na ontvangst van de kennisgevingen door de Commissie gepubliceerd in het Publicatieblad van de Europese Unie.

3.   Eurojust, Europol en het EOM hebben het recht om mogen Ecris-TCN te bevragen om overeenkomstig de artikelen 14 tot en met 18 vast te stellen welke lidstaten over strafregistergegevens van een onderdaan van een derde land beschikken. Zij mogen evenwel geen gegevens in Ecris-TCN invoeren, rectificeren of wissen.

4.   Voor de in de leden 1, 2 en 3 bedoelde doelen kunnen de bevoegde autoriteiten kunnen Ecris-TCN ook bevragen om, wanneer het om een burger van de Unie gaat, na te gaan welke lidstaten over strafregistergegevens van deze persoon als onderdaan van een derde land beschikken.

5.   Bij bevragingen van Ecris-TCN kunnen de bevoegde autoriteiten gebruikmaken van alle of van een deel van de in artikel 5, lid 1, genoemde gegevens. In een overeenkomstig artikel 10, lid 1, onder g), vastgestelde uitvoeringshandeling wordt nader bepaald welke reeks gegevens ten minste nodig is om het systeem te bevragen.

6.   De bevoegde autoriteiten kunnen Ecris-TCN ook bevragen met behulp van gezichtsopnamen, mits die functie overeenkomstig artikel 6, lid 2, is ingevoerd.

7.   Bij een treffer verstrekt het centrale systeem de bevoegde autoriteit automatisch informatie over de lidstaten die over strafregistergegevens van een onderdaan van een derde land beschikken, alsmede de bijbehorende referentienummers en alle overeenkomstige identiteitsgegevens. Deze identiteitsgegevens worden uitsluitend gebruikt ter verificatie van de identiteit van de betrokken onderdaan van een derde land. Het resultaat van een zoekopdracht in het centrale systeem mag uitsluitend worden gebruikt voor een verzoek overeenkomstig artikel 6 van Kaderbesluit 2009/315/JBZ of overeenkomstig artikel 17, lid 1, van deze verordening.

8.   Indien er geen treffer is, stelt het centrale systeem de bevoegde autoriteit daarvan automatisch in kennis.

HOOFDSTUK III

Bewaring en wijziging van de gegevens

Artikel 8

Bewaringstermijn van opgeslagen gegevens

1.   Elk gegevensbestand wordt in het centrale systeem opgeslagen zolang de gegevens over de veroordelingen van de betrokkene in het strafregister worden opgeslagen.

2.   Na het verstrijken van de in lid 1 bedoelde bewaringstermijn wist de centrale autoriteit van de lidstaat van veroordeling het gegevensbestand, met inbegrip van vingerafdrukgegevens of gezichtsopnamen, uit het centrale systeem. Het wissen van gegevens gebeurt waar mogelijk automatisch en in ieder geval uiterlijk één maand na het verstrijken van de bewaringstermijn.

Artikel 9

De wijziging en het wissen van gegevens

1.   De lidstaten mogen de gegevens die zij in Ecris-TCN hebben ingevoerd, wijzigen of wissen.

2.   Na elke wijziging van de gegevens in het strafregister die tot het creëren van een gegevensbestand overeenkomstig artikel 5 heeft geleid, volgt zonder onnodige vertraging een identieke wijziging door de lidstaat van veroordeling van de gegevens die zijn opgeslagen in dat gegevensbestand in het centrale systeem.

3.   Indien een lidstaat van veroordeling reden heeft om aan te nemen dat de gegevens die hij in het centrale systeem heeft opgeslagen, onjuist zijn of dat er gegevens in het centrale systeem zijn verwerkt in strijd met deze verordening:

a)

start hij onmiddellijk een procedure voor het controleren van de nauwkeurigheid van de betrokken gegevens of de rechtmatigheid van de verwerking daarvan, in voorkomend geval;

b)

zorgt hij, indien nodig, zonder onnodige vertraging voor de rectificatie van de gegevens of het wissen ervan uit het centrale systeem.

4.   Indien een andere lidstaat dan de lidstaat van veroordeling die de gegevens heeft ingevoerd, reden heeft om aan te nemen dat de in het centrale systeem opgeslagen gegevens onjuist zijn of dat er gegevens in het centrale systeem werden verwerkt in strijd met deze verordening, neemt hij zonder onnodige vertraging contact op met de centrale autoriteit van de lidstaat van veroordeling.

De lidstaat van veroordeling:

a)

start onmiddellijk een procedure voor het controleren van de nauwkeurigheid van de betrokken gegevens of de rechtmatigheid van de verwerking daarvan, in voorkomend geval;

b)

zorgt, indien nodig, onverwijld voor de rectificatie van de gegevens of het wissen ervan uit het centrale systeem;

c)

stelt de andere lidstaat zonder onnodige vertraging in kennis van de rectificatie of het wissen van de gegevens, of van de redenen waarom zij niet zijn gerectificeerd of gewist.

HOOFDSTUK IV

Ontwikkeling, beheer en verantwoordelijkheden

Artikel 10

Vaststelling van uitvoeringshandelingen door de Commissie

1.   De Commissie stelt de uitvoeringshandelingen vast die nodig zijn om Ecris-TCN zo spoedig mogelijk technisch te ontwikkelen en te implementeren, en met name handelingen inzake:

a)

de technische specificaties voor de verwerking van de alfanumerieke gegevens;

b)

de technische specificaties voor de kwaliteit, resolutie en verwerking van vingerafdrukgegevens;

c)

de technische specificaties van de interfacesoftware;

d)

de technische specificaties voor de kwaliteit, resolutie en verwerking van gezichtsopnamen voor de toepassing en onder de voorwaarden van artikel 6;

e)

de kwaliteit van de gegevens, met inbegrip van een mechanisme en procedures voor de kwaliteitscontroles van gegevens;

f)

de invoering van de gegevens overeenkomstig artikel 5;

g)

de raadpleging en bevraging van Ecris-TCN overeenkomstig artikel 7;

h)

de wijziging en het wissen van gegevens overeenkomstig de artikelen 8 en 9;

i)

het bijhouden van en de toegang tot de logbestanden overeenkomstig artikel 31;

j)

de werking van het centrale register en de voorschriften voor gegevensbescherming en -beveiliging die voor het register gelden, overeenkomstig artikel 32;

k)

het verstrekken van statistieken overeenkomstig artikel 32;

l)

de prestatie- en beschikbaarheidsvereisten voor Ecris-TCN, waaronder minimumspecificaties en -vereisten wat betreft de biometrische prestaties van Ecris-TCN, met name in de zin van de vereiste percentages foutpositieve identificaties en foutnegatieve identificaties.

2.   De in lid 1 bedoelde uitvoeringshandelingen worden volgens de in artikel 38, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 11

Ontwikkeling en operationeel beheer van Ecris-TCN

1.   Eu-LISA is verantwoordelijk voor de ontwikkeling van Ecris-TCN in overeenstemming met het beginsel van gegevensbescherming door ontwerp en door standaardinstellingen. Daarnaast is eu-LISA verantwoordelijk voor het operationele beheer van Ecris-TCN. De ontwikkeling omvat de uitwerking en implementatie van de technische specificaties, het testen en de algehele projectcoördinatie.

2.   Eu-LISA is ook verantwoordelijk voor de verdere ontwikkeling en het onderhoud van de Ecris-referentie-implementatie.

3.   Eu-LISA bepaalt het ontwerp van de fysieke architectuur van Ecris-TCN, met inbegrip van de technische specificaties en de evolutie daarvan met betrekking tot het nationale centrale toegangspunt en de interfacesoftware. Dat ontwerp wordt vastgesteld door de raad van bestuur, na een gunstig advies van de Commissie.

4.   Eu-LISA ontwikkelt en implementeert Ecris-TCN zo spoedig mogelijk na de inwerkingtreding van deze verordening en na de vaststelling door de Commissie van de in artikel 10 bedoelde uitvoeringshandelingen.

5.   Vóór de ontwerp- en ontwikkelingsfase van Ecris-TCN stelt de raad van bestuur van eu-LISA een programmabestuursraad in, die uit tien leden bestaat.

De programmabestuursraad bestaat uit acht leden die door de raad van bestuur worden aangewezen, de voorzitter van de in artikel 39 bedoelde adviesgroep en één door de Commissie aangewezen lid. De door de raad van bestuur aangewezen leden worden uitsluitend gekozen uit de lidstaten die krachtens het Unierecht geheel aan de wetgevingsinstrumenten betreffende Ecris zijn gebonden en aan Ecris-TCN zullen deelnemen. De raad van bestuur zorgt ervoor dat de leden die hij voor de programmabestuursraad aanwijst, over de nodige ervaring en deskundigheid beschikken op het gebied van de ontwikkeling en het beheer van IT-systemen ter ondersteuning van justitiële en voor strafregisters bevoegde autoriteiten.

Eu-LISA neemt deel aan de werkzaamheden van de programmabestuursraad. De vertegenwoordigers van eu-LISA wonen daartoe de vergaderingen van de programmabestuursraad bij om verslag uit te brengen over het ontwerp en de ontwikkeling van Ecris-TCN en over enige andere daarmee verband houdende werkzaamheden en activiteiten.

De programmabestuursraad komt ten minste eenmaal per kwartaal bijeen, en vaker indien nodig. De programmabestuursraad zorgt voor een adequaat beheer van de ontwerp- en ontwikkelingsfase van Ecris-TCN en voor samenhang tussen centrale en nationale Ecris-TCN-projecten, en nationale Ecris-implementatiesoftware. De programmabestuursraad brengt over de voortgang van het project regelmatig, indien mogelijk maandelijks, schriftelijk verslag uit aan de raad van bestuur van eu-LISA. De programmabestuursraad heeft geen beslissingsbevoegdheid, noch een mandaat om de leden van de raad van bestuur te vertegenwoordigen.

6.   De programmabestuursraad stelt zijn reglement van orde op, met daarin met name regels inzake:

a)

het voorzitterschap;

b)

de plaats van vergadering;

c)

de voorbereiding van vergaderingen;

d)

de toelating van deskundigen tot de vergaderingen;

e)

communicatieplannen die ervoor zorgen dat niet-deelnemende leden van de raad van bestuur volledig op de hoogte worden gehouden.

7.   Het voorzitterschap van de programmabestuursraad wordt bekleed door een lidstaat die krachtens het Unierecht geheel is gebonden door de wetgevingsinstrumenten betreffende Ecris en de wetgevingsinstrumenten inzake de ontwikkeling, de instelling, het functioneren en het gebruik van alle door eu-LISA beheerde grootschalige IT-systemen.

8.   Alle door de leden van de programmabestuursraad gemaakte reis- en verblijfkosten worden betaald door het agentschap. Artikel 10 van het reglement van orde van eu-LISA is van overeenkomstige toepassing. Het secretariaat van de programmabestuursraad wordt verzorgd door eu-LISA.

9.   Tijdens de ontwerp- en ontwikkelingsfase bestaat de in artikel 39 bedoelde adviesgroep uit de nationale projectbeheerders van Ecris-TCN en wordt zij door eu-LISA voorgezeten. Tijdens de ontwerp- en ontwikkelingsfase vergadert deze groep regelmatig, indien mogelijk ten minste eenmaal per maand, totdat Ecris-TCN in gebruik wordt genomen. Zij brengt na elke bijeenkomst verslag uit aan de programmabestuursraad. De groep levert de technische deskundigheid ter ondersteuning van de taken van de programmabestuursraad en houdt de voorbereidingen van de lidstaten bij.

10.   Opdat de vertrouwelijkheid en de integriteit van de in Ecris-TCN opgeslagen gegevens te allen tijde wordt gewaarborgd, neemt eu-LISA, in samenwerking met de lidstaten, passende technische en organisatorische maatregelen, rekening houdend met de stand van de techniek, de implementatiekosten en de aan de verwerking verbonden risico's.

11.   Eu-LISA is verantwoordelijk voor de volgende taken in verband met de in artikel 4, lid 1, onder d), bedoelde communicatie-infrastructuur:

a)

toezicht;

b)

beveiliging;

c)

coördinatie van de betrekkingen tussen de lidstaten en de dienstaanbieder van de communicatie-infrastructuur.

12.   De Commissie is verantwoordelijk voor alle andere taken in verband met de communicatie-infrastructuur, als bedoeld in artikel 4, lid 1, onder d), met name:

a)

begrotingsuitvoeringstaken;

b)

aanschaf en vernieuwing;

c)

contractuele aangelegenheden.

13.   Eu-LISA ontwikkelt en onderhoudt een mechanisme en procedures ter controle van de kwaliteit van de gegevens die in het centrale Ecris-TCN bewaard worden en brengt regelmatig verslag uit aan de lidstaten. Eu-LISA brengt de Commissie regelmatig verslag uit over geconstateerde problemen en over de betrokken lidstaten.

14.   Het operationele beheer van Ecris-TCN omvat alle taken die nodig zijn om Ecris-TCN operationeel te houden overeenkomstig deze verordening, en met name de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een bevredigende werking van Ecris-TCN, overeenkomstig de technische specificaties.

15.   Eu-LISA vervult taken met betrekking tot het bieden van opleiding over het technische gebruik van Ecris-TCN en de Ecris-referentie-implementatie.

16.   Onverminderd artikel 17 van het Statuut van de ambtenaren van de Europese Unie, als neergelegd in Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (17), past eu-LISA passende voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op elk personeelslid dat moet werken met gegevens die zijn opgeslagen in het centrale systeem. Deze geheimhoudingsplicht blijft ook gelden nadat het betreffende personeelslid zijn functie of dienstverband heeft beëindigd of zijn werkzaamheden heeft stopgezet.

Artikel 12

Verantwoordelijkheden van de lidstaten

1.   Elke lidstaat is verantwoordelijk voor:

a)

het waarborgen van een beveiligde verbinding tussen zijn nationale strafregister- en vingerafdrukdatabanken en het nationale centrale toegangspunt;

b)

de ontwikkeling, het functioneren en het onderhoud van de onder a) bedoelde verbinding;

c)

het waarborgen van een verbinding tussen zijn nationale systemen en de Ecris-referentie-implementatie;

d)

het beheer van en de regelingen voor toegang van daartoe gemachtigde personeelsleden van de centrale autoriteiten tot Ecris-TCN overeenkomstig deze verordening, en het opstellen en regelmatig bijwerken van een lijst van de betrokken personeelsleden en de in artikel 19, lid 3, onder g), bedoelde profielen.

2.   Elke lidstaat geeft het personeel van zijn centrale autoriteit met een toegangsrecht tot Ecris-TCN een passende opleiding, met name op het gebied van de regels inzake gegevensbeveiliging en gegevensbescherming en van toepasselijke grondrechten, alvorens hen te machtigen om in het centrale systeem opgeslagen gegevens te verwerken.

Artikel 13

Verantwoordelijkheid voor het gebruik van gegevens

1.   Overeenkomstig de toepasselijke voorschriften van de Unie inzake gegevensbescherming zorgt elke lidstaat ervoor dat de gegevens die in Ecris-TCN worden opgeslagen, op rechtmatige wijze worden verwerkt, en met name dat:

a)

alleen daartoe gemachtigde personeelsleden toegang tot de gegevens hebben voor het vervullen van hun taken;

b)

de gegevens op rechtmatige wijze en met volledige eerbiediging van de menselijke waardigheid en de grondrechten van de onderdaan van een derde land worden verzameld;

c)

de gegevens op rechtmatige wijze in Ecris-TCN worden ingevoerd;

d)

de gegevens juist en geactualiseerd zijn wanneer zij in Ecris-TCN worden ingevoerd.

2.   Eu-LISA zorgt ervoor dat Ecris-TCN functioneert overeenkomstig deze verordening, de in artikel 6, lid 2, bedoelde gedelegeerde handeling en de in artikel 10 bedoelde uitvoeringshandelingen, evenals overeenkomstig Verordening (EU) 2018/1725 van de Raad. Eu-LISA neemt met name de nodige maatregelen ter beveiliging van het centrale systeem en de communicatie-infrastructuur zoals bedoeld in artikel 4, lid 1, onder d), onverminderd de verantwoordelijkheden van elke lidstaat.

3.   Eu-LISA stelt het Europees Parlement, de Raad en de Commissie, alsmede de Europese Toezichthouder voor gegevensbescherming in kennis van de maatregelen die het op grond van lid 2 neemt voor de ingebruikneming van Ecris-TCN, zo snel mogelijk nadat dergelijke maatregelen zijn getroffen.

4.   De Commissie stelt de in lid 3 bedoelde informatie aan de lidstaten en het publiek ter beschikking door middel van een regelmatig geactualiseerde openbare website.

Artikel 14

Toegang voor Eurojust, Europol en het EOM

1.   Eurojust heeft directe toegang tot Ecris-TCN met het oog op de toepassing van artikel 17, alsmede op het vervullen van zijn taken uit hoofde van artikel 2 van Verordening (EU) 2018/1727, teneinde vast te stellen welke lidstaten over informatie over eerdere veroordelingen van onderdanen van derde landen beschikken.

2.   Europol heeft directe toegang tot Ecris-TCN met het oog op het vervullen van zijn taken uit hoofde van artikel 4, lid 1, onder a) tot en met e), en h), van Verordening (EU) 2016/794, teneinde vast te stellen welke lidstaten over informatie over eerdere veroordelingen van onderdanen van derde landen beschikken.

3.   Het EOM heeft directe toegang tot Ecris-TCN met het oog op het vervullen van zijn taken uit hoofde van artikel 4 van Verordening (EU) 2017/1939, teneinde vast te stellen welke lidstaten over informatie over eerdere veroordelingen van onderdanen van derde landen beschikken.

4.   Na een treffer waarbij wordt aangegeven welke lidstaten over strafregistergegevens van een onderdaan van een derde land beschikken, kunnen Eurojust, Europol en het EOM hun respectieve contacten met de nationale autoriteiten van die lidstaten aanwenden om de strafregistergegevens op te vragen zoals omschreven in hun respectieve oprichtingsbesluiten.

Artikel 15

Toegang voor gemachtigd personeel van Eurojust, Europol en het EOM

Eurojust, Europol en het EOM zijn verantwoordelijk voor het beheer van en de regelingen voor toegang van daartoe gemachtigde personeelsleden tot Ecris-TCN overeenkomstig deze verordening, en voor het opstellen en regelmatig actualiseren van een lijst van die personeelsleden en hun profielen.

Artikel 16

Verantwoordelijkheden van Eurojust, Europol en het EOM

Eurojust, Europol en het EOM:

a)

brengen de technische middelen tot stand om verbinding te maken met Ecris-TCN en zijn verantwoordelijk voor het onderhoud van die verbinding;

b)

geven hun personeelsleden met een toegangsrecht tot Ecris-TCN een passende opleiding die met name de regels inzake gegevensbeveiliging en -bescherming en de toepasselijke grondrechten behelst, alvorens hen te machtigen om in het centrale systeem opgeslagen gegevens te verwerken.;

c)

zorgen ervoor dat de door hen in het kader van deze verordening verwerkte persoonsgegevens worden beschermd overeenkomstig de toepasselijke regels inzake gegevensbescherming.

Artikel 17

Contactpunt voor derde landen en internationale organisaties

1.   Derde landen en internationale organisaties kunnen, met het oog op strafrechtelijke procedures, verzoeken om informatie over welke lidstaat eventueel beschikt over strafregistergegevens van een onderdaan van een derde land, tot Eurojust richten. Daartoe maken zij gebruik van het standaardformulier in de bijlage bij deze verordening.

2.   Bij ontvangst van een verzoek uit hoofde van lid 1, maakt Eurojust gebruik van Ecris-TCN om te bepalen welke lidstaten eventueel beschikken over strafregistergegevens over de betrokken onderdaan van een derde land.

3.   Indien er een treffer is, gaat Eurojust bij de lidstaat die over strafregistergegevens over de betrokken onderdaan van een derde land beschikt, na of zij ermee akkoord gaat dat Eurojust het derde land of de internationale organisatie in kennis stelt van de naam van de betrokken lidstaat. Indien die lidstaat toestemming geeft, stelt Eurojust het derde land of de internationale organisatie in kennis van de naam van die lidstaat, en deelt het derde land of de internationale organisatie mee hoe bij die lidstaat volgens de toepasselijke procedures een verzoek om uittreksels uit het strafregister kan worden ingediend.

4.   Indien er geen treffer is of Eurojust overeenkomstig lid 3 geen antwoord kan verstrekken over verzoeken die krachtens dit artikel werden ingediend, meldt Eurojust het betrokken derde land of internationale organisatie dat het de procedure heeft voltooid, zonder aan te geven of een van de lidstaten over strafregistergegevens over de betrokken persoon beschikt.

Artikel 18

Verstrekken van informatie aan een derde land, internationale organisatie of particuliere partij

Eurojust, Europol, het EOM, noch een centrale autoriteit mag uit Ecris-TCN verkregen informatie over een onderdaan van een derde land aan een derde land, internationale organisatie of particuliere partij doorgeven of ter beschikking stellen. Dit artikel laat artikel 17, lid 3, onverlet.

Artikel 19

Beveiliging van gegevens

1.   Eu-LISA neemt de nodige maatregelen om de beveiliging van Ecris-TCN te waarborgen, onverminderd de op elke lidstaat rustende verantwoordelijkheden en rekening houdend met de in lid 3 bedoelde beveiligingsmaatregelen.

2.   Ten aanzien van het functioneren van Ecris-TCN neemt eu-LISA de nodige maatregelen ter verwezenlijking van de doelstellingen van lid 3, met inbegrip van de vaststelling van een beveiligingsplan en een bedrijfscontinuïteits- en uitwijkplan, en zorgt eu-LISA ervoor dat de geïnstalleerde systemen in geval van onderbreking kunnen worden hersteld.

3.   De lidstaten zorgen voor de beveiliging van de gegevens vóór en tijdens de verzending ervan naar en de ontvangst ervan vanuit het nationale centrale toegangspunt. In het bijzonder is elke lidstaat er verantwoordelijk voor:

a)

de gegevens fysiek te beschermen, onder meer met noodplannen voor de bescherming van de infrastructuur;

b)

te verhinderen dat onbevoegden toegang krijgen tot de nationale installaties waarin de lidstaat handelingen verricht in verband met Ecris-TCN;

c)

te voorkomen dat gegevensdragers onrechtmatig worden gelezen, gekopieerd, gewijzigd of verwijderd;

d)

te voorkomen dat onbevoegden gegevens invoeren en opgeslagen persoonsgegevens inzien, wijzigen of wissen;

e)

te voorkomen dat gegevens onrechtmatig in Ecris-TCN worden verwerkt en in Ecris-TCN verwerkte gegevens onrechtmatig worden gewijzigd of gewist;

f)

te waarborgen dat personen met toegangsrecht tot Ecris-TCN, uitsluitend toegang hebben tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft, en uitsluitend door middel van persoonlijke gebruikersidentiteiten en vertrouwelijke toegangsprocedures;

g)

te waarborgen dat alle autoriteiten met toegangsrecht tot Ecris-TCN profielen opstellen waarin de taken en verantwoordelijkheden worden omschreven van de personen die bevoegd zijn om de gegevens in te voeren, te rectificeren, te wissen, te raadplegen en te zoeken, en deze profielen desgevraagd en zonder onnodige vertraging ter beschikking te stellen van nationale toezichthoudende instanties;

h)

te waarborgen dat kan worden nagegaan en vastgesteld aan welke organen, bureaus en agentschappen van de Unie, persoonsgegevens mogen worden doorgegeven door middel van datatransmissieapparatuur;

i)

te waarborgen dat kan worden nagegaan en vastgesteld welke gegevens wanneer, door wie en met welk doel in Ecris-TCN zijn verwerkt;

j)

in het bijzonder door middel van passende versleutelingstechnieken te voorkomen dat persoonsgegevens bij hun doorgifte vanuit of naar Ecris-TCN of gedurende het transport van gegevensdragers onrechtmatig worden gelezen, gekopieerd, gewijzigd of gewist;

k)

de doeltreffendheid van de in dit lid bedoelde beveiligingsmaatregelen te controleren, en met betrekking tot de interne controle en het toezicht de nodige organisatorische maatregelen te nemen opdat deze verordening wordt nageleefd.

4.   Eu-LISA en de lidstaten werken samen om te zorgen voor een coherente aanpak van gegevensbeveiliging op basis van een beheerproces inzake beveiligingsrisico's dat het gehele Ecris-TCN omvat.

Artikel 20

Aansprakelijkheid

1.   Elke persoon of lidstaat die ten gevolge van een onrechtmatige verwerking of van een andere handeling die onverenigbaar is met deze verordening materiële of immateriële schade heeft geleden, heeft recht op schadevergoeding van:

a)

de lidstaat die verantwoordelijk is voor de geleden schade of

b)

eu-LISA, indien eu-LISA zijn verplichtingen, zoals vastgelegd in deze verordening of in Verordening (EU) 2018/1725, niet is nagekomen.

De betrokken lidstaat die verantwoordelijk is voor de geleden schade of eu-LISA wordt geheel of gedeeltelijk van zijn aansprakelijkheid ontheven indien hij, c.q. het, kan aantonen dat hij, c.q. het, niet verantwoordelijk is voor het schadetoebrengende feit.

2.   Indien schade aan Ecris-TCN ontstaat doordat een lidstaat, Eurojust, Europol of het EOM zijn verplichtingen uit hoofde van deze verordening niet is nagekomen, is respectievelijk deze lidstaat, Eurojust, Europol en het EOM daarvoor aansprakelijk, tenzij en voor zover eu-LISA of een andere lidstaat die aan Ecris-TCN deelneemt, heeft nagelaten redelijke stappen te ondernemen om de schade te voorkomen of de omvang ervan zo veel mogelijk te beperken.

3.   Op vorderingen tegen een lidstaat tot vergoeding van de in de leden 1 en 2 bedoelde schade is het recht van de gedaagde lidstaat van toepassing. Op vorderingen tegen eu-LISA, Eurojust, Europol en het EOM tot vergoeding van de in de leden 1 en 2 bedoelde schade die bij hun respectieve oprichtingsbesluiten geregeld is.

Artikel 21

Interne monitoring

De lidstaten zorgen ervoor dat elke centrale autoriteit de voor het naleven van deze verordening noodzakelijke maatregelen treft en, indien nodig, samenwerkt met de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende instanties.

Artikel 22

Sancties

Op oneigenlijk gebruik van gegevens die in Ecris-TCN worden ingevoerd, staan, overeenkomstig het nationale recht of het Unierecht, sancties of disciplinaire maatregelen die doeltreffend, evenredig en afschrikkend zijn.

HOOFDSTUK V

Rechten en toezicht op het gebied van gegevensbescherming

Artikel 23

Verwerkingsverantwoordelijke en verwerker

1.   Elke centrale autoriteit moet worden beschouwd als gegevensverwerkingsverantwoordelijke overeenkomstig de toepasselijke gegevensbeschermingsregels van de Unie wat betreft de verwerking van persoonsgegevens door de lidstaat krachtens deze verordening.

2.   Eu-LISA wordt beschouwd als gegevensverwerker in de zin van Verordening (EU) 2018/1725 wat betreft de persoonsgegevens die door de lidstaten in het centrale systeem worden ingevoerd.

Artikel 24

Doel van de verwerking van persoonsgegevens

1.   De gegevens die zijn ingevoerd in het centrale systeem worden uitsluitend verwerkt om vast te stellen welke lidstaten over strafregistergegevens over onderdanen van derde landen beschikken.

2.   Met uitzondering van de daartoe gemachtigde personeelsleden van Eurojust, Europol en het EOM, die toegang hebben tot Ecris-TCN voor de toepassing van deze verordening, is de toegang tot Ecris-TCN uitsluitend voorbehouden aan de daartoe gemachtigde personeelsleden van de centrale autoriteiten. De toegang is beperkt tot hetgeen vereist is voor het vervullen van de taken overeenkomstig het in lid 1 bedoelde doel en is beperkt tot hetgeen nodig is voor en in verhouding staat tot de nagestreefde doelen.

Artikel 25

Recht op inzage, rectificatie, wissen en de beperking van verwerking

1.   De verzoeken van onderdanen van derde landen betreffende het recht op inzage, rectificatie, het wissen en de beperking van de verwerking van persoonsgegevens die in de toepasselijke gegevensbeschermingsregels van de Unie zijn opgenomen, kunnen aan de centrale autoriteit van ongeacht welke lidstaat worden gericht.

2.   Indien er een verzoek wordt gericht tot een andere lidstaat dan de lidstaat van veroordeling, zendt de aangezochte lidstaat het verzoek zonder onnodige vertraging en in ieder geval binnen tien werkdagen na ontvangst ervan toe aan de lidstaat van veroordeling. Bij ontvangst van het verzoek doet de lidstaat van veroordeling het volgende:

a)

hij start onmiddellijk een procedure voor het controleren van de nauwkeurigheid van desbetreffende gegevens en de rechtmatigheid van de verwerking daarvan in Ecris-TCN; en

b)

hij dient de lidstaat die het verzoek heeft toegezonden onverwijld van antwoord.

3.   Indien blijkt dat de in Ecris-TCN opgeslagen gegevens onjuist zijn of onrechtmatig zijn verwerkt, worden zij overeenkomstig artikel 9 door de lidstaat van veroordeling gerectificeerd of gewist. De lidstaat van veroordeling of, indien van toepassing, de aangezochte lidstaat, geeft de betrokkene zonder onnodige vertraging de schriftelijke bevestiging dat het nodige is gedaan om de gegevens betreffende die betrokkene te rectificeren of te wissen. De lidstaat van veroordeling stelt ook zonder onnodige vertraging andere lidstaten die als gevolg van een bevraging van Ecris-TCN informatie inzake veroordelingen hebben ontvangen, in kennis van de maatregelen die zijn genomen.

4.   Indien de lidstaat van veroordeling er niet mee akkoord gaat dat de in Ecris-TCN opgeslagen gegevens onjuist zijn of onrechtmatig zijn verwerkt, neemt die lidstaat een administratief of gerechtelijk besluit waarbij de betrokkene schriftelijk wordt uitgelegd waarom de lidstaat niet bereid is de hem betreffende gegevens te rectificeren of te wissen. Die gevallen kunnen, waar passend, worden gemeld aan de nationale toezichthoudende instantie.

5.   De lidstaat die het besluit op grond van lid 4 heeft genomen, licht de betrokkene ook in over de stappen die hij kan ondernemen indien hij geen genoegen neemt met de uitleg die hem op grond van lid 4 is verstrekt. Dit houdt mede in dat de betrokkene wordt ingelicht over de wijze waarop hij een rechtsvordering kan instellen of een klacht kan indienen bij de bevoegde autoriteiten of bij de rechtbanken in die lidstaat, alsmede over de assistentie, onder meer van de nationale toezichthoudende instanties, die hem overeenkomstig het nationale recht van die lidstaat kan worden verleend.

6.   Elk verzoek krachtens lid 1 omvat de informatie die nodig is om de betrokkene te kunnen identificeren. Deze informatie wordt uitsluitend gebruikt om de uitoefening van de in de lid 1 bedoelde rechten mogelijk te maken en wordt onmiddellijk nadien gewist.

7.   Wanneer lid 2 van toepassing is, legt de centrale autoriteit waaraan het verzoek werd gericht schriftelijk vast dat er een verzoek werd gedaan, samen met de wijze waarop en de autoriteit waarnaar het verzoek werd doorgestuurd. Op verzoek van de nationale toezichthoudende instantie stelt de centrale autoriteit dat gegevensbestand onverwijld ter beschikking aan die nationale toezichthoudende instantie. De centrale autoriteit en de nationale toezichthoudende instantie wissen dat document drie jaar nadat het gecreëerd werd.

Artikel 26

Samenwerking om de eerbiediging van gegevensbeschermingsrechten te waarborgen

1.   De centrale autoriteiten werken met elkaar samen opdat de in artikel 25 vastgestelde rechten worden gerespecteerd.

2.   In elke lidstaat licht de nationale toezichthoudende instantie de betrokkene desgevraagd in over de manier waarop hij het recht op rectificatie of het wissen van de op hem betrekking hebbende gegevens kan uitoefenen overeenkomstig de toepasselijke gegevensbeschermingsregels van de Unie.

3.   Voor de toepassing van dit artikel werken de nationale toezichthoudende instantie van de lidstaat die de gegevens heeft doorgegeven en de aangezochte nationale toezichthoudende instantie van de lidstaat samen.

Artikel 27

Rechtsmiddelen

Iedereen heeft het recht om overeenkomstig het nationale recht of het Unierecht een klacht in te dienen en rechtsmiddelen aan te wenden in de lidstaat van veroordeling indien die het in artikel 25 bedoelde recht op inzage, rectificatie of wissing van de op hem betrekking hebbende gegevens heeft geweigerd.

Artikel 28

Toezicht door de nationale toezichthoudende instanties

1.   Elke lidstaat zorgt ervoor dat de krachtens de toepasselijke gegevensbeschermingsregels van de Unie aangewezen nationale toezichthoudende instanties toezicht houden op de rechtmatigheid van de verwerking van de in artikelen 5 en 6 bedoelde persoonsgegevens door de betrokken lidstaat, met inbegrip van de overdracht van die gegevens naar en vanuit Ecris-TCN.

2.   De nationale toezichthoudende instantie zorgt ervoor dat er ten minste om de drie jaar vanaf de datum van ingebruikneming van Ecris-TCN een audit van de gegevensverwerkingsactiviteiten in de nationale strafregisters en vingerafdrukdatabanken in verband met de gegevensuitwisseling tussen die systemen en Ecris-TCN wordt verricht overeenkomstig de desbetreffende internationale auditnormen.

3.   De lidstaten zorgen ervoor dat hun nationale toezichthoudende instanties over voldoende middelen beschikken om hun taken uit hoofde van deze verordening te kunnen vervullen.

4.   Elke lidstaat verstrekt de door de nationale toezichthoudende instanties gevraagde informatie en in het bijzonder informatie over de overeenkomstig de artikelen 12, 13 en 19 verrichte activiteiten. Elke lidstaat biedt de nationale toezichthoudende instanties inzage in zijn gegevensbestanden krachtens artikel 25, lid 7, en zijn logbestanden krachtens artikel 31, lid 6, en verleent hun te allen tijde toegang tot al zijn gebouwen en terreinen die verband houden met Ecris-TCN.

Artikel 29

Toezicht door de Europese toezichthouder voor gegevensbescherming

1.   De Europese Toezichthouder voor gegevensbescherming ziet erop toe dat de verwerking van persoonsgegevens door eu-LISA in verband met Ecris-TCN in overeenstemming met deze verordening geschiedt.

2.   De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat ten minste om de drie jaar een audit van de activiteiten van eu-LISA op het gebied van de verwerking van persoonsgegevens wordt verricht overeenkomstig de betreffende internationale auditnormen. Het auditrapport wordt toegezonden aan het Europees Parlement, de Raad, de Commissie, eu-LISA en de toezichthoudende instanties. Voordat het rapport wordt aangenomen, wordt eu-LISA in de gelegenheid gesteld opmerkingen in te dienen.

3.   Eu-LISA verstrekt de door de Europese Toezichthouder voor gegevensbescherming gevraagde informatie en verleent deze te allen tijde toegang tot alle documenten en tot zijn in artikel 31 bedoelde logbestanden, alsmede tot al zijn gebouwen en terreinen.

Artikel 30

Samenwerking tussen de nationale toezichthoudende instanties en de Europese Toezichthouder voor gegevensbescherming

Er moet gezorgd worden voor gecoördineerd toezicht van Ecris-TCN overeenkomstig artikel 62 van Verordening (EU) 2018/1725.

Artikel 31

Bijhouden van logbestanden

1.   Eu-LISA en de bevoegde autoriteiten zorgen ervoor, overeenkomstig hun respectieve verantwoordelijkheden, dat alle gegevensverwerkende handelingen in Ecris-TCN overeenkomstig lid 2 in logbestanden worden vastgelegd om de toelaatbaarheid van het verzoek na te gaan, de integriteit en de beveiliging van de gegevens en de rechtmatigheid van de gegevensverwerking te controleren, alsmede ten behoeve van interne controle.

2.   In de logbestanden wordt het volgende vermeld:

a)

het doel van het verzoek om toegang tot de gegevens van Ecris-TCN;

b)

de in artikel 5 bedoelde ingevoerde gegevens;

c)

het nummer van het nationale bestand;

d)

de datum en het precieze tijdstip van de handeling;

e)

de voor een zoekopdracht gebruikte gegevens;

f)

het kenmerk van de functionaris die de zoekopdracht heeft uitgevoerd.

3.   Het logbestand van raadplegingen en bekendmakingen maken het mogelijk de motivering van deze handelingen na te gaan.

4.   Logbestanden worden uitsluitend gebruikt voor het toezicht op de rechtmatigheid van de gegevensverwerking en voor het waarborgen van de integriteit en de beveiliging van de gegevens. Alleen een logbestand dat geen persoonsgegevens bevat, mag worden gebruikt voor controle en evaluatie in de zin van artikel 36. Deze logbestanden worden met passende maatregelen beschermd tegen toegang door onbevoegden en worden na drie jaar gewist, indien zij niet langer nodig zijn in het kader van reeds lopende toezichtprocedures.

5.   Desgevraagd stelt eu-LISA de logbestanden van zijn verwerkingshandelingen onverwijld ter beschikking van de centrale autoriteiten.

6.   De bevoegde nationale toezichthoudende instanties die verantwoordelijk zijn voor het nagaan van de toelaatbaarheid van het verzoek en het toezicht op de rechtmatigheid van de gegevensverwerking en op de integriteit en de beveiliging van de gegevens, krijgen op hun verzoek toegang tot deze logbestanden om hun taken te kunnen vervullen. Desgevraagd stellen de centrale autoriteiten de logbestanden van hun verwerkingshandelingen onverwijld ter beschikking van de bevoegde nationale toezichthoudende instanties.

HOOFDSTUK VI

Slotbepalingen

Artikel 32

Gebruik van gegevens voor verslagen en statistieken

1.   De daartoe gemachtigde personeelsleden van eu-LISA, de bevoegde autoriteiten en de Commissie hebben, uitsluitend met het oog op het opstellen van verslagen en statistieken en zonder dat daarbij personen kunnen worden geïdentificeerd, toegang tot de in Ecris-TCN verwerkte gegevens.

2.   Voor de toepassing van lid 1 wordt door eu-LISA op zijn technische locaties een centraal register opgezet, ten uitvoer gelegd en gehost, met daarin de in lid 1 bedoelde gegevens waarmee, zonder dat daarbij personen kunnen worden geïdentificeerd, aanpasbare verslagen en statistieken kunnen worden verkregen. Toegang tot het centrale register wordt uitsluitend met het oog op het opstellen van verslagen en statistieken verleend, door middel van beveiligde toegang, met toegangscontrole en specifieke gebruikersprofielen.

3.   De in artikel 36 bedoelde, door eu-LISA ingevoerde procedures voor controle op de werking van Ecris-TCN en van de Ecris-referentie-implementatie omvatten de mogelijkheid regelmatig statistieken voor controledoeleinden op te stellen.

Elke maand verstrekt eu-LISA de Commissie statistieken in verband met de registratie, opslag en uitwisseling van informatie die via Ecris-TCN en de Ecris-referentie-implementatie uit strafregisters is verkregen. eu-LISA ziet erop toe dat personen niet kunnen worden geïdentificeerd op basis van deze statistieken. Wanneer de Commissie daarom verzoekt, verstrekt eu-LISA haar statistieken over specifieke aspecten van de tenuitvoerlegging van deze verordening.

4.   De lidstaten verstrekken eu-LISA de statistieken die nodig zijn om zijn in dit artikel bedoelde verplichtingen na te komen. Zij verstrekken de Commissie statistische gegevens over het aantal veroordeelde onderdanen van derde landen, en het aantal veroordelingen van onderdanen van derde landen op hun grondgebied.

Artikel 33

Kosten

1.   De kosten in verband met de instelling en werking van het centrale systeem, de in artikel 4, lid 1, onder d), bedoelde communicatie-infrastructuur, de interfacesoftware en de Ecris-referentie-implementatie komen ten laste van de algemene begroting van de Unie.

2.   De kosten om Eurojust, Europol en het EOM met Ecris-TCN te verbinden, komen ten laste van hun respectieve begrotingen.

3.   Andere kosten worden gedragen door de lidstaten, in het bijzonder de kosten in verband met de verbinding van de bestaande nationale strafregisters, vingerafdrukdatabanken en de centrale autoriteiten met Ecris-TCN, evenals de kosten van het hosten van de Ecris-referentie-implementatie.

Artikel 34

Kennisgevingen

1.   Elke lidstaat stelt eu-LISA in kennis van zijn centrale autoriteit, of autoriteiten, die toegang heeft, c.q. hebben, om gegevens in te voeren, te rectificeren, te wissen, te raadplegen of op te zoeken, alsmede van iedere wijziging in dat verband.

2.   Eu-LISA zorgt voor de publicatie van de lijst van centrale autoriteiten, zoals meegedeeld door de lidstaten, zowel in het Publicatieblad van de Europese Unie als op zijn website. Wanneer eu-LISA bericht ontvangt van een wijziging betreffende de centrale autoriteit van een lidstaat, past het de lijst onverwijld aan.

Artikel 35

Invoer van gegevens en ingebruikneming

1.   De Commissie stelt de datum vast waarop de lidstaten de in artikel 5 bedoelde gegevens in Ecris-TCN beginnen in te voeren, zodra zij oordeelt dat aan de volgende voorwaarden wordt voldaan:

a)

de in artikel 10 bedoelde relevante uitvoeringshandelingen zijn vastgesteld;

b)

de lidstaten hebben de technische en wettelijke regelingen om de in artikel 5 bedoelde gegevens te verzamelen en aan Ecris-TCN door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden;

c)

eu-LISA heeft in samenwerking met de lidstaten een uitvoerige test van Ecris-TCN uitgevoerd, met gebruikmaking van anonieme testgegevens.

2.   Wanneer de Commissie de datum heeft vastgesteld waarop wordt begonnen met de invoer van gegevens overeenkomstig lid 1, deelt zij die datum mee aan de lidstaten. Binnen een periode van twee maanden volgend op die datum voeren de lidstaten de in artikel 5 bedoelde gegevens in Ecris-TCN in, met inachtneming van artikel 41, lid 2.

3.   Na het einde van de in lid 2 bedoelde periode voert eu-LISA in samenwerking met de lidstaten een laatste test van Ecris-TCN uit.

4.   Wanneer de in lid 3 bedoelde test succesvol is afgerond en eu-LISA van oordeel is dat Ecris-TCN klaar is om in gebruik te worden genomen, stelt het de Commissie daarvan in kennis. De Commissie stelt het Europees Parlement en de Raad in kennis van de resultaten van de test en zij neemt een besluit over de datum waarop Ecris-TCN in gebruik wordt genomen.

5.   Het in lid 4 bedoelde besluit van de Commissie inzake de datum van ingebruikneming van Ecris-TCN wordt bekendgemaakt in het Publicatieblad van de Europese Unie.

6.   De lidstaten nemen Ecris-TCN in gebruik op de overeenkomstig lid 4 door de Commissie bepaalde datum.

7.   Bij het nemen van de in dit artikel bedoelde besluiten kan de Commissie verschillende datums bepalen voor de invoering in Ecris-TCN van alfanumerieke gegevens en vingerafdrukgegevens, als bedoeld in artikel 5, evenals voor de ingebruikneming van het systeem voor deze verschillende categorieën gegevens.

Artikel 36

Controle en evaluatie

1.   Eu-LISA zorgt ervoor dat er procedures voorhanden zijn om de ontwikkeling van Ecris-TCN te controleren in het licht van de doelstellingen op het gebied van planning en kosten, en om de werking van Ecris-TCN en de Ecris-referentie-implementatie te controleren in het licht van doelstellingen inzake de technische resultaten, de kosteneffectiviteit, de beveiliging en de kwaliteit van de dienstverlening.

2.   Ten behoeve van de controle op de werking van Ecris-TCN en het technisch onderhoud ervan krijgt eu-LISA toegang tot de noodzakelijke informatie met betrekking tot de in Ecris-TCN en de Ecris-referentie-implementatie verrichte gegevensverwerkingshandelingen.

3.   Uiterlijk op 12 december 2019 en vervolgens om de zes maanden tijdens de ontwerp- en ontwikkelingsfase, legt eu-LISA het Europees Parlement en de Raad een verslag voor over de stand van zaken van de ontwikkeling van Ecris-TCN en van de Ecris-referentie-implementatie.

4.   Het verslag waarnaar in lid 3 wordt verwezen, bevat een overzicht van de actuele kosten en de voortgang van het project, een evaluatie van de financiële gevolgen, alsmede informatie over eventuele technische problemen en risico's die gevolgen kunnen hebben voor de totale kosten van Ecris-TCN die overeenkomstig artikel 33 ten laste komen van de algemene begroting van de Unie.

5.   Indien het ontwikkelingsproces aanzienlijke vertraging oploopt, stelt eu-LISA het Europees Parlement en de Raad onmiddellijk op de hoogte van de redenen van deze vertraging, de gevolgen voor het tijdschema en de financiële consequenties.

6.   Wanneer de ontwikkeling van Ecris-TCN en de Ecris-referentie-implementatie is afgerond, dient eu-LISA bij het Europees Parlement en de Raad een verslag in waarin wordt uiteengezet hoe de doelstellingen, met name die welke betrekking hebben op de planning en kosten, zijn bereikt en waarin eventuele afwijkingen worden gemotiveerd.

7.   Wanneer een technische upgrade van Ecris-TCN veel kosten kan meebrengen, brengt eu-LISA het Europees Parlement en de Raad daarvan op de hoogte.

8.   Twee jaar na de ingebruikneming van Ecris-TCN, en vervolgens jaarlijks, dient eu-LISA bij de Commissie een verslag in over de technische werking, met inbegrip van de beveiliging, van Ecris-TCN en de Ecris-referentie-implementatie, met name op basis van de statistieken over de werking en het gebruik van Ecris-TCN en over de uitwisseling van strafregistergegevens via de Ecris-referentie-implementatie.

9.   Vier jaar na de ingebruikneming van Ecris-TCN, en vervolgens om de vier jaar, verricht de Commissie een algemene evaluatie van Ecris-TCN en de Ecris-referentie-implementatie. In het daarbij opgestelde algemene evaluatieverslag wordt de toepassing van deze verordening beoordeeld, worden de bereikte resultaten afgezet tegen de doelstellingen en worden de gevolgen voor de grondrechten beoordeeld. Het verslag beoordeelt ook of de uitgangspunten van de werking van Ecris-TCN nog steeds gelden, naast de relevantie van het gebruik van de biometrische gegevens die voor de doelstellingen van Ecris-TCN gebruikt worden, de beveiliging van Ecris-TCN en eventuele veiligheidsimplicaties voor toekomstige werkzaamheden. De evaluatie omvat de nodige aanbevelingen. De Commissie zendt het verslag toe aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten.

10.   Voorts omvat de eerste algemene evaluatie bedoeld in lid 9 een beoordeling van:

a)

de mate waarin, op basis van relevante statistische gegevens en verdere informatie van de lidstaten, de opneming in Ecris-TCN van identiteitsgegevens van burgers van de Unie die ook de nationaliteit van een derde land hebben, heeft bijgedragen tot de verwezenlijking van de doelstellingen van deze verordening;

b)

de mogelijkheid voor sommige lidstaten om de nationale Ecris-implementatiesoftware te blijven gebruiken, als bedoeld in artikel 4;

c)

de invoering van vingerafdrukgegevens in Ecris-TCN, in het bijzonder de toepassing van de minimumcriteria bedoeld in artikel 5, lid 1, onder b), punt ii);

d)

de gevolgen van Ecris en Ecris-TCN voor de bescherming van persoonsgegevens.

De beoordeling kan indien nodig vergezeld gaan van wetgevingsvoorstellen. Latere algemene evaluaties kunnen een beoordeling van één of meer van deze aspecten omvatten.

11.   De lidstaten, Eurojust, Europol en het EOM verstrekken eu-LISA en de Commissie de informatie die nodig is om de in de leden 3, 8 en 9 bedoelde verslagen op te stellen overeenkomstig de door de Commissie en/of eu-LISA vooraf bepaalde kwantitatieve indicatoren. Deze informatie mag de werkmethoden niet in gevaar brengen noch informatie bevatten waardoor bronnen, namen van personeelsleden of onderzoeken worden onthuld.

12.   In voorkomend geval verstrekken de toezichthoudende instanties aan eu-LISA en de Commissie de informatie die nodig is om de in lid 9 bedoelde verslagen op te stellen overeenkomstig de door de Commissie en/of eu-LISA vooraf bepaalde kwantitatieve indicatoren. Deze informatie mag de werkmethoden niet in gevaar brengen noch informatie bevatten waardoor bronnen, namen van personeelsleden of onderzoeken worden onthuld.

13.   Eu-LISA verstrekt de Commissie de informatie die nodig is om de in lid 9 bedoelde algemene evaluaties op te stellen.

Artikel 37

Uitoefening van de delegatie

1.   De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2.   De bevoegdheid om de in artikel 6, lid 2, bedoelde gedelegeerde handelingen vast te stellen, wordt met ingang van 11 juni 2019 voor onbepaalde tijd aan de Commissie toegekend.

3.   Het Europees Parlement of de Raad kan de in artikel 6, lid 2, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Een besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.   Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5.   Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, stelt zij daarvan gelijktijdig het Europees Parlement en de Raad in kennis.

6.   Een overeenkomstig artikel 6, lid 2, vastgestelde gedelegeerde handeling treedt slechts in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn aan de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

Artikel 38

Comitéprocedure

1.   De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.   Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Indien door het comité geen advies wordt uitgebracht, stelt de Commissie de ontwerpuitvoeringshandeling niet vast en is artikel 5, lid 4, derde alinea, van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 39

Adviesgroep

Eu-LISA richt een adviesgroep op teneinde expertise te verkrijgen met betrekking tot Ecris-TCN en de Ecris-referentie-implementatie, in het bijzonder bij de opstelling van het jaarlijkse werkprogramma en van het jaarlijkse activiteitenverslag van eu-LISA. Tijdens de ontwerp- en ontwikkelingsfase is artikel 11, lid 9, van toepassing.

Artikel 40

Wijzigingen van Verordening (EU) 2018/1726

Verordening (EU) 2018/1726 wordt als volgt gewijzigd:

1.

in Artikel 1 wordt lid 4 vervangen door:

"4.   Het Agentschap is belast met de opzet, de ontwikkeling of het operationele beheer van het inreis-uitreissysteem (EES), DubliNet, het Europees systeem voor reisinformatie en -autorisatie (Etias), Ecris-TCN en de Ecris-referentie-implementatie.";

2.

het volgende artikel wordt ingevoegd:

"Artikel 8 bis

Taken in verband met Ecris-TCN en de Ecris-referentie-implementatie

Het Agentschap verricht met betrekking tot Ecris-TCN en de Ecris-referentie-implementatie:

a)

de taken die krachtens Verordening (EU) 2019/816 van het Europees Parlement en de Raad aan het Agentschap zijn opgedragen (*1);

b)

taken met betrekking tot opleiding over het technische gebruik van Ecris-TCN en de Ecris-referentie-implementatie.";

(*1)  Verordening (EU) 2019/816 van het Europees Parlement en de Raad van 17 april 2019 tot invoering van een gecentraliseerd systeem voor de vaststelling welke lidstaten over informatie beschikken inzake veroordelingen van onderdanen van derde landen en staatlozen (Ecris-TCN) ter aanvulling van het Europees Strafregisterinformatiesysteem en tot wijziging van Verordening (EU) nr. 1077/2011 (PB L 135 van 22.5.2019, blz. 1).";"

3.

in artikel 14 wordt lid 1 vervangen door:

"1.   Het Agentschap volgt de ontwikkelingen op onderzoeksgebied die van belang zijn voor het operationeel beheer van SIS II, het VIS, Eurodac, het EES, het Etias, DubliNet, Ecris-TCN en andere grootschalige IT-systemen als bedoeld in artikel 1, lid 5.";

4.

in Artikel 19 wordt lid 1 als volgt gewijzigd:

a)

punt ee) wordt vervangen door:

"ee)

de verslagen over de ontwikkeling van het EES ingevolge artikel 72, lid 2, van Verordening (EU) 2017/2226, de verslagen over de ontwikkeling van het Etias ingevolge artikel 92, lid 2, van Verordening (EU) 2018/1240 en de verslagen over de ontwikkeling van Ecris-TCN en van de Ecris-referentie-implementatie ingevolge artikel 36, lid 3, van Verordening (EU) 2019/816 vast te stellen;";

b)

punt ff) wordt vervangen door:

"ff)

de verslagen vast te stellen over de technische werking van SIS II overeenkomstig artikel 50, lid 4, van Verordening (EG) nr. 1987/2006 en artikel 66, lid 4, van Besluit 2007/533/JBZ, van het VIS overeenkomstig artikel 50, lid 3, van Verordening (EG) nr. 767/2008 en artikel 17, lid 3, van Besluit 2008/633/JBZ, van het EES overeenkomstig artikel 72, lid 4, van Verordening (EU) 2017/2226, van het Etias overeenkomstig artikel 92, lid 4, van Verordening (EU) 2018/1240, en van Ecris-TCN en de Ecris-referentie-implementatie overeenkomstig artikel 36, lid 8, van Verordening (EU) 2019/816;";

c)

punt hh) wordt vervangen door:

"hh)

formeel commentaar te geven op de rapporten van de Europese Toezichthouder voor gegevensbescherming betreffende de audits die zijn uitgevoerd overeenkomstig artikel 45, lid 2, van Verordening (EG) nr. 1987/2006, artikel 42, lid 2, van Verordening (EG) nr. 767/2008, artikel 31, lid 2, van Verordening (EU) nr. 603/2013, artikel 56, lid 2, van Verordening (EU) 2017/2226, artikel 67 van Verordening (EU) 2018/1240 en artikel 29, lid 2, van Verordening (EU) 2019/816 en ervoor te zorgen dat aan die audits het passende gevolg wordt gegeven;";

d)

het volgende punt wordt ingevoegd:

"ll bis)

"statistieken over Ecris-TCN en de Ecris-referentie-implementatie aan de Commissie voor te leggen, overeenkomstig artikel 32, lid 4, tweede alinea, van Verordening (EU) 2019/816;";

e)

punt mm) wordt vervangen door:

"mm)

erop toe te zien dat jaarlijks de lijst van bevoegde autoriteiten die gemachtigd zijn tot directe bevraging van de in SIS II opgenomen gegevens wordt bekendgemaakt, overeenkomstig artikel 31, lid 8, van Verordening (EG) nr. 1987/2006 en artikel 46, lid 8, van Besluit 2007/533/JBZ, alsmede de lijst van instanties van de nationale systemen van SIS II (N.SIS II-instanties) en SIRENE-bureaus overeenkomstig respectievelijk artikel 7, lid 3, van Verordening (EG) nr. 1987/2006 en artikel 7, lid 3, van Besluit 2007/533/JBZ, alsmede de lijst van bevoegde autoriteiten overeenkomstig artikel 65, lid 2, van Verordening (EU) 2017/2226, de lijst van bevoegde autoriteiten overeenkomstig artikel 87, lid 2, van Verordening (EU) 2018/1240 en de lijst van centrale autoriteiten overeenkomstig artikel 34, lid 2, van Verordening (EU) 2019/816;";

5.

in artikel 22, lid 4, wordt na de derde alinea de volgende alinea ingevoegd:

"Eurojust, Europol en het EOM kunnen de vergaderingen van de raad van bestuur bijwonen als waarnemers wanneer een vraagstuk inzake Ecris-TCN met betrekking tot de toepassing van Verordening (EU) 2019/816 op de agenda staat.";

6.

in Artikel 24, lid 3, wordt punt p) vervangen door:

"p)

het onverminderd artikel 17 van het Statuut van de ambtenaren vaststellen van vertrouwelijkheidsvoorschriften, teneinde te voldoen aan artikel 17 van Verordening (EG) nr. 1987/2006, artikel 17 van Besluit 2007/533/JBZ, artikel 26, lid 9, van Verordening (EG) nr. 767/2008, artikel 4, lid 4, van Verordening (EU) nr. 603/2013, artikel 37, lid 4, van Verordening (EU) 2017/2226, artikel 74, lid 2, van Verordening 2018/1240 en artikel 11, lid 16, van Verordening (EU) 2019/816;";

7.

in artikel 27, lid 1, wordt het volgende punt ingevoegd:

"(d bis)

de adviesgroep voor Ecris-TCN;".

Artikel 41

Omzetting en overgangsmaatregelen

1.   De lidstaten treffen de nodige maatregelen om zo spoedig mogelijk aan deze richtlijn te voldoen teneinde de goede werking van Ecris-TCN te garanderen.

2.   Voor veroordelingen die vóór datum van de aanvang van invoering van gegevens overeenkomstig artikel 35, lid 1 zijn uitgesproken, creëren de centrale autoriteiten het individuele gegevensbestand in het centrale systeem als volgt:

a)

alfanumerieke gegevens worden uiterlijk aan het eind van de in artikel 35, lid 2, bedoelde periode in het centrale systeem ingevoerd;

b)

vingerafdrukgegevens worden uiterlijk binnen twee jaar na de ingebruikneming overeenkomstig artikel 35, lid 4, in het centrale systeem ingevoerd.

Artikel 42

Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in de lidstaten, overeenkomstig de Verdragen.

Gedaan te Straatsburg, 17 april 2019

Voor het Europees Parlement

De voorzitter

A. TAJANI

Voor de Raad

De voorzitter

G. CIAMBA


(1)  Standpunt van het Europees Parlement van 12 maart 2019 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 9 april 2019.

(2)  Kaderbesluit 2008/675/JBZ van de Raad van 24 juli 2008 betreffende de wijze waarop bij een nieuwe strafrechtelijke procedure rekening wordt gehouden met veroordelingen in andere lidstaten van de Europese Unie (PB L 220 van 15.8.2008, blz. 32).

(3)  Kaderbesluit 2009/315/JBZ van de Raad van 26 februari 2009 betreffende de organisatie en de inhoud van uitwisseling van gegevens uit het strafregister tussen de lidstaten (PB L 93 van 7.4.2009, blz. 23).

(4)  Besluit 2009/316/JBZ van de Raad van 6 april 2009 betreffende de oprichting van het Europees Strafregister Informatiesysteem (ECRIS) overeenkomstig artikel 11 van Kaderbesluit 2009/315/JBZ (PB L 93 van 7.4.2009, blz. 33).

(5)  Verordening (EU) 2018/1726 van het Europees Parlement en de Raad van 14 november 2018 betreffende het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), tot wijziging van Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ en tot intrekking van Verordening (EU) nr. 1077/2011 (PB L 295 van 21.11.2018, blz. 99).

(6)  Richtlijn 2011/93/EU van het Europees Parlement en de Raad van 13 december 2011 ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, en ter vervanging van Kaderbesluit 2004/68/JBZ van de Raad (PB L 335 van 17.12.2011, blz. 1.)

(7)  Verordening (EU) 2018/1727 van het Europees Parlement en de Raad van 14 november 2018 betreffende het Agentschap van de Europese Unie voor justitiële samenwerking in strafzaken (Eurojust), en tot vervanging en intrekking van Besluit 2002/187/JBZ van de Raad (PB L 295 van 21.11.2018, blz. 138).

(8)  Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en tot vervanging en intrekking van de Besluiten 2009/371/JBZ, 2009/934/JBZ, 2009/935/JBZ, 2009/936/JBZ en 2009/968/JBZ van de Raad (PB L 135 van 24.5.2016, blz. 53).

(9)  Verordening (EU) 2017/1939 van de Raad van 12 oktober 2017 betreffende nauwere samenwerking bij de instelling van het Europees Openbaar Ministerie ("EOM") (PB L 283 van 31 oktober 2017, blz. 1).

(10)  Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens, en intrekking van het Kaderbesluit van de Raad 2008/977/JBZ (PB L 119 van 4.5.2016, blz. 89).

(11)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(12)  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295, 21.11.2018, blz. 39).

(13)  PB L 123 van 12.5.2016, blz. 1.

(14)  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(15)  Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

(16)  PB C 55 van 14.2.2018, blz. 4.

(17)  PB L 56 van 4.3.1968, blz. 1.


BIJLAGE

STANDAARDFORMULIER VOOR VERZOEK OM INFORMATIE ALS BEDOELD IN ARTIKEL 17, LID 1 VAN VERORDENING (EG) 2019/816 OM INFORMATIE TE VERKRIJGEN OVER WELKE LIDSTAAT EVENTUEEL BESCHIKT OVER STRAFREGISTERGEGEVENS VAN EEN ONDERDAAN VAN EEN DERDE LAND

Image 1 Tekst van het beeld

22.5.2019   

NL

Publicatieblad van de Europese Unie

L 135/27


VERORDENING (EU) 2019/817 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 20 mei 2019

tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2, artikel 74 en artikel 77, lid 2, onder a), b), d) en e),

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité (1),

Na raadpleging van het Comité van de Regio's,

Handelend volgens de gewone wetgevingsprocedure (2),

Overwegende hetgeen volgt:

(1)

In haar mededeling Krachtigere en slimmere informatiesystemen voor grenzen en veiligheid van 6 april 2016 heeft de Commissie benadrukt dat de Unie-architectuur voor gegevensbeheer voor grensbeheer en veiligheid moest worden verbeterd. De mededeling gaf de aanzet tot een proces dat moet leiden tot interoperabiliteit tussen de Unie-informatiesystemen voor veiligheid, grensbeheer en migratiebeheer, om de structurele tekortkomingen in verband met deze systemen te verhelpen, die het werk van de nationale autoriteiten hinderen, en ervoor te zorgen dat grenswachters, douaneautoriteiten, politieambtenaren en gerechtelijke autoriteiten over de nodige informatie beschikken.

(2)

In zijn routekaart voor het verbeteren van informatie-uitwisseling en informatiebeheer op het gebied van justitie en binnenlandse zaken van 6 juni 2016 heeft de Raad verscheidene juridische, technische en operationele problemen in verband met de interoperabiliteit van de Unie-informatiesystemen vastgesteld en ertoe opgeroepen daar oplossingen voor te vinden.

(3)

In zijn resolutie van 6 juli 2016 over de strategische prioriteiten met betrekking tot het werkprogramma van de Commissie voor 2017 (3) heeft het Europees Parlement aangedrongen op voorstellen om de bestaande Unie-informatiesystemen te verbeteren en verder te ontwikkelen, informatieleemten aan te pakken en de interoperabiliteit tussen voornoemde systemen te bevorderen, en op voorstellen voor verplichte gegevensuitwisseling op Unieniveau, samen met de nodige waarborgen voor gegevensbescherming.

(4)

In zijn conclusies van 15 december 2016 heeft de Europese Raad gevraagd om te blijven werken aan de interoperabiliteit van informatiesystemen en databanken.

(5)

In zijn eindverslag van 11 mei 2017 heeft de deskundigengroep inzake informatiesystemen en interoperabiliteit geconcludeerd dat het noodzakelijk en technisch haalbaar was om praktische oplossingen voor interoperabiliteit na te streven, en dat de interoperabiliteit in beginsel zowel operationele voordelen kunnen opleveren als met inachtneming van de voorschriften inzake gegevensbescherming kunnen worden vastgesteld.

(6)

In haar mededeling van 16 mei 2017, met als titel "Zevende voortgangsverslag over de totstandbrenging van een echte en doeltreffende Veiligheidsunie", heeft de Commissie, overeenkomstig haar mededeling van 6 april 2016 en conform de bevindingen en aanbevelingen van de deskundigengroep op hoog niveau, een nieuwe aanpak beschreven voor het beheer van gegevens voor grenzen, veiligheid en migratie, waarbij alle gecentraliseerde Unie-informatiesystemen voor veiligheid, grensbeheer en migratiebeheer interoperabel zijn, met volledige inachtneming van de grondrechten.

(7)

In zijn conclusies van 9 juni 2017 over de verdere stappen voor het verbeteren van de informatie-uitwisseling en het waarborgen van de interoperabiliteit van de Unie-informatiesystemen, heeft de Raad de Commissie verzocht om de door de deskundigengroep op hoog niveau voorgestelde oplossingen inzake operabiliteit na te streven.

(8)

In zijn conclusies van 23 juni 2017 heeft de Europese Raad de noodzaak onderstreept van een verbetering van de interoperabiliteit tussen databanken en de Commissie verzocht zo spoedig mogelijk ontwerpwetgeving op te stellen op basis van de voorstellen uit te werken van de deskundigengroep op hoog niveau inzake informatiesystemen en interoperabiliteit.

(9)

Teneinde de doeltreffendheid en doelmatigheid van controles aan de buitengrenzen te verbeteren, bij te dragen aan het voorkomen en bestrijden van illegale immigratie en aan een hoog niveau van veiligheid in de ruimte van vrijheid, veiligheid en recht van de Unie, onder meer door de handhaving van de openbare orde en veiligheid en de vrijwaring van de veiligheid op het grondgebied van de lidstaten, de uitvoering van het gemeenschappelijk visumbeleid te verbeteren, bijstand te verlenen bij de behandeling van verzoeken om internationale bescherming, bij te dragen aan het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten, ondersteuning te bieden bij de identificatie van onbekende personen die niet in staat zijn zichzelf te legitimeren of van niet-geïdentificeerde stoffelijke overschotten bij natuurrampen, ongevallen of terroristische aanslagen, om het vertrouwen te houden van het publiek in het migratie- en asielstelsel van de Unie, de veiligheidsmaatregelen van de Unie en de capaciteit van de Unie om de buitengrens te beheren, dient er interoperabiliteit tot stand te worden gebracht tussen een aantal informatiesystemen van de Unie, namelijk het inreis-uitreissysteem (EES), het Visuminformatiesysteem (VIS), het Europees systeem voor reisinformatie en -autorisatie (Etias), Eurodac, het Schengeninformatiesysteem (SIS) en het Europees Strafregister Informatiesysteem voor onderdanen van derde landen (ECRIS-TCN), opdat deze Unie-informatiesystemen en de erin opgenomen gegevens elkaar aanvullen, met inachtneming van de grondrechten van het individu, en met name de bescherming van persoonsgegevens. Hiertoe dienen de volgende interoperabiliteitscomponenten tot stand te worden gebracht: een Europees zoekportaal (ESP), een gezamenlijke dienst voor biometrische matching (gezamenlijke BMS), een gemeenschappelijk identiteitsregister (CIR) en een detector van meerdere identiteiten (MID).

(10)

De interoperabiliteit tussen de Unie-informatiesystemen moet die systemen in staat stellen elkaar aan te vullen teneinde de correcte identificatie van personen, met inbegrip van onbekende personen die niet in staat zijn zichzelf te legitimeren of niet-geïdentificeerde stoffelijke overschotten, te vergemakkelijken, bijdragen tot de bestrijding van identiteitsfraude, vereisten inzake de gegevenskwaliteit van de respectieve Europese informatiesystemen verbeteren en harmoniseren, de technische en operationele implementatie van de Unie-informatiesystemen door de lidstaten vergemakkelijken, de waarborgen inzake gegevensbeveiliging en -bescherming die van toepassing zijn op de Unie-informatiesystemen versterken, de toegang tot het EES, VIS, Etias en Eurodac met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten stroomlijnen en de doelen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN ondersteunen.

(11)

De interoperabiliteitscomponenten dienen betrekking te hebben op het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN. Voornoemde componenten dienen ook van toepassing te zijn op de Europol-gegevens, maar enkel in de zin dat zij het mogelijk moeten maken deze gegevens gelijktijdig met die Unie-informatiesystemen te doorzoeken.

(12)

De interoperabiliteitscomponenten moeten de persoonsgegevens verwerken van personen van wie persoonsgegevens in de onderliggende Unie-informatiesystemen en door Europol worden verwerkt.

(13)

Het ESP dient te worden opgericht om het langs technische weg gemakkelijker te maken voor de lidstatelijke autoriteiten en de Unie-agentschappen om snel, ononderbroken, efficiënt, systematisch en gecontroleerd toegang te krijgen tot de Unie-informatiesystemen, de Europol-gegevens en de databanken van de Internationale Politieorganisatie (Interpol) voor zover dit nodig is om hun taken te verrichten, zulks overeenkomstig hun toegangsrechten. Het ESP moet ook worden opgericht ter ondersteuning van de doelstellingen van het EES, VIS, Etias, Eurodac, SIS, ECRIS-TCN en de Europol-gegevens. Door het mogelijk te maken te zoeken in alle relevante Unie-informatiesystemen, in de Europol-gegevens en de Interpol-databanken, moet het ESP dienstdoen als één loket of "messagebroker" voor het naadloos doorzoeken van verscheidene centrale systemen en opvragen van de nodige informatie, met volledige inachtneming van de voorschriften inzake toegangscontrole en gegevensbescherming van de onderliggende systemen.

(14)

Het ESP moet zodanig worden ontworpen dat de gegevens aan de hand waarvan een ESP-gebruiker een zoekopdracht start in de Interpoldatabanken, niet worden gedeeld met de eigenaars van de Interpol-gegevens. Het ontwerp van het ESP dient er tevens voor te zorgen dat de Interpol-databanken alleen in overeenstemming met het toepasselijke Unie- en nationale recht worden geraadpleegd.

(15)

Aan de hand van de databank voor gestolen en verloren reisdocumenten (SLTD) van Interpol kunnen gemachtigde instanties die verantwoordelijk zijn voor het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten in de lidstaten, zoals immigratie- en grenscontrolediensten, vaststellen of een reisdocument geldig is. Het Etias bevraagt de SLTD-databank en de databank van Interpol voor reisdocumenten die voorkomen in Notices (TDAWN-databank) bijvoorbeeld in het kader van de beoordeling of het waarschijnlijk is dat een aanvrager van een reisautorisatie tot irreguliere migratie zal overgaan of een bedreiging voor de veiligheid zou kunnen vormen. Het ESP dient het mogelijk te maken de SLTD en de TDAWN te bevragen aan de hand van iemands identiteitsgegevens of reisdocumentgegevens. Wanneer persoonsgegevens vanuit de Unie via het ESP worden doorgegeven aan Interpol, dienen de bepalingen inzake internationale doorgiften in hoofdstuk V van Verordening (EU) 2016/679 van het Europees Parlement en de Raad (4), of de nationale bepalingen ter omzetting van hoofdstuk V van Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (5) van toepassing te zijn. Dit mag geen afbreuk doen aan de specifieke regels van Gemeenschappelijk Standpunt 2005/69/JBZ van de Raad (6) en van Besluit 2007/533/JBZ van de Raad (7).

(16)

Het ESP dient zodanig te worden ontwikkeld en geconfigureerd dat het alleen zulke bevragingen toestaat indien gegevens worden gebruikt die gerelateerd zijn aan personen of reisdocumenten of die in een Unie-informatiesysteem, in de Europol-gegevens of in de Interpol-databanken zijn opgenomen.

(17)

Om ervoor te zorgen dat de relevante Unie-informatiesystemen systematisch worden gebruikt, dient het ESP te worden gebruikt voor het doorzoeken van het CIR, EES, VIS, Etias, Eurodac en ECRIS-TCN. Een nationale verbinding met de verschillende Unie-informatiesystemen dient echter te blijven bestaan, bij wijze van technisch vangnet. Het ESP dient ook door Unie-agentschappen te worden gebruikt om het centrale SIS overeenkomstig hun toegangsrechten te doorzoeken voor het verrichten van hun taken. Het ESP dient een aanvullend middel te zijn voor het doorzoeken van het centrale SIS, de Europol-gegevens en de Interpol-databanken, ter aanvulling van de interfaces die daarvoor al beschikbaar zijn.

(18)

Biometrische gegevens zoals vingerafdrukken en gezichtsopnames zijn uniek en derhalve voor de identificatie van een persoon veel betrouwbaarder dan alfanumerieke gegevens. De gezamenlijke BMS dient als technisch instrument het werk van de relevante Unie-informatiesystemen en andere interoperabiliteitscomponenten te versterken en vereenvoudigen. De gezamenlijke BMS heeft als voornaamste doel de identificatie te vergemakkelijken van een natuurlijke persoon die wellicht geregistreerd is in verschillende databanken, door een enkele technologische component in plaats van verschillende componenten te gebruiken om iemands biometrische gegevens over verschillende systemen heen te matchen. De gezamenlijke BMS dient de veiligheid te bevorderen alsmede voordelen uit financieel, operationeel en onderhoudsoogpunt op te leveren. Alle geautomatiseerde vingerafdrukidentificatiesystemen, waaronder de momenteel voor Eurodac, het VIS en het SIS gebruikte toepassingen, maken gebruik van biometrische templates met gegevens die zijn verkregen door specifieke kenmerken te extraheren uit concrete biometrische informatie. De gezamenlijke BMS dient al deze biometrische templates, logisch gescheiden per informatiesysteem waaruit de gegevens afkomstig zijn, te bundelen en op één locatie op te slaan, zodat systeemoverschrijdende vergelijkingen op basis van biometrische templates gemakkelijker worden en schaalvoordelen bij de ontwikkeling en het onderhoud van de centrale Uniesystemen kunnen worden behaald.

(19)

De in de gezamenlijke BMS opgeslagen biometrische templates die zijn samengesteld op basis van gegevens die zijn verkregen door specifieke kenmerken te extraheren uit concrete biometrische informatie moeten op zodanige wijze worden vervaardigd dat het extraheringsproces niet kan worden teruggedraaid. Biometrische templates moeten worden verkregen uit biometrische gegevens zonder dat het mogelijk is om dezelfde biometrische gegevens uit de biometrische templates te verkrijgen. Aangezien handpalmafdrukken en DNA-profielen alleen in het SIS worden opgeslagen, en niet kunnen worden gebruikt voor kruiscontroles met gegevens in andere informatiesystemen, overeenkomstig de beginselen van noodzakelijkheid en evenredigheid, mogen in de gezamenlijke BMS geen DNA-profielen of biometrische templates worden opgeslagen die worden verkregen uit handpalmafdrukken.

(20)

Biometrische gegevens zijn gevoelige persoonsgegevens. Deze verordening dient de grondslag en de waarborgen vast te stellen voor de verwerking van dergelijke gegevens met het oog op de unieke identificatie van de betrokkenen.

(21)

Het EES, VIS, Etias, Eurodac en ECRIS-TCN vereisen accurate identificatie van de personen wier persoonsgegevens daarin worden opgeslagen. Het CIR dient de correcte identificatie van in die systemen geregistreerde personen te bevorderen en vereenvoudigen.

(22)

Persoonsgegevens die in die Unie-informatiesystemen zijn opgeslagen, kunnen betrekking hebben op dezelfde personen, van wie echter verschillende of onvolledige identiteitsgegevens kunnen zijn geregistreerd. De lidstaten beschikken over efficiënte manieren om hun burgers of de geregistreerde permanent ingezetenen op hun grondgebied te identificeren. De interoperabiliteit tussen de Unie-informatiesystemen dient bij te dragen tot de correcte identificatie van in die systemen opgenomen personen. In het CIR dienen de in de systemen opgenomen persoonsgegevens te worden opgeslagen die nodig zijn om die personen van wie de gegevens in die systemen zijn opgeslagen zo accuraat mogelijk te identificeren; waaronder hun identiteitsgegevens, reisdocumentgegevens en biometrische gegevens en het doet er niet toe in welk systeem de gegevens oorspronkelijk werden verzameld. Alleen de persoonsgegevens die strikt noodzakelijk zijn voor een accurate identiteitscontrole dienen in het CIR te worden opgeslagen. De in het CIR opgeslagen persoonsgegevens dienen niet langer te worden bewaard dan strikt noodzakelijk is voor de doeleinden van de onderliggende systemen en dienen automatisch te worden gewist wanneer de gegevens worden verwijderd uit de onderliggende systemen, met inachtneming van de logische scheiding daarvan.

(23)

Een nieuwe verwerkingsverrichting die erin bestaat dat die gegevens worden opgeslagen in het CIR in plaats van in elk van de afzonderlijke systemen, is noodzakelijk om de nauwkeurigheid te kunnen bevorderen van de identificatie door middel van het geautomatiseerde vergelijken en matchen van de gegevens. Het feit dat identiteits-, reisdocument- en biometrische gegevens in het CIR worden opgeslagen, mag op geen enkele wijze de gegevensverwerking voor de doeleinden van het EES, VIS, Etias, Eurodac of ECRIS-TCN verhinderen, aangezien het CIR een nieuwe gezamenlijke component van dergelijke onderliggende systemen dient te zijn.

(24)

Daarom moet in het CIR een afzonderlijk bestand te worden aangelegd voor eenieder die is geregistreerd in het EES, VIS, Etias, Eurodac of ECRIS-TCN, zowel ter verwezenlijking van het doel van correcte identificatie van personen binnen het Schengengebied als ter ondersteuning van de MID met als tweeledige doel de identiteitscontrole van bonafide reizigers te vergemakkelijken en identiteitsfraude te bestrijden. Het afzonderlijke bestand moet alle aan een persoon gelinkte identiteitsinformatie op één plaats bewaren en moet naar behoren gemachtigde eindgebruikers toegang bieden tot die informatie.

(25)

Het CIR dient aldus de autoriteiten die verantwoordelijk zijn voor het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten op eenvoudiger en gestroomlijnde wijze toegang te bieden tot de Unie-informatiesystemen die niet uitsluitend zijn ingesteld voor preventie, opsporing of onderzoek van ernstige criminaliteit.

(26)

Het CIR dient te voorzien in een gedeelde datacontainer voor identiteits-, reisdocument- en biometrische gegevens van personen die geregistreerd zijn in het EES, VIS, Etias, Eurodac en ECRIS-TCN. Het moet deel uitmaken van de technische architectuur van deze systemen en fungeren als de gezamenlijke component daarvan voor het opslaan en doorzoeken van de identiteits-, reisdocument- en biometrische gegevens.

(27)

Alle records in het CIR dienen logisch te worden gescheiden door elke record automatisch te voorzien van een label met de naam van het onderliggende systeem waarvan het deel uitmaakt. Bij de toegangscontroles van het CIR dienen deze labels te worden gebruikt om te bepalen of een record al dan niet toegankelijk is.

(28)

Wanneer een lidstatelijke politieautoriteit een persoon niet kan identificeren vanwege het ontbreken van een reisdocument of ander betrouwbaar document dat de identiteit van de betrokkene aantoont, of wanneer er twijfel bestaat over de identiteitsgegevens geleverd door de betrokkene of over de echtheid van het reisdocument of de identiteit van de houder ervan, of wanneer de betrokkene niet in staat of bereid is medewerking te verlenen, moet die politieautoriteit het CIR kunnen doorzoeken om de persoon te identificeren. Daartoe dienen de politieautoriteiten vingerafdrukken af te nemen met behulp van live-scantechnieken voor vingerafdrukken en moet de zoekopdracht in aanwezigheid van die persoon wordt gestart. Dergelijke zoekopdrachten van het CIR mogen niet worden toegestaan met het oog op de identificatie van minderjarigen onder de leeftijd van twaalf jaar, tenzij dit in het belang van het kind is.

(29)

Als de biometrische gegevens van een persoon niet kunnen worden gebruikt of wanneer een zoekopdracht aan de hand van die gegevens geen resultaat oplevert, dient te worden gezocht aan de hand van de identiteitsgegevens van de persoon in combinatie met reisdocumentgegevens. Als de zoekopdracht uitwijst dat er gegevens over die persoon zijn opgeslagen in het CIR, dienen de lidstatelijke autoriteiten toegang te hebben tot het CIR om de in het CIR opgeslagen identiteits- en reisdocumentgegevens van die persoon te raadplegen, zonder dat het CIR op enige wijze duidelijk maakt van welk Unie-informatiesysteem die gegevens deel uitmaken.

(30)

De lidstaten dienen nationale wetgevingsmaatregelen vast te stellen tot aanwijzing van de autoriteiten die bevoegd zijn voor het uitvoeren van identiteitscontroles met behulp van het CIR en tot vaststelling van de procedures, voorwaarden en criteria voor zulke controles, die moeten stroken met het evenredigheidsbeginsel. Het nationaal recht dient met name te voorzien in de bevoegdheid om biometrische gegevens te verzamelen wanneer iemand door een personeelslid van voornoemde autoriteiten aan een identiteitscontrole wordt onderworpen.

(31)

Deze verordening dient het tevens mogelijk te maken om de aangewezen autoriteiten die verantwoordelijk zijn voor het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten van de lidstaten alsmede Europol gestroomlijnde toegang te bieden tot andere gegevens dan identiteits- of reisdocumentgegevens in het EES, VIS, Etias of Eurodac. In specifieke gevallen wanneer er gegronde redenen zijn om aan te nemen dat de raadpleging van die gegevens zal bijdragen tot het voorkomen, opsporen of onderzoeken van de terroristische misdrijven of andere ernstige strafbare feiten in kwestie, bevatten de systemen zulke gegevens die noodzakelijk kunnen zijn om terroristische misdrijven of andere ernstige strafbare feiten te voorkomen, op te sporen of te onderzoeken, met name wanneer er een gegrond vermoeden bestaat dat de verdachte, de dader of het slachtoffer van een terroristisch misdrijf of ander ernstig strafbaar feit een persoon is wiens gegevens zijn opgeslagen in het EES, VIS, Etias of Eurodac.

(32)

De volledige toegang tot de gegevens in het EES, VIS, ETIAS of Eurodac die noodzakelijk is met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten, anders dan de toegang tot in het CIR bijgehouden identiteits- of reisdocumentgegevens dient onderworpen te blijven aan de toepasselijke rechtsinstrumenten. De aangewezen autoriteiten die verantwoordelijk zijn voor het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten en Europol weten vooraf niet welke Unie-informatiesystemen gegevens bevatten van de personen over wie zij informatie nodig hebben. Dit leidt tot vertragingen en inefficiëntie. De door de aangewezen autoriteit gemachtigde eindgebruiker dient derhalve te kunnen zien in welke van de Unie-informatiesystemen de gegevens betreffende de ingevoerde zoekopdracht worden geregistreerd. Het betrokken systeem moet dus worden gemarkeerd nadat automatisch is geverifieerd dat het systeem een match bevat (matchmarkering).

(33)

In dit verband mag een antwoord van het CIR niet worden opgevat en gebruikt als grond of reden om met betrekking tot een persoon conclusies te trekken of maatregelen te nemen, maar mag dat antwoord alleen worden gebruikt voor een verzoek om toegang tot de onderliggende Unie-informatiesystemen overeenkomstig de voor de toegang daartoe geldende voorwaarden en procedures die in de respectieve rechtsinstrumenten zijn vastgelegd. Een dergelijk verzoek om toegang moet onderworpen zijn aan hoofdstuk VII van deze verordening en in voorkomend geval Verordening (EU) 2016/679, Richtlijn (EU) 2016/680 of Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (8) van toepassing.

(34)

Als algemene regel geldt dat wanneer uit een matchmarkering blijkt dat de gegevens zijn geregistreerd in het EES, VIS, Etias, VIS of Eurodac, de aangewezen autoriteiten of Europol moeten verzoeken om volledige toegang tot ten minste een van de betrokken Unie-informatiesystemen. Indien bij wijze van uitzondering niet om volledige toegang wordt verzocht, bijvoorbeeld omdat de aangewezen autoriteiten of Europol de gegevens reeds op andere wijze hebben verkregen of omdat het verkrijgen van de gegevens niet langer is toegestaan krachtens het nationale recht, moet de reden waarom niet om toegang wordt verzocht, worden geregistreerd.

(35)

De logbestanden van de zoekopdrachten van het CIR moeten het doel van de zoekopdracht vermelden. Als een zoekopdracht is verricht door raadpleging via de tweefasenaanpak, moeten de logbestanden een verwijzing bevatten naar het nationale dossier van het onderzoek of de zaak en daarbij vermelden dat de zoekopdracht is gestart met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten.

(36)

Wil een zoekopdracht in het CIR door de aangewezen autoriteiten en Europol leiden tot een antwoord met matchmarkering waaruit blijkt dat de gegevens zijn geregistreerd in het EES, VIS, Etias of Eurodac, dan is automatische verwerking van persoonsgegevens vereist. Een matchmarkering mag geen persoonsgegevens onthullen, maar hoogstens vermelden dat bepaalde persoonsgegevens van de betrokkene in een van de systemen zijn opgeslagen. De gemachtigde eindgebruiker mag niet louter op grond van een matchmarkering een beslissing nemen die ongunstig is voor de betrokkene. De toegang van een eindgebruiker tot een matchmarkering houdt dan ook een zeer beperkte inmenging in het recht op bescherming van de persoonsgegevens van de betrokkene in en stelt de aangewezen autoriteiten en Europol in staat om doeltreffender te verzoeken om toegang tot persoonsgegevens.

(37)

Om de werking van het gemeenschappelijke identiteitsregister te ondersteunen en de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN te bevorderen, dient een MID te worden opgezet. Al deze Unie-informatiesystemen kunnen alleen aan hun respectieve doelstellingen beantwoorden, als de personen wier persoonsgegevens erin worden opgeslagen, nauwkeurig worden geïdentificeerd.

(38)

Om de doelstellingen van Unie-informatiesystemen beter te kunnen verwezenlijken, dienen de autoriteiten die die systemen gebruiken, in staat te zijn om een voldoende betrouwbare verificatie te verrichten van de identiteit van personen van wie gegevens in verschillende systemen worden opgeslagen. De reeks identiteits- of reisdocumentgegevens die is opgeslagen in een bepaald systeem kan onjuist, onvolledig of frauduleus zijn en op dit moment is het niet mogelijk onjuiste, onvolledige of frauduleuze identiteits- of reisdocumentgegevens op te sporen door middel van vergelijking met gegevens die zijn opgeslagen in een ander systeem. Om deze situatie te verhelpen, is er op Unieniveau een technisch instrument nodig waarmee personen voor deze doeleinden accuraat kunnen worden geïdentificeerd.

(39)

De MID dient links tussen gegevens in de verschillende Unie-informatiesystemen aan te brengen en op te slaan, zodat meerdere identiteiten kunnen worden opgespoord, met als tweeledig doel zowel identiteitscontroles voor bonafide reizigers te vergemakkelijken als identiteitsfraude te bestrijden. De MID dient enkel de links te bevatten tussen gegevens over natuurlijke personen die in meer dan één Unie-informatiesysteem voorkomen. De gelinkte gegevens moeten strikt worden beperkt tot de gegevens die nodig zijn om te controleren of een persoon al dan niet op gerechtvaardigde wijze in verschillende systemen onder diverse identiteiten geregistreerd staat dan wel om te verduidelijken dat het bij twee personen met vergelijkbare identiteitsgegevens niet om dezelfde persoon hoeft te gaan. De gegevensverwerking via het ESP en de gezamenlijke BMS voor het aanbrengen van links tussen afzonderlijke bestanden in verschillende systemen dient tot het absolute minimum te worden beperkt en gaat dan ook niet verder dan de opsporing van meerdere identiteiten, wordt uitgevoerd op het moment dat nieuwe gegevens worden toegevoegd aan één van de systemen die de gegevens opslaat in het CIR of toevoegt in het SIS. De MID dient waarborgen te bevatten tegen mogelijke discriminatie en ongunstige beslissingen jegens personen met meerdere rechtmatige identiteiten.

(40)

Deze verordening voorziet in nieuwe gegevensverwerkingsverrichtingen voor het correct identificeren van de betrokkenen. Dit vormt een inmenging in hun grondrechten die worden beschermd door de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie. Aangezien de Unie-informatiesystemen alleen doeltreffend kunnen worden geïmplementeerd als de betrokkenen correct worden geïdentificeerd, is een dergelijke inmenging gerechtvaardigd op grond van dezelfde doelstellingen als die waarvoor elk van deze systemen tot stand is gebracht, namelijk het doeltreffende beheer van de grenzen van de Unie, de interne veiligheid van de Unie en de doeltreffende tenuitvoerlegging van het asiel- en visumbeleid van de Unie.

(41)

Het ESP en de gezamenlijke BMS dienen in het CIR en SIS opgeslagen gegevens over personen te vergelijken wanneer een nationale autoriteit of een Unie-agentschap nieuwe records aanmaakt of uploadt. Deze vergelijking moet automatisch worden verricht. Het CIR en het SIS dienen het gezamenlijke BMS te gebruiken om mogelijke links op te sporen op basis van biometrische gegevens. Het CIR en het SIS dienen gebruik te maken van het ESP om mogelijke links op basis van alfanumerieke gegevens op te sporen. Het CIR en het SIS dienen identieke of vergelijkbare gegevens over een persoon in meerdere systemen te kunnen identificeren. In voorkomend geval dient een link te worden aangebracht waaruit blijkt dat het om dezelfde persoon gaat. Het CIR en het SIS dienen zodanig te worden geconfigureerd dat kleine transliteratie- of spelfouten zodanig worden opgemerkt dat de betrokken persoon geen onnodige hinder ondervindt.

(42)

De nationale autoriteit of het Unie-agentschap dat de gegevens in het betrokken Unie-informatiesysteem heeft geregistreerd, dient de links te bevestigen of veranderen. Deze nationale autoriteit of dat Unie-agentschap dient toegang te hebben tot de gegevens die zijn opgeslagen in het CIR of SIS en in de MID met het oog op manuele verificatie van meerdere identiteiten.

(43)

Een manuele verificatie van meerdere identiteiten dient te worden gewaarborgd door de autoriteit die verantwoordelijk is voor het genereren of bijwerken van de gegevens die leiden tot een match naar aanleiding waarvan een link is aangebracht met reeds in een ander Unie-informatiesysteem opgeslagen gegevens. De voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit dient te beoordelen of er sprake is van meerdere identiteiten die op gerechtvaardigde of ongerechtvaardigde wijze naar dezelfde persoon verwijzen. Een dergelijke beoordeling dient, indien mogelijk, te worden uitgevoerd in aanwezigheid van de betrokkenen en, zo nodig, door om nadere toelichting of informatie te vragen. De beoordeling dient onverwijld te worden uitgevoerd, overeenkomstig de wettelijke voorschriften betreffende de juistheid van informatie op grond van het Unie- en nationale recht. Met name aan de grenzen wordt de bewegingsvrijheid van de betrokkenen voor de duur van de verificatie, hetgeen dan ook niet onbeperkt mag duren. Het bestaan van een gele link in de MID mag op zich geen grond voor weigering van toegang vormen en elk besluit tot toelating of weigering van toegang mag uitsluitend worden genomen op basis van de toepasselijke bepalingen van Verordening (EU) 2016/399 van het Europees Parlement en de Raad (9).

(44)

Voor links die zijn verkregen in verband met het SIS voor signaleringen van personen die worden gezocht met het oog op aanhouding ten behoeve van overlevering of uitlevering, van vermiste of kwetsbare personen, van personen die worden gezocht met het oog op een gerechtelijke procedure of personen die aan een onopvallende controle, ondervragingscontrole of gerichte controle moeten worden onderworpen, dient de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit het Sirene-bureau te zijn van de lidstaat die de signalering heeft gecreëerd. Deze categorieën SIS-signaleringen zijn gevoelig en mogen niet per se worden gedeeld met de autoriteiten die de daaraan gelinkte gegevens in een van de andere Unie-informatiesystemen creëren of bijwerken. Het aanbrengen van een link met SIS-gegevens dient de maatregelen die moeten worden genomen overeenkomstig Verordeningen (EU) 2018/1860 (10), (EU) 2018/1861 (11) en (EU) 2018/1862 (12) van het Europees Parlement en de Raad onverlet te laten.

(45)

Het aanbrengen van dergelijke links vereist transparantie ten opzichte van de betrokkenen. Om de tenuitvoerlegging van de nodige waarborgen overeenkomstig de toepasselijke gegevensbeschermingsregels van de Unie te vergemakkelijken, dienen personen voor wie na manuele verificatie van meerdere identiteiten een rode of witte link is aangemaakt, schriftelijk te worden geïnformeerd, zonder afbreuk te doen aan beperkingen om de veiligheid en de openbare orde te beschermen, criminaliteit te voorkomen en ervoor te zorgen dat nationale onderzoeken niet in gevaar komen. Deze personen moeten een uniek identificatienummer krijgen aan de hand waarvan zij kunnen bepalen tot welke autoriteit zij zich moeten wenden om hun rechten uit te oefenen.

(46)

Wanneer er een gele link wordt aangemaakt, moet de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit toegang hebben tot de MID. Wanneer er een rode link is, moeten de lidstatelijke autoriteiten en Unie-agentschappen die toegang hebben tot ten minste één in het CIR of het SIS opgenomen Unie-informatiesysteem toegang hebben tot de MID. Een rode link wijst erop dat een persoon op ongerechtvaardigde wijze gebruikmaakt van meerdere identiteiten of dat een persoon de identiteit van iemand anders gebruikt.

(47)

Wanneer er een witte of een groene link bestaat tussen gegevens van twee Unie-informatiesystemen, moeten de lidstatelijke autoriteiten en Unie-agentschappen ook toegang hebben tot de MID wanneer de autoriteit of het betrokken agentschap toegang heeft tot beide informatiesystemen. Dergelijke toegang mag alleen worden verleend om die autoriteit of dat agentschap in staat te stellen mogelijke gevallen van foutief gelinkte gegevens of van in strijd met deze verordening in de MID, het CIR en het SIS verwerkte gegevens op te sporen en maatregelen te nemen om de situatie recht te zetten en de link bij te werken of te wissen.

(48)

Het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) dient geautomatiseerde mechanismen voor de controle van gegevenskwaliteit en gemeenschappelijke indicatoren voor gegevenskwaliteit vast te stellen. eu-LISA dient een centrale controlecapaciteit voor gegevenskwaliteit te ontwikkelen en regelmatig verslag uit te brengen over de gegevenskwaliteit, teneinde de controle te verbeteren van de wijze waarop de lidstaten de Unie-informatiesystemen implementeren. De gemeenschappelijke kwaliteitsindicatoren dienen de minimumkwaliteitsnormen voor gegevensopslag in de Unie-informatiesystemen en de interoperabiliteitscomponenten te omvatten. Met behulp van dergelijke gegevenskwaliteitsnormen dienen de Unie-informatiesystemen en interoperabiliteitscomponenten kennelijk onjuiste of inconsistente gegevensinvoer automatisch te kunnen herkennen, zodat de lidstaat die de gegevens heeft ingevoerd deze kan verifiëren en zo nodig corrigerende maatregelen kan nemen.

(49)

De Commissie dient de kwaliteitsverslagen van eu-LISA te evalueren en zo nodig aanbevelingen te doen aan de lidstaten. De lidstaten dienen te worden belast met het opstellen van een actieplan met een beschrijving van de maatregelen om tekortkomingen in de kwaliteit van de gegevens te verhelpen en dienen regelmatig verslag uit te brengen over de geboekte voortgang.

(50)

Het Universal Message Format (UMF) dient als norm te gelden voor de gestructureerde, grensoverschrijdende informatie-uitwisseling tussen informatiesystemen, autoriteiten of organisaties op het gebied van justitie en binnenlandse zaken. Het UMF dient een gemeenschappelijk vocabularium en logische structuren voor informatie-uitwisseling vast te stellen met als doel de interoperabiliteit te bevorderen door het mogelijk te maken de inhoud van de uitwisseling op een consistente en semantisch gelijkwaardige manier te creëren en te lezen.

(51)

Toepassing van de UMF-norm is facultatief in SIS en in andere bestaande of nieuwe grensoverschrijdende informatie-uitwisselingsmodellen en informatiesystemen op het gebied van justitie en binnenlandse zaken die worden ontwikkeld door lidstaten.

(52)

Er moet worden voorzien in een centraal register voor rapportage en statistieken (CRRS) om systeemoverschrijdende statistische gegevens en analytische verslagen te genereren voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit, in overeenstemming met de toepasselijke rechtsinstrumenten. eu-LISA dient op zijn technische locaties te zorgen voor het opstellen, implementeren en hosten van het CRRS. Het register moet statistische gegevens van de Unie-informatiesystemen, het CIR, de MID en de gezamenlijke BMS anonimiseren. Het mag niet mogelijk zijn om aan de hand van de in het CRRS opgenomen gegevens personen te identificeren. eu-LISA dient de gegevens automatisch te anonimiseren en de geanonimiseerde gegevens te registreren in het CRRS. Het anonimiseren van de gegevens dient automatisch te gebeuren en aan het personeel van eu-LISA mag geen directe toegang worden verleend tot persoonsgegevens die zijn opgeslagen in de Unie-informatiesystemen of de interoperabiliteitscomponenten.

(53)

Verordening (EU) 2016/679 is van toepassing op de verwerking van persoonsgegevens ten behoeve van de interoperabiliteit door de nationale autoriteiten uit hoofde van deze verordening, tenzij de verwerking wordt verricht door de aangewezen autoriteiten of centrale toegangspunten van de lidstaten met het oog op het voorkomen, onderzoeken of opsporen van terroristische misdrijven of andere ernstige strafbare feiten.

(54)

Indien de verwerking van persoonsgegevens door de lidstaten ten behoeve van de interoperabiliteit door de bevoegde autoriteiten overeenkomstig deze verordening wordt uitgevoerd met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of van andere ernstige strafbare feiten, is Richtlijn (EU) 2016/680 van toepassing.

(55)

Verordening (EU) 2016/679, Verordening (EU) 2018/1725 of, in voorkomend geval, Richtlijn (EU) 2016/680 zijn van toepassing op doorgiften van persoonsgegevens aan derde landen of internationale organisaties overeenkomstig deze verordening. Onverminderd de gronden voor doorgifte uit hoofde van hoofdstuk V van Verordening (EU) nr. 2016/679 of in voorkomend geval Richtlijn (EU) nr. 2016/680, mag elke rechterlijke uitspraak en elke beslissing van een administratieve autoriteit van een derde land op grond waarvan een voor verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd is op een internationale overeenkomst tussen het verzoekende derde land en de Unie of een lidstaat.

(56)

De specifieke voorschriften inzake gegevensbescherming van Verordeningen (EU) 2017/2226 (13), (EG) nr. 767/2008 (14), (EU) 2018/1240 (15) van het Europees Parlement en de Raad en Verordening (EU) 2018/1861 zijn van toepassing op de verwerking van persoonsgegevens in de systemen die onder deze verordening vallen.

(57)

Verordening (EU) 2018/1725 is van toepassing op de verwerking van persoonsgegevens door eu-LISA en andere instellingen en organen van de Unie wanneer deze hun taken in het kader van deze verordening uitvoeren, onverminderd Verordening (EU) 2016/794 van het Europees Parlement en de Raad (16), die geldt voor de verwerking van persoonsgegevens door Europol.

(58)

De in Verordening (EU) 2016/679 of Richtlijn (EU) 2016/680 bedoelde toezichthoudende autoriteiten dienen toe te zien op de rechtmatigheid van de verwerking van persoonsgegevens door de lidstaten. De Europese Toezichthouder voor gegevensbescherming toezicht dient uit te oefenen op de werkzaamheden van de instellingen en organen van de Unie in verband met de verwerking van persoonsgegevens. De Europese Toezichthouder voor gegevensbescherming en de toezichthoudende autoriteiten dienen samen te werken bij het toezicht op de verwerking van persoonsgegevens door interoperabiliteitscomponenten. Om de Europese Toezichthouder voor gegevensbescherming in staat te stellen de hem krachtens deze verordening toevertrouwde taken te vervullen, zijn voldoende — zowel personele als financiële — middelen nodig.

(59)

De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (17) en heeft op 16 april 2018 advies uitgebracht (18).

(60)

De Groep gegevensbescherming artikel 29 heeft op 11 april 2018 advies uitgebracht.

(61)

Zowel de lidstaten als eu-LISA dienen beveiligingsplannen bij te houden om de uitvoering van hun verplichtingen op het gebied van beveiliging te vereenvoudigen, en met elkaar samen te werken om beveiligingsvraagstukken vanuit een gemeenschappelijke invalshoek te benaderen. eu-LISA dient er ook voor te zorgen dat steeds gebruik wordt gemaakt van de meest recente technologische ontwikkelingen teneinde de gegevensintegriteit te waarborgen in het kader van de ontwikkeling, het ontwerp en het beheer van de interoperabiliteitscomponenten. De verplichtingen van eu-LISA in dit verband houden onder meer in dat alle nodige maatregelen worden getroffen om te voorkomen dat onbevoegden, zoals personeel van externe dienstverleners, toegang krijgen tot persoonsgegevens die via de interoperabiliteitscomponenten worden verwerkt. Bij de gunning van contracten voor het verstrekken van diensten moeten de lidstaten en eu-LISA alle maatregelen die nodig zijn om de naleving van de wet- of regelgeving inzake de bescherming van persoonsgegevens en de persoonlijke levenssfeer van natuurlijke personen te garanderen of wezenlijke veiligheidsbelangen te waarborgen, overeenkomstig Verordening (EU, Euratom) nr. 2018/1046 van het Europees Parlement en de Raad (19) en de toepasselijke internationale verdragen. eu-LISA moet de beginselen van privacy door ontwerp en door standaardinstellingen toepassen bij de ontwikkeling van de interoperabiliteitscomponenten.

(62)

De implementatie van de interoperabiliteitscomponenten van deze verordening zal effecten hebben op de wijze waarop controles aan de grensdoorlaatposten worden verricht. Deze effecten zullen voortvloeien uit de gecombineerde toepassing van de bestaande regels van Verordening (EU) 2016/399 en de regels inzake interoperabiliteit van deze verordening.

(63)

Als gevolg van deze gecombineerde toepassing van de regels dient het ESP het belangrijkste toegangspunt te zijn voor de verplichte stelselmatige raadpleging van databanken in verband met personen aan grensdoorlaatposten, overeenkomstig Verordening (EU) 2016/399. Bovendien dienen de identiteits- of reisdocumentgegevens die ertoe hebben geleid dat een link in de MID als rood is geclassificeerd, in aanmerking te worden genomen door de grenswachters voor de beoordeling of de betrokkene voldoet aan de voorwaarden voor toegang als omschreven in Verordening (EU) 2016/399. Het bestaan van een rode link alleen mag op zich echter geen grond zijn voor weigering van toegang en de bestaande gronden voor weigering van toegang zoals die worden vermeld in Verordening (EU) 2016/399, hoeven dan ook niet te worden gewijzigd.

(64)

Het zou passend zijn om het praktisch handboek voor grenswachters bij te werken om deze punten te verduidelijken.

(65)

Als een zoekopdracht aan de MID via het ESP leidt tot een gele link of tot de constatering van een rode link, dan dient de grenswachter het CIR of het SIS te raadplegen om de informatie over de te controleren persoon te beoordelen, zijn andere identiteitsgegevens manueel te verifiëren en de kleur van de link zo nodig aan te passen.

(66)

Ter ondersteuning van de rapportage en statistieken is het noodzakelijk toegang te verlenen aan gemachtigde personeelsleden van de in deze verordening bedoelde bevoegde autoriteiten, Unie-instellingen en Unie-agentschappen, zodat zij bepaalde gegevens kunnen raadplegen die verband houden met bepaalde interoperabiliteitscomponenten, zonder dat individuele identificatie mogelijk wordt gemaakt.

(67)

Om de lidstatelijke autoriteiten en de Unie-agentschappen in staat te stellen zich aan te passen aan de nieuwe vereisten inzake het gebruik van het ESP, dient er te worden voorzien in een overgangsperiode. Evenzo dienen met het oog op een samenhangende en optimale werking van de MID overgangsmaatregelen te worden vastgesteld voor de ingebruikneming ervan.

(68)

Daar de doelstelling van deze verordening, namelijk de vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen, niet voldoende door de lidstaten kan worden verwezenlijkt, maar vanwege de omvang en de effecten van de actie beter door de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie (VEU) neergelegde subsidiariteitsbeginsel, maatregelen treffen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstelling te verwezenlijken.

(69)

Het saldo van de begroting die in Verordening (EU) nr. 515/2014 van het Europees Parlement en de Raad is uitgetrokken voor slimme grenzen (20) moet overeenkomstig artikel 5, lid 5, onder b), van Verordening (EU) nr. 515/2014 worden herbestemd om de kosten in verband met het ontwikkelen van de interoperabiliteitscomponenten te dekken.

(70)

Ter aanvulling van bepaalde gedetailleerde technische aspecten van deze verordening dient de bevoegdheid om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie (VWEU) handelingen vast te stellen, aan de Commissie te worden gedelegeerd met betrekking tot:

de verlenging van de overgangsperiode voor het gebruik van het ESP;

de verlenging van de overgangsperiode voor het gebruik van detectie van meerdere identiteiten door de centrale Etias-eenheid;

de procedures voor de bepaling van de gevallen waarin identiteitsgegevens als identiek of vergelijkbaar worden beschouwd;

de regels inzake de werking van het CRRS, met inbegrip van de voor het register geldende specifieke waarborgen voor de verwerking van persoonsgegevens en beveiligingsvoorschriften, en

gedetailleerde voorschriften voor het beheer van het webportaal.

Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden, onder meer op deskundigenniveau, passende raadplegingen verricht overeenkomstig de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven (21). Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen, dienen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip te ontvangen als de deskundigen van de lidstaten, en dienen hun deskundigen systematisch toegang te hebben tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

(71)

Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om de data te bepalen waarop het ESP, de gezamenlijke BMS, het CIR, de MID en het CRRS hun werking moeten starten.

(72)

Aan de Commissie moeten ook uitvoeringsbevoegdheden worden toegekend om gedetailleerde regels vast te stellen inzake: de technische details van profielen voor de eindgebruikers van het ESP; de specificaties van de technische oplossing om het doorzoeken van de Unie-informatiesystemen, Europol-gegevens en het bevragen van Interpol-databanken via het ESP mogelijk te maken en het formaat van de antwoorden van het ESP; de technische voorschriften voor het aanmaken van links in de MID tussen gegevens uit verschillende Unie-informatiesystemen; de inhoud en presentatie van het formulier voor het informeren van de betrokkene wanneer een rode link wordt aangemaakt; de prestatievereisten en controle van de prestaties van de gezamenlijke BMS; de mechanismen, procedures en indicatoren voor de geautomatiseerde controle van gegevenskwaliteit; de ontwikkeling van de UMF-norm; de samenwerkingsprocedure die moet worden gevolgd bij veiligheidsincidenten; en de specificaties van de technische oplossing voor de lidstaten voor het beheer van verzoeken om toegang van gebruikers. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (22).

(73)

Aangezien de interoperabiliteitscomponenten de verwerking van aanzienlijke hoeveelheden gevoelige persoonsgegevens met zich brengen, moeten personen van wie door middel van die componenten gegevens worden verwerkt, hun rechten daadwerkelijk kunnen uitoefenen als betrokkenen overeenkomstig Verordening (EU) 2016/679, Richtlijn (EU) 2016/680 en Verordening (EU) nr. 2018/1725. De betrokkenen dienen toegang te krijgen tot een webportaal waarmee zij hun rechten van inzage in en rectificatie, wissing en beperking van de verwerking van hun persoonsgegevens kunnen uitoefenen. eu-LISA moet een dergelijk webportaal opzetten en beheren.

(74)

Een van de kernbeginselen van gegevensbescherming is minimale gegevensverwerking: overeenkomstig artikel 5, lid 1, onder c), van Verordening (EU) 2016/679, moet de verwerking van persoonsgegevens toereikend zijn, ter zake dienend zijn en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Om deze reden voorzien de interoperabiliteitsonderdelen niet in de opslag van nieuwe persoonsgegevens, met uitzondering van de in de MID opgeslagen links, die het minimum zijn dat voor de toepassing van deze verordening noodzakelijk is.

(75)

Deze verordening dient duidelijke bepalingen te omvatten betreffende aansprakelijkheid en het recht op schadevergoeding wegens onrechtmatige verwerking van persoonsgegevens en voor andere met deze verordening onverenigbare handelingen. Dergelijke bepalingen doen geen afbreuk aan het recht op schadevergoeding door en de aansprakelijkheid van de verwerkingsverantwoordelijke of de verwerker uit hoofde van Verordening (EU) 2016/679, Richtlijn (EU) 2016/680 en Verordening (EG) nr. 2018/1725. eu-LISA moet verantwoordelijk zijn voor schade die het veroorzaakt in de hoedanigheid van verwerker wanneer het niet heeft voldaan aan de specifiek erop rustende verplichtingen van deze verordening, of wanneer het heeft gehandeld buiten dan wel in strijd met de rechtmatige instructies van de lidstaat die de verwerkingsverantwoordelijke is.

(76)

Deze verordening laat de toepassing van Richtlijn 2004/38/EG van het Europees Parlement en de Raad (23) onverlet.

(77)

Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 betreffende de positie van Denemarken, dat aan het VEU en het VWEU is gehecht, neemt Denemarken niet deel aan de vaststelling van deze verordening, die derhalve niet bindend is voor, noch van toepassing is op deze lidstaat. Aangezien deze verordening voortbouwt op het Schengenacquis, beslist Denemarken overeenkomstig artikel 4 van dit protocol binnen een termijn van zes maanden nadat de Raad heeft beslist over deze verordening of het deze in zijn nationaal recht zal omzetten.

(78)

Deze verordening houdt een ontwikkeling in van de bepalingen van het Schengenacquis waaraan het Verenigd Koninkrijk niet deelneemt, overeenkomstig Besluit 2000/365/EG van de Raad (24); het Verenigd Koninkrijk neemt derhalve niet deel aan de aanneming van deze verordening, die niet bindend is voor, noch van toepassing is op deze lidstaat.

(79)

Deze verordening houdt een ontwikkeling in van de bepalingen van het Schengenacquis waaraan Ierland niet deelneemt, overeenkomstig Besluit 2002/192/EG van de Raad (25); Ierland neemt derhalve niet deel aan de aanneming van deze verordening, die niet bindend is voor, noch van toepassing is op deze lidstaat.

(80)

Wat IJsland en Noorwegen betreft, houdt deze verordening een ontwikkeling in van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (26), die vallen onder het gebied bedoeld in artikel 1, punten A, B, C en G, van Besluit 1999/437/EG van de Raad (27).

(81)

Wat Zwitserland betreft, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (28), die vallen onder het gebied bedoeld in artikel 1, onder A, B, C en G, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2008/146/EG van de Raad (29).

(82)

Wat Liechtenstein betreft, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (30), die vallen onder het gebied bedoeld in artikel 1, onder A, B, C en G, van Besluit 1999/437/EG van de Raad, in samenhang met artikel 3 van Besluit 2011/350/EU van de Raad (31).

(83)

Deze verordening eerbiedigt de grondrechten en de beginselen die met name zijn vastgelegd in het Handvest van de grondrechten van de Europese Unie, en dient te worden toegepast overeenkomstig die rechten en beginselen.

(84)

Om ervoor te zorgen dat deze verordening past in het bestaande rechtskader dienen Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 20108/1726 en (EU) 2018/1861, en Beschikking 2004/512/EG van de Raad (32) en Besluit 2008/633/JBZ van de Raad (33) dienovereenkomstig te worden gewijzigd,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I

Algemene bepalingen

Artikel 1

Onderwerp

1.   Deze verordening stelt, samen met Verordening (EU) 2019/818 van het Europees Parlement en de Raad (34), een kader vast dat ervoor moet zorgen dat het inreis-uitreissysteem (EES), het Visuminformatiesysteem (VIS), het Europees systeem voor reisinformatie en -autorisatie (Etias), Eurodac, het Schengeninformatiesysteem (SIS) en het Europees Strafregister Informatiesysteem voor onderdanen van derde landen (ECRIS-TCN) interoperabel zijn.

2.   Het kader bestaat onder meer uit de volgende interoperabiliteitscomponenten:

a)

een Europees zoekportaal (European search portal — ESP);

b)

een gezamenlijke dienst voor biometrische matching (biometric matching service — gezamenlijke BMS);

c)

een gemeenschappelijk identiteitsregister (common identity repository — CIR);

d)

een detector van meerdere identiteiten (multiple-identity detector — MID).

3.   De verordening bevat ook bepalingen inzake de vereisten op het gebied van gegevenskwaliteit, inzake een Universal Message Format (UMF) en inzake een centraal register voor rapportage en statistieken (CRRS), alsook een omschrijving van de verantwoordelijkheden van de lidstaten en van het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) met betrekking tot het ontwerp, de ontwikkeling en de werking van de interoperabiliteitscomponenten.

4.   De verordening behelst tevens een aanpassing van de procedures en voorwaarden waaraan de aangewezen autoriteiten en het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) zich moeten houden om toegang tot het EES, VIS, Etias en Eurodac te krijgen met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten.

5.   In deze richtlijn wordt ook een kader vastgesteld voor het verifiëren van de identiteiten van personen en voor het identificeren van personen.

Artikel 2

Doelstellingen

1.   Door de interoperabiliteit te waarborgen, dient deze verordening de volgende doelstellingen:

a)

verhogen van de doeltreffendheid en doelmatigheid van grenscontroles aan de buitengrenzen;

b)

bijdragen tot het voorkomen en bestrijden van illegale immigratie;

c)

bijdragen aan een hoog veiligheidsniveau in de ruimte van vrijheid, veiligheid en recht van de Unie, met inbegrip van handhaving van de openbare orde en veiligheid en vrijwaring van de veiligheid op het grondgebied van de lidstaten;

d)

verbeteren van de uitvoering van het gemeenschappelijk visumbeleid;

e)

verlenen van bijstand bij de behandeling van verzoeken om internationale bescherming;

f)

bijdragen aan het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten;

g)

bieden van ondersteuning bij de identificatie van onbekende personen die niet in staat zijn zichzelf te legitimeren of van niet-geïdentificeerde stoffelijke overschotten bij natuurrampen, ongevallen of terroristische aanslagen.

2.   De in lid 1 bedoelde doelstellingen worden bereikt door:

a)

de correcte identificatie van personen te verzekeren;

b)

bij te dragen tot de bestrijding van identiteitsfraude;

c)

te zorgen voor gegevens van hogere kwaliteit en geharmoniseerde vereisten inzake de kwaliteit van gegevens die zijn opgeslagen in de Unie-informatiesystemen, met inachtneming van de gegevensbeschermingsvoorschriften waarin de rechtsinstrumenten voor de afzonderlijke systemen voorzien, en van de gegevensbeschermingsnormen en -beginselen;

d)

de technische en operationele implementatie van bestaande Unie-informatiesystemen door de lidstaten te vergemakkelijken en te ondersteunen;

e)

de gegevensbeveiliging en -beschermingsvoorwaarden voor de respectieve Unie-informatiesystemen strenger, eenvoudiger en uniformer te maken, zonder afbreuk te doen aan de bijzondere bescherming en waarborgen die op bepaalde gegevenscategorieën van toepassing zijn;

f)

de voorwaarden voor de toegang van aangewezen autoriteiten tot het EES, VIS, Etias en Eurodac te stroomlijnen en te zorgen voor noodzakelijke en evenredige voorwaarden voor die toegang;

g)

de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en het ECRIS-TCN te ondersteunen.

Artikel 3

Toepassingsgebied

1.   Deze verordening is van toepassing op het EES, VIS, Etias en SIS.

2.   Deze verordening is van toepassing op personen ten aanzien van wie persoonsgegevens mogen worden verwerkt in de in lid 1 van dit artikel bedoelde Unie-informatiesystemen en wier gegevens worden verzameld voor de doeleinden als omschreven in de artikel 1 en 2 van Verordening (EG) nr. 767/2008, artikel 1 van Verordening (EU) 2017/2226, de artikelen 1 en 4 van Verordening (EU) 2018/1240, artikel 1 van Verordening (EU) nr. 2018/1860 en artikel 1 van Verordening (EU) 2018/1861.

Artikel 4

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1)   "buitengrenzen": de buitengrenzen in de zin van artikel 2, punt 2, van Verordening (EU) 2016/399;

2)   "grenscontroles": grenscontroles in de zin van artikel 2, punt 11, van Verordening (EU) 2016/399;

3)   "grensautoriteiten": de grenswachter die overeenkomstig het nationale recht is aangewezen voor het verrichten van grenscontroles;

4)   "toezichthoudende autoriteiten": de in artikel 51, lid 1, van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteit en de in artikel 41, lid 1, van Richtlijn (EU) 2016/680 bedoelde toezichthoudende autoriteit;

5)   "verificatie": het proces waarbij reeksen gegevens worden vergeleken om vast te stellen of een beweerde identiteit correct is (één-op-éénvergelijking);

6)   "identificatie": het proces waarbij de identiteit van een persoon wordt vastgesteld door middel van een zoekopdracht in een databank en vergelijking met meerdere reeksen gegevens (één-op-veelvergelijking);

7)   "alfanumerieke gegevens": door letters, cijfers, speciale tekens, spaties en leestekens weergegeven gegevens;

8)   "identiteitsgegevens": de in artikel 27, lid 3, onder a) tot en met e), bedoelde gegevens;

9)   "vingerafdrukgegevens": beelden van vingerafdrukken en beelden van latente vingerafdrukken die vanwege hun uniciteit en de erin vervatte referentiepunten accurate en definitieve vergelijkingen met iemands identiteit mogelijk maken;

10)   "gezichtsopname": een digitale afbeelding van het gezicht;

11)   "biometrische gegevens": vingerafdrukgegevens of gezichtsopnames of beiden;

12)   "biometrische template": een mathematische weergave die wordt verkregen door uit biometrische gegevens uitsluitend de kenmerken te extraheren die nodig zijn om identificaties en verificaties te verrichten;

13)   "reisdocument": een paspoort of een ander gelijkwaardig document dat de houder ervan het recht geeft de buitengrenzen te overschrijden en waarin een visum kan worden aangebracht;

14)   "reisdocumentgegevens": het type, het nummer en het land van uitgifte van het reisdocument, de datum waarop de geldigheidstermijn van het reisdocument verstrijkt, en de drielettercode van het land dat het reisdocument heeft afgegeven;

15)   "Unie-informatiesystemen": het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN;

16)   "Europol-gegevens": persoonsgegevens die door Europol worden verwerkt voor de in artikel 18, lid 2, onder a), b) en c), van Verordening (EU) 2016/794 bedoelde doeleinden;

17)   "Interpol-databanken": de Interpol-databank voor gestolen en verloren reisdocumenten (SLTD-databank) en de Interpol-databank voor reisdocumenten die voorkomen in Notices (TDAWN-databank);

18)   "match": het bestaan van een verband dat aan het licht wordt gebracht door een automatische vergelijking tussen persoonsgegevens die in een informatiesysteem of databank zijn of worden geregistreerd;

19)   "politieautoriteit": "bevoegde autoriteit" zoals gedefinieerd in artikel 3, punt 7, van Richtlijn (EU) 2016/680;

20)   "aangewezen autoriteiten": de aangewezen lidstatelijke autoriteiten zoals gedefinieerd in artikel 3, lid 1, punt 26, van Verordening (EU) 2017/2226, artikel 2, lid 1, onder e), van Besluit 2008/633/JBZ, en artikel 3, lid 1, punt 21, van Verordening (EU) 2018/1240;

21)   "terroristisch misdrijf": een strafbaar feit naar nationaal recht dat overeenkomt met of gelijkwaardig is aan een van de in Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad (35) bedoelde strafbare feiten;

22)   "ernstig strafbaar feit": een strafbaar feit dat overeenkomt met of gelijkwaardig is aan een van de in artikel 2, lid 2, van Kaderbesluit 2002/584/JBZ van de Raad (36) bedoelde strafbare feiten, indien het naar nationaal recht strafbaar is gesteld met een vrijheidsstraf of een tot vrijheidsbeneming strekkende maatregel met een maximumduur van minstens drie jaar;

23)   "inreis-uitreissysteem" of EES: het inreis-uitreissysteem als ingesteld bij Verordening (EU) 2017/2226;

24)   "visuminformatiesysteem" of "VIS": het Visuminformatiesysteem als ingesteld bij Verordening (EG) nr. 767/2008;

25)   "het Europees systeem voor reisinformatie en -autorisatie" of "Etias": het Europees systeem voor reisinformatie en -autorisatie als ingesteld bij Verordening (EU) nr. 2018/1240;

26)   "Eurodac": Eurodac als ingesteld bij Verordening (EU) nr. 603/2013 van het Europees Parlement en de Raad (37);

27)   "Schengeninformatiesysteem" of "SIS": het Schengeninformatiesysteem als ingesteld bij Verordeningen (EU) 2018/1860, (EU) 2018/1861 en (EU) 2018/1862;

28)   "ECRIS-TCN": het gecentraliseerde systeem voor de identificatie van lidstaten met informatie inzake veroordelingen van onderdanen van derde landen en staatlozen, ingesteld bij Verordening (EU) 2019/816 van het Europees Parlement en de Raad (38).

Artikel 5

Non-discriminatie en grondrechten

De verwerking van persoonsgegevens voor de toepassing van deze verordening mag niet leiden tot discriminatie van personen op grond van onder meer geslacht, ras, huidskleur, etnische afstamming of sociale afkomst, genetische kenmerken, taal, godsdienst of overtuiging, politieke of andere denkbeelden, het behoren tot een nationale minderheid, vermogen, geboorte, handicap, leeftijd of seksuele geaardheid. Bij de verwerking worden de menselijke waardigheid, integriteit en grondrechten ten volle gerespecteerd, met inbegrip van het recht op eerbiediging van de persoonlijke levenssfeer en bescherming van persoonsgegevens. Bijzondere aandacht wordt geschonken aan kinderen, ouderen, personen met een handicap en personen die internationale bescherming behoeven. Het belang van het kind komt op de eerste plaats.

HOOFDSTUK II

Het Europees zoekportaal

Artikel 6

Het Europees zoekportaal

1.   Er wordt een Europees zoekportaal (European search portal - ESP) ingesteld om ervoor te zorgen dat de lidstatelijke autoriteiten en de -Unie-agentschappensnel, ononderbroken, efficiënt, systematisch en gecontroleerd toegang hebben tot de Unie-informatiesystemen, de Europol-gegevens en de Interpol-databanken die zij nodig hebben om hun taken te verrichten overeenkomstig hun toegangsrechten en de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN.

2.   Het ESP bestaat uit:

a)

een centrale infrastructuur, waaronder een zoekportaal voor het gelijktijdig doorzoeken van het EES, VIS, Etias, Eurodac, SIS, ECRIS-TCN, alsmede van de Europol-gegevens en de Interpol-databanken;

b)

een beveiligd communicatiekanaal tussen het ESP, de lidstaten en de Unie-agentschappen die gebruik mogen maken van het ESP;

c)

een beveiligde communicatie-infrastructuur tussen het ESP en het EES, VIS, Etias, Eurodac, centrale SIS, ECRIS-TCN, de Europol-gegevens en de Interpol-databanken, alsmede tussen het ESP en de centrale infrastructuren van het CIR en de MID.

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van het ESP.

Artikel 7

Gebruik van het Europees zoekportaal

1.   Het gebruik van het ESP is voorbehouden aan de lidstatelijke autoriteiten en de Unie-agentschappen die toegang hebben tot ten minste een van de EU-informatiesystemen, overeenkomstig de rechtsinstrumenten met betrekking tot die EU-informatiesystemen, tot het CIR en de MID overeenkomstig deze verordening, tot Europol-gegevens overeenkomstig Verordening (EU) 2016/794 of tot de Interpol-databanken overeenkomstig het Unierecht of het desbetreffend nationaal recht.

Deze lidstatelijke autoriteiten en de Unie-agentschappen mogen het ESP en de door het ESP verstrekte gegevens alleen gebruiken voor de doelstellingen die zijn vastgelegd in de rechtsinstrumenten betreffende die Unie-informatiesystemen in Verordening (EU) 2016/794 en in deze verordening.

2.   De in lid 1 bedoelde lidstatelijke autoriteiten en de Unie-agentschappen gebruiken het ESP om overeenkomstig hun toegangsrechten als bedoeld in de rechtsinstrumenten met betrekking tot deze Unie-informatiesystemen of het nationaal recht gegevens over personen of hun reisdocumenten te doorzoeken in de centrale systemen van het EES, VIS en Etias. Zij maken eveneens gebruik van het ESP om overeenkomstig hun toegangsrechten uit hoofde van deze verordening het CIR te doorzoeken voor de in de artikelen 20, 21 en 22 bedoelde doeleinden.

3.   De in lid 1 bedoelde lidstatelijke autoriteiten kunnen het ESP gebruiken om gegevens over personen of hun reisdocumenten te doorzoeken in het centrale SIS bedoeld in Verordeningen (EU) 2018/1860 en (EU) 2018/1861.

4.   Indien het Unierecht hierin voorziet, gebruiken de in lid 1 bedoelde Unie-agentschappen het ESP voor het doorzoeken van gegevens over personen of hun reisdocumenten in het centrale SIS.

5.   De in lid 1 bedoelde lidstatelijke autoriteiten en Unie-agentschappen kunnen het ESP gebruiken om gegevens over reisdocumenten te bevragen in de Interpol-databanken indien hierin is voorzien en dit in overeenstemming is met hun toegangsrechten uit hoofde van het Unierecht of het nationaal recht.

Artikel 8

Profielen voor de gebruikers van het Europees zoekportaal

1.   Om het gebruik van het ESP mogelijk te maken, maakt eu-LISA samen met de lidstaten in overeenstemming met de in lid 2 bedoelde technische details en toegangsrechten een profiel aan op basis van elke categorie van ESP-gebruikers en over de doeleinden van hun zoekopdrachten. Elk profiel bevat overeenkomstig het Unie- en nationale recht de volgende informatie:

a)

de voor de zoekopdrachten gebruikte datavelden;

b)

de Unie-informatiesystemen, Europol-gegevens en Interpol-databanken die moeten worden doorzocht, die kunnen worden doorzocht en die de gebruiker van een antwoord moeten voorzien;

c)

de specifieke gegevens in de Unie-informatiesystemen, de Europol-gegevens en de Interpol-databanken die kunnen worden doorzocht;

d)

de gegevenscategorieën die in elk antwoord kunnen worden verstrekt.

2.   De Commissie stelt uitvoeringshandelingen vast waarin de in lid 1 bedoelde profielen van de in artikel 7, lid 1, bedoelde ESP-gebruikers technisch worden gespecificeerd in overeenstemming met de respectieve toegangsrechten overeenkomstig de rechtsinstrumenten met betrekking tot de Unie-informatiesystemen en overeenkomstig het nationaal recht. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

3.   De in lid 1 bedoelde profielen worden regelmatig en tenminste eenmaal per jaar door eu-LISA, in samenwerking met de lidstaten, geëvalueerd en zo nodig bijgewerkt.

Artikel 9

Zoekopdrachten

1.   De ESP-gebruikers starten een zoekopdracht door alfanumerieke of biometrische gegevens in het ESP in te voeren. Zodra een zoekopdracht is gestart, gebruikt het ESP de door de ESP-gebruiker overeenkomstig het gebruikersprofiel ingevoerde gegevens om het EES, Etias, VIS, SIS, Eurodac, ECRIS-TCN en CIR, alsmede de Europol-gegevens en de Interpol-databanken gelijktijdig te doorzoeken.

2.   De gegevenscategorieën die worden gebruikt om via het ESP een zoekopdracht te starten, komen overeen met de gegevenscategorieën betreffende personen of reisdocumenten die mogen worden gebruikt om de verschillende Unie-informatiesystemen, de Europol-gegevens en de Interpol-databanken te doorzoeken overeenkomstig de rechtsinstrumenten die daarop van toepassing zijn.

3.   eu-LISA implementeert samen met de lidstaten voor het ESP een interface control document op basis van de in artikel 38 bedoelde UMF.

4.   Wanneer een zoekopdracht wordt gestart door een ESP-gebruiker, verstrekken het EES, Etias, VIS, SIS, Eurodac, ECRIS-TCN, CIR en de MID, de Europol-gegevens en de Interpol-databanken in reactie op de zoekopdracht de gegevens die zij bevatten.

Onverminderd artikel 20 wordt in het door het ESP verstrekte antwoord vermeld van welk Unie-informatiesysteem of van welke databank de gegevens deel uitmaken.

In het ESP wordt geen informatie verstrekt over gegevens in Unie-informatiesystemen, Europol-gegevens en de Interpol-databanken waartoe de gebruiker overeenkomstig het toepasselijke Unierecht en nationale recht geen toegang heeft.

5.   Via het ESP gestarte zoekopdrachten in de Interpol-databanken worden zodanig uitgevoerd dat aan de eigenaar van de Interpol-signalering geen informatie wordt onthuld.

6.   Het ESP voorziet de gebruiker van een antwoord zodra gegevens uit een van de Unie-informatiesystemen, Europol-gegevens en Interpol-databanken beschikbaar zijn. Deze antwoorden bevatten uitsluitend de gegevens waartoe de gebruiker op grond van het Unierecht en het nationale recht toegang heeft.

7.   De Commissie stelt een uitvoeringshandeling vast met specificaties voor de technische procedure voor het doorzoeken van de Unie-informatiesystemen, Europol-gegevens en Interpol-databanken door het ESP en het format van de ESP-antwoorden. Deze uitvoeringshandeling wordt vastgesteld overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure.

Artikel 10

Bijhouden van logbestanden

1.   Onverminderd artikel 46 van Verordening (EU) 2017/2226, artikel 34 van Verordening (EG) nr. 767/2008, artikel 69 van Verordening (EU) 2018/1240 en de artikelen 12 en 18 van Verordening (EU) 2018/1861, houdt eu-LISA logbestanden bij van alle gegevensverwerkingsverrichtingen in het ESP. In deze logbestanden wordt het volgende vermeld:

a)

de lidstaat die of het Unie-agentschap dat de zoekopdracht start en het gebruikte ESP-profiel;

b)

de datum en het tijdstip van de zoekopdracht;

c)

de doorzochte Unie-informatiesystemen en Interpol-databanken.

2.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten van zijn autoriteiten en van de personeelsleden van zijn autoriteiten die naar behoren gemachtigd zijn om het ESP te gebruiken. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

3.   De in de leden 1 en 2 bedoelde logbestanden mogen uitsluitend worden gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit. De logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist als de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

Artikel 11

Vangnetprocedures voor wanneer het Europees zoekportaal om technische redenen niet kan worden gebruikt

1.   Indien het ESP vanwege een interne technische storing niet kan worden gebruikt om een of meer Unie-informatiesystemen of het CIR te doorzoeken, stelt eu-LISA de ESP-gebruikers daarvan op geautomatiseerde wijze in kennis.

2.   Indien het ESP vanwege een technische storing in de nationale infrastructuur van een lidstaat niet kan worden gebruikt om een of meer van de Unie-informatiesystemen of het CIR te doorzoeken, stelt die lidstaat eu-LISA en de Commissie daarvan op geautomatiseerde wijze in kennis.

3.   Tijdens de technische storing is in de in de leden 1 en 2 van dit artikel bedoelde gevallen de in artikel 7, leden 2 en 4, bedoelde verplichting niet van toepassing en hebben de lidstaten rechtstreekse toegang tot de Unie-informatiesystemen of tot het CIR, indien zij daartoe krachtens het Unie- of nationale recht gehouden zijn.

4.   Indien het ESP vanwege een technische storing in de infrastructuur van een Unie-agentschap niet kan worden gebruikt om een of meer van de Unie-informatiesystemen of het CIR te doorzoeken, stelt dat agentschap eu-LISA en de Commissie daarvan op geautomatiseerde wijze in kennis.

HOOFDSTUK III

Gezamenlijke dienst voor biometrische matching

Artikel 12

Gezamenlijke dienst voor biometrische matching

1.   Om het CIR en de MID te ondersteunen en de doelstellingen van het EES, VIS, Eurodac, SIS en ECRIS-TCN te bevorderen, wordt een gezamenlijke dienst voor biometrische matching (gezamenlijke BMS) opgezet, die biometrische templates opslaat die worden verkregen uit de in het CIR en SIS opgeslagen biometrische gegevens als bedoeld in artikel 13, en het mogelijk maakt om aan de hand van biometrische gegevens zoekopdrachten in meerdere Unie-informatiesystemen uit te voeren.

2.   De gezamenlijke BMS bestaat uit:

a)

een centrale infrastructuur, die in de plaats komt van de centrale systemen van respectievelijk het EES, VIS, SIS, Eurodac en ECRIS-TCN, voor zover deze biometrische templates opslaat en het mogelijk maakt te zoeken met biometrische gegevens;

b)

een beveiligde communicatie-infrastructuur tussen de gezamenlijke BMS, het centrale SIS en het CIR.

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van de gezamenlijke BMS.

Artikel 13

Opslag van biometrische templates in de gemeenschappelijke dienst voor biometrische matching

1.   In de gezamenlijke BMS worden de biometrische templates opgeslagen die de dienst extraheert uit de volgende biometrische gegevens:

a)

de gegevens bedoeld in artikel 16, lid 1, onder d), artikel 17, lid 1, onder b) en c), en artikel 18, lid 2, onder a), b) en c), van Verordening (EU) 2017/2226;

b)

de gegevens bedoeld in artikel 9, punt 6, van Verordening (EG) nr. 767/2008;

c)

de gegevens bedoeld in artikel 20, lid 2, onder w) en x), van Verordening (EU) 2018/1861, met uitzondering van gegevens over handpalmafdrukken;

e)

de gegevens bedoeld in artikel 4, lid 1, onder u) en v), van Verordening (EU) 2018/1860, met uitzondering van gegevens over handpalmafdrukken.

De biometrische templates worden opgeslagen in de gezamenlijke BMS in logisch gescheiden vorm per Unie-informatiesysteem waaruit de gegevens afkomstig zijn.

2.   De gezamenlijke BMS bevat voor elke reeks gegevens als bedoeld in lid 1 in elke biometrische template een verwijzing naar de Unie-informatiesystemen en een verwijzing naar de werkelijke bestanden in de Unie-informatiesystemen waarin de overeenkomstige biometrische gegevens zijn opgeslagen.

3.   Biometrische templates worden pas in de gezamenlijke BMS opgenomen nadat de gezamenlijke BMS door middel van een automatische kwaliteitscontrole heeft vastgesteld dat de aan een van de Unie-informatiesystemen toegevoegde biometrische gegevens voldoen aan een minimumnorm voor gegevenskwaliteit.

4.   De opslag van de in lid 1 bedoelde gegevens moet voldoen aan de in artikel 37, lid 2, bedoelde kwaliteitsnormen.

5.   De Commissie stelt door middel van een uitvoeringshandeling prestatievereisten en praktische regelingen voor het toezicht op de prestaties van de gezamenlijke BMS vast om ervoor te zorgen dat de doeltreffendheid van biometrische zoekopdrachten in overeenstemming is met tijdskritische procedures, zoals grenscontroles en identificaties. Die uitvoeringshandeling wordt overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 14

Doorzoeken van biometrische gegevens met de gezamenlijke dienst voor biometrische matching

Het CIR en het SIS doorzoeken de in het CIR en het SIS opgeslagen biometrische gegevens aan de hand van de in de gezamenlijke BMS opgeslagen biometrische templates. Zoekopdrachten aan de hand van biometrische gegevens worden uitgevoerd overeenkomstig de doelstellingen vastgesteld in Verordeningen (EG) nr. 767/2008, (EU) 2017/2226, (EU) 2018/1860, (EU) 2018/1861, (EU) 2018/1862 en (EU) 2019/816.

Artikel 15

Bewaring van gegevens in de gezamenlijke dienst voor biometrische matching

De termijn voor de opslag van de in artikel 13, leden 1 en 2, bedoelde gegevens in de gezamenlijke BMS stemt overeen met die voor de opslag van de overeenkomstige biometrische gegevens in het CIR of het SIS. De gegevens worden automatisch gewist uit de gezamenlijke BMS.

Artikel 16

Bijhouden van logbestanden

1.   Onverminderd artikel 46 van Verordening (EU) 2017/2226, artikel 34 van Verordening (EG) nr. 767/2008 en de artikelen 12 en 18 van Verordening (EU) 2018/1861 houdt eu-LISA logbestanden bij van alle gegevensverwerkingsverrichtingen in de gezamenlijke BMS. In deze logbestanden wordt het volgende vermeld:

a)

de lidstaat die of het Unie-agentschap dat de zoekopdracht start;

b)

de geschiedenis van het aanmaken en opslaan van de biometrische templates;

c)

de Unie-informatiesystemen die zijn doorzocht met de in de gezamenlijke BMS opgeslagen biometrische templates;

d)

de datum en het tijdstip van de zoekopdracht;

e)

het soort biometrische gegevens dat is gebruikt om de zoekopdracht te starten;

f)

de resultaten van de zoekopdracht en de datum en het tijdstip van het resultaat.

2.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten van zijn autoriteiten en van de personeelsleden van deze autoriteiten die naar behoren gemachtigd zijn om de gezamenlijke BMS te gebruiken. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

3.   De in de leden 1 en 2 bedoelde logbestanden worden uitsluitend gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en integriteit. De logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist zodra de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

HOOFDSTUK IV

Gemeenschappelijk identiteitsregister

Artikel 17

Gemeenschappelijk identiteitsregister

1.   Er wordt een gemeenschappelijk identiteitsregister (common identity repository - CIR) ingesteld, waarin voor elke in het EES, VIS, Etias, Eurodac of ECRIS-TCN geregistreerde persoon een afzonderlijk bestand met de in artikel 18 bedoelde gegevens wordt aangelegd, met als doel de correcte identificatie van in het EES, VIS, Etias, Eurodac of ECRIS-TCN geregistreerde personen te vergemakkelijken en te bevorderen overeenkomstig artikel 20, de werking van de MID te ondersteunen overeenkomstig artikel 21 en de toegang van aangewezen autoriteiten en Europol tot het EES, VIS, ETIAS en Eurodac te vergemakkelijken en te stroomlijnen wanneer dat nodig is voor de preventie, de opsporing of het onderzoek van terroristische misdrijven of andere ernstige strafbare feiten overeenkomstig artikel 22.

2.   Het CIR bestaat uit:

a)

een centrale infrastructuur die in de plaats komt van de centrale systemen van respectievelijk het EES, VIS, Etias, Eurodac en ECRIS-TCN, voor zover de in artikel 18 bedoelde gegevens in deze centrale infrastructuur worden opgeslagen;

b)

een beveiligd communicatiekanaal tussen het CIR, de lidstaten en de Unie-agentschappen die overeenkomstig het Unie- en het nationale recht gebruik mogen maken van het CIR;

c)

een beveiligde communicatie-infrastructuur tussen het CIR, EES, VIS, Etias, Eurodac, ECRIS-TCN en de centrale infrastructuur van het ESP, de gezamenlijke BMS en de MID.

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van het CIR.

4.   Indien het CIR vanwege een interne technische storing van het CIR niet kan worden doorzocht met het oog op de identificatie van een persoon uit hoofde van artikel 20, de detectie van meerdere identiteiten uit hoofde van artikel 21 of het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten uit hoofde van artikel 22, stelt eu-LISA de CIR-gebruikers daarvan op geautomatiseerde wijze in kennis.

5.   eu-LISA implementeert samen met de lidstaten voor het CIR een interface control document op basis van de in artikel 38 bedoelde UMF.

Artikel 18

De gegevens van het gemeenschappelijke identiteitsregister

1.   In het CIR worden de volgende gegevens – logisch gescheiden – opgeslagen per informatiesysteem waaruit de gegevens afkomstig zijn:

a)

de gegevens bedoeld in artikel 16, lid 1, onder a) tot en met d), artikel 17, lid 1, onder a), b) en c) en artikel 18, leden 1 en 2, van Verordening (EU) 2017/2226;

b)

de gegevens bedoeld in artikel 9, punt 4, onder a) tot en met c), en de punten 5 en 6 van Verordening (EG) nr. 767/2008;

c)

de gegevens bedoeld in artikel 17, lid 2, onder a) tot en met e), van Verordening (EU) 2018/1240;

2.   In het CIR wordt voor elke reeks gegevens, als bedoeld in lid 1, een verwijzing opgenomen naar de Unie-informatiesystemen waar de gegevens toe behoren.

3.   De autoriteiten die het CIR raadplegen voor de in de artikelen 20, 21 en 22 bedoelde doeleinden, doen dit in overeenstemming met hun toegangsrechten uit hoofde van de rechtsinstrumenten betreffende de Unie-informatiesystemen en het nationale recht, en in overeenstemming met hun toegangsrechten krachtens deze verordening.

4.   In het CIR wordt voor elke reeks gegevens als bedoeld in lid 1, een verwijzing opgenomen naar de werkelijke bestanden in de Unie-informatiesystemen waar de gegevens deel van uitmaken.

5.   De opslag van de in lid 1 bedoelde gegevens voldoet aan de in artikel 37, lid 2, bedoelde kwaliteitsnormen.

Artikel 19

Toevoeging, wijziging en wissing van gegevens in het gemeenschappelijke identiteitsregister

1.   Wanneer gegevens worden toegevoegd, gewijzigd of gewist in het EES, VIS en Etias, worden de overeenkomstige in artikel 18 bedoelde gegevens die zijn opgeslagen in het afzonderlijke CIR-bestand, automatisch toegevoegd, gewijzigd of gewist.

2.   Wanneer er overeenkomstig artikel 32 of 33 in de MID een witte of een rode link wordt aangemaakt tussen de gegevens van twee of meer van de Unie-informatiesystemen die deel uitmaken van het CIR, maakt het CIR geen nieuw afzonderlijk bestand aan, maar voegt het de nieuwe gegevens toe aan het afzonderlijke bestand waarin de gelinkte gegevens voorkomen.

Artikel 20

Toegang tot het gemeenschappelijke identiteitsregister met het oog op identificatie

1.   Zoekopdrachten in het CIR worden uitgevoerd door een politieautoriteit van een lidstaat overeenkomstig de leden 2 en 5 en uitsluitend in één van de volgende omstandigheden:

a)

als een politieautoriteit niet in staat is om een persoon te identificeren vanwege het ontbreken van een reisdocument of ander betrouwbaar document dat de identiteit van deze persoon aantoont;

b)

als er twijfel bestaat over de door die persoon verstrekte identiteitsgegevens;

c)

als er twijfel bestaat over de echtheid van het reisdocument of een ander door deze persoon verstrekt betrouwbare document;

d)

als er twijfel bestaat over de identiteit van de houder van een reisdocument of een ander betrouwbare document, of

e)

als een persoon niet in staat is of weigert om mee te werken.

Dergelijke zoekopdrachten zijn niet toegestaan bij kinderen jonger dan twaalf jaar, tenzij dit in het belang van het kind is.

2.   In een van de in lid 1 opgesomde omstandigheden kan een politieautoriteit, mits zij daartoe op grond van nationale wetgevingsmaatregelen als bedoeld in lid 5 is gemachtigd, het CIR doorzoeken aan de hand van de bij een identiteitscontrole ter plaatse genomen biometrische gegevens van een persoon, doch uitsluitend met het oog op de identificatie van die persoon en mits de procedure in aanwezigheid van die persoon is gestart.

3.   Als de zoekopdracht uitwijst dat in het CIR gegevens over die persoon zijn opgeslagen, krijgt de politieautoriteit toegang om de in artikel 18, lid 1, bedoelde gegevens te raadplegen.

Wanneer de biometrische gegevens van de persoon niet kunnen worden gebruikt of wanneer het zoeken aan de hand van die gegevens geen resultaat oplevert, wordt gezocht aan de hand van de identiteitsgegevens van de persoon in combinatie met reisdocumentgegevens, of aan de hand van de door die persoon verstrekte identiteitsgegevens.

4.   Een politieautoriteit kan, mits zij daartoe op grond van nationale wetgevingsmaatregelen als bedoeld in lid 6 is gemachtigd, in geval van een natuurramp, ongeval of terroristische aanslag en uitsluitend met het oog op de identificatie van onbekende personen die niet in staat zijn om zichzelf te legitimeren of de identificatie van niet-geïdentificeerde stoffelijke overschotten, het CIR doorzoeken aan de hand van de biometrische gegevens van die personen.

5.   Lidstaten die gebruik wensen te maken van de in lid 2 bedoelde mogelijkheid, stellen daartoe nationale wetgevingsmaatregelen vast. Hierbij houden de lidstaten rekening met de noodzaak om elke discriminatie van onderdanen van derde landen te vermijden. In zulke wetgevingsmaatregelen wordt bepaald welke specifieke doelstellingen met de identificatie worden nagestreefd in het kader van de in artikel 2, lid 1, onder b) en c) omschreven doelen. Voorts worden in de wetgevingsmaatregelen de bevoegde politieautoriteiten aangewezen en de procedures, voorwaarden en criteria voor deze controles vastgelegd.

6.   Lidstaten die gebruik wensen te maken van de in lid 4 bedoelde mogelijkheid, stellen nationale wetgevingsmaatregelen vast houdende de procedures, voorwaarden en criteria.

Artikel 21

Toegang tot het gemeenschappelijke identiteitsregister met het oog op het detecteren van meerdere identiteiten

1.   Wanneer een zoekopdracht in het CIR overeenkomstig artikel 28, lid 4, een gele link oplevert, krijgt de in artikel 29 bedoelde autoriteit die bevoegd is voor de manuele verificatie van meerdere identiteiten, uitsluitend voor die verificatie toegang tot de in artikel 18, leden 1 en 2, bedoelde in het CIR opgeslagen gegevens die aan elkaar verbonden zijn door de gele link.

2.   Wanneer een zoekopdracht in het CIR overeenkomstig artikel 32 een rode link oplevert, krijgen de in artikel 26, lid 2, bedoelde autoriteiten uitsluitend voor de bestrijding van identiteitsfraude toegang tot de in artikel 18, leden 1 en 2, bedoelde in het CIR opgeslagen gegevens die aan elkaar verbonden zijn door de rode link.

Artikel 22

Doorzoeken van het gemeenschappelijke identiteitsregister met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten

1.   In specifieke gevallen, wanneer er gegronde redenen zijn om aan te nemen dat raadpleging van de Unie-informatiesystemen zal bijdragen aan het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten, met name wanneer er een vermoeden bestaat dat de verdachte, de dader of het slachtoffer van een terroristisch misdrijf of een ander ernstig strafbaar feit een persoon is van wie gegevens opgeslagen zijn in het EES, VIS of Etias, kunnen de aangewezen autoriteiten en Europol het CIR raadplegen om zich ervan te vergewissen of het EES, VIS en Etias gegevens over een specifieke persoon bevatten.

2.   Wanneer het CIR naar aanleiding van een zoekopdracht aangeeft dat het EES, VIS of Etias gegevens over de betrokken persoon bevatten, verwijst het CIR in zijn antwoord aan de aangewezen autoriteiten en Europol naar de Unie-informatiesystemen die de gegevens bevatten die een match opleveren, als bedoeld in artikel 18, lid 2. Het CIR antwoordt op zodanige wijze dat de beveiliging van de gegevens niet in gevaar wordt gebracht.

Het antwoord waarin wordt aangegeven dat in één van de in lid 1 bedoelde Unie-informatiesystemen gegevens over die persoon aanwezig zijn, wordt alleen gebruikt voor het indienen van een verzoek om volledige toegang overeenkomstig de voorwaarden en procedures die zijn vastgelegd in de respectieve rechtsinstrumenten betreffende die toegang.

In geval van een match of meerdere matches verzoekt de aangewezen autoriteit of Europol om volledige toegang tot ten minste een van de informatiesystemen die een match heeft opgeleverd.

Indien bij wijze van uitzondering niet om volledige toegang wordt verzocht, registreren de aangewezen autoriteiten de redenen voor de niet-indiening van het verzoek, hetgeen traceerbaar zal zijn naar het nationale dossier. Europol registreert de redenen hiervoor in het betreffende dossier.

3.   Volledige toegang tot in het EES, VIS of ETIAS opgenomen gegevens met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten blijft onderworpen aan de voorwaarden en procedures als vastgesteld in de desbetreffende rechtsinstrumenten waarbij deze toegang wordt geregeld.

Artikel 23

Bewaring van gegevens in het gemeenschappelijke identiteitsregister

1.   De in artikel 18, leden 1, 2 en 4, bedoelde gegevens worden automatisch gewist in het CIR overeenkomstig de bepalingen over de bewaring van gegevens als vastgesteld in respectievelijk Verordeningen (EU) 2017/2226, (EG) nr. 767/2008 en (EU) 2018/1240.

2.   De termijn voor de opslag van het afzonderlijke bestand in het CIR stemt overeen met die voor de opslag van de overeenkomstige gegevens in ten minste één van de Unie-informatiesystemen waaruit de in het CIR aanwezige gegevens afkomstig zijn. Het aanmaken van een link heeft geen gevolgen voor de bewaringstermijn van elk element van de gelinkte gegevens.

Artikel 24

Bijhouden van logbestanden

1.   Onverminderd artikel 46 van Verordening (EU) 2017/2226, artikel 34 van Verordening (EG) nr. 767/2008 en artikel 69 van Verordening (EU) 2018/1240 houdt eu-LISA overeenkomstig de leden 2, 3 en 4 van dit artikel logbestanden bij van alle gegevensverwerkingsverrichtingen in het CIR.

2.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op grond van artikel 20 in het CIR. Deze logbestanden vermelden het volgende:

a)

de lidstaat die of het Unie-agentschap dat de zoekopdracht start;

b)

het doel van de toegang dat wordt beoogd door de gebruiker die een zoekopdracht via het CIR geeft;

c)

de datum en het tijdstip van de zoekopdracht;

d)

het soort gegevens dat is gebruikt om de zoekopdracht te starten;

e)

de resultaten van de zoekopdracht.

3.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op grond van artikel 21 in het CIR. Deze logbestanden vermelden het volgende:

a)

de lidstaat die of het Unie-agentschap dat de zoekopdracht start;

b)

het doel van de toegang dat wordt beoogd door de gebruiker die een zoekopdracht via het CIR geeft;

c)

de datum en het tijdstip van de zoekopdracht;

d)

wanneer er een link is aangemaakt, de gegevens die zijn gebruikt om de zoekopdracht te starten en de resultaten van de zoekopdracht en het Unie-informatiesysteem waaruit de gegevens afkomstig zijn.

4.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op grond van artikel 22 in het CIR. Deze logbestanden vermelden het volgende:

a)

de datum en het tijdstip van de zoekopdracht;

b)

de gegevens die zijn gebruikt om de zoekopdracht te starten;

c)

de resultaten van de zoekopdracht;

d)

de lidstaat die of het Unie-agentschap dat het CIR doorzoekt.

De logbestanden over deze toegang worden regelmatig, met tussenpozen van ten hoogste zes maanden, geverifieerd door de toezichthoudende autoriteit overeenkomstig artikel 41 van Richtlijn (EU) 2016/680 of door de Europese Toezichthouder voor gegevensbescherming overeenkomstig artikel 43 van Verordening (EU) 2016/794, om na te gaan of de procedures en voorwaarden als bedoeld in artikel 22, leden 1 en 2, van deze verordening in acht zijn genomen.

5.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten die zijn autoriteiten en de voor het gebruik van het CIR naar behoren gemachtigde personeelsleden van die autoriteiten maken overeenkomstig de artikelen 20, 21 en 22. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten die zijn naar behoren gemachtigde personeelsleden maken overeenkomstig de artikelen 21 en 22.

Voorts houden alle lidstaten voor toegang tot het CIR overeenkomstig artikel 22 de volgende logbestanden bij:

a)

het referentiekenmerk van het nationale bestand;

b)

het doel van de toegang;

c)

volgens de nationale regels, het kenmerk van de functionaris die de zoekopdracht heeft verricht en van de functionaris die om de zoekopdracht heeft verzocht.

6.   Overeenkomstig Verordening (EU) 2016/794 houdt Europol voor elke toegang tot het CIR overeenkomstig artikel 22 van deze verordening logbestanden bij van de functionaris die de zoekopdracht heeft verricht en van de functionaris die om de zoekopdracht heeft verzocht.

7.   De in de leden 2 tot en met 6 bedoelde logbestanden mogen uitsluitend worden gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit. Deze logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist als de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

8.   eu-LISA slaat de logbestanden met de geschiedenis op in afzonderlijke bestanden. eu-LISA wist zulke logbestanden automatisch zodra de gegevens worden gewist.

HOOFDSTUK V

Detector van meerdere identiteiten

Artikel 25

Detector van meerdere identiteiten

1.   Om de werking van het CIR te ondersteunen en de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN te bevorderen, wordt een detector van meerdere identiteiten (MID) ingesteld, die zorgt voor het aanmaken en opslaan van een identiteitsbevestigingsbestand als bedoeld in artikel 34, dat links bevat tussen gegevens in de Unie-informatiesystemen die zijn opgenomen in het CIR en het SIS, en op basis daarvan meerdere identiteiten detecteert, met als tweeledig doel de identiteitscontroles te vergemakkelijken en identiteitsfraude te bestrijden.

2.   De MID bestaat uit:

a)

een centrale infrastructuur, waarin links en verwijzingen naar Unie-informatiesystemen worden opgeslagen;

b)

een beveiligde communicatie-infrastructuur om de MID te verbinden met het SIS en de centrale infrastructuur van het ESP en het CIR.

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van de MID.

Artikel 26

Toegang tot de detector van meerdere identiteiten

1.   Met het oog op de in artikel 29 bedoelde manuele verificatie van meerdere identiteiten wordt toegang tot de in artikel 34 bedoelde, in de MID opgeslagen gegevens verleend aan:

a)

de bevoegde autoriteiten zoals aangewezen overeenkomstig artikel 9, lid 2, van Verordening (EU) 2017/2226 bij het aanleggen of bijwerken van een persoonlijk dossier in het EES overeenkomstig artikel 14 van die verordening;

b)

de visumautoriteiten bedoeld in artikel 6, lid 1, van Verordening (EG) nr. 767/2008 bij het opstellen of bijwerken van een aanvraagdossier in het VIS overeenkomstig die verordening;

c)

de centrale Etias-eenheid en de nationale Etias-eenheden bij het verrichten van de in de artikelen 22 en 26 van Verordening (EU) 2018/1240 bedoelde verwerking;

d)

het Sirene-bureau van de lidstaat die een SIS-signalering overeenkomstig Verordening (EU) 2018/1860 en Verordening (EU) 2018/1861 creëert of bijwerkt.

2.   De lidstatelijke autoriteiten en de Unie-agentschappen die toegang hebben tot ten minste één Unie-informatiesysteem dat is opgenomen in het CIR of tot het SIS, krijgen toegang tot de in artikel 34, onder a) en b), bedoelde gegevens wanneer sprake is van een rode link als bedoeld in artikel 32.

3.   De lidstatelijke autoriteiten en de Unie-agentschappen hebben toegang tot de in artikel 33 bedoelde witte links als zij toegang hebben tot de twee Unie-informatiesystemen die gegevens bevatten waartussen de witte link is aangemaakt.

4.   De lidstatelijke autoriteiten en de Unie-agentschappen hebben toegang tot de in artikel 31 bedoelde groene links als zij toegang hebben tot de twee Unie-informatiesystemen die gegevens bevatten waartussen de groene link is aangemaakt en een zoekopdracht in die informatiesystemen een match oplevert met de twee reeksen gelinkte gegevens.

Artikel 27

Detectie van meerdere identiteiten

1.   In het CIR en SIS wordt een detectie van meerdere identiteiten gestart wanneer:

a)

een persoonlijk dossier wordt aangelegd of bijgewerkt in het EES overeenkomstig artikel 14 van Verordening (EU) 2017/2226;

b)

een aanvraagdossier wordt opgesteld of bijgewerkt in het VIS overeenkomstig Verordening (EG) nr. 767/2008;

c)

een aanvraagdossier wordt aangemaakt of bijgewerkt in het Etias overeenkomstig artikel 19 van Verordening (EU) 2018/1240;

d)

een signalering van een persoon wordt gecreëerd of bijgewerkt in het SIS overeenkomstig artikel 3 van Verordening (EU) 2018/1860 en hoofdstuk V van Verordening (EU) 2018/1861.

2.   Wanneer de gegevens in een Unie-informatiesysteem als bedoeld in lid 1 biometrische gegevens bevatten, maken het CIR en het centrale SIS voor de detectie van meerdere identiteiten gebruik van de gezamenlijke BMS. De gezamenlijke BMS maakt een vergelijking tussen de uit nieuwe biometrische gegevens verkregen biometrische templates en de reeds in de gezamenlijke BMS opgenomen biometrische templates om na te gaan of over een bepaalde persoon reeds gegevens zijn opgeslagen in het CIR of het centrale SIS.

3.   Naast de in lid 2 bedoelde procedure maken het CIR en het centrale SIS gebruik van het ESP om de in het centrale SIS, respectievelijk het CIR opgeslagen gegevens te doorzoeken aan de hand van de volgende gegevens:

a)

achternaam (familienaam); voornaam of voornamen; geboortedatum, nationaliteit of nationaliteiten, geslacht; als bedoeld in artikel 16, lid 1, onder a), artikel 17, lid 1, en artikel 18, lid 1, van Verordening (EU) 2017/2226;

b)

achternaam (familienaam); voornaam of voornamen; geboortedatum, geslacht, geboorteplaats en geboorteland, en nationaliteiten als bedoeld in artikel 9, punt 4, onder a) en a bis), van Verordening (EG) nr. 767/2008;

c)

achternaam (familienaam); voornaam/voornamen; achternaam bij geboorte; alias(sen), geboortedatum, geboorteplaats, geslacht en huidige nationaliteit als bedoeld in artikel 17, lid 2, van Verordening (EU) 2018/1240;

d)

achternamen; voornamen; naam/namen bij geboorte, voorheen gebruikte namen en aliassen; geboorteplaats, geboortedatum, geslacht en nationaliteiten als bedoeld in artikel 20, lid 2, van Verordening (EU) 2018/1861;

e)

achternamen; voornamen; namen bij geboorte, voorheen gebruikte namen en aliassen; geboorteplaats, geboortedatum, geslacht en nationaliteiten als bedoeld in artikel 4 van Verordening (EU) 2018/1860.

4.   Naast de in de leden 2 en 3 bedoelde procedure maken het CIR en het centrale SIS gebruik van het ESP om de in het centrale SIS, respectievelijk het CIR opgeslagen gegevens te doorzoeken aan de hand van reisdocumentgegevens.

5.   De detectie van meerdere identiteiten wordt alleen gestart om gegevens die in een Unie-informatiesysteem beschikbaar zijn, te vergelijken met gegevens die in andere Unie-informatiesystemen beschikbaar zijn.

Artikel 28

Resultaten van de detectie van meerdere identiteiten

1.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, geen match oplevert, blijven de in artikel 27, lid 1, bedoelde procedures erop van toepassing overeenkomstig de desbetreffende rechtsinstrumenten.

2.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, een of meer matches oplevert, maakt het CIR, en in voorkomend geval het SIS, een link aan tussen de gegevens die zijn gebruikt om de zoekopdracht te starten en de gegevens die tot de match hebben geleid.

In het geval van meerdere matches wordt een link aangemaakt tussen alle gegevens die tot de match hebben geleid. Als de gegevens al gelinkt waren, wordt de bestaande link uitgebreid tot de gegevens die zijn gebruikt om de zoekopdracht te starten.

3.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, een of meer matches oplevert en de identiteitsgegevens van de gelinkte bestanden identiek of vergelijkbaar zijn, wordt een witte link aangemaakt overeenkomstig artikel 33.

4.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, een of meer matches oplevert en de identiteitsgegevens van de gelinkte bestanden niet als vergelijkbaar kunnen worden beschouwd, wordt een gele link aangemaakt overeenkomstig artikel 30 en is de in artikel 29 bedoelde procedure van toepassing.

5.   De Commissie stelt overeenkomstig artikel 73 bij gedelegeerde handelingen de procedures vast aan de hand waarvan moet worden bepaald welke identiteitsgegevens als identiek of vergelijkbaar moeten worden beschouwd.

6.   De links worden opgeslagen in het in artikel 34 bedoelde identiteitsbevestigingsbestand.

7.   De Commissie stelt in samenwerking met eu-LISA bij uitvoeringshandelingen de technische voorschriften vast voor het aanmaken van links tussen gegevens uit verschillende Unie-informatiesystemen. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 29

Manuele verificatie van meerdere identiteiten en de verantwoordelijke autoriteiten

1.   Onverminderd lid 2 is de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit:

a)

de bevoegde autoriteit die is aangewezen overeenkomstig artikel 9, lid 2, van Verordening (EU) 2017/2226 voor matches die zich voordoen bij het aanleggen of bijwerken van een persoonlijk dossier in het EES overeenkomstig die verordening;

b)

de bevoegde visumautoriteiten bedoeld in artikel 6, lid 1, van Verordening (EG) nr. 767/2008 voor matches die zich voordoen bij het aanleggen of wijzigen van een aanvraagdossier in het VIS overeenkomstig die verordening;

c)

de centrale Etias-eenheid en de nationale Etias-eenheden voor matches die zich voordoen bij het aanmaken of bijwerken van een aanvraagdossier overeenkomstig van Verordening (EU) 2018/1240;

d)

het Sirene-bureau van de lidstaat voor matches die zich voordoen bij het creëren of bijwerken van een SIS-signalering overeenkomstig Verordening (EU) 2018/1860 en Verordening (EU) 2018/1861.

De MID vermeldt in het identiteitsbevestigingsbestand welke autoriteit verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

2.   De in het identiteitsbevestigingsbestand bedoelde voor de manuele verificatie van meerdere identiteiten bevoegde autoriteit is het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd wanneer er een link wordt aangemaakt met gegevens in een signalering:

a)

van personen die worden gezocht met het oog op aanhouding ten behoeve van overlevering of uitlevering als bedoeld in artikel 26 van Verordening (EU) 2018/1862;

b)

van vermiste of kwetsbare personen als bedoeld in artikel 32 van Verordening (EU) 2018/1862;

c)

van personen die worden gezocht met het oog op een gerechtelijke procedure als bedoeld in artikel 34 van Verordening (EU) 2018/1862;

d)

van personen met het oog op onopvallende controle, ondervragingscontrole of gerichte controle als bedoeld in artikel 36 van Verordening (EU) 2018/1862.

3.   Onverminderd lid 4 van dit artikel, heeft de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit toegang tot de gelinkte gegevens in het desbetreffende identiteitsbevestigingsbestand en tot de gelinkte identiteitsgegevens in het CIR en, in voorkomend geval, in het SIS. Zij beoordeelt onverwijld de meerdere identiteiten. Als zij die beoordeling heeft afgerond, werkt zij de link bij overeenkomstig de artikelen 31, 32 en 33 en voegt deze onverwijld toe aan het identiteitsbevestigingsbestand.

4.   Wanneer de voor de manuele verificatie van meerdere identiteiten in het identiteitsbevestigingsbestand verantwoordelijke autoriteit de bevoegde autoriteit is die is aangewezen overeenkomstig artikel 9, lid 2, van Verordening (EU) 2017/2226 die een afzonderlijk bestand in het EES aanlegt of bijwerkt overeenkomstig artikel 14 van die verordening, en er een gele link is aangemaakt, verricht de grensautoriteit aanvullende verificaties. Uitsluitend met het oog daarop heeft die autoriteit toegang tot de daarmee verband houdende identiteitsgegevens in het identiteitsbevestigingsbestand. Zij beoordeelt de verschillende identiteiten, werkt de link bij overeenkomstig de artikelen 31, 32 en 33 van die verordening en voegt deze link onverwijld toe aan het identiteitsbevestigingsbestand.

Die manuele verificatie van meerdere identiteiten wordt geïnitieerd in het bijzijn van de betrokkene, die de gelegenheid moet krijgen om de omstandigheden toe te lichten aan de verantwoordelijke autoriteit, die deze toelichting in aanmerking moet nemen.

In gevallen waarin de manuele verificatie van meerdere identiteiten plaatsvindt aan de grens, moet de verificatie zo mogelijk binnen twaalf uur na de aanmaak van een gele link overeenkomstig artikel 28, lid 4, geschieden.

5.   Indien meer dan één link wordt aangemaakt, wordt elke link afzonderlijk beoordeeld door de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

6.   Als de gegevens die een match opleveren, al gelinkt waren, houdt de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, rekening met de bestaande links wanneer zij het aanmaken van nieuwe links beoordeelt.

Artikel 30

Gele link

1.   Wanneer er nog geen de manuele verificatie van meerdere identiteiten is verricht, wordt een link tussen gegevens uit twee of meer Unie-informatiesystemen in de volgende gevallen ingedeeld als geel:

a)

de gelinkte gegevens hebben dezelfde biometrische gegevens maar vergelijkbare of verschillende identiteitsgegevens;

b)

de gelinkte gegevens hebben verschillende identiteitsgegevens maar dezelfde reisdocumentgegevens, en ten minste een van de Unie-informatiesystemen bevat geen biometrische gegevens van de betrokkene;

c)

de gelinkte gegevens hebben dezelfde identiteitsgegevens maar verschillende biometrische gegevens;

d)

de gelinkte gegevens hebben vergelijkbare of verschillende identiteitsgegevens, dezelfde reisdocumentgegevens, maar verschillende biometrische gegevens.

2.   Indien een link overeenkomstig lid 1 is ingedeeld als geel, is de procedure van artikel 29 van toepassing.

Artikel 31

Groene link

1.   Een link tussen gegevens van twee of meer Unie-informatiesystemen wordt in de volgende gevallen ingedeeld als groen:

a)

de gelinkte gegevens hebben verschillende biometrische gegevens maar dezelfde identiteitsgegevens en verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, naar twee verschillende personen;

b)

de gelinkte gegevens hebben verschillende biometrische gegevens, hebben vergelijkbare of verschillende identiteitsgegevens, hebben dezelfde reisdocumentgegevens en verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten naar twee verschillende personen;

c)

de gelinkte gegevens hebben verschillende identiteitsgegevens, maar hebben dezelfde reisdocumentgegevens, ten minste een van de Unie-informatiesystemen bevat geen biometrische gegevens van de betrokkene en de gegevens verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten naar twee verschillende personen.

2.   Wanneer het CIR of het SIS wordt doorzocht en er een groene link bestaat tussen gegevens in twee of meer van de Unie-informatiesystemen, geeft de MID aan dat de identiteitsgegevens van de gelinkte gegevens niet overeenstemmen met dezelfde persoon.

3.   Wanneer een lidstatelijke autoriteit beschikt over bewijs dat een groene link foutief is ingevoerd in de MID, dat een groene link niet actueel is of dat de gegevens in de MID of de Unie-informatiesystemen in strijd met deze verordening werden verwerkt, controleert die autoriteit de desbetreffende gegevens die in het CIR en het CIS zijn opgeslagen, en indien nodig corrigeert zij de link of wist zij deze onverwijld uit de MID. De lidstatelijke autoriteit stelt de lidstaat die verantwoordelijk is voor de manuele verificatie van de meerdere identiteiten hiervan onverwijld in kennis.

Artikel 32

Rode link

1.   Een link tussen gegevens van twee of meer Unie-informatiesystemen wordt in de volgende gevallen ingedeeld als rood:

a)

de gelinkte gegevens hebben dezelfde biometrische gegevens maar hebben vergelijkbare of verschillende identiteitsgegevens, en verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten op ongerechtvaardigde wijze naar dezelfde persoon;

b)

de gelinkte gegevens hebben dezelfde, vergelijkbare of verschillende identiteitsgegevens en dezelfde reisdocumentgegevens, maar verschillende biometrische gegevens en verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten op ongerechtvaardigde wijze naar twee verschillende personen van wie minstens één gebruikmaakt van hetzelfde reisdocument;

c)

de gelinkte gegevens hebben dezelfde identiteitsgegevens maar verschillende biometrische gegevens en verschillende of geen reisdocumentgegevens, en verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, op ongerechtvaardigde wijze naar twee verschillende personen;

d)

de gelinkte gegevens hebben verschillende identiteitsgegevens en dezelfde reisdocumentgegevens, en ten minste een van de Unie-informatiesystemen bevat geen biometrische gegevens van de betrokkene, en de gelinkte gegevens verwijzen volgens de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten op ongerechtvaardigde wijze naar dezelfde persoon.

2.   Wanneer het CIR of het SIS wordt doorzocht en er een rode link bestaat tussen gegevens in twee of meer van de Unie-informatiesystemen die deel uitmaken van het CIR of het SIS, vermeldt de MID in zijn antwoord de in artikel 34 bedoelde gegevens. De follow-up van een rode link verloopt overeenkomstig het Unierecht en het nationaal recht, waarbij eventuele rechtsgevolgen voor de betrokkene uitsluitend worden gebaseerd op de gegevens met betrekking tot die persoon. Het bestaan van een rode link op zich heeft voor de betrokken persoon geen rechtsgevolgen.

3.   Wanneer er een rode link wordt aangemaakt tussen gegevens in het EES, VIS, Etias, Eurodac of ECRIS-TCN, wordt het in het CIR opgeslagen afzonderlijke bestand bijgewerkt overeenkomstig artikel 19, lid 2.

4.   Onverminderd de bepalingen in verband met de behandeling van signaleringen in het SIS zoals vervat in de Verordeningen (EU) 2018/1860, (EU) 2018/1861 en (EU) 2018/1862 en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat geen enkel nationaal onderzoek in gevaar wordt gebracht, meldt de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, in het geval van een rode link, aan de betrokkene dat meerdere onrechtmatige identiteiten zijn geconstateerd en verstrekt de betrokkene het unieke identificatienummer als bedoeld in artikel 34, onder c), van deze verordening informatie over de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten als bedoeld in artikel 34, onder d), van deze verordening en het internetadres van het overeenkomstig artikel 49 van deze verordening opgerichte webportaal.

5.   De in lid 4 bedoelde informatie wordt door de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten schriftelijk meegedeeld via een standaardformulier. De Commissie stelt de inhoud en de presentatie van dat formulier vast door middel van uitvoeringshandelingen. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

6.   Wanneer een rode link wordt aangemaakt, stelt de MID de autoriteiten die verantwoordelijk zijn voor de gelinkte gegevens hiervan automatisch in kennis.

7.   Wanneer een lidstatelijke autoriteit of een Unie-agentschap met toegang tot het CIR of het SIS bewijs verkrijgt dat een rode link foutief in de MID is geregistreerd of dat de gegevens in de MID, het CIR of het SIS in strijd met deze verordening werden verwerkt, controleert die autoriteit of dat agentschap de relevante gegevens die zijn opgeslagen in het CIR of het SIS en, indien nodig:

a)

stelt zij het relevante Sirene-bureau van de lidstaat die de SIS-signalering heeft gecreëerd onmiddellijk hiervan in kennis, als de link betrekking heeft op een van de in artikel 29, lid 2, bedoelde SIS-signaleringen

b)

in alle andere gevallen corrigeert zij de link of verwijdert zij de link onmiddellijk uit de MID.

Indien een Sirene-bureau overeenkomstig punt a) van de eerste alinea is gecontacteerd, controleert het het door de lidstatelijke autoriteit of het Unie-agentschap verstrekte bewijs en corrigeert zij waar nodig de link of verwijdert zij deze onmiddellijk uit de MID.

De autoriteit van de lidstaat die dergelijk bewijs verkrijgt, stelt de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat onverwijld in kennis van een relevante correctie of verwijdering van een rode link.

Artikel 33

Witte link

1.   Een link tussen gegevens van twee of meer Unie-informatiesystemen wordt in de volgende gevallen ingedeeld als wit:

a)

de gelinkte gegevens hebben dezelfde biometrische gegevens en dezelfde of vergelijkbare identiteitsgegevens;

b)

de gelinkte gegevens hebben dezelfde of vergelijkbare identiteitsgegevens, dezelfde reisdocumentgegevens en ten minste één informatiesysteem heeft geen biometrische gegevens van de betrokkene;

c)

de gelinkte gegevens hebben dezelfde biometrische gegevens, dezelfde reisdocumentgegevens en vergelijkbare identiteitsgegevens;

d)

de gelinkte gegevens hebben dezelfde biometrische gegevens maar dezelfde of andere identiteitsgegevens, en verwijzen volgens de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit, op gerechtvaardigde wijze naar dezelfde persoon.

2.   Wanneer het CIR of het SIS wordt doorzocht en er een witte link bestaat tussen gegevens in twee of meer van de Unie-informatiesystemen, geeft de MID aan dat de identiteitsgegevens van de gelinkte gegevens overeenstemmen met dezelfde persoon. De doorzochte Unie-informatiesystemen vermelden in hun antwoord, in voorkomend geval, alle gelinkte gegevens van de persoon en brengen zo een match tot stand met de gegevens waartussen een witte link bestaat, indien de autoriteit die de zoekopdracht heeft gestart, overeenkomstig het Unie- of nationaal recht toegang heeft tot de gelinkte gegevens.

3.   Wanneer er een witte link wordt aangemaakt tussen gegevens van het EES, VIS, Etias, Eurodac of ECRIS-TCN, wordt het afzonderlijke bestand dat in het CIR is opgeslagen, bijgewerkt overeenkomstig artikel 19, lid 2.

4.   Onverminderd de bepalingen in verband met de behandeling van signaleringen in het SIS als bedoeld in de Verordeningen (EU) 2018/1860, (EU) 2018/1861 en (EU) 2018/1862 en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat geen enkel nationaal onderzoek in gevaar wordt gebracht, meldt de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, wanneer er een witte link is aangemaakt na een manuele verificatie van meerdere identiteiten, aan de betrokkene dat vergelijkbare of verschillende identiteiten zijn geconstateerd en verstrekt zij de persoon met het in artikel 34, onder c), van deze verordening bedoelde unieke identificatienummer informatie over de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten als bedoeld in artikel 34, onder d), van deze verordening en het internetadres van het overeenkomstig artikel 49 van deze verordening opgerichte webportaal.

5.   Wanneer een lidstatelijke autoriteit beschikt over bewijs dat een witte link foutief is geregistreerd in de MID, een witte link niet actueel is of dat de gegevens in de MID of de Unie-informatiesystemen in strijd met deze verordening werden verwerkt, controleert die autoriteit de relevante gegevens die zijn opgeslagen in het CIR en het CIS en indien nodig corrigeert zij de link of verwijdert zij deze onverwijld uit de MID. De lidstatelijke autoriteit stelt de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat hiervan onverwijld in kennis.

6.   De in lid 4 bedoelde informatie wordt door de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit schriftelijk meegedeeld via een standaardformulier. De Commissie stelt de inhoud en de presentatie van dat formulier vast door middel van uitvoeringshandelingen. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 34

Identiteitsbevestigingsbestand

Het identiteitsbevestigingsbestand bevat de volgende gegevens:

a)

de links als bedoeld in de artikelen 30 tot en met 33;

b)

een verwijzing naar de Unie-informatiesystemen waarin de gelinkte gegevens worden bewaard;

c)

een uniek identificatienummer om de gegevens van de gelinkte bestanden op te vragen uit de desbetreffende Unie-informatiesystemen;

d)

de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit;

e)

de datum waarop de link is aangemaakt of bijgewerkt.

Artikel 35

Bewaring van gegevens in de detector van meerdere identiteiten

De termijn voor opslag van de identiteitsbevestigingsbestanden en de desbetreffende gegevens, inclusief links, in de MID is niet langer dan die voor de opslag van de gelinkte gegevens die zijn opgeslagen in twee of meer Unie-informatiesystemen. Zij worden automatisch gewist uit de MID.

Artikel 36

Bijhouden van logbestanden

1.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen in de MID. In deze logbestanden wordt het volgende vermeld:

a)

de lidstaat die de zoekopdracht start;

b)

het doel waarvoor de gebruiker toegang heeft;

c)

de datum en het tijdstip van de zoekopdracht;

d)

het soort gegevens dat is gebruikt om de zoekopdracht te starten;

e)

de referentie naar de gelinkte gegevens;

f)

de geschiedenis van het identiteitsbevestigingsbestand.

2.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten van zijn autoriteiten en van de personeelsleden van die autoriteiten die naar behoren gemachtigd zijn om de MID te gebruiken. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

3.   De in de leden 1 en 2 bedoelde logbestanden worden uitsluitend gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit. Deze logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist als de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

HOOFDSTUK VI

Maatregelen ter ondersteuning van interoperabiliteit

Artikel 37

Gegevenskwaliteit

1.   Onverminderd de verantwoordelijkheden van de lidstaten met betrekking tot de kwaliteit van de in de systemen opgeslagen gegevens, stelt eu-LISA automatische mechanismen en procedures vast voor het controleren van de kwaliteit van de gegevens die worden opgeslagen in het EES, VIS, Etias, SIS, de gezamenlijke BMS en het CIR.

2.   eu-LISA voorziet in mechanismen voor evaluatie van de nauwkeurigheid van de gezamenlijke BMS, gemeenschappelijke indicatoren voor gegevenskwaliteit, en de minimumkwaliteitsnormen voor de opslag van gegevens in het EES, VIS, Etias, SIS, de gezamenlijke BMS en het CIR.

In het EES, VIS, Etias, SIS, de gezamenlijke BMS, het CIR en de MID mogen alleen gegevens worden ingevoerd die aan de minimumkwaliteitsnormen voldoen.

3.   eu-LISA brengt regelmatig verslag uit aan de lidstaten over de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit en over de gemeenschappelijke indicatoren voor gegevenskwaliteit. eu-LISA brengt ook regelmatig verslag uit aan de Commissie over kwesties die zijn geconstateerd en de hierbij betrokken lidstaten. eu-LISA legt dat verslag op verzoek ook voor aan het Europees Parlement en de Raad. De in dit lid bedoelde verslagen bevatten in geen geval persoonsgegevens.

4.   Bij uitvoeringshandelingen worden nadere bepalingen vastgesteld inzake de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen voor de opslag van gegevens in het EES, VIS, Etias, SIS, de gezamenlijke BMS en het CIR, met name met betrekking tot biometrische gegevens. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

5.   Eén jaar na de vaststelling van de automatische mechanismen en procedures voor het controleren van gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumgegevenskwaliteitsnormen, en vervolgens om het jaar, evalueert de Commissie de prestaties van de lidstaten op het gebied van gegevenskwaliteit en doet zij zo nodig aanbevelingen. De lidstaten dienen bij de Commissie een actieplan in om de in het evaluatieverslag geconstateerde gebreken te verhelpen, met name problemen in verband met de gegevenskwaliteit die het gevolg zijn van verkeerde gegevens in de Unie-informatiesystemen. De lidstaten brengen op gezette tijden verslag uit aan de Commissie over de voortgang van het actieplan tot dit volledig is uitgevoerd.

De Commissie legt het evaluatieverslag voor aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming, het Europees Comité voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten dat is opgericht bij Verordening (EG) nr. 168/2007 van de Raad (39).

Artikel 38

Universal Message Format

1.   Hierbij wordt de norm inzake het Universal Message Format (UMF) ingesteld. De UMF-norm definieert bepaalde elementen van de inhoud van grensoverschrijdende informatie-uitwisseling tussen informatiesystemen, autoriteiten of organisaties op het gebied van justitie en binnenlandse zaken.

2.   De UMF-norm wordt toegepast bij de ontwikkeling van het EES, ETIAS, ESP, CIR, de MID en in voorkomend geval bij de ontwikkeling, door eu-LISA of een ander Unie-agentschap, van nieuwe informatie-uitwisselingsmodellen en informatiesystemen op het gebied van justitie en binnenlandse zaken.

3.   De Commissie stelt een uitvoeringshandeling vast voor het vastleggen en ontwikkelen van de in lid 1 van dit artikel bedoelde UMF-norm. Die uitvoeringshandeling wordt overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 39

Centraal register voor rapportage en statistieken

1.   Er wordt een centraal register voor rapportage en statistieken (CRRS) ingesteld om de doelstellingen van het EES, VIS, ETIAS en SIS in overeenstemming met de voor die systemen respectievelijk geldende rechtsinstrumenten te ondersteunen en om te voorzien in systeemoverschrijdende statistische gegevens en analytische verslagen voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit.

2.   eu-LISA zorgt op zijn technische locaties voor het opstellen, implementeren en hosten van het CRRS met daarin de logisch gescheiden gegevens en statistieken als bedoeld in artikel 63 van Verordening (EU) 2017/2226, artikel 17 van Verordening (EG) nr. 767/2008, artikel 84 van Verordening (EU) 2018/1240, artikel 60 van Verordening (EU) 2018/1861 en artikel 16 van Verordening (EU) 2018/1860. Toegang tot het CRRS wordt uitsluitend met het oog op het opstellen van rapporten en statistieken verleend aan de in artikel 63 van Verordening (EU) 2017/2226, artikel 17 van Verordening (EG) nr. 767/2008, artikel 84 van Verordening (EU) 2018/1240 en artikel 60 van Verordening (EU) 2018/1861 bedoelde autoriteiten door middel van een gecontroleerde en beveiligde toegang en specifieke gebruikersprofielen.

3.   eu-LISA anonimiseert de gegevens en registreert de geanonimiseerde gegevens in het CRRS. Het anonimiseren van de gegevens gebeurt automatisch.

Aan de hand van in het CRRS opgenomen gegevens kunnen geen personen worden geïdentificeerd.

4.   Het CRRS bestaat uit:

a)

instrumenten die nodig zijn voor het anonimiseren van gegevens;

b)

een centrale infrastructuur, bestaande uit een gegevensregister van anonieme gegevens;

c)

een beveiligde communicatie-infrastructuur voor de verbinding van het CRRS met het EES, VIS, ETIAS en SIS en met de centrale infrastructuur van de gezamenlijke BMS, het CIR en de MID.

5.   De Commissie stelt overeenkomstig artikel 73 bij gedelegeerde handeling nadere bepalingen vast inzake de werking van het CRRS, met inbegrip van specifieke waarborgen voor de verwerking van persoonsgegevens overeenkomstig de leden 2 en 3 van dit artikel, en veiligheidsvoorschriften voor het register.

HOOFDSTUK VII

Gegevensbescherming

Artikel 40

Verwerkingsverantwoordelijke

1.   Met betrekking tot de verwerking van gegevens in de gezamenlijke BMS zijn de autoriteiten van de lidstaten die verwerkingsverantwoordelijke zijn voor het EES, VIS of SIS verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 of artikel 3, punt 8, van Richtlijn (EU) 2016/680 met betrekking tot de door hen in de onderliggende systemen ingevoerde biometrische templates die worden verkregen uit de in artikel 13 van deze verordening bedoelde gegevens, en zijn deze autoriteiten verantwoordelijk voor de verwerking van de biometrische templates in de gezamenlijke BMS.

2.   Met betrekking tot de verwerking van gegevens in het CIR zijn de autoriteiten van de lidstaten die verwerkingsverantwoordelijke zijn voor het EES, VIS of Etias verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 met betrekking tot de in artikel 18 van deze verordening bedoelde gegevens die zij in de onderliggende systemen invoeren, en zijn deze autoriteiten verantwoordelijk voor de verwerking van die persoonsgegevens in het CIR.

3.   Met betrekking tot de verwerking van gegevens in de MID geldt dat:

a)

het Europees Grens- en kustwachtagentschap met betrekking tot de verwerking van persoonsgegevens door de centrale Etias-eenheid een verwerkingsverantwoordelijke is in de zin van artikel 3, punt 8, van Verordening (EU) 2018/1725;

b)

de lidstatelijke autoriteiten die toevoegingen of wijzigingen aanbrengen aan de gegevens in het identiteitsbevestigingsbestand verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 of artikel 3, punt 8, van Richtlijn (EU) 2016/680 zijn en verantwoordelijk zijn voor de verwerking van de persoonsgegevens in de MID.

4.   Met het oog op het toezicht op de gegevensbescherming, waaronder het controleren van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, hebben de verwerkingsverantwoordelijken voor interne monitoring als bedoeld in artikel 44 toegang tot de in de artikelen 10, 16, 24 en 36 bedoelde logbestanden.

Artikel 41

Verwerker

Met betrekking tot de verwerking van persoonsgegevens in de gezamenlijke BMS, het CIR en de MID is eu-LISA de verwerker in de zin van artikel 3, punt 12, onder a), van Verordening (EU) 2018/1725.

Artikel 42

Beveiliging van de verwerking

1.   eu-LISA, de centrale Etias-eenheid, Europol en de lidstatelijke autoriteiten zorgen voor de beveiliging van de verwerking van persoonsgegevens uit hoofde van deze verordening. eu-LISA, de centrale Etias-eenheid, Europol en de lidstatelijke autoriteiten werken samen aan taken op het gebied van beveiliging.

2.   Onverminderd artikel 33 van Verordening (EU) 2018/1725 neemt eu-LISA de nodige maatregelen ter beveiliging van de interoperabiliteitscomponenten en de bijbehorende communicatie-infrastructuur.

3.   Met name neemt eu-LISA passende maatregelen, waaronder de vaststelling van een veiligheidsplan, een bedrijfscontinuïteitsplan en een uitwijkplan, om:

a)

de gegevens fysiek te beschermen, onder meer met noodplannen voor de bescherming van kritieke infrastructuur;

b)

te voorkomen dat onbevoegden toegang krijgen tot gegevensverwerkende apparatuur en installaties;

c)

te voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen;

d)

te voorkomen dat gegevens onrechtmatig worden ingevoerd en dat opgeslagen persoonsgegevens onrechtmatig worden ingezien, gewijzigd of verwijderd;

e)

te voorkomen dat gegevens onrechtmatig worden verwerkt, gekopieerd, gewijzigd of verwijderd;

f)

te voorkomen dat onbevoegden de systemen voor geautomatiseerde gegevensverwerking gebruiken met behulp van datatransmissieapparatuur;

g)

te waarborgen dat personen die toestemming hebben voor toegang tot de interoperabiliteitscomponenten, uitsluitend toegang hebben tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft, en uitsluitend door middel van persoonlijke gebruikersidentiteiten en geheime toegangsprocedures;

h)

te waarborgen dat kan worden nagegaan en vastgesteld aan welke autoriteiten persoonsgegevens mogen worden doorgegeven door middel van datatransmissieapparatuur;

i)

te waarborgen dat kan worden nagegaan en vastgesteld welke gegevens wanneer, door wie en met welk doel in de interoperabiliteitscomponenten zijn verwerkt;

j)

te voorkomen, in het bijzonder door middel van passende versleutelingstechnieken, dat bij de doorgifte van persoonsgegevens vanuit en naar de interoperabiliteitscomponenten of gedurende het transport van gegevensdragers de gegevens onrechtmatig worden gelezen, gekopieerd, gewijzigd of verwijderd;

k)

ervoor te zorgen dat de normale werking van de gebruikte systemen in geval van storing kan worden hersteld;

l)

te zorgen voor betrouwbaarheid door te garanderen dat eventuele functionele storingen in de interoperabiliteitscomponenten correct worden gesignaleerd;

m)

de doelmatigheid van de in dit lid bedoelde beveiligingsmaatregelen te controleren, met betrekking tot de interne controle de nodige organisatorische maatregelen te nemen om te waarborgen dat deze verordening wordt nageleefd en die beveiligingsmaatregelen te beoordelen in het licht van nieuwe technologische ontwikkelingen.

4.   Om de verwerking van persoonsgegevens door autoriteiten met recht op toegang tot een of meer interoperabiliteitscomponenten te beveiligen, nemen de lidstaten, Europol en de centrale Etias-eenheid maatregelen die gelijkwaardig zijn aan die van lid 3 van dit artikel.

Artikel 43

Beveiligingsincidenten

1.   Elke gebeurtenis die gevolgen heeft of kan hebben voor de beveiliging van de interoperabiliteitscomponenten of kan leiden tot beschadiging of verlies van gegevens die in de componenten zijn opgeslagen, wordt beschouwd als een beveiligingsincident, met name wanneer onrechtmatige toegang tot gegevens kan zijn verkregen of wanneer de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens in gevaar is of kan zijn gekomen.

2.   Het beheer van beveiligingsincidenten is gericht op een snelle, doeltreffende en passende reactie.

3.   Onverminderd de melding en mededeling van een inbreuk in verband met persoonsgegevens uit hoofde van artikel 33 van Verordening (EU) 2016/679, artikel 30 van Richtlijn (EU) 2016/680, of beide, stellen de lidstaten de Commissie, eu-LISA, de bevoegde toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming onverwijld in kennis van beveiligingsincidenten.

Onverminderd de artikelen 34 en 35 van Verordening (EU) 2018/1725 en artikel 34 van Verordening (EU) 2016/794 stellen de centrale Etias-eenheid en Europol de Commissie, eu-LISA en de Europese Toezichthouder voor gegevensbescherming onverwijld in kennis van eventuele beveiligingsincidenten.

eu-LISA stelt de Commissie en de Europese Toezichthouder voor gegevensbescherming onverwijld in kennis van beveiligingsincidenten in verband met de centrale infrastructuur van de interoperabiliteitscomponenten.

4.   Informatie betreffende een beveiligingsincident dat gevolgen heeft of kan hebben voor de werking van interoperabiliteitscomponenten of voor de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens, wordt onverwijld aan de lidstaten, de centrale Etias-eenheid en Europol verstrekt en gerapporteerd in overeenstemming met het door eu-LISA te verstrekken incidentenbeheerplan.

5.   De betrokken lidstaten, de centrale ETIAS-eenheid, Europol en eu-LISA werken samen wanneer zich een beveiligingsincident voordoet. De Commissie stelt bij uitvoeringshandelingen de specificaties van deze samenwerkingsprocedure vast. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 44

Interne monitoring

De lidstaten en de betrokken Unie-agentschappen zorgen ervoor dat elke autoriteit met recht op toegang tot de interoperabiliteitscomponenten de nodige maatregelen treft met het oog op de naleving van deze verordening en, indien nodig, samenwerkt met de toezichthoudende autoriteit.

De in artikel 40 bedoelde verwerkingsverantwoordelijke neemt de nodige maatregelen, waaronder frequente verificatie van de in de artikelen 10, 16, 24 en 36 bedoelde logbestanden, om na te gaan of de gegevens in overeenstemming met deze verordening worden verwerkt, en werkt indien nodig samen met de toezichthoudende autoriteiten en met de Europese Toezichthouder voor gegevensbescherming.

Artikel 45

Sancties

De lidstaten zorgen ervoor dat misbruik, verwerking of uitwisseling van gegevens in strijd met deze verordening strafbaar wordt gesteld volgens het nationaal recht. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.

Artikel 46

Aansprakelijkheid

1.   Onverminderd het recht op schadevergoeding door en de aansprakelijkheid van de verwerkingsverantwoordelijke of de verwerker uit hoofde van Verordening (EU) 2016/679, Richtlijn (EU) 2016/680 en Verordening (EU) 2018/1725, geldt het volgende:

a)

iedere persoon of lidstaat die als gevolg van onrechtmatige gegevensverwerking of een andere met deze verordening strijdige handeling vanwege een lidstaat materiële of immateriële schade heeft geleden, is gerechtigd om van die lidstaat schadevergoeding te ontvangen;

b)

iedere persoon of lidstaat die als gevolg van een met deze verordening strijdige handeling vanwege Europol, het Europees Grens- en kustwachtagentschap of eu-LISA materiële of immateriële schade heeft geleden, is gerechtigd om van het desbetreffende agentschap schadevergoeding te ontvangen.

De betrokken lidstaat, Europol, het Europees Grens- en kustwachtagentschap of eu-LISA wordt geheel of gedeeltelijk van zijn aansprakelijkheid op grond van de eerste alinea ontheven indien hij kan aantonen niet verantwoordelijk te zijn voor het feit dat de schade heeft veroorzaakt.

2.   Indien schade aan de interoperabiliteitscomponenten ontstaat doordat een lidstaat zijn verplichtingen uit hoofde van deze verordening niet is nagekomen, is deze lidstaat daarvoor aansprakelijk, tenzij en voor zover eu-LISA of een andere door deze verordening gebonden lidstaat, heeft nagelaten redelijke stappen te ondernemen om het optreden van de schade te voorkomen of de omvang ervan zo veel mogelijk te beperken.

3.   Op vorderingen tegen een lidstaat tot vergoeding van de in de leden 1 en 2 bedoelde schade is het nationale recht van de verwerende lidstaat van toepassing. Op vorderingen tegen de verwerkingsverantwoordelijke of eu-LISA tot vergoeding van de in de leden 1 en 2 bedoelde schade zijn de in de Verdragen bepaalde voorwaarden van toepassing.

Artikel 47

Recht op informatie

1.   De autoriteit die de persoonsgegevens verzamelt die moeten worden opgeslagen in de gezamenlijke BMS, het CIR of de MID, verstrekt de personen van wie gegevens zijn verzameld de informatie die is vereist uit hoofde van de artikelen 13 en 14 van Verordening (EU) 2016/679, de artikelen 12 en 13 van Richtlijn (EU) 2016/680 en de artikelen 15 en 16 van Verordening (EU) 2018/1725. De autoriteit verstrekt deze informatie op het tijdstip waarop dergelijke persoonsgegevens worden verzameld.

2.   Alle informatie wordt verstrekt in duidelijke en eenvoudige taal, in een taalversie die de betrokkene begrijpt of waarvan redelijkerwijs kan worden aangenomen dat hij die begrijpt. Dit betekent ook dat informatie aan minderjarige betrokkenen wordt verstrekt op een wijze die bij hun leeftijd past.

3.   Personen van wie gegevens in het EES, VIS of ETIAS worden opgeslagen, worden overeenkomstig lid 1 in kennis gesteld van de verwerking van persoonsgegevens met het oog op de toepassing van deze verordening, wanneer:

a)

een persoonlijk dossier wordt aangelegd of bijgewerkt in het EES overeenkomstig artikel 14 van Verordening (EU) 2017/2226;

b)

een aanvraagdossier wordt opgesteld of bijgewerkt in het VIS overeenkomstig artikel 8 van Verordening (EG) nr. 767/2008;

c)

een aanvraagdossier wordt aangemaakt of bijgewerkt in het Etias overeenkomstig artikel 19 van Verordening (EU) 2018/1240.

Artikel 48

Recht van toegang tot en rectificatie en wissing van in de MID opgeslagen persoonsgegevens en beperking van de verwerking van persoonsgegevens

1.   Voor de uitoefening van hun rechten krachtens de artikelen 15 tot en met 18 van Verordening (EU) 2016/679, de artikelen 17 tot en met 20 van Verordening (EU) 2018/1725 en de artikelen 14, 15 en 16 van Richtlijn (EU) 2016/680 heeft elke persoon het recht om zich te wenden tot de bevoegde autoriteit van een lidstaat, die het verzoek zal onderzoeken en beantwoorden.

2.   De lidstaat die een dergelijk verzoek onderzoekt, beantwoordt het verzoek onverwijld, doch in elk geval binnen 45 dagen na ontvangst van het verzoek. Afhankelijk van de complexiteit van het verzoek en van het aantal ingediende verzoeken kan die termijn indien nodig met nog eens 15 dagen worden verlengd. De lidstaat die het verzoek onderzoekt, stelt de betrokkene binnen 45 dagen na ontvangst van het verzoek in kennis van een dergelijke verlenging en van de redenen voor de vertraging. De lidstaten kunnen besluiten dat antwoorden moeten worden gegeven door de centrale kantoren.

3.   Als er een verzoek om rectificatie of wissing van persoonsgegevens wordt gericht tot een andere lidstaat dan de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat, neemt de aangezochte lidstaat binnen zeven dagen contact op met de autoriteiten van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat. De voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat controleert onverwijld, doch in ieder geval binnen 30 dagen na dit contact, de juistheid van de gegevens en de rechtmatigheid van de gegevensverwerking. Afhankelijk van de complexiteit van het verzoek en van het aantal ingediende verzoeken kan die termijn indien nodig met nog eens 15 dagen worden verlengd. De voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat stelt de lidstaat die contact heeft opgenomen in kennis van een dergelijke verlenging en van de redenen voor de vertraging. De betrokkene wordt door de lidstaat die contact heeft opgenomen met de autoriteiten van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat geïnformeerd over de verdere procedure.

4.   Als er een verzoek om rectificatie of wissing van persoonsgegevens wordt gericht tot een lidstaat en de centrale Etias-eenheid verantwoordelijk was voor de manuele verificatie van meerdere identiteiten, neemt de aangezochte lidstaat binnen zeven dagen contact op met de centrale Etias-eenheid om advies te verzoeken. De Etias-eenheid verstrekt onverwijld advies en in elk geval binnen 30 dagen na te zijn gecontacteerd. Afhankelijk van de complexiteit van het verzoek en van het aantal ingediende verzoeken kan die termijn indien nodig met nog eens 15 dagen worden verlengd. De betrokkene wordt door de lidstaat die met de centrale Etias-eenheid contact heeft opgenomen in kennis gesteld van de verdere procedure.

5.   Wanneer na onderzoek blijkt dat de in de MID opgeslagen gegevens onjuist zijn of onrechtmatig zijn geregistreerd, worden deze gegevens onverwijld gerectificeerd of gewist door de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat of, als er geen lidstaat is die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten of als de centrale Etias-eenheid verantwoordelijk is voor de manuele verificatie, door de aangezochte lidstaat. De betrokkene wordt schriftelijk van de rectificatie of wissing van zijn gegevens in kennis gesteld.

6.   Wanneer een lidstaat tijdens de geldigheidsduur in de MID opgeslagen gegevens wijzigt, bepaalt hij aan de hand van de in artikel 27 en, in voorkomend geval, artikel 29 bedoelde verwerking of een link tussen de gewijzigde gegevens moet worden aangemaakt. Wanneer de verwerking geen match oplevert, verwijdert die lidstaat de gegevens uit het identiteitsbevestigingsbestand. Indien de automatische verwerking een of meer matches oplevert, wordt de link dienovereenkomstig door die lidstaat aangemaakt of bijgewerkt overeenkomstig de desbetreffende bepalingen van deze verordening.

7.   Indien de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat of, in voorkomend geval, de aangezochte lidstaat niet van oordeel is dat de in de MID opgeslagen gegevens onjuist zijn of onrechtmatig zijn geregistreerd, stelt die lidstaat een administratief besluit vast waarbij hij de betrokken persoon onverwijld schriftelijk uitlegt waarom hij niet bereid is de gegevens betreffende die persoon te corrigeren of te wissen.

8.   Het in lid 7 bedoelde besluit verstrekt de betrokkene tevens informatie over de mogelijkheid om de beslissing inzake het verzoek om toegang tot of rectificatie, wissing of beperking van de verwerking van persoonsgegevens te betwisten en, indien relevant, over de wijze waarop hij een rechtsvordering kan instellen of een klacht kan indienen bij de bevoegde autoriteiten of rechtbanken, alsmede over bijstand, onder meer van de toezichthoudende autoriteiten.

9.   Elk verzoek om toegang tot of rectificatie, wissing of beperking van de verwerking van persoonsgegevens bevat de informatie die nodig is om de betrokkene te identificeren. Deze informatie wordt uitsluitend gebruikt om de uitoefening van de in dit artikel bedoelde rechten mogelijk te maken en wordt onmiddellijk nadien gewist.

10.   De voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat of, in voorkomend geval, de aangezochte lidstaat legt in een schriftelijk document vast dat een verzoek om toegang tot of rectificatie, wissing, beperking van de verwerking van persoonsgegevens is ingediend en op welke wijze dit is behandeld, en stelt dit document onverwijld ter beschikking van de toezichthoudende autoriteiten voor gegevensbescherming.

11.   Dit artikel doet geen afbreuk aan beperkingen van de in dit artikel bedoelde rechten uit hoofde van Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680.

Artikel 49

Webportaal

1.   Er wordt een webportaal opgericht om de uitoefening van het recht van toegang tot en rectificatie, wissing of beperking van de verwerking van persoonsgegevens te vergemakkelijken.

2.   Het webportaal bevat informatie over de in de artikelen 47 en 48 bedoelde rechten en procedures, alsmede een gebruikersinterface die personen van wie gegevens worden verwerkt in de MID en die in kennis zijn gesteld van het bestaan van een rode link als bedoeld in artikel 32, lid 4, in staat stelt om de contactgegevens te verkrijgen van de bevoegde autoriteit van de lidstaat die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

3.   Om de contactgegevens te verkrijgen van de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat, moet de persoon van wie gegevens in de MID worden verwerkt de referentie naar de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten als bedoeld in artikel 34, onder d), invoeren. Het webportaal maakt gebruik van deze referentie om de contactgegevens van de bevoegde autoriteit van de lidstaat die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten op te vragen. Het webportaal bevat voorts een model-e-mail om communicatie tussen de portaalgebruiker en de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat te vergemakkelijken. Een dergelijke e-mail bevat een veld voor het in artikel 34, onder c), bedoelde unieke identificatienummer, opdat de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat in staat is om te bepalen om welke gegevens het gaat.

4.   De lidstaten verstrekken eu-LISA de contactgegevens van alle autoriteiten die bevoegd zijn om verzoeken als bedoeld in de artikelen 47 en 48 te beoordelen en beantwoorden, en controleren regelmatig of die contactgegevens nog actueel zijn.

5.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van het webportaal.

6.   De Commissie stelt overeenkomstig artikel 73 een gedelegeerde handeling vast houdende gedetailleerde voorschriften inzake het beheer van het webportaal, inclusief de gebruikersinterface, de talen waarin het webportaal beschikbaar is en de model-e-mail.

Artikel 50

Mededeling van persoonsgegevens aan derde landen, internationale organisaties en particulieren

Onverminderd artikel 65 van Verordening (EU) 2018/1240, artikelen 25 en 26 van Verordening (EU) 2016/794, artikel 41 van Verordening (EU) 2017/2226, artikel 31 van Verordening (EG) nr. 767/2008, en onverminderd het bevragen van de Interpol-databanken door het ESP overeenkomstig artikel 9, lid 5, van deze verordening, in overeenstemming met de bepalingen van hoofdstuk V van Verordening (EU) 2018/1725 en hoofdstuk V van Verordening (EU) 2016/679, worden persoonsgegevens die worden opgeslagen in de interoperabiliteitscomponenten, die worden verwerkt door de interoperabiliteitscomponenten of waartoe deze componenten toegang hebben, niet doorgegeven aan of ter beschikking gesteld van derde landen, internationale organisaties of particuliere partijen..

Artikel 51

Toezicht door de toezichthoudende autoriteiten

1.   Elke lidstaat zorgt ervoor dat de toezichthoudende autoriteiten onafhankelijk toezicht houden op de rechtmatigheid van de verwerking van persoonsgegevens overeenkomstig deze verordening door de betrokken lidstaat, met inbegrip van de doorgifte van die gegevens naar en van de interoperabiliteitscomponenten.

2.   Elke lidstaat zorgt ervoor dat de wettelijke en bestuursrechtelijke bepalingen die overeenkomstig Richtlijn (EU) 2016/680 in het nationale recht zijn vastgesteld, in voorkomend geval ook van toepassing zijn op de toegang tot de interoperabiliteitscomponenten door politieautoriteiten en aangewezen autoriteiten, mede met betrekking tot de rechten van de personen tot wier gegevens aldus toegang wordt verkregen.

3.   De toezichthoudende autoriteiten zorgen ervoor dat voor de doeleinden van deze verordening ten minste om de vier jaar een audit van de verrichtingen van de verantwoordelijke nationale autoriteiten op het gebied van de verwerking van persoonsgegevens wordt uitgevoerd overeenkomstig de desbetreffende internationale auditnormen.

Jaarlijks worden het aantal verzoeken om rectificatie, wissing of beperking van verwerking van persoonsgegevens, het daaraan gegeven gevolg en het aantal rectificaties, wissingen en beperkingen van verwerking dat op verzoek van de betrokkenen is aangebracht, door de toezichthoudende autoriteiten bekendgemaakt.

4.   De lidstaten zorgen ervoor dat hun toezichthoudende autoriteiten over voldoende middelen en deskundigheid beschikken om hun taken uit hoofde van deze verordening te kunnen vervullen.

5.   De lidstaten verstrekken de door een in artikel 51, lid 1, van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteit gevraagde informatie, en in het bijzonder informatie over de activiteiten die zijn verricht in overeenstemming met hun taken uit hoofde van deze verordening. De lidstaten bieden de in artikel 51, lid 1, van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteiten toegang tot hun logbestanden als bedoeld in de artikelen 10, 16, 24 en 36 van deze verordening en tot de in artikel 22, lid 2, van deze verordening bedoelde geregistreerde redenen, en verlenen hen te allen tijde toegang tot al hun gebouwen die worden gebruikt voor activiteiten in verband met interoperabiliteit.

Artikel 52

Audits door de Europese Toezichthouder voor gegevensbescherming

De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat voor de doeleinden van deze verordening ten minste om de vier jaar een audit van de verrichtingen van eu-LISA, de centrale Etias-eenheid en Europol op het gebied van de verwerking van persoonsgegevens wordt uitgevoerd overeenkomstig de toepasselijke internationale auditnormen. Een verslag over deze audit wordt toegezonden aan het Europees Parlement, de Raad, eu-LISA, de Commissie, de lidstaten en het betrokken Unie-agentschap. Voordat de verslagen worden aangenomen, worden eu-LISA, de centrale Etias-eenheid en Europol in de gelegenheid gesteld opmerkingen te maken.

eu-LISA, de centrale Etias-eenheid en Europol verstrekken de door de Europese Toezichthouder voor gegevensbescherming gevraagde informatie en verlenen de Europese Toezichthouder voor gegevensbescherming te allen tijde toegang tot alle documenten waarom zij verzoekt en tot hun in artikel 10, 16, 24 en 36 bedoelde logbestanden, alsook tot al hun gebouwen en terreinen.

Artikel 53

Samenwerking tussen de toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming

1.   De toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming werken, elk binnen hun eigen bevoegdheidsgebieden en binnen het kader van hun eigen verantwoordelijkheden, actief met elkaar samen, en zorgen voor een gecoördineerd toezicht op het gebruik van de interoperabiliteitscomponenten en de toepassing van de andere bepalingen van deze verordening, met name wanneer de Europese Toezichthouder voor gegevensbescherming of een toezichthoudende autoriteit grote verschillen tussen praktijken van de lidstaten constateert of potentieel onrechtmatige gegevensdoorgiften via de communicatiekanalen van de interoperabiliteitscomponenten constateert.

2.   In de in lid 1 van dit artikel bedoelde gevallen wordt gezorgd voor gecoördineerd toezicht in overeenstemming met artikel 62 van Verordening (EU) 2018/1725.

3.   Uiterlijk op 12 juni 2021 en vervolgens om de twee jaar zendt het Europees Comité voor gegevensbescherming een gezamenlijk verslag van zijn activiteiten uit hoofde van dit artikel toe aan het Europees Parlement, de Raad, de Commissie, Europol, het Europees Grens- en kustwachtagentschap en eu-LISA. Het verslag bevat voor elke lidstaat een hoofdstuk dat door de toezichthoudende autoriteit van de betrokken lidstaat wordt opgesteld.

HOOFDSTUK VIII

Verantwoordelijkheden

Artikel 54

Verantwoordelijkheden van eu-LISA gedurende de ontwerp- en ontwikkelingsfase

1.   eu-LISA zorgt ervoor dat de centrale infrastructuur van de interoperabiliteitscomponenten wordt beheerd in overeenstemming met deze verordening.

2.   De interoperabiliteitscomponenten worden door eu-LISA gehost op zijn technische locaties en voorzien in de in deze verordening beschreven functies overeenkomstig de voorwaarden inzake beveiliging, beschikbaarheid, kwaliteit en prestaties bedoeld in artikel 55, lid 1.

3.   eu-LISA is verantwoordelijk voor de ontwikkeling van de interoperabiliteitscomponenten en voor alle aanpassingen die nodig zijn met het oog op de interoperabiliteit tussen de centrale systemen van het EES, VIS, Etias, SIS, Eurodac en ECRIS-TCN, en het ESP, de gezamenlijke BMS, het CIR, de MID en het CRRS.

Onverminderd artikel 56 heeft eu-LISA geen toegang tot de persoonsgegevens die via het ESP, de gezamenlijke BMS, het CIR of de MID worden verwerkt.

Het ontwerp van de fysieke architectuur van de interoperabiliteitscomponenten, met inbegrip van de communicatie-infrastructuur alsook de technische specificaties en de evolutie daarvan met betrekking tot de centrale infrastructuur en de beveiligde communicatie-infrastructuur, wordt door eu-LISA bepaald en na een gunstig advies van de Commissie vastgesteld door de raad van bestuur. eu-LISA verricht ook de nodige aanpassingen van het EES, VIS, Etias of SIS als voortvloeiend uit de totstandbrenging van de interoperabiliteit en bedoeld in deze verordening.

eu-LISA ontwikkelt en implementeert de interoperabiliteitscomponenten zo spoedig mogelijk na de inwerkingtreding van deze verordening en de vaststelling door de Commissie van de maatregelen bedoeld in artikel 8, lid 2, artikel 9, lid 7, artikel 28, leden 5 en 7, artikel 37, lid 4, artikel 38, lid 3, artikel 39, lid 5, artikel 43, lid 5, en artikel 74, lid 10.

De ontwikkeling omvat de uitwerking en implementatie van de technische specificaties, het testen en het algemeen projectbeheer en de algehele projectcoördinatie.

4.   In de ontwerp- en ontwikkelingsfase wordt een programmabestuursraad met ten hoogste tien leden ingesteld. Deze raad bestaat uit zeven door de raad van bestuur van eu-LISA uit zijn eigen leden of plaatsvervangers aangewezen leden, de voorzitter van de in artikel 75 bedoelde adviesgroep inzake interoperabiliteit, een door de uitvoerend directeur benoemd lid dat eu-LISA vertegenwoordigt, en één door de Commissie benoemd lid. De door de raad van bestuur van eu-LISA aangewezen leden worden bij uitsluiting gekozen uit de lidstaten die ten volle gebonden zijn door het Unierecht betreffende de ontwikkeling, de oprichting, de exploitatie en het gebruik van alle Unie-informatiesystemen, en die aan de interoperabiliteitscomponenten zullen deelnemen.

5.   De programmabestuursraad komt op gezette tijden, en ten minste driemaal per kwartaal, bijeen. Hij zorgt voor een passend beheer van de fasen waarin de interoperabiliteitscomponenten worden ontworpen en ontwikkeld.

Elke maand brengt de programmabestuursraad schriftelijk verslag uit over de voortgang van het project aan de raad van bestuur van eu-LISA. De programmabestuursraad heeft geen beslissingsbevoegdheid of mandaat om de leden van de raad van bestuur van eu-LISA te vertegenwoordigen.

6.   De raad van bestuur van eu-LISA stelt het reglement van de programmabestuursraad op, dat met name regels bevat inzake:

a)

het voorzitterschap;

b)

de plaats van vergadering;

c)

de voorbereiding van vergaderingen;

d)

de toelating van deskundigen tot de vergaderingen;

e)

communicatieplannen die ervoor zorgen dat de niet-deelnemende leden van de raad van bestuur volledig op de hoogte worden gehouden.

Het voorzitterschap wordt bekleed door een lidstaat die Unierechtelijk ten volle is gebonden door rechtsinstrumenten betreffende de ontwikkeling, de oprichting, de exploitatie en het gebruik van alle Unie-informatiesystemen en die deelneemt aan de interoperabiliteitscomponenten.

Alle door de leden van de programmabestuursraad gemaakte reis- en verblijfkosten worden betaald door eu-LISA en artikel 10 van het reglement van orde van eu-LISA is van overeenkomstige toepassing. Het secretariaat van de programmabestuursraad wordt verzorgd door eu-LISA.

Tot de ingebruikneming van de interoperabiliteitscomponenten komt de in artikel 75 bedoelde adviesgroep inzake interoperabiliteit op gezette tijden bijeen. Zij brengt na elke bijeenkomst verslag uit aan de programmabestuursraad. Zij ondersteunt de programmabestuursraad met technische deskundigheid en houdt de voortgang van de voorbereidingen van de lidstaten bij.

Artikel 55

Verantwoordelijkheden van eu-LISA na de ingebruikneming

1.   Na de ingebruikneming van elke interoperabiliteitscomponent is eu-LISA verantwoordelijk voor het technisch beheer van de centrale infrastructuur van de interoperabiliteitscomponenten, met inbegrip van hun onderhoud en technologische ontwikkelingen. eu-LISA zorgt er in samenwerking met de lidstaten voor dat de beste beschikbare technologie wordt gebruikt, onder voorbehoud van een kosten-batenanalyse. eu-LISA is ook verantwoordelijk voor het technisch beheer van de communicatie-infrastructuur als bedoeld in de artikelen 6, 12, 17, 25 en 39.

Het technisch beheer van de interoperabiliteitscomponenten omvat alle taken en technische oplossingen die nodig zijn om de interoperabiliteitscomponenten zeven dagen per week en 24 uur per dag overeenkomstig deze verordening te laten functioneren en ononderbroken diensten te laten verlenen aan de lidstaten en de Unie-agentschappen. Het omvat de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een bevredigende technische kwaliteit van de interoperabiliteitscomponenten, in het bijzonder wat betreft de tijd die nodig is voor raadpleging van de centrale infrastructuur overeenkomstig de technische specificaties.

Alle interoperabiliteitscomponenten worden zodanig ontwikkeld en beheerd dat een snelle, naadloze, efficiënte en gecontroleerde toegang tot en de volledige en ononderbroken beschikbaarheid van de componenten en de in de MID, de gezamenlijke BMS en het CIR opgeslagen gegevens is gewaarborgd, met een responstijd die beantwoordt aan de operationele behoeften van de autoriteit van de lidstaten en de Unie-agentschappen.

2.   Onverminderd artikel 17 van het Statuut van de ambtenaren van de Europese Unie past eu-LISA passende voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op personeelsleden die moeten werken met in de interoperabiliteitscomponenten opgeslagen gegevens. Deze geheimhoudingsplicht blijft ook gelden nadat deze personeelsleden hun functie of dienstverband hebben beëindigd of hun werkzaamheden hebben stopgezet.

Onverminderd artikel 66 heeft eu-LISA geen toegang tot de persoonsgegevens die via het ESP, de gezamenlijke BMS, het CIR en de MID worden verwerkt.

3.   eu-LISA ontwikkelt en onderhoudt een mechanisme en procedures voor het uitvoeren van kwaliteitscontroles op de in de gezamenlijke BMS en het CIR opgeslagen gegevens overeenkomstig artikel 37.

4.   eu-LISA verricht ook taken met betrekking tot het aanbieden van opleiding in het technische gebruik van de interoperabiliteitscomponenten.

Artikel 56

Verantwoordelijkheden van de lidstaten

1.   Elke lidstaat is verantwoordelijk voor:

a)

de aansluiting op de communicatie-infrastructuur van het ESP en het CIR;

b)

de integratie van de bestaande nationale systemen en infrastructuur met het ESP, het CIR en de MID;

c)

de organisatie, het beheer, de werking en het onderhoud van de bestaande nationale infrastructuur en de aansluiting daarvan op de interoperabiliteitscomponenten;

d)

het beheer en de regelingen op grond waarvan de naar behoren gemachtigde personeelsleden van de bevoegde nationale autoriteiten overeenkomstig deze verordening toegang hebben tot het ESP, het CIR en de MID, en de opstelling en regelmatige bijwerking van een lijst van de betrokken personeelsleden en hun profiel;

e)

de vaststelling van de in artikel 20, leden 5 en 6, bedoelde wettelijke maatregelen om toegang te krijgen tot het CIR voor identificatiedoeleinden;

f)

de manuele verificatie van meerdere identiteiten als bedoeld in artikel 29;

g)

de naleving van de krachtens het Unierecht vastgestelde vereisten inzake gegevenskwaliteit;

h)

de naleving van de regels van elk Unie-informatiesysteem met betrekking tot de veiligheid en integriteit van persoonsgegevens;

i)

het verhelpen van tekortkomingen die zijn geconstateerd in het evaluatieverslag van de Commissie over de gegevenskwaliteit als bedoeld in artikel 37, lid 5.

2.   Elke lidstaat sluit zijn aangewezen autoriteiten aan op het CIR.

Artikel 57

Verantwoordelijkheden van de centrale Etias-eenheid

De centrale Etias-eenheid is verantwoordelijk voor:

a)

de manuele verificatie van meerdere identiteiten uit hoofde van artikel 29;

b)

het uitvoeren van een detectie van meerdere identiteiten aan de hand van de gegevens die zijn opgeslagen in het EES, VIS, Eurodac en SIS als bedoeld in artikel 69.

HOOFDSTUK IX

Wijzigingen van andere instrumenten van de Unie

Artikel 58

Wijzigingen van Verordening (EG) nr. 767/2008

Verordening (EG) nr. 767/2008 wordt als volgt gewijzigd:

1)

aan artikel 1 wordt het volgende lid toegevoegd:

"Door identiteitsgegevens, reisdocumentgegevens en biometrische gegevens op te slaan in het bij artikel 17, lid 1, van Verordening (EU) 2019/817 van het Europees Parlement en de Raad (*1) ingestelde gemeenschappelijke identiteitsregister (CIR), draagt het VIS bij aan het vergemakkelijken en ondersteunen van de correcte identificatie van personen die in het VIS zijn geregistreerd onder de voorwaarden respectievelijk voor de uiteindelijke doelstellingen bedoeld in artikel 20 van die verordening.

(*1)  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad en Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad (PB L 135 van 22 mei 2019, blz. 27).""

2)

aan artikel 4 worden de volgende punten toegevoegd:

"12)   "VIS-gegevens": alle gegevens die in het centrale systeem van het VIS en het CIR zijn opgeslagen overeenkomstig de artikelen 9 tot en met 14;

13)   "identiteitsgegevens": de gegevens als bedoeld in artikel 9, lid 4, onder a) en a bis);

14)   "vingerafdrukgegevens": de gegevens betreffende de vijf vingerafdrukken van de wijsvinger, de middelvinger, de ringvinger, de pink en de duim van de rechterhand en, indien aanwezig, van de linkerhand;";

3)

in artikel 5 wordt het volgende lid ingevoegd:

"1 bis.   Het CIR bevat de gegevens bedoeld in artikel 9, lid 4, onder a) tot en met c), en artikel 9, leden 5 en 6. De overige VIS-gegevens worden opgeslagen in het centrale systeem van het VIS.";

4)

Artikel 6, lid 2, wordt vervangen door:

"2.   De toegang tot het VIS voor raadpleging van de gegevens is uitsluitend voorbehouden aan de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat die bevoegd zijn voor de in de artikelen 15 tot en met 22 genoemde doelen, en aan de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat en van de Unie-agentschappen die bevoegd zijn voor de in de artikelen 20 en 21 van Verordening (EU) 2019/817 vastgestelde doeleinden. Deze toegang is beperkt tot de gegevens die vereist zijn voor de uitvoering van hun taken overeenkomstig deze doelen en staat in verhouding tot de doelstellingen.";

5)

Artikel 9, punt 4, onder a), b) en c), worden vervangen door:

"a)

achternaam (familienaam); voornaam/voornamen; geboortedatum; geslacht;

a bis)

achternaam bij de geboorte (vroegere familienaam/-namen); plaats en land van geboorte; huidige nationaliteit en nationaliteit bij de geboorte;

b)

het type en nummer van het reisdocument of de reisdocumenten en de drielettercode van het land dat het reisdocument of de reisdocumenten heeft afgegeven;

c)

de datum waarop de geldigheidstermijn van het reisdocument of de reisdocumenten verstrijkt;

c bis)

de autoriteit die het reisdocument heeft afgegeven en de datum van afgifte;".

Artikel 59

Wijzigingen van Verordening (EU) 2016/399

In artikel 8 wordt het volgende lid ingevoegd:

"4 bis.   Wanneer bij inreis of uitreis de raadpleging van de relevante databanken, waaronder de detector van meerdere identiteiten via het Europees zoekportaal als ingesteld bij artikel 25, lid 1 en artikel 6, lid 1, van Verordening (EU) 2019/817 van het Europees Parlement en de Raad (*2) leidt tot een gele link of tot de constatering van een rode link, raadpleegt de grenswachter de detector van meerdere identiteiten samen met het gemeenschappelijke identiteitsregister ingesteld bij artikel 17, lid 1, van die verordening of het SIS ter beoordeling van de verschillen tussen de gelinkte identiteitsgegevens of reisdocumentgegevens. De kustwacht verricht aanvullende verificaties voor het nemen van een beslissing over de status en de kleur van de link.

Overeenkomstig artikel 69, lid 1, van Verordening (EU) 2019/817 wordt deze alinea pas van toepassing wanneer de detector van meerdere identiteiten in gebruik wordt genomen overeenkomstig artikel 72, lid 4, van die verordening.

Artikel 60

Wijzigingen van Verordening (EU) 2017/2226

Verordening (EU) 2017/2226 wordt als volgt gewijzigd:

1)

aan artikel 1 wordt het volgende lid toegevoegd:

"3.   Door identiteitsgegevens, reisdocumentgegevens en biometrische gegevens op te slaan in het bij artikel 17, lid 1, van Verordening (EU) 2019/817 van het Europees Parlement en de Raad (*3) ingestelde gemeenschappelijke identiteitsregister (CIR), draagt het EES bij aan het vergemakkelijken en ondersteunen van de correcte identificatie van personen die in het EES zijn geregistreerd onder de voorwaarden respectievelijk voor de uiteindelijke doelstellingen bedoeld in artikel 20 van die verordening.

(*3)  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad (PB L 135 van 22 mei 2019, blz. 27).";"

2)

Artikel 3,lid 1, wordt als volgt gewijzigd:

a)

punt 22 wordt vervangen door:

"22)   "EES-gegevens": alle gegevens die in het centrale systeem van het EES en het CIR zijn opgeslagen overeenkomstig de artikelen 15 tot en met 20:";

b)

het volgende punt wordt ingevoegd:

"22 bis)   "identiteitsgegevens": de gegevens bedoeld in artikel 16, lid 1, onder a), alsook de relevante gegevens als bedoeld in artikel 17, lid 1, en artikel 18, lid 1;";

c)

de volgende punten worden toegevoegd:

"32)   "ESP": het Europees onderzoeksportaal zoals ingesteld bij artikel 6, lid 1, van Verordening (EU) 2019/817;

33)   "CIR": het gemeenschappelijke identiteitsregister zoals ingesteld bij artikel 17, lid 1, van Verordening (EU) 2019/817.";

3)

aan artikel 6, lid 1, wordt het volgende punt toegevoegd:

"j)

een correcte identificatie van personen verzekeren.";

4)

Artikel 7 wordt als volgt gewijzigd:

a)

lid 1 wordt als volgt gewijzigd:

i)

het volgende punt wordt ingevoegd:

"a bis)

de centrale infrastructuur van de CIR als bedoeld in artikel 17, lid 2, onder a), van Verordening (EU) 2019/817;";

ii)

punt f), wordt vervangen door:

"f)

een beveiligde communicatie-infrastructuur tussen het centrale systeem van het EES en de centrale infrastructuren van het ESP en het CIR.";

b)

het volgende lid wordt ingevoegd:

"1 bis.   Het CIR bevat de gegevens bedoeld in artikel 16, lid 1, onder a) tot en met d), artikel 17, lid 1, onder a), b) en c), en artikel 18, leden 1 en 2. De overige EES-gegevens worden opgeslagen in het centrale systeem van het EES.";

5)

aan artikel 9 wordt het volgende lid toegevoegd:

"4.   De toegang tot de in het CIR opgeslagen EES-gegevens is voorbehouden aan de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat en aan de naar behoren gemachtigde personeelsleden van de Unie-agentschappen die bevoegd zijn voor de in de artikelen 20 en 21 van Verordening (EU) 2019/817 vastgestelde doeleinden. Deze toegang is beperkt tot wat nodig is voor de uitvoering van hun taken overeenkomstig deze doeleinden en is evenredig met de nagestreefde doelen.";

6)

Artikel 21 wordt als volgt gewijzigd:

a)

lid 1 wordt vervangen door:

"1.   Indien het technisch niet mogelijk is gegevens in het centrale systeem van het EES of het CIR in te voeren of zich een storing in het centrale systeem van het EES of het CIR voordoet, worden de in de artikelen 16 tot en met 20 bedoelde gegevens tijdelijk opgeslagen in de NUI. Indien dit niet mogelijk is, worden de gegevens tijdelijk lokaal opgeslagen in elektronisch formaat. In beide gevallen worden de gegevens zodra het technische probleem of de storing is verholpen, in het centrale systeem van het EES of het CIR ingevoerd. De lidstaten nemen passende maatregelen en zorgen voor de nodige infrastructuur, uitrusting en middelen om te garanderen dat deze tijdelijke lokale opslag op elk moment en voor al hun grensdoorlaatposten kan worden verricht."

b)

in lid 2 wordt de eerste alinea vervangen door:

"2.   Onverminderd de verplichting grenscontroles te verrichten uit hoofde van Verordening (EU) 2016/399 gaat de grensautoriteit, in de uitzonderlijke omstandigheid waarin het wegens een technisch probleem onmogelijk is gegevens in te voeren ofwel in het centrale systeem van het EES en het CIR ofwel in de NUI, en waarin het wegens een technisch probleem onmogelijk is de gegevens tijdelijk lokaal op te slaan in elektronisch formaat, over tot het handmatig opslaan van de inreis-uitreisgegevens overeenkomstig de artikelen 16 tot en met 20 van deze verordening, met uitzondering van biometrische gegevens, en brengt zij een stempel van inreis of uitreis aan in het reisdocument van de onderdaan van een derde land. Die gegevens worden zodra het technisch gezien mogelijk is, ingevoerd in het centrale systeem van het EES en het CIR.";

7)

Artikel 23 wordt als volgt gewijzigd:

a)

het volgende lid wordt ingevoegd:

"2 bis.   Met het oog op de verificaties overeenkomstig lid 1 van dit artikel start de grensautoriteit een zoekopdracht door gebruik te maken van het ESP, om de gegevens over de onderdaan van een derde land te vergelijken met de relevante gegevens in het EES en het VIS.";

b)

in lid 4, wordt de eerste alinea vervangen door:

"4.   Als de zoekopdracht op basis van de in lid 2 van dit artikel bedoelde alfanumerieke gegevens uitwijst dat er geen gegevens over de onderdaan van een derde land zijn geregistreerd in het EES, als een verificatie van een onderdaan van een derde land krachtens lid 2 van dit artikel niets oplevert of als er twijfels bestaan over zijn identiteit, hebben de grensautoriteiten toegang tot gegevens voor identificatie overeenkomstig artikel 27 om een persoonlijk dossier aan te leggen of bij te werken overeenkomstig artikel 14.";

8)

in artikel 32 wordt het volgende lid ingevoegd:

"1 bis.   Ingeval de aangewezen autoriteiten een zoekopdracht in het CIR hebben gestart overeenkomstig artikel 22 van Verordening(EU) 2019/817, hebben zij toegang tot het EES voor raadpleging als aan de in dit artikel vastgestelde voorwaarden is voldaan en als het ontvangen antwoord als bedoeld in artikel 22, lid 2 van Verordening (EU) 2019/817 uitwijst dat gegevens zijn opgeslagen in het EES.";

9)

in artikel 33 wordt het volgende lid ingevoegd:

"1 bis.   Ingeval Europol een zoekopdracht in het CIR heeft gestart overeenkomstig artikel 22 van Verordening (EU) 2019/817, heeft het toegang tot het EES voor raadpleging wanneer aan de in dit artikel vastgestelde voorwaarden is voldaan en als het ontvangen antwoord als bedoeld in artikel 22, lid 2 van Verordening (EU) 2019/817 uitwijst dat gegevens zijn opgeslagen in het EES.";

10)

Artikel 34 wordt als volgt gewijzigd:

a)

in leden 1 en 2, worden de woorden "in het centrale systeem van het EES" vervangen door de woorden "in het CIR en het centrale systeem van het EES";

b)

in lid 5, worden de woorden "uit het centrale systeem van het EES" vervangen door de woorden "uit het centrale systeem van het EES en het CIR";

11)

in artikel 35 wordt lid 7 vervangen door:

"7.   "Het centrale systeem van het EES en het CIR informeren alle lidstaten onmiddellijk over de verwijdering van EES- of CIR-gegevens en verwijderen deze, in voorkomend geval, uit de in artikel 12, lid 3, bedoelde lijst van geïdentificeerde personen.";

12)

in artikel 36 worden de woorden "van het centrale systeem van het EES" vervangen door de woorden "van het centrale systeem van het EES en het CIR";

13)

Artikel 37 wordt als volgt gewijzigd:

a)

lid 1, eerste alinea, wordt vervangen door:

"1.   Eu-LISA is verantwoordelijk voor de ontwikkeling van het centrale systeem van het EES, en de CIR, de NUI's, de communicatie-infrastructuur en het beveiligde communicatiekanaal tussen het centrale systeem van het EES en het centrale systeem van het VIS. Eu-LISA is ook verantwoordelijk voor de ontwikkeling van de in artikel 13 bedoelde webdienst en het in artikel 63, lid 2, bedoelde gegevensregister overeenkomstig de in artikel 13, lid 7, bedoelde nadere regels en de overeenkomstig artikel 36, eerste alinea, onder h) en j) vastgestelde specificaties en voorwaarden.";

b)

de eerste alinea van lid 3 wordt vervangen door:

"3.   Eu-LISA is verantwoordelijk voor het operationeel beheer van het centrale systeem van het centrale systeem van het EES en de CIR, de NUI's en het beveiligde communicatiekanaal tussen het centrale systeem van het EES en het centrale systeem van het VIS. Het zorgt er in samenwerking met de lidstaten voor dat te allen tijde, onder voorbehoud van een kosten-batenanalyse, de meest geavanceerde technologie wordt gebruikt voor het centrale systeem van het EES en de CIR, de NUI's, de communicatie-infrastructuur, het beveiligde communicatiekanaal tussen het centrale systeem van het EES en het centrale systeem van het VIS, de in artikel 13 bedoelde webdienst en het in artikel 63, lid 2, bedoelde gegevensregister. Eu-LISA is ook verantwoordelijk voor het operationeel beheer van de communicatie-infrastructuur tussen het centrale systeem van het EES en de NUI's, voor de in artikel 13 bedoelde webdienst en het in artikel 63, lid 2, bedoelde gegevensregister.";

14)

aan artikel 46, lid 1, wordt het volgende punt toegevoegd:

"f)

een verwijzing naar het gebruik van het Europese zoekportaal voor het doorzoeken van het EES als bedoeld in artikel 7, lid 2, van Verordening (EU) 2019/817.";

15)

Artikel 63 wordt als volgt gewijzigd:

a)

lid 2 wordt vervangen door:

"2.   Voor de toepassing van lid 1 worden de in dat lid bedoelde gegevens door eu-LISA opgeslagen in het centrale register voor rapportage en statistieken als bedoeld in artikel 39 van Verordening (EU) 2019/817.";

b)

aan lid 4 wordt de volgende alinea toegevoegd:

"De dagelijkse statistieken worden opgeslagen in het centrale register voor rapportage en statistieken.".

Artikel 61

Wijziging van Verordening (EU) 2018/1240

Verordening (EU) 2018/1240 wordt als volgt gewijzigd:

1)

in artikel 1 wordt het volgende lid toegevoegd:

"3.   Door identiteitsgegevens en reisdocumentgegevens op te slaan in het bij artikel 17, lid 1, van Verordening (EU) 2019/817 van het Europees Parlement en de Raad (*4) ingestelde gemeenschappelijke identiteitsregister (CIR), draagt het Etias bij aan het vergemakkelijken en ondersteunen van de correcte identificatie van personen die in het Etias zijn geregistreerd onder de voorwaarden respectievelijk voor de doelstellingen van artikel 20 van die verordening.

(*4)  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad (PB L 135 van 22 mei 2019, blz. 27).";"

2)

aan artikel 3, lid 1, worden de volgende punten toegevoegd:

"23)   "CIR": het gemeenschappelijke identiteitsregister ingesteld bij artikel 17, lid 1, van Verordening (EU) 2019/817;

24)   "ESP": het Europees onderzoeksportaal ingesteld bij artikel 6, lid 1 van Verordening (EU) 2019/817;

25)   "centraal ETIAS-systeem": het centrale systeem bedoeld in artikel 6, lid 2, onder a bis), samen met het CIR voor zover het CIR de in artikel 6, lid 2 bis, bedoelde gegevens bevat;

26)   "dentiteitsgegevens": de gegevens bedoeld in artikel 17, lid 2, onder a), b) en c);

27)   "reisdocumentgegevens": de gegevens bedoeld in artikel 17, lid 2, onder d) en e), en de drielettercode van het land dat het reisdocument heeft afgegeven als bedoeld in artikel 19, lid 3, onder c).";

3)

aan artikel 4 wordt het volgende punt toegevoegd:

"g)

bijdragen tot de correcte identificatie van personen.";

4)

Artikel 6 wordt als volgt gewijzigd:

a)

lid 2 wordt als volgt gewijzigd:

i)

punt a) wordt vervangen door:

"a)

een centraal systeem, waarin de in artikel 34 bedoelde Etias-observatielijst is opgenomen;";

ii)

het volgende punt wordt ingevoegd:

"a bis)

het CIR;";

iii)

punt d) wordt vervangen door:

"d)

een beveiligde communicatie-infrastructuur tussen het centrale systeem en de centrale infrastructuur van het ESP en het CIR;";

b)

het volgende lid wordt ingevoegd:

"2 bis.   Het CIR bevat de identiteitsgegevens en reisdocumentgegevens. De overige gegevens worden opgeslagen in het centrale systeem.";

5)

Artikel 13 wordt als volgt gewijzigd:

a)

het volgende lid wordt ingevoegd:

"4 bis.   De toegang met het oog op het raadplegen van de in het CIR opgeslagen Etias-identiteitsgegevens en Etias-reisdocumentgegevens is voorbehouden aan de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat en aan de naar behoren gemachtigde personeelsleden van de Unie-agentschappen die bevoegd zijn voor de in de artikelen 20 en 21 van Verordening (EU) 2019/817 vastgestelde doeleinden. Deze toegang is beperkt tot de mate waarin de gegevens nodig zijn voor de uitvoering van hun taken Unie-agentschappen overeenkomstig deze doeleinden en is evenredig met de nagestreefde doelen.";

b)

lid 5 wordt vervangen door:

"5.   Elke lidstaat wijst de in de leden 1, 2, 4 en 4 bis van dit artikel bedoelde bevoegde nationale autoriteiten aan en deelt, overeenkomstig artikel 87, lid 2, aan eu-LISA onverwijld een lijst met deze autoriteiten mee. In deze lijst wordt vermeld voor welk doel de naar behoren gemachtigde personeelsleden van elke autoriteit overeenkomstig de leden 1, 2, 4 en 4 bis van dit artikel toegang hebben tot de in het Etias-informatiesysteem opgenomen gegevens.".

6)

artikel 17, lid 2, wordt als volgt gewijzigd:

a)

punt a) wordt vervangen door:

"a)

achternaam (familienaam), voornaam(-namen), achternaam bij geboorte; geboortedatum, geboorteplaats, geslacht, huidige nationaliteit;";

b)

het volgende punt wordt ingevoegd:

"a bis)

geboorteland, voornaam (-namen) van de ouders van de aanvrager;";

7)

In artikel 19, lid 4, wordt "artikel 17, lid 2, onder a)" vervangen door "artikel 17, lid 2, onder a) en a bis)";

8)

Artikel 20 wordt als volgt gewijzigd:

a)

in lid 2 wordt de eerste alinea vervangen door:

"2.   Het centrale Etias-systeem geeft een zoekopdracht door het ESP te gebruiken om de relevante gegevens bedoeld in artikel 17, lid 2, onder a), a bis), b), c), d), f), g), j), k) en m), en in artikel 17, lid 8, te vergelijken met de gegevens in een notitie, dossier of signalering in een aanvraag die is opgeslagen in het centrale Etias-systeem, het SIS, het EES, VIS, Eurodac, de Europol-gegevens en de Interpol-databanken SLTD en TDAWN.";

b)

in lid 4 wordt "artikel 17, lid 2, onder a), b), c), d), f), g), j), k) en m)," vervangen door "artikel 17, lid 2, onder a), a bis), b), c), d), f), g), j), k) en m)";

c)

in lid 5, wordt "artikel 17, lid 2, onder a), c), f), h) en i)" vervangen door "artikel 17, lid 2, onder a), a bis), c), f), h) en i)";

9)

in artikel 23 wordt lid 1 vervangen door:

"1.   Het centrale Etias-systeem geeft een zoekopdracht door het ESP te gebruiken om de relevante gegevens bedoeld in artikel 17, lid 2, onder a), a bis), b) en d), te vergelijken met de gegevens in het SIS teneinde vast te stellen of ten aanzien van de aanvrager een van de volgende signaleringen is uitgevaardigd:

a)

een signalering van vermiste personen;

b)

een signalering van personen die worden gezocht met het oog op een gerechtelijke procedure;

c)

een signalering van personen met het oog op discrete controles of gerichte controles."

10)

in artikel 52 wordt het volgende lid ingevoegd:

"1 bis.   Ingeval de aangewezen autoriteiten een zoekopdracht aan het CIR hebben gestart overeenkomstig artikel 22 van Verordening (EU) 2019/817, hebben zij voor raadpleging toegang tot de in het centrale Etias-systeem opgeslagen aanvraagdossiers als het ontvangen antwoord als bedoeld in artikel 22, lid 2, van Verordening (EU) 2019/817 uitwijst dat gegevens zijn opgeslagen in de aanvraagdossiers die zijn opgeslagen in het centrale Etias-systeem.";

11)

in artikel 53 wordt het volgende lid ingevoegd:

"1 bis.   Ingeval Europol een zoekopdracht aan het CIR heeft gestart overeenkomstig artikel 22 van Verordening (EU) 2019/817, heeft Europol voor raadpleging toegang tot de in het centrale Etias-systeem opgeslagen aanvraagdossiers als het ontvangen antwoord als bedoeld in artikel 22, lid 2, van Verordening (EU) 2019/817 uitwijst dat gegevens zijn opgeslagen in de aanvraagdossiers die zijn opgeslagen in het centrale Etias-systeem.";

12)

in artikel 65, lid 3, vijfde alinea, wordt "artikel 17, lid 2, onder a), b), d), e) en f)" vervangen door "artikel 17, lid 2, onder a), a bis), b), d), e) en f)";

13)

in artikel 69, lid 1, wordt het volgende punt ingevoegd:

"ca)

waar van toepassing, een verwijzing naar het gebruik van het ESP voor het doorzoeken van het centrale Etias-systeem als bedoeld in artikel 7, lid 2, van Verordening (EU) 2019/817";

14)

in artikel 73, lid 2, worden de woorden "centrale gegevensopslagplaats" vervangen door "centraal register voor rapportage en statistieken als bedoeld in artikel 39 van Verordening (EU) 2019/817 voor zover dit gegevens bevat die overeenkomstig artikel 84 van deze verordening zijn verkregen uit het centrale Etias-systeem";

15)

in artikel 74, lid 1, wordt de eerste alinea vervangen door:

"1.   Na de ingebruikneming van Etias is eu-LISA verantwoordelijk voor het technisch beheer van het centrale Etias-systeem en de NUI's. eu-LISA is ook verantwoordelijk voor de technische testen die nodig zijn voor de totstandkoming en actualisering van de Etias-screeningsregels. eu-LISA zorgt er in samenwerking met de lidstaten voor dat te allen tijde de meest geavanceerde technologie wordt gebruikt, onder voorbehoud van een kosten-batenanalyse. eu-LISA is ook verantwoordelijk voor het technisch beheer van de communicatie-infrastructuur tussen het centrale Etias-systeem en de NUI's, en verzorgt de openbare website, de app voor mobiele apparaten, de e-maildienst, de beveiligdeaccountdienst, het verificatie-instrument voor aanvragers, het instemmingsinstrument voor aanvragers, het beoordelingsinstrument voor de Etias-observatielijst, het toegangsportaal voor vervoerders, de webdienst en de software voor de verwerking van de aanvragen.";

16)

in artikel 84, lid 2, wordt de eerste alinea vervangen door:

"2.   Voor de toepassing van lid 1 van dit artikel slaat eu-LISA de in dat lid bedoelde gegevens op in het centrale register voor rapportage en statistieken als bedoeld in artikel 39 van Verordening (EU) 2019/817. Overeenkomstig artikel 39, lid 1, van die verordening kunnen de in lid 1 van dit artikel bedoelde autoriteiten aan de hand van systeemoverschrijdende statistische gegevens en analytische verslagen op maat gesneden verslagen en statistieken krijgen om de toepassing van de in artikel 33 bedoelde Etias-screeningregels te ondersteunen, veiligheidsrisico's, risico's op het gebied van illegale immigratie en hoge epidemiologische risico's beter te beoordelen, de grenscontroles doeltreffender te maken en de centrale Etias-eenheid en de nationale Etias-eenheden te helpen bij de behandeling van reisautorisatieaanvragen.";

17)

aan artikel 84, lid 4, wordt de volgende alinea toegevoegd:

"De dagelijkse statistieken worden opgeslagen in het centrale register voor rapportage en statistieken als bedoeld in artikel 39 van Verordening (EU) 2019/817.".

Artikel 62

Wijzigingen van Verordening (EU) 2018/1726

Verordening (EU) 2018/1726 wordt als volgt gewijzigd:

1)

Artikel 12 wordt vervangen door:

"Artikel 12

Gegevenskwaliteit

1.   Onverminderd de verantwoordelijkheden van de lidstaten met betrekking tot de gegevens die worden ingevoerd in de systemen waarvoor het Agentschap operationeel verantwoordelijk is, stelt het Agentschap, met nauwe betrokkenheid van zijn adviesgroepen, voor alle systemen waarvoor het operationeel verantwoordelijk is geautomatiseerde controlemechanismen voor gegevenskwaliteit en gemeenschappelijke indicatoren voor gegevenskwaliteit vast, alsook minimumkwaliteitsnormen voor gegevensopslag, overeenkomstig de relevante bepalingen van de rechtsinstrumenten voor die informatiesystemen en artikel 37 van Verordeningen (EU) 2019/817 (*5) en (EU) 2019/818 (*6) van het Europees Parlement en de Raad.

2.   Het Agentschap stelt een centraal register voor verslagen en statistieken vast dat uitsluitend geanonimiseerde gegevens bevat, overeenkomstig artikel 39 van Verordening (EU) 2019/817 en (EU) 2019/818 van het Europees Parlement en de Raad, onder voorbehoud van specifieke bepalingen in de rechtsinstrumenten betreffende de ontwikkeling, de instelling, de werking en het gebruik van de door het Agentschap beheerde grootschalige IT-systemen.

(*5)  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad (PB L 135 van 22 mei 2019, blz. 27)."

(*6)  Verordening (EU) 2019/818 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van politiële en justitiële samenwerking, asiel en migratie en tot wijziging van Verordeningen (EU) 2018/1726, (EU) 2018/1862 en (EU) 2019/816 (PB L 135 van 22 mei 2019, blz. 85)."."

2)

Artikel 19, lid 1, wordt als volgt gewijzigd:

a)

het volgende punt wordt ingevoegd:

"ee bis)

verslagen vast te stellen over de stand van zaken met betrekking tot de ontwikkeling van de interoperabiliteitscomponenten overeenkomstig artikel 78, lid 2, van Verordening (EU) 2019/817 en artikel 74, lid 2, van Verordening (EU) 2019/818.";

b)

punt ff) wordt vervangen door:

"ff)

verslagen vast te stellen over de technische werking van SIS overeenkomstig artikel 60, lid 7, van Verordening (EU) 2018/1861 van het Europees Parlement en de Raad (*7) en artikel 74, lid 8 van Verordening (EU) 2018/1862 van het Europees Parlement en de Raad (*8), de technische werking van het VIS overeenkomstig artikel 50, lid 3, van Verordening (EG) nr. 767/2008 en artikel 17, lid 3, van Besluit 2008/633/JBZ, de technische werking van het EES overeenkomstig artikel 72, lid 4, van Verordening (EU) 2017/2226, de technische werking van het Etias overeenkomstig artikel 92, lid 4, van Verordening (EU) 2018/2140 van het ECRIS-TCN en van de ECRIS-referentie-implementatie krachtens artikel 36, lid 8, van Verordening (EU) 2019/816 van het Europees Parlement en de Raad (*9) en de technische werking van de interoperabiliteitscomponenten overeenkomstig artikel 78, lid 3, van Verordening (EU) 2019/817 en artikel 74, lid 3, van Verordening (EU) 2019/818;

(*7)  Verordening (EU) 2018/1861 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van grenscontroles, tot wijziging van de Overeenkomst ter uitvoering van het Akkoord van Schengen en tot wijziging en intrekking van Verordening (EG) nr. 1987/2006 (PB L 312 van 7.12.2018, blz. 14)."

(*8)  Verordening (EU) 2018/1862 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van politiële en justitiële samenwerking in strafzaken, tot wijziging en intrekking van Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EG) nr. 1986/2006 van het Europees Parlement en de Raad en Besluit 2010/261/EU van de Commissie (PB L 312 van 7.12.2018, blz. 56)."

(*9)  Verordening (EU) 2019/816 van het Europees Parlement en de Raad van 17 april 2019 tot invoering van een gecentraliseerd systeem voor de vaststelling welke lidstaten over informatie beschikken inzake veroordelingen van onderdanen van derde landen en staatlozen (ECRIS-TCN) ter aanvulling en ondersteuning van het Europees Strafregisterinformatiesysteem en tot wijziging van Verordening (EU) nr. 2018/1726 (PB L 135 van 22 mei 2019, blz. 1).";"

c)

punt hh) wordt vervangen door:

"hh)

formeel opmerkingen vast te stellen over de verslagen van de Europese Toezichthouder voor gegevensbescherming betreffende zijn audits op grond van artikel 56, lid 2, van Verordening (EU) 2018/1861, artikel 42, lid 2, van Verordening (EG) nr. 767/2008 en artikel 31, lid 2, van Verordening (EU) nr. 603/2013, artikel 56, lid 2, van Verordening (EU) 2017/2226 en artikel 67 van Verordening (EU) 2018/1240, artikel 29, lid 2, van Verordening (EU) 2019/816 en artikel 52 van Verordeningen (EU) 2019/817 en (EU) 2019/818 en ervoor te zorgen dat aan die audits het passende gevolg wordt gegeven;";

d)

punt mm) wordt vervangen door:

"(mm)

erop toe te zien dat jaarlijks de lijst van bevoegde autoriteiten die gemachtigd zijn tot directe bevraging van de in SIS opgenomen gegevens wordt bekendgemaakt, overeenkomstig artikel 41, lid 8, van Verordening (EU) 2018/1861 en artikel 56, lid 7, van Verordening (EU) 2018/1862, alsmede de lijst van autoriteiten van de nationale systemen van SIS (N.SIS) en Sirene-bureaus overeenkomstig respectievelijk artikel 7, lid 3, van Verordening (EU) 2018/1861 en artikel 7, lid 3, van Verordening (EU) 2018/1862, alsook de lijst van bevoegde autoriteiten overeenkomstig artikel 65, lid 2, van Verordening (EU) 2017/2226, de lijst van bevoegde autoriteiten overeenkomstig artikel 87, lid 2, van Verordening (EU) 2018/1240, de lijst van centrale autoriteiten overeenkomstig artikel 34, lid 2, van Verordening (EU) 2019/816 en de lijst van autoriteiten overeenkomstig artikel 71, lid 1, van Verordening (EU) 2019/817 en artikel 67, lid 1, van Verordening (EU) 2019/818.";

3)

Artikel 22, lid 4, wordt vervangen door:

"4.   Europol en Eurojust kunnen de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake SIS II met betrekking tot de toepassing van Besluit 2007/533/JBZ op de agenda staat.

Het Europees Grens- en kustwachtagentschap kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake SIS met betrekking tot de toepassing van Verordening (EU) 2016/1624 op de agenda staat.

Europol kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake het VIS met betrekking tot de toepassing van Besluit 2008/633/JBZ op de agenda staat of wanneer een vraagstuk inzake Eurodac met betrekking tot de toepassing van Verordening (EU) nr. 603/2013 op de agenda staat.

Europol kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake het EES met betrekking tot de toepassing van Verordening (EU) 2017/2226 op de agenda staat of wanneer een vraagstuk inzake het Etias met betrekking tot Verordening (EU) 2018/1240 op de agenda staat.

Het Europees Grens- en kustwachtagentschap kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake het Etias met betrekking tot de toepassing van Verordening (EU) 2018/1240 op de agenda staat.

Eurojust, Europol en het Europees Openbaar Ministerie kunnen de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake Verordening (EU) 2019/816 op de agenda staat.

Europol, Eurojust en het Europees Grens- en kustwachtagentschap kunnen de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake Verordeningen (EU) 2019/817 en (EU) 2019/818 op de agenda staat.

De raad van bestuur kan andere personen wier mening van belang kan zijn, uitnodigen om als waarnemer de vergaderingen bij te wonen.".

4)

in artikel 24, lid 3, wordt punt p) vervangen door:

"p)

het onverminderd artikel 17 van het Statuut van de ambtenaren vaststellen van vertrouwelijkheidsvoorschriften teneinde te voldoen aan artikel 17 van Verordening (EG) nr. 1987/2006, artikel 17 van Besluit 2007/533/JBZ, artikel 26, lid 9, van Verordening (EG) nr. 767/2008 en artikel 4, lid 4, van Verordening (EU) nr. 603/2013, artikel 37, lid 4, van Verordening (EU) 2017/2226, artikel 74, lid 2, van Verordening (EU) 2018/1240, artikel 11, lid 16, van Verordening (EU) 2019/816 en artikel 55, lid 2, van Verordeningen (EU) 2019/817 en (EU) 2019/818;";

5)

Artikel 27 wordt als volgt gewijzigd:

a)

in lid 1 wordt het volgende punt ingevoegd:

"d bis)

de adviesgroep inzake interoperabiliteit;";

b)

lid 3 wordt vervangen door:

"3.   Europol, Eurojust en het Europees Grens- en kustwachtagentschap kunnen elk een vertegenwoordiger in de adviesgroep-SIS II benoemen.

Europol kan ook een vertegenwoordiger benoemen in de VIS-adviesgroep, de Eurodac-adviesgroep en de adviesgroep-EES-Etias.

Het Europees Grens- en kustwachtagentschap kan ook een vertegenwoordiger in de adviesgroep EES-Etias benoemen.

Eurojust, Europol en het Europees Openbaar Ministerie kunnen ook een vertegenwoordiger in de adviesgroep voor het ECRIS-TCN benoemen.

Europol en Eurojust en het Europees Grens- en kustwachtagentschap kunnen elk een vertegenwoordiger in de adviesgroep inzake interoperabiliteit benoemen.".

Artikel 63

Wijzigingen van Verordening (EU) 2018/1861

Verordening (EU) 2018/1861 wordt als volgt gewijzigd:

1)

in artikel 3 worden de volgende punten toegevoegd:

"22)   "ESP": het Europees zoekportaal ingesteld bij artikel 6, lid 1, van Verordening (EU) 2019/817 van het Europees Parlement en de Raad (*10);

23)   "gezamenlijke BMS": de gezamenlijke dienst voor biometrische matching ingesteld bij artikel 12, lid 1, van Verordening (EU) 2019/817;

24)   "CIR": het gemeenschappelijke identiteitsregister ingesteld bij artikel 17, lid 1, van Verordening (EU) 2019/817;

25)   "MID": de detector van meerdere identiteiten ingesteld bij artikel 25, lid 1, van Verordening (EU) 2019/817.

(*10)  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad (PB L 135 van 22 mei 2019, blz. 27).";"

2)

Artikel 4 wordt als volgt gewijzigd:

a)

in lid 1 worden de punten b) en c) vervangen door:

"b)

een nationaal systeem (N.SIS) in elk van de lidstaten, bestaande uit de nationale datasystemen die in verbinding staan met het centrale SIS, en minstens één nationale of gedeelde N.SIS-back-up,

c)

een communicatie-infrastructuur tussen CS-SIS, CS-SIS-back-up en de NI-SIS ("communicatie-infrastructuur") waarmee een versleuteld virtueel netwerk tot stand wordt gebracht dat specifiek bestemd is voor SIS-gegevens en voor de uitwisseling van gegevens tussen de Sirene-bureaus, als bedoeld in artikel 7, lid 2, en

d)

een beveiligde communicatie-infrastructuur tussen CS-SIS en de centrale infrastructuren van het ESP, de gezamenlijke BMS en de MID.".

b)

de volgende leden worden toegevoegd:

"8.   Onverminderd de leden 1 tot en met 5, kunnen SIS-gegevens tevens worden doorzocht via het ESP.

9.   Onverminderd de leden 1 tot en met 5, kunnen SIS-gegevens tevens worden doorgegeven via de beveiligde communicatie-infrastructuur als bedoeld in lid 1, onder d). Deze doorgifte is beperkt tot de gegevens die vereist zijn voor de doeleinden van Verordening (EU) 2019/817.";

3)

in artikel 7 wordt het volgende lid ingevoegd:

"2 bis.   De Sirene-bureaus zorgen ook voor de manuele verificatie van meerdere identiteiten overeenkomstig artikel 29 van Verordening (EU) 2019/817. Voor zover dit voor de uitvoering van deze taak nodig is, hebben de Sirene-bureaus toegang tot de in het CIR en de MID opgeslagen gegevens voor de in de artikelen 21 en 26 van Verordening (EU) 2019/817 omschreven doeleinden.";

4)

in artikel 12 wordt lid 1 vervangen door:

"1.   De lidstaten zorgen ervoor dat elke toegang tot en uitwisseling van persoonsgegevens in CS-SIS wordt vastgelegd in hun N.SIS met het oog op controle op de rechtmatigheid van de bevraging, monitoring van de rechtmatigheid van de gegevensverwerking, interne monitoring, de goede werking van hun N.SIS en de integriteit en beveiliging van de gegevens. Dit voorschrift is niet van toepassing op de automatische processen bedoeld in artikel 4, lid 6, onder a), b) en c).

De lidstaten zorgen ervoor dat elke toegang tot persoonsgegevens via het ESP wordt vastgelegd in een logbestand met het oog op controle op de rechtmatigheid van de bevraging, monitoring van de rechtmatigheid van de gegevensverwerking, interne monitoring en de integriteit en beveiliging van de gegevens.";

5)

aan artikel 34, lid 1, wordt het volgende punt toegevoegd:

"g)

het verifiëren van meerdere identiteiten en het bestrijden van identiteitsfraude overeenkomstig hoofdstuk V van Verordening (EU) 2019/817.";

6)

in artikel 60 wordt lid 6 vervangen door:

"6.   Voor de toepassing van artikel 15, lid 4, en de leden 3, 4 en 5 van dit artikel slaat eu-LISA in artikel 15, lid 4, en in de in lid 3 van dit artikel bedoelde gegevens aan de hand waarvan geen personen kunnen worden geïdentificeerd, op in het in artikel 39 van Verordening (EU) 2019/817 bedoelde centrale register voor rapportage en statistieken.

eu-LISA geeft de Commissie en de in lid 5 van dit artikel bedoelde organen de mogelijkheid verslagen en statistieken op maat te verkrijgen. Op verzoek verleent eu-LISA de lidstaten, de Commissie, Europol en het Europees Grens- en kustwachtagentschap toegang tot het centrale register voor verslagen en statistieken overeenkomstig artikel 39 van Verordening (EU) 2019/817.".

Artikel 64

Wijzigingen van Beschikking 2004/512/EG

Artikel 1, lid 2, van Beschikking 2004/512/EG wordt vervangen door:

"2.   Het Visuminformatiesysteem wordt gebaseerd op een gecentraliseerde architectuur en bestaat uit:

a)

de centrale infrastructuur van het gemeenschappelijke identiteitsregister bedoeld in artikel 17, lid 2, onder a), van Verordening (UE) 2019/817 van het Europees Parlement en de Raad (*11),

b)

een centraal informatiesysteem, hierna "centraal visuminformatiesysteem" te noemen (CS-VIS),

c)

een interface in elke lidstaat, hierna "nationale interface" te noemen (NI-VIS), die voor de verbinding met de bevoegde centrale nationale autoriteit van de betrokken lidstaat zorgt,

d)

een communicatie-infrastructuur tussen het centrale visuminformatiesysteem en de nationale interfaces,

e)

een beveiligd communicatiekanaal tussen het centrale systeem van het EES en het CS-VIS,

f)

een beveiligde communicatie-infrastructuur tussen het centrale systeem van het VIS en de centrale infrastructuur van het Europees zoekportaal ingesteld bij artikel 6, lid 1, van Verordening (EU) 2019/817 en van het gemeenschappelijke identiteitsregister ingesteld bij artikel 17, lid 1, van Verordening (EU) 2019/817.

Artikel 65

Wijzigingen in Beschikking 2008/633/JBZ

Besluit 2008/633/JBZ wordt als volgt gewijzigd:

1)

in artikel 5 wordt het volgende lid ingevoegd:

"1 bis.   Ingeval de aangewezen autoriteiten een zoekopdracht in het CIR hebben gestart overeenkomstig artikel 22 van Verordening (EU) 2019/817 van het Europees Parlement en de Raad (*12), en als aan de in dit artikel vastgestelde voorwaarden voor toegang is voldaan, hebben zij toegang tot het VIS voor raadpleging als het ontvangen antwoord als bedoeld in artikel 22, lid 2, van die verordening uitwijst dat gegevens zijn opgeslagen in het VIS.

(*12)  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad (PB L 135 van 22 mei 2019, blz. 27).";"

2)

in artikel 7 wordt het volgende lid ingevoegd:

"1 bis.   Ingeval Europol een zoekopdracht in het CIR heeft gestart overeenkomstig artikel 22 van Verordening (EU) 2019/817, en als aan de in dit artikel vastgestelde voorwaarden voor toegang is voldaan, heeft Europol toegang tot het VIS voor raadpleging als het ontvangen antwoord als bedoeld artikel 22, lid2, van die verordening uitwijst dat gegevens zijn opgeslagen in het VIS.".

HOOFDSTUK X

Slotbepalingen

Artikel 66

Verslagen en statistieken

1.   De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke autoriteiten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken, de volgende gegevens inzake het ESP raadplegen:

a)

het aantal zoekopdrachten per ESP-gebruiker;

b)

het aantal zoekopdrachten per Interpol-databank.

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

2.   De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke autoriteiten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken, de volgende gegevens inzake het CIR raadplegen:

a)

het aantal zoekopdrachten als bedoeld in de artikelen 20, 21 en 22;

b)

nationaliteit, geslacht en geboortejaar van de betrokken persoon;

c)

het soort reisdocument en de drielettercode van het land dat het reisdocument heeft afgegeven;

d)

het aantal met en zonder biometrische gegevens uitgevoerde zoekopdrachten.

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

3.   De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke autoriteiten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken, de volgende gegevens inzake de MID raadplegen:

a)

het aantal met en zonder biometrische gegevens uitgevoerde zoekopdrachten;

b)

het aantal en het type links en de Unie-informatiesystemen waartussen de links werden gelegd;

c)

de periode gedurende welke een gele en rode link in het systeem werd gehandhaafd.

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

4.   De naar behoren gemachtigde personeelsleden van het Europees Grens- en kustwachtagentschap hebben toegang om de in de leden 1, 2 en 3 van dit artikel bedoelde gegevens te raadplegen, teneinde risico- en kwetsbaarheidsbeoordelingen zoals bedoeld in de artikelen 11 en 13 van Verordening (EU) 2016/1624 van het Europees Parlement en de Raad (40) te kunnen uitvoeren.

5.   De naar behoren gemachtigde personeelsleden van Europol hebben toegang om de in de leden 2 en 3 van dit artikel bedoelde gegevens te raadplegen, teneinde strategische, thematische en operationele analyses zoals bedoeld in artikel 18, lid 2, onder b) en c), van Verordening (EU) 2016/794 te kunnen uitvoeren.

6.   Voor de toepassing van de leden 1, 2 en 3 slaat eu-LISA de in die leden bedoelde gegevens op in het CRRS. De in het CRRS opgenomen gegevens mogen het niet mogelijk maken om personen te identificeren, maar de gegevens moeten de in de leden 1, 2 en 3 bedoelde autoriteiten in staat te stellen op maat gesneden verslagen en statistieken op te stellen met als doel de grenscontroles doeltreffender te maken, de autoriteiten te helpen bij de verwerking van visumaanvragen en een op feiten gebaseerde beleidsvorming inzake migratie en veiligheid in de Unie te ondersteunen.

7.   Op verzoek stelt de Commissie aan het Bureau van de Europese Unie voor de grondrechten relevante informatie ter beschikking om de gevolgen van deze verordening voor de grondrechten te beoordelen.

Artikel 67

Overgangsperiode voor het gebruik van het Europees zoekportaal

1.   Gedurende een periode van twee jaar vanaf de ingebruikneming van het ESP zijn de verplichtingen als bedoeld in artikel 7, leden 2 en 4, niet van toepassing en is het gebruik van het ESP facultatief.

2.   De Commissie is bevoegd overeenkomstig artikel 73 een gedelegeerde handeling vast te stellen om de in lid 1 van dit artikel bedoelde periode eenmaal met maximaal 1 jaar te verlengen wanneer uit een beoordeling van de tenuitvoerlegging van het ESP blijkt dat een dergelijke verlenging nodig is met name vanwege de gevolgen van de ingebruikname van het ESP voor de organisatie en de duur van grenscontroles.

Artikel 68

Overgangsperiode voor de toepassing van de bepalingen inzake de toegang tot het gemeenschappelijke identiteitsregister met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten

Artikel 22, de punten 8 en 9 van artikel 60, de punten 10 en 11 van artikel 61 en artikel 65 zijn van toepassing vanaf de datum van ingebruikneming van het CIR als bedoeld in artikel 72, lid 3.

Artikel 69

Overgangsperiode voor de detectie van meerdere identiteiten

1.   Gedurende een periode van één jaar nadat eu-LISA de voltooiing van de test van de MID als bedoeld in artikel 72, lid 4, onder b), heeft gemeld en voordat de MID in gebruik wordt genomen, is de centrale Etias-eenheid verantwoordelijk voor het uitvoeren van een detectie van meerdere identiteiten aan de hand van de gegevens die zijn opgeslagen in het EES, VIS, Eurodac en SIS. Voor de detectie van meerdere identiteiten wordt uitsluitend gebruik gemaakt van biometrische gegevens.

2.   Wanneer een zoekopdracht een of meer matches oplevert en de identiteitsgegevens in de gelinkte bestanden identiek of vergelijkbaar zijn, wordt een witte link aangemaakt overeenkomstig artikel 33.

Wanneer een zoekopdracht een of meer matches oplevert en de identiteitsgegevens in de gelinkte bestanden niet als vergelijkbaar kunnen worden beschouwd, wordt een gele link aangemaakt overeenkomstig artikel 30 en is de in artikel 29 bedoelde procedure van toepassing.

In het geval van meerdere matches wordt een link aangemaakt tussen alle gegevenselementen die tot de match hebben geleid.

3.   Wanneer een gele link wordt aangemaakt, verleent de MID de centrale Etias-eenheid toegang tot de identiteitsgegevens in de verschillende Unie-informatiesystemen.

4.   Wanneer een link wordt aangemaakt met een signalering in SIS, anders dan een signalering op grond van artikel 3 van Verordening (EU) 2018/1860, de artikelen 24 en 25 van Verordening (EU) 2018/1861 of artikel 38 van Verordening (EU) 2018/1862, verleent de MID aan het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd, toegang tot de identiteitsgegevens in de verschillende informatiesystemen.

5.   De centrale Etias-eenheid of, in de in lid 4 van dit artikel bedoelde gevallen, het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd, heeft toegang tot de gegevens in het identiteitsbevestigingsbestand, maakt een beoordeling van de verschillende identiteiten, werkt de link bij overeenkomstig de artikelen 31, 32 en 33 en voegt deze toe aan het identiteitsbevestigingsbestand.

6.   De centrale Etias-eenheid stelt de Commissie overeenkomstig artikel 71, lid 3, pas in kennis wanneer alle gele links manueel zijn geverifieerd en hun status in groene, witte of rode links zijn veranderd.

7.   Waar nodig helpen de lidstaten de centrale Etias-eenheid bij het uitvoeren van de detectie van meerdere identiteiten overeenkomstig dit artikel.

8.   De Commissie is bevoegd overeenkomstig artikel 73 een gedelegeerde handeling vast te stellen tot wijziging van deze verordening om de in lid 1 van dit artikel bedoelde periode met zes maanden te verlengen, waarbij tweemaal een verdere verlenging met telkens zes maanden mogelijk is. Een dergelijke verlenging wordt slechts toegestaan wanneer uit een beoordeling van de geraamde tijdspanne voor het voltooien van de detectie van meerdere identiteiten uit hoofde van dit artikel, blijkt dat detectie van meerdere identiteiten niet kan worden voltooid voor het verstrijken van de resterende periode in de zin van lid 1 van dit artikel of een lopende verlenging om redenen buiten de wil van de centrale Etias-eenheid en dat er geen corrigerende maatregelen kunnen worden getroffen. De beoordeling moet uiterlijk drie maanden voor het verstrijken van een dergelijke periode of een lopende verlenging worden verricht.

Artikel 70

Kosten

1.   De kosten in verband met de instelling en de werking van het ESP, de gezamenlijke BMS, het CIR en de MID komen ten laste van de algemene begroting van de Unie.

2.   De kosten in verband met de integratie van de bestaande nationale infrastructuur, de aansluiting van die infrastructuur op de nationale uniforme interfaces en het hosten van de nationale uniforme interfaces komen ten laste van de algemene begroting van de Unie.

De volgende kosten komen niet in aanmerking:

a)

de dienst voor projectbeheer van de lidstaten (vergaderingen, missies, kantoren);

b)

het hosten van nationale IT-systemen (ruimte, implementatie, elektriciteit, koeling);

c)

exploitatie van nationale IT-systemen (exploitanten en contracten voor ondersteuning);

d)

ontwerp, ontwikkeling, implementatie, exploitatie en onderhoud van nationale communicatienetwerken.

3.   Onverminderd verdere financiering voor dit doel uit andere bronnen van de algemene begroting van de Europese Unie komt een bedrag van 32 077 000 EUR uit de 791 000 000 EUR aan middelen als vastgelegd in artikel 5, lid 5, onder b), van Verordening (EU) nr. 515/2014 voor de in de leden 1 en 2 van dit artikel bedoelde kosten voor de uitvoering van deze verordening.

4.   Van de in lid 3 bedoelde middelen wordt 22 861 000 EUR toegewezen aan eu-LISA, 9 072 000 EUR aan Europol en 144 000 EUR aan het Agentschap van de Europese Unie voor opleiding op het gebied van rechtshandhaving (Cepol), ter ondersteuning van deze agentschappen bij de uitvoering van hun respectieve taken overeenkomstig deze verordening. Deze financiering wordt uitgevoerd onder indirect beheer.

5.   De kosten die worden gemaakt door de aangewezen autoriteiten worden respectievelijk gedragen door de aangewezen lidstaten. De kosten voor de aansluiting van de aangewezen autoriteit op het CIR worden door elke lidstaat gedragen.

De door Europol gemaakte kosten, waaronder die welke verband houden met het CIR, worden door Europol gedragen.

Artikel 71

Kennisgevingen

1.   De lidstaten melden aan eu-LISA welke in de artikelen 7, 20, 21 en 26 bedoelde autoriteiten gebruik kunnen maken van of toegang hebben tot het ESP, het CIR en de MID.

Binnen drie maanden na de ingebruikneming van elke interoperabiliteitscomponent overeenkomstig artikel 72 wordt een geconsolideerde lijst van deze autoriteiten bekendgemaakt in het Publicatieblad van de Europese Unie. Wanneer de lijst wordt gewijzigd, maakt eu-LISA eenmaal per jaar een bijgewerkte geconsolideerde versie bekend.

2.   eu-LISA stelt de Commissie in kennis van de succesvolle afsluiting van de testen als bedoeld in artikel 72, lid 1, onder b), lid 2, onder b), lid 3, onder b), lid 4, onder b), lid 5, onder b) en lid 6, onder b).

3.   De centrale Etias-eenheid stelt de Commissie in kennis van de succesvolle afsluiting van de overgangsperiode als bedoeld in artikel 69.

4.   De Commissie stelt de op grond van lid 1 meegedeelde informatie ter beschikking van lidstaten en het publiek door middel van een permanent bijgewerkte openbare website.

Artikel 72

Ingebruikneming

1.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop het ESP in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 8, lid 2, artikel 9, lid 7, en artikel 43, lid 5, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van het ESP, die eu-LISA samen met de lidstatelijke autoriteiten en de Unie-agentschappen die gebruik kunnen maken van het ESP, heeft uitgevoerd, met succes is afgesloten;

c)

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 8, lid 1, bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden.

Het ESP bevraagt de Interpol-databanken pas nadat de technische regelingen het mogelijk maken artikel 9, lid 5, na te leven. Elke onmogelijkheid om artikel 9, lid 5, na te leven, leidt ertoe dat het ESP de Interpol-databanken niet bevraagt, maar de ingebruikneming van het ESP loopt daardoor geen vertraging op.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

2.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop de gezamenlijke BMS in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 13, lid 5, en artikel 43, lid 5, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van de gezamenlijke BMS, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten;

c)

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 13 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden;

d)

eu-LISA heeft verklaard dat de in lid 5, onder b), bedoelde test met succes is afgesloten.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

3.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop het CIR in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 43, lid 5, en artikel 78, lid 10, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van het CIR, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten;

c)

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 18 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden;

d)

eu-LISA heeft verklaard dat de in lid 5, onder b), bedoelde test met succes is afgesloten.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

4.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop de MID in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 28, leden 5 en 7, artikel 32, lid 5, artikel 33, lid 6, artikel 43, lid 5, en artikel 49, lid 6, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van de MID, die eu-LISA samen met de lidstatelijke autoriteiten en de centrale Etias-eenheid heeft uitgevoerd, met succes is afgesloten;

c)

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 34 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden;

d)

de centrale Etias-eenheid heeft de Commissie in kennis gesteld overeenkomstig artikel 71, lid 3;

e)

eu-LISA heeft verklaard dat de in lid 1, onder b), lid 2, onder b), lid 3, onder b) en lid 5, onder b) bedoelde tests met succes zijn afgesloten.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

5.   De Commissie stelt door middel van uitvoeringshandelingen de datum vast vanaf wanneer de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen moeten worden gebruikt, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 37, lid 4, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

6.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop het CRRS in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 39, lid 5, en artikel 43, lid 5, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van het CRRS, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten;

c)

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 39 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

7.   De Commissie stelt het Europees Parlement en de Raad in kennis van de resultaten van de overeenkomstig lid 1, onder b), lid 2, onder b), lid 3, onder b), lid 4, onder b), lid 5, onder b) en lid 6, onder b), uitgevoerde tests.

8.   De lidstaten, de centrale Etias-eenheid en Europol nemen elk van de interoperabiliteitscomponenten in gebruik op de overeenkomstig respectievelijk de leden 1, 2, 3 en 4 door de Commissie bepaalde datum.

Artikel 73

Uitoefening van de bevoegdheidsdelegatie

1.   De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2.   De in artikel 28, lid 5, artikel 39, lid 5, artikel 49, lid 6, artikel 67, lid 2, en artikel 69, lid 8, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van 11 juni 2019. De Commissie stelt uiterlijk negen maanden voor het einde van de termijn van vijf jaar een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.

3.   Het Europees Parlement of de Raad kan de in artikel 28, lid 5, artikel 39, lid 5, artikel 49, lid 6, artikel 67, lid 2, en artikel 69, lid 8, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.   Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5.   Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

6.   Een overeenkomstig artikel 28, lid 5, artikel 39, lid 5, artikel 49, lid 6, artikel 67, lid 2, en artikel 69, lid 8, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

Artikel 74

Comitéprocedure

1.   De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.   Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Indien door het comité geen advies wordt uitgebracht, stelt de Commissie de ontwerpuitvoeringshandeling niet vast en is artikel 5, lid 4, derde alinea, van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 75

Adviesgroep

eu-LISA richt een adviesgroep inzake interoperabiliteit op. Tijdens de fase waarin de interoperabiliteitscomponenten worden ontworpen en ontwikkeld, is artikel 54, leden 4, 5 en 6, van toepassing.

Artikel 76

Opleiding

eu-LISA vervult taken met betrekking tot opleiding over het technische gebruik van de interoperabiliteitscomponenten overeenkomstig Verordening (EU) nr. 2018/1726.

De lidstatelijke autoriteiten en de Unie-agentschappen verstrekken hun personeelsleden die gemachtigd zijn om gegevens met gebruikmaking van de interoperabiliteitscomponenten te verwerken, een passend opleidingsprogramma over gegevensbeveiliging, gegevenskwaliteit en gegevensbescherming, de gegevensverwerkingsprocedures en de informatieverplichtingen uit hoofde van de artikelen 32, lid 4, 33, lid 4, en 47.

Waar passend worden op Unieniveau gemeenschappelijke opleidingscursussen over deze onderwerpen georganiseerd, ter verbetering van de samenwerking en de uitwisseling van beste praktijken tussen de personeelsleden van de lidstatelijke autoriteiten en de Unie-agentschappen die gemachtigd zijn om gegevens met gebruikmaking van de interoperabiliteitscomponenten te verwerken. Bijzondere aandacht wordt geschonken aan het proces voor de detectie van meerdere identiteiten, met inbegrip van de manuele verificatie van meerdere identiteiten en de daarmee verbonden noodzaak om passende waarborgen voor de grondrechten te handhaven.

Artikel 77

Praktische handleiding

De Commissie stelt, in nauwe samenwerking met de lidstaten, eu-LISA en andere betrokken Unie-agentschappen, een praktische handleiding ter beschikking voor de implementatie en het beheer van de interoperabiliteitscomponenten. De praktische handleiding bevat technische en operationele richtsnoeren, aanbevelingen en beste praktijken. De praktische handleiding wordt door de Commissie in de vorm van een aanbeveling goedgekeurd.

Artikel 78

Monitoring en evaluatie

1.   eu-LISA zorgt voor procedures om de ontwikkeling van de interoperabiliteitscomponenten en de aansluiting daarvan op de nationale uniforme interfaces te monitoren in het licht van de doelstellingen op het gebied van planning en kosten, en om de werking van de interoperabiliteitscomponenten te monitoren in het licht van doelstellingen inzake technische resultaten, kosteneffectiviteit, beveiliging en kwaliteit van de dienstverlening.

2.   Uiterlijk op 12 december 2019 en vervolgens om de zes maanden tijdens de fase waarin de interoperabiliteitscomponenten worden ontwikkeld, legt eu-LISA het Europees Parlement en de Raad een verslag voor over de stand van zaken bij de ontwikkeling van de interoperabiliteitscomponenten en de aansluiting daarvan op de nationale uniforme interfaces. Zodra de ontwikkeling is afgerond, wordt bij het Europees Parlement en de Raad een verslag ingediend waarin uitvoerig wordt uiteengezet hoe de doelstellingen, met name op het vlak van planning en kosten, zijn bereikt en waarin eventuele afwijkingen worden gerechtvaardigd.

3.   Vier jaar na de ingebruikneming van elke interoperabiliteitscomponent overeenkomstig artikel 72 en vervolgens om de vier jaar legt eu-LISA aan het Europees Parlement, de Raad en de Commissie een verslag voor over de technische werking en de beveiliging van de interoperabiliteitscomponenten.

4.   Eén jaar na elk verslag van eu-LISA stelt de Commissie een algemene evaluatie van de interoperabiliteitscomponenten op, met inbegrip van:

a)

een beoordeling van de toepassing van deze verordening;

b)

een toetsing van de bereikte resultaten aan de doelstellingen van deze verordening, en een beoordeling van de gevolgen ervan voor de grondrechten, waaronder met name een beoordeling van de gevolgen van de interoperabiliteitscomponenten voor het recht op non-discriminatie;

c)

een beoordeling van de werking van het webportaal, met inbegrip van cijfers over het gebruik van het webportaal en het aantal afgehandelde verzoeken;

d)

een beoordeling van de onverminderde geldigheid van de uitgangspunten voor de interoperabiliteitscomponenten;

e)

een beoordeling van de beveiliging van de interoperabiliteitscomponenten;

f)

een beoordeling van het gebruik van het CIR voor identificatiedoeleinden;

g)

een beoordeling van het gebruik van het CIR met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten;

h)

een beoordeling van alle mogelijke gevolgen, met inbegrip van disproportionele gevolgen voor de verkeersstroom aan grensdoorlaatposten en gevolgen voor de algemene begroting van de Unie;

i)

een beoordeling van het bevragen van de Interpol-databanken via het ESP, met inbegrip van informatie over het aantal matches dat de Interpol-databanken hebben opgeleverd en informatie over eventueel geconstateerde problemen.

In de algemene evaluatie overeenkomstig de eerste alinea van het eerste lid worden zo nodig aanbevelingen opgenomen. De Commissie legt de evaluatie voor aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten.

5.   Uiterlijk op 12 juni 2020 en vervolgens elk jaar totdat de in artikel 72 bedoelde uitvoeringshandelingen van de Commissie zijn vastgesteld, dient de Commissie bij het Europees Parlement en de Raad een verslag in over de stand van de voorbereidingen voor de volledige tenuitvoerlegging van deze verordening. Dat verslag bevat ook gedetailleerde informatie over de gemaakte kosten en over eventuele risico's die van invloed kunnen zijn op de totale kosten.

6.   Twee jaar na de ingebruikneming van de MID overeenkomstig artikel 72, lid 4, beoordeelt de Commissie de gevolgen van de MID voor het recht op non-discriminatie. Na dit eerste verslag maakt de beoordeling van de gevolgen van de MID voor het recht op non-discriminatie deel uit van de in lid 4, onder b), van dit artikel bedoelde beoordeling.

7.   De lidstaten en Europol verstrekken eu-LISA en de Commissie de informatie die nodig is om de in de leden 3 tot en met 6 bedoelde verslagen op te stellen. Deze informatie brengt de werkmethoden niet in gevaar en bevat geen informatie waardoor bronnen, namen van personeelsleden of onderzoeken van de aangewezen autoriteiten worden onthuld.

8.   eu-LISA verstrekt de Commissie de informatie die nodig is om de in lid 4 bedoelde algemene evaluaties op te stellen.

9.   Elke lidstaat en Europol stellen met inachtneming van de nationaalrechtelijke bepalingen inzake de bekendmaking van gevoelige informatie en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat geen enkel nationaal onderzoek in gevaar wordt gebracht, jaarlijkse verslagen op over de doeltreffendheid van de toegang tot in het CIR opgeslagen gegevens met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten, en nemen daarin informatie en statistieken op over:

a)

de exacte doelen van de raadpleging, met inbegrip van de soorten terroristische misdrijven of andere ernstige strafbare feiten;

b)

de gegronde redenen voor een gegrond vermoeden dat een verdachte, overtreder of slachtoffer onder Verordening (EU) 2017/2226, Verordening (EG) nr. 767/2008 of Verordening (EU) 2018/1240 valt;

c)

het aantal verzoeken om toegang tot het CIR met het oog het voorkomen, opsporen of onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten;

d)

het aantal en de soorten gevallen die hebben geleid tot succesvolle identificaties;

e)

de noodzaak en het gebruik van de uitzonderingen voor dringende gevallen, met inbegrip van de gevallen waarin dat dringend karakter niet werd aanvaard bij de verificatie achteraf door het centrale toegangspunt.

De door de lidstaten en Europol opgestelde jaarlijkse verslagen worden aan de Commissie toegezonden vóór 30 juni van het daaropvolgende jaar.

10.   Een technische oplossing wordt aan de lidstaten beschikbaar gesteld om de in artikel 22 bedoelde verzoeken om gebruikerstoegang te beheren en het gemakkelijker te maken de in de leden 7 en 9 van dit artikel bedoelde gegevens te verzamelen met het oog op het genereren van de in die leden bedoelde verslagen en statistieken. De Commissie stelt uitvoeringshandelingen vast betreffende de specificaties van de technische oplossing. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 79

Inwerkingtreding en toepasselijkheid

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

De bepalingen van deze verordening met betrekking tot het ESP zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 1, bepaalde datum.

De bepalingen van deze verordening met betrekking tot de gezamenlijke BMS zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 2, bepaalde datum.

De bepalingen van deze verordening met betrekking tot het CIR zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 3, bepaalde datum.

De bepalingen van deze verordening met betrekking tot de MID zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 4, bepaalde datum.

De bepalingen van deze verordening met betrekking tot de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 5, bepaalde datum

De bepalingen van deze verordening met betrekking tot het CRRS zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 72, lid 6, bepaalde datum.

De artikelen 6, 12, 17, 25, 38, 42, 54, 56, 57, 70, 71, 73, 74, 75, 77 en 78, lid 1, zijn van toepassing vanaf 11 juni 2019.

Deze verordening is met betrekking tot Eurodac van toepassing vanaf de datum waarop de herschikking van Verordening (EU) nr. 603/2013 van toepassing wordt.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat overeenkomstig de Verdragen.

Gedaan te Brussel, 20 mei 2019.

Voor het Europees Parlement

De voorzitter

A. TAJANI

Voor de Raad

De voorzitter

G. CIAMBA


(1)  PB C 283 van 10.8.2018, blz. 48.

(2)  Standpunt van het Europees Parlement van 16 april 2019 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 14 mei 2019.

(3)  PB C 101 van 16.3.2018, blz. 116.

(4)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(5)  Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens, en intrekking van het Kaderbesluit van de Raad 2008/977/JBZ (PB L 119 van 4.5.2016, blz. 89).

(6)  Gemeenschappelijk Standpunt 2005/69/JBZ van de Raad van 24 januari 2005 over de uitwisseling van bepaalde gegevens met Interpol (PB L 27 van 29.1.2005, blz. 61).

(7)  Besluit 2007/533/JBZ van de Raad van 12 juni 2007 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem van de tweede generatie (SIS II) (PB L 205 van 7.8.2007, blz. 63).

(8)  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(9)  Verordening (EU) 2016/399 van het Europees Parlement en de Raad van 9 maart 2016 betreffende een Uniecode voor de overschrijding van de grenzen door personen (Schengengrenscode) (PB L 77 van 23.3.2016, blz. 1).

(10)  Verordening (EU) 2018/1860 van het Europees Parlement en de Raad van 28 november 2018 betreffende het gebruik van het Schengeninformatiesysteem voor de terugkeer van illegaal verblijvende onderdanen van derde landen (PB L 312 van 7.12.2018, blz. 1).

(11)  Verordening (EU) 2018/1861 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van grenscontroles, tot wijziging van de Overeenkomst ter uitvoering van het Akkoord van Schengen en tot wijziging en intrekking van Verordening (EG) nr. 1987/2006 (PB L 312 van 7.12.2018, blz. 14).

(12)  Verordening (EU) 2018/1862 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van politiële en justitiële samenwerking in strafzaken, tot wijziging en intrekking van Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EG) nr. 1986/2006 van het Europees Parlement en de Raad en Besluit 2010/261/EU van de Commissie (PB L 312 van 7.12.2018, blz. 56).

(13)  Verordening (EU) 2017/2226 van het Europees Parlement en de Raad van 30 november 2017 tot instelling van een inreis-uitreissysteem (EES) voor de registratie van inreis- en uitreisgegevens en van gegevens over weigering van toegang ten aanzien van onderdanen van derde landen die de buitengrenzen overschrijden en tot vaststelling van de voorwaarden voor toegang tot het EES voor rechtshandhavingsdoeleinden en tot wijziging van de overeenkomst ter uitvoering van het te Schengen gesloten akkoord en Verordeningen (EG) nr. 767/2008 en (EU) nr. 1077/2011 (PB L 327 van 9.12.2017, blz. 20).

(14)  Verordening (EG) nr. 767/2008 van het Europees Parlement en de Raad van 9 juli 2008 betreffende het Visuminformatiesysteem (VIS) en de uitwisseling tussen de lidstaten van gegevens op het gebied van visa voor kort verblijf (VIS-verordening) (PB L 218 van 13.8.2008, blz. 60).

(15)  Verordening (EU) 2018/1240 van het Europees Parlement en de Raad van 12 september 2018 tot oprichting van een Europees reisinformatie- en -autorisatiesysteem (Etias) en tot wijziging van de Verordeningen (EU) nr. 1077/2011, (EU) nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 en (EU) 2017/2226 (PB L 236 van 19.9.2018, blz. 1).

(16)  Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en tot vervanging en intrekking van de Besluiten 2009/371/JBZ, 2009/934/JBZ, 2009/935/JBZ, 2009/936/JBZ en 2009/968/JBZ van de Raad (PB L 135 van 24.5.2016, blz. 53).

(17)  Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

(18)  PB C 233 van 4.7.2018, blz. 12.

(19)  Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad van 18 juli 2018 tot vaststelling van de financiële regels van toepassing op de algemene begroting van de Unie, tot wijziging van Verordeningen (EU) nr. 1296/2013, (EU) nr. 1301/2013, (EU) nr. 1303/2013, (EU) nr. 1304/2013, (EU) nr. 1309/2013, (EU) nr. 1316/2013, (EU) nr. 223/2014, (EU) nr. 283/2014 en Besluit nr. 541/2014/EU en tot intrekking van Verordening (EU, Euratom) nr. 966/2012 (PB L 193 van 30.7.2018, blz. 1).

(20)  Verordening (EU) nr. 515/2014 van het Europees Parlement en de Raad van 16 april 2014 tot vaststelling, als onderdeel van het Fonds voor interne veiligheid, van het instrument voor financiële steun voor de buitengrenzen en visa en tot intrekking van Beschikking nr. 574/2007/EG (PB L 150 van 20.5.2014, blz. 143).

(21)  PB L 123 van 12.5.2016, blz. 1.

(22)  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(23)  Richtlijn 2004/38/EG van het Europees Parlement en de Raad van 29 april 2004 betreffende het recht van vrij verkeer en verblijf op het grondgebied van de lidstaten voor de burgers van de Unie en hun familieleden, tot wijziging van Verordening (EEG) nr. 1612/68 en tot intrekking van de Richtlijnen 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG en 93/96/EEG (PB L 158 van 30.4.2004, blz. 77).

(24)  Besluit 2000/365/EG van de Raad van 29 mei 2000 betreffende het verzoek van het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland deel te mogen nemen aan enkele van de bepalingen van het Schengenacquis (PB L 131 van 1.6.2000, blz. 43).

(25)  Besluit 2002/192/EG van de Raad van 28 februari 2002 betreffende het verzoek van Ierland deel te mogen nemen aan bepalingen van het Schengenacquis (PB L 64 van 7.3.2002, blz. 20).

(26)  PB L 176 van 10.7.1999, blz. 36.

(27)  Besluit 1999/437/EG van de Raad van 17 mei 1999 inzake bepaalde toepassingsbepalingen van de door de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen gesloten overeenkomst inzake de wijze waarop deze twee staten worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengen-acquis (PB L 176 van 10.7.1999, blz. 31).

(28)  PB L 53 van 27.2.2008, blz. 52.

(29)  Besluit 2008/146/EG van de Raad van 28 januari 2008 betreffende de sluiting namens de Europese Gemeenschap van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (PB L 53 van 27.2.2008, blz. 1).

(30)  PB L 160 van 18.6.2011, blz. 21.

(31)  Besluit 2011/350/EU van de Raad van 7 maart 2011 betreffende de sluiting namens de Europese Unie van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis betreffende de afschaffing van controles aan de binnengrenzen en het verkeer van personen (PB L 160 van 18.6.2011, blz. 19).

(32)  Beschikking 2004/512/EG van de Raad van 8 juni 2004 betreffende het opzetten van het Visuminformatiesysteem (VIS) (PB L 213 van 15.6.2004, blz. 5).

(33)  Besluit 2008/633/JBZ van de Raad van 23 juni 2008 over de toegang tot het Visuminformatiesysteem (VIS) voor raadpleging door aangewezen lidstatelijke autoriteiten en door Europol, met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten (PB L 218 van 13.8.2008, blz. 129).

(34)  Verordening (EU) 2019/818 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van politiële en justitiële samenwerking, asiel en migratie en tot wijziging van Verordeningen (EU) 2018/1726, (EU) 2018/1862 en (EU) 2019/816 (zie bladzijde 85 van dit Publicatieblad).

(35)  Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad van 15 maart 2017 inzake terrorismebestrijding en ter vervanging van Kaderbesluit 2002/475/JBZ van de Raad en tot wijziging van Besluit 2005/671/JBZ van de Raad (PB L 88 van 31.3.2017, blz. 6).

(36)  Kaderbesluit 2002/584/JBZ van de Raad van 13 juni 2002 betreffende het Europees aanhoudingsbevel en de procedures van overlevering tussen de lidstaten (PB L 190 van 18.7.2002, blz. 1).

(37)  Verordening (EU) nr. 603/2013 van het Europees Parlement en van de Raad van 26 juni 2013 betreffende de instelling van "Eurodac" voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van Verordening (EU) nr. 604/2013 tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een verzoek om internationale bescherming dat door een onderdaan van een derde land of een staatloze bij een van de lidstaten wordt ingediend en betreffende verzoeken van rechtshandhavingsinstanties van de lidstaten en Europol om vergelijkingen van Eurodac-gegevens ten behoeve van rechtshandhaving, en tot wijziging van Verordening (EU) nr. 1077/2011 tot oprichting van een Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (PB L 180 van 29.6.2013, blz. 1).

(38)  Verordening (EU) 2019/816 van het Europees Parlement en de Raad van 17 april 2019 tot invoering van een gecentraliseerd systeem voor de vaststelling welke lidstaten over informatie beschikken inzake veroordelingen van onderdanen van derde landen en staatlozen (ECRIS-TCN) ter aanvulling en ondersteuning van het Europees Strafregisterinformatiesysteem en tot wijziging van Verordening (EU) nr. 2018/1726 (zie bladzijde 1 van dit Publicatieblad).

(39)  Verordening (EG) nr. 168/2007 van de Raad van 15 februari 2007 tot oprichting van een Bureau van de Europese Unie voor de grondrechten (PB L 53 van 22.2.2007, blz. 1).

(40)  Verordening (EU) 2016/1624 van het Europees Parlement en de Raad van 14 september 2016 betreffende de Europese grens- en kustwacht, tot wijziging van Verordening (EU) 2016/399 van het Europees Parlement en de Raad en tot intrekking van Verordening (EG) nr. 863/2007 van het Europees Parlement en de Raad, Verordening (EG) nr. 2007/2004 van de Raad en Besluit 2005/267/EG van de Raad (PB L 251 van 16.9.2016, blz. 1).


22.5.2019   

NL

Publicatieblad van de Europese Unie

L 135/85


VERORDENING (EU) 2019/818 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 20 mei 2019

tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van politiële en justitiële samenwerking, asiel en migratie en tot wijziging van Verordeningen (EU) 2018/1726, (EU) 2018/1862 en (EU) 2019/816

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2, artikel 74, artikel 78, lid 2, onder e), artikel 79, lid 2, onder c), artikel 82, lid 1, onder d), artikel 85, lid 1, artikel 87, lid 2, onder a), en artikel 88, lid 2,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité (1),

Na raadpleging van het Comité van de Regio's,

Handelend volgens de gewone wetgevingsprocedure (2),

Overwegende hetgeen volgt:

(1)

In haar mededeling Krachtigere en slimmere informatiesystemen voor grenzen en veiligheid van 6 april 2016 heeft de Commissie benadrukt dat de Unie-architectuur voor gegevensbeheer voor grensbeheer en veiligheid moest worden verbeterd. De mededeling gaf de aanzet tot een proces dat moet leiden tot interoperabiliteit tussen de Unie-informatiesystemen voor veiligheid, grensbeheer en migratiebeheer, om de structurele tekortkomingen in verband met deze systemen te verhelpen, die het werk van de nationale autoriteiten hinderen, en ervoor te zorgen dat grenswachters, douaneautoriteiten, politieambtenaren en gerechtelijke autoriteiten over de nodige informatie beschikken.

(2)

In zijn routekaart voor het verbeteren van informatie-uitwisseling en informatiebeheer op het gebied van justitie en binnenlandse zaken van 6 juni 2016 heeft de Raad verscheidene juridische, technische en operationele problemen in verband met de interoperabiliteit van de Unie-informatiesystemen vastgesteld en ertoe opgeroepen daar oplossingen voor te vinden.

(3)

In zijn resolutie van 6 juli 2016 over de strategische prioriteiten met betrekking tot het werkprogramma van de Commissie voor 2017 (3) heeft het Europees Parlement aangedrongen op voorstellen om de bestaande Unie-informatiesystemen te verbeteren en verder te ontwikkelen, informatieleemten aan te pakken en de interoperabiliteit tussen voornoemde systemen te bevorderen, en op voorstellen voor verplichte gegevensuitwisseling op Unieniveau, samen met de nodige waarborgen voor gegevensbescherming.

(4)

In zijn conclusies van 15 december 2016 heeft de Europese Raad gevraagd om te blijven werken aan de interoperabiliteit van Unie-informatiesystemen en databanken.

(5)

In zijn eindverslag van 11 mei 2017 heeft de deskundigengroep inzake informatiesystemen en interoperabiliteit geconcludeerd dat het noodzakelijk en technisch haalbaar was om praktische oplossingen voor interoperabiliteit na te streven, en dat de interoperabiliteit in beginsel zowel operationele voordelen kunnen opleveren als met inachtneming van de voorschriften inzake gegevensbescherming kunnen worden vastgesteld.

(6)

In haar mededeling van 16 mei 2017, met als titel "Zevende voortgangsverslag over de totstandbrenging van een echte en doeltreffende Veiligheidsunie", heeft de Commissie, overeenkomstig haar mededeling van 6 april 2016 en conform de bevindingen en aanbevelingen van de deskundigengroep op hoog niveau, een nieuwe aanpak beschreven voor het beheer van gegevens voor grenzen, veiligheid en migratie, waarbij alle gecentraliseerde Unie-informatiesystemen voor veiligheid, grensbeheer en migratiebeheer interoperabel zijn, met volledige inachtneming van de grondrechten.

(7)

In zijn conclusies van 9 juni 2017 over de verdere stappen voor het verbeteren van de informatie-uitwisseling en het waarborgen van de interoperabiliteit van de Unie-informatiesystemen, heeft de Raad de Commissie verzocht om de door de deskundigengroep op hoog niveau voorgestelde oplossingen inzake operabiliteit na te streven.

(8)

In zijn conclusies van 23 juni 2017 heeft de Europese Raad de noodzaak onderstreept van een verbetering van de interoperabiliteit tussen databanken en de Commissie verzocht zo spoedig mogelijk ontwerpwetgeving op te stellen op basis van de voorstellen uit te werken van de deskundigengroep op hoog niveau inzake informatiesystemen en interoperabiliteit.

(9)

Teneinde de doeltreffendheid en doelmatigheid van controles aan de buitengrenzen te verbeteren, bij te dragen aan het voorkomen en bestrijden van illegale immigratie en aan een hoog niveau van veiligheid in de ruimte van vrijheid, veiligheid en recht van de Unie, onder meer door de handhaving van de openbare orde en veiligheid en de vrijwaring van de veiligheid op het grondgebied van de lidstaten, de uitvoering van het gemeenschappelijk visumbeleid te verbeteren, bijstand te verlenen bij de behandeling van verzoeken om internationale bescherming, bij te dragen aan het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten, de identificatie te faciliteren van personen die niet in staat zijn zichzelf te legitimeren of van niet-geïdentificeerde stoffelijke overschotten bij natuurrampen, ongevallen of terroristische aanslagen, om het vertrouwen te houden van het publiek in het migratie- en asielstelsel van de Unie, de veiligheidsmaatregelen van de Unie en de capaciteit van de Unie om de buitengrens te beheren, dient er interoperabiliteit tot stand te worden gebracht tussen een aantal Unie-informatiesystemen, namelijk het inreis-uitreissysteem (EES), het Visuminformatiesysteem (VIS), het Europees systeem voor reisinformatie en -autorisatie (Etias), Eurodac, het Schengeninformatiesysteem (SIS) en het Europees Strafregister Informatiesysteem voor onderdanen van derde landen (ECRIS-TCN), opdat deze Unie-informatiesystemen en de erin opgenomen gegevens elkaar aanvullen, met inachtneming van de grondrechten van het individu, en met name de bescherming van persoonsgegevens. Hiertoe dienen de volgende interoperabiliteitscomponenten tot stand te worden gebracht: een Europees zoekportaal (ESP), een gezamenlijke dienst voor biometrische matching (gezamenlijke BMS), een gemeenschappelijk identiteitsregister (CIR) en een detector van meerdere identiteiten (MID).

(10)

De interoperabiliteit tussen de Unie-informatiesystemen moet deze systemen in staat stellen elkaar aan te vullen teneinde de correcte identificatie van personen, met inbegrip van onbekende personen die niet in staat zijn zichzelf te legitimeren of niet-geïdentificeerde stoffelijke overschotten, te vergemakkelijken, bijdragen aan de bestrijding van identiteitsfraude, vereisten inzake de gegevenskwaliteit van de respectieve Unie-informatiesystemen verbeteren en harmoniseren, de technische en operationele implementatie van de Unie-informatiesystemen door de lidstaten vergemakkelijken, de waarborgen inzake gegevensbeveiliging en -bescherming die van toepassing zijn op de Unie-informatiesystemen versterken, de toegang tot het EES, VIS, Etias en Eurodac met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten stroomlijnen en de doelen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN ondersteunen.

(11)

De interoperabiliteitscomponenten dienen betrekking te hebben op het EES, VIS, ETIAS, Eurodac, SIS en ECRIS-TCN] Voornoemde componenten dienen ook van toepassing te zijn op de Europol-gegevens, maar enkel in de zin dat zij het mogelijk moeten maken Europol-gegevens gelijktijdig met deze Unie-informatiesystemen te doorzoeken.

(12)

De interoperabiliteitscomponenten moeten de persoonsgegevens verwerken van personen van wie persoonsgegevens in de Unie-informatiesystemen en door Europol worden verwerkt.

(13)

Het ESP dient te worden opgericht om het langs technische weg gemakkelijker te maken voor de lidstatelijke autoriteiten en de Unie-agentschappen om snel, ononderbroken, efficiënt, systematisch en gecontroleerd toegang te krijgen tot de Unie-informatiesystemen, de Europol-gegevens en de databanken van de Internationale Politieorganisatie (Interpol) voor zover dit nodig is om hun taken te verrichten, zulks overeenkomstig hun toegangsrechten. Het ESP moet ook worden opgericht ter ondersteuning van de doelstellingen van het EES, VIS, Etias, Eurodac, SIS, ECRIS-TCN en de Europol-gegevens. Door het mogelijk te maken te zoeken in alle relevante Unie-informatiesystemen, in de Europol-gegevens en de Interpol-databanken, moet het ESP dienstdoen als één loket of "messagebroker" voor het naadloos doorzoeken van verscheidene centrale systemen en opvragen van de nodige informatie, met volledige inachtneming van de voorschriften inzake toegangscontrole en gegevensbescherming van de onderliggende systemen.

(14)

Het ESP moet zodanig worden ontworpen dat de gegevens aan de hand waarvan een ESP-gebruiker een zoekopdracht start in de Interpol-databanken, niet worden gedeeld met de eigenaars van de Interpol-gegevens. Het ontwerp van het ESP dient er tevens voor te zorgen dat de Interpol-databanken alleen in overeenstemming met het toepasselijke Unie- en nationale recht worden geraadpleegd.

(15)

ESP-gebruikers met recht op toegang tot de Europol-gegevens op grond van Verordening (EU) 2016/794 van het Europees Parlement en de Raad (4) moeten gelijktijdig kunnen zoeken in de Europol-gegevens en in de Unie-informatiesystemen waartoe zij toegang hebben. Elke verdere verwerking van gegevens na een dergelijke zoekopdracht moet plaatsvinden in overeenstemming met Verordening (EU) 2016/794, ook wat door de gegevensverstrekker opgelegde beperkingen op de toegang of het gebruik van de gegevens betreft.

(16)

Het ESP dient zodanig te worden ontwikkeld en geconfigureerd dat het alleen dergelijke bevragingen toestaat indien gebruik wordt gemaakt van gegevens die zijn gerelateerd aan personen of reisdocumenten en die in een Unie-informatiesysteem, in de Europol-gegevens of in de Interpol-databanken zijn opgenomen.

(17)

Om ervoor te zorgen dat de relevante Unie-informatiesystemen systematisch worden gebruikt, dient het ESP te worden gebruikt voor het doorzoeken van het CIR, het EES, VIS, Etias, Eurodac en ECRIS-TCN. Een nationale verbinding met de verschillende Unie-informatiesystemen dient echter te blijven bestaan, bij wijze van technisch vangnet. Het ESP dient ook door Unie-agentschappen te worden gebruikt om het centrale SIS overeenkomstig hun toegangsrechten te doorzoeken voor het verrichten van hun taken. Het ESP dient een aanvullend middel te zijn voor het doorzoeken van het centrale SIS, de Europol-gegevens en de Interpol-databanken, ter aanvulling van de interfaces die daarvoor al beschikbaar zijn.

(18)

Biometrische gegevens zoals vingerafdrukken en gezichtsopnames zijn uniek en derhalve voor de identificatie van een persoon veel betrouwbaarder dan alfanumerieke gegevens. De gezamenlijke BMS dient als technisch instrument het werk van de relevante Unie-informatiesystemen en andere interoperabiliteitscomponenten te versterken en vereenvoudigen. De gezamenlijke BMS heeft als voornaamste doel de identificatie te vergemakkelijken van een natuurlijke persoon die wellicht geregistreerd is in verschillende databanken, door een enkele technologische component in plaats van verschillende componenten te gebruiken om iemands biometrische gegevens over verschillende systemen heen te matchen. De gezamenlijke BMS dient de veiligheid te bevorderen alsmede voordelen uit financieel, operationeel en onderhoudsoogpunt op te leveren. Alle geautomatiseerde vingerafdrukidentificatiesystemen, waaronder de momenteel voor Eurodac, VIS en SIS gebruikte toepassingen, maken gebruik van biometrische templates met gegevens die zijn verkregen door specifieke kenmerken te extraheren uit concrete biometrische informatie. De gezamenlijke BMS dient al deze biometrische templates, logisch gescheiden per informatiesysteem waaruit de gegevens afkomstig zijn, te bundelen en op één locatie op te slaan, zodat systeemoverschrijdende vergelijkingen op basis van biometrische templates gemakkelijker worden en schaalvoordelen bij de ontwikkeling en het onderhoud van de centrale EU-systemen kunnen worden behaald.

(19)

De in de gezamenlijke BMS opgeslagen biometrische templates die zijn samengesteld op basis van gegevens die zijn verkregen door specifieke kenmerken te extraheren uit concrete biometrische informatie moeten op zodanige wijze worden vervaardigd dat het extraheringsproces niet kan worden teruggedraaid. Biometrische templates moeten worden verkregen uit biometrische gegevens uit de biometrische templates te verkrijgen. Aangezien handpalmafdrukken en DNA-profielen alleen in het SIS worden opgeslagen, en niet kunnen worden gebruikt voor kruiscontroles met gegevens in andere informatiesystemen, overeenkomstig de beginselen van noodzakelijkheid en evenredigheid, mogen in de gezamenlijke BMS geen DNA-profielen of biometrische templates worden opgeslagen die worden verkregen uit handpalmafdrukken.

(20)

Biometrische gegevens zijn gevoelige persoonsgegevens. Deze verordening dient de grondslag en de waarborgen vast te stellen voor de verwerking van dergelijke gegevens met het oog op de unieke identificatie van de betrokkenen.

(21)

EES, VIS, Etias, Eurodac en ECRIS-TCN vereisen de accurate identificatie van de personen wier persoonsgegevens daarin worden opgeslagen. Het CIR dient de correcte identificatie van in die systemen geregistreerde personen te bevorderen en vereenvoudigen.

(22)

Persoonsgegevens die in deze Unie-informatiesystemen zijn opgeslagen, kunnen betrekking hebben op dezelfde personen, van wie echter verschillende of onvolledige identiteitsgegevens kunnen zijn geregistreerd. De lidstaten beschikken over efficiënte manieren om hun burgers of de geregistreerde permanent ingezetenen op hun grondgebied te identificeren. De interoperabiliteit tussen de Unie-informatiesystemen dient bij te dragen tot de correcte identificatie van in die systemen opgenomen personen. In het CIR dienen de in de systemen opgenomen persoonsgegevens te worden opgeslagen die nodig zijn om die personen van wie de gegevens in die systemen zijn opgeslagen zo accuraat mogelijk te identificeren; waaronder hun identiteitsgegevens, reisdocumentgegevens en biometrische gegevens en het doet er niet toe in welk systeem de gegevens oorspronkelijk werden verzameld. Alleen de persoonsgegevens die strikt noodzakelijk zijn voor een accurate identiteitscontrole dienen in het CIR te worden opgeslagen. De in het CIR opgeslagen persoonsgegevens dienen niet langer te worden bewaard dan strikt noodzakelijk is voor de doeleinden van de onderliggende systemen en dienen automatisch te worden gewist wanneer de gegevens worden verwijderd uit de onderliggende systemen, met inachtneming van de logische scheiding daarvan systemen.

(23)

Een nieuwe verwerkingsverrichting die erin bestaat dat die gegevens worden opgeslagen in het CIR in plaats van in elk van de afzonderlijke systemen, is noodzakelijk om de nauwkeurigheid te kunnen bevorderen van de identificatie door middel van het geautomatiseerde vergelijken en matchen van de gegevens. Het feit dat identiteits-, reisdocument- en biometrische gegevens in het CIR worden opgeslagen, mag op geen enkele wijze de gegevensverwerking voor de doeleinden van het EES, VIS, Etias, Eurodac of ECRIS-TCN verhinderen, aangezien het CIR een nieuwe gezamenlijke component van dergelijke onderliggende systemen dient te zijn.

(24)

Daarom moet in het CIR een afzonderlijk bestand te worden aangelegd voor eenieder die is geregistreerd in het EES, VIS, Etias, Eurodac of ECRIS-TCN, zowel ter verwezenlijking van het doel van correcte identificatie van personen binnen het Schengengebied als ter ondersteuning van de MID met als tweeledige doel de identiteitscontrole van bonafide reizigers te vergemakkelijken en identiteitsfraude te bestrijden. Het afzonderlijke bestand moet alle aan een persoon gelinkte identiteitsinformatie op één plaats bewaren en moet naar behoren gemachtigde eindgebruikers toegang bieden tot die informatie.

(25)

Het CIR dient aldus de autoriteiten die verantwoordelijk zijn voor het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten op eenvoudiger en gestroomlijnde wijze toegang te bieden tot de Unie-informatiesystemen die niet uitsluitend zijn ingesteld voor preventie, opsporing of onderzoek van ernstige criminaliteit.

(26)

Het CIR dient te voorzien in een gedeelde datacontainer voor identiteits-, reisdocument- en biometrische gegevens van personen die geregistreerd zijn in het EES, VIS, Etias, Eurodac en ECRIS-TCN. Het moet deel uitmaken van de technische architectuur van deze systemen en fungeren als de gezamenlijke component daarvan voor het opslaan en doorzoeken van de identiteits-, reisdocument- en biometrische gegevens.

(27)

Alle records in het CIR dienen logisch te worden gescheiden door elke record automatisch voorzien van een label met de naam van het onderliggende systeem waarvan het deel uitmaakt. Bij de toegangscontroles van het CIR dienen deze labels te worden gebruikt om te bepalen of een record al dan niet toegankelijk is.

(28)

Wanneer een lidstatelijke politieautoriteit een persoon niet kan identificeren vanwege het ontbreken van een reisdocument of ander betrouwbaar document dat de identiteit van de betrokkene aantoont, of wanneer er twijfel bestaat over de identiteitsgegevens geleverd door de betrokkene of over de echtheid van het reisdocument of de identiteit van de houder ervan, of wanneer de betrokkene niet in staat of bereid is medewerking te verlenen, kan de politieautoriteit het CIR doorzoeken om de persoon te identificeren. Daartoe dienen de politieautoriteiten vingerafdrukken af te nemen met behulp van live-scantechnieken voor vingerafdrukken en moet de zoekopdracht in aanwezigheid van die persoon wordt gestart. Dergelijke zoekopdrachten van het CIR mogen niet worden toegestaan met het oog op de identificatie van minderjarigen onder de leeftijd van twaalf jaar, tenzij dit in het belang van het kind is.

(29)

Als de biometrische gegevens van een persoon niet kunnen worden gebruikt of wanneer een zoekopdracht aan de hand van die gegevens geen resultaat oplevert, dient te worden gezocht aan de hand van de identiteitsgegevens van de persoon in combinatie met reisdocumentgegevens. Als de zoekopdracht uitwijst dat er gegevens over die persoon zijn opgeslagen in het CIR, dienen de lidstatelijke autoriteiten toegang te hebben tot het CIR om de in het CIR opgeslagen identiteits- en reisdocumentgegevens van die persoon te raadplegen, zonder dat het CIR op enige wijze duidelijk maakt van welk Unie-informatiesysteem die gegevens deel uitmaken.

(30)

De lidstaten dienen nationale wetgevingsmaatregelen vast te stellen tot aanwijzing van de autoriteiten die bevoegd zijn voor het uitvoeren van identiteitscontroles met behulp van het CIR en tot vaststelling van de procedures, voorwaarden en criteria voor zulke controles, die moeten stroken met het evenredigheidsbeginsel. De nationale wetgeving dient met name te voorzien in de bevoegdheid om biometrische gegevens te verzamelen wanneer iemand door een personeelslid van voornoemde autoriteiten aan een identiteitscontrole wordt onderworpen.

(31)

Deze verordening dient het tevens mogelijk te maken om de aangewezen autoriteiten van de lidstaten die verantwoordelijk zijn voor het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten alsmede Europol gestroomlijnde toegang te bieden tot andere gegevens dan identiteits- of reisdocumentgegevens in het EES, VIS, Etias of Eurodac. Wanneer er gegronde redenen zijn om aan te nemen dat de raadpleging van die gegevens zal bijdragen aan het voorkomen, opsporen of onderzoeken van de terroristische misdrijven of andere ernstige strafbare feiten in kwestie, bevatten de systemen zulke gegevens die in een specifiek geval noodzakelijk kunnen zijn om terroristische misdrijven of andere ernstige strafbare feiten te voorkomen, op te sporen of te onderzoeken, met name wanneer er een gegrond vermoeden bestaat dat de verdachte, de dader of het slachtoffer van een terroristisch misdrijf of ander ernstig strafbaar feit een persoon is wiens gegevens zijn opgeslagen in het EES, VIS, Etias of Eurodac.

(32)

De volledige toegang tot de gegevens in de Unie-informatiesystemen die noodzakelijk is met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten, anders dan de toegang tot in het CIR bijgehouden identiteits- of reisdocumentgegevens dient onderworpen te blijven aan de toepasselijke rechtsinstrumenten. De aangewezen autoriteiten die verantwoordelijk zijn voor het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten en Europol weten vooraf niet welke Unie-informatiesystemen gegevens bevatten van de personen over wie zij informatie nodig hebben. Dit leidt tot vertragingen en inefficiëntie. De door de aangewezen autoriteit gemachtigde eindgebruiker dient derhalve te kunnen zien in welke van die Unie-informatiesystemen de gegevens betreffende de ingevoerde zoekopdracht worden geregistreerd. Het betrokken systeem moet dus worden gemarkeerd nadat automatisch is geverifieerd dat het systeem een match bevat (matchmarkering).

(33)

In dit verband mag een antwoord van het CIR niet worden opgevat en gebruikt als grond of reden om met betrekking tot een persoon conclusies te trekken of maatregelen te nemen, maar mag dat antwoord alleen worden gebruikt voor een verzoek om toegang tot de onderliggende Unie-informatiesystemen overeenkomstig de voor de toegang daartoe geldende voorwaarden en procedures die in de respectieve rechtsinstrumenten zijn vastgelegd. Een dergelijk verzoek om toegang moet onderworpen zijn aan hoofdstuk VII van deze verordening en in voorkomend geval Verordening (EU) 2016/679 van het Europees Parlement en de Raad (5), Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (6) of Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (7) van toepassing.

(34)

Als algemene regel geldt dat wanneer uit een matchmarkering blijkt dat de gegevens zijn geregistreerd in Eurodac, de aangewezen autoriteiten of Europol moeten verzoeken om volledige toegang tot ten minste een van de betrokken Unie-informatiesystemen. Indien bij wijze van uitzondering niet om volledige toegang wordt verzocht, bijvoorbeeld omdat de aangewezen autoriteiten of Europol de gegevens reeds op andere wijze hebben verkregen of omdat het verkrijgen van de gegevens niet langer is toegestaan krachtens het nationale recht, moet de reden waarom niet om toegang wordt verzocht, worden geregistreerd.

(35)

De logbestanden van de zoekopdrachten van het CIR moeten het doel van de zoekopdracht vermelden. Als een zoekopdracht is verricht door raadpleging via de tweefasenaanpak, moeten de logbestanden een verwijzing bevatten naar het nationale dossier van het onderzoek of de zaak en daarbij vermelden dat de zoekopdracht is gestart met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten.

(36)

Wil een zoekopdracht in het CIR door de aangewezen autoriteiten en Europol leiden tot een antwoord met matchmarkering waaruit blijkt dat de gegevens zijn geregistreerd in het EES, VIS, Etias of Eurodac, dan is automatische verwerking van persoonsgegevens vereist. Een matchmarkering mag geen persoonsgegevens onthullen, maar hoogstens vermelden dat bepaalde persoonsgegevens van de betrokkene in een van de systemen zijn opgeslagen. De gemachtigde eindgebruiker mag niet louter op grond van een matchmarkering een beslissing nemen die ongunstig is voor de betrokkene. De toegang van een eindgebruiker tot een matchmarkering houdt dan ook een zeer beperkte inmenging in het recht op bescherming van de persoonsgegevens van de betrokkene in en stelt de aangewezen autoriteiten en Europol in staat om doeltreffender te verzoeken om toegang tot persoonsgegevens.

(37)

Om de werking van het CIR te ondersteunen en de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN te bevorderen, dient MID te worden opgezet. Al deze Unie-informatiesystemen kunnen alleen aan hun respectieve doelstellingen beantwoorden, als de personen wier persoonsgegevens erin worden opgeslagen, nauwkeurig worden geïdentificeerd.

(38)

Om de doelstellingen van Unie-informatiesystemen beter te kunnen verwezenlijken, dienen de autoriteiten die die systemen gebruiken, in staat te zijn om een voldoende betrouwbare verificatie te verrichten van de identiteit van personen van wie gegevens in verschillende systemen worden opgeslagen. De reeks identiteits- of reisdocumentgegevens die is opgeslagen in een bepaald systeem kan onjuist, onvolledig of frauduleus zijn en op dit moment is het niet mogelijk onjuiste, onvolledige of frauduleuze identiteits- of reisdocumentgegevens op te sporen door middel van vergelijking met gegevens die zijn opgeslagen in een ander systeem. Om deze situatie te verhelpen, is er op Unieniveau een technisch instrument nodig waarmee personen voor deze doeleinden accuraat kunnen worden geïdentificeerd.

(39)

De MID dient links tussen gegevens in de verschillende Unie-informatiesystemen aan te brengen en op te slaan, zodat meerdere identiteiten kunnen worden opgespoord, met als tweeledig doel zowel identiteitscontroles voor bonafide reizigers te vergemakkelijken als identiteitsfraude te bestrijden. De MID dient enkel links te bevatten tussen gegevens over natuurlijke personen die in meer dan één Unie-informatiesysteem voorkomen. De gelinkte gegevens moeten strikt worden beperkt tot de gegevens die nodig zijn om te controleren of een persoon al dan niet op gerechtvaardigde wijze in verschillende systemen onder diverse identiteiten geregistreerd staat dan wel om te verduidelijken dat het bij twee personen met vergelijkbare identiteitsgegevens niet om dezelfde persoon hoeft te gaan. De gegevensverwerking via het ESP en de gezamenlijke BMS voor het aanbrengen van links tussen afzonderlijke bestanden in verschillende systemen dient tot het absolute minimum te worden beperkt en gaat dan ook niet verder dan de opsporing van meerdere identiteiten, wordt uitgevoerd op het moment dat nieuwe gegevens worden toegevoegd aan één van de systemen die de gegevens opslaat in het CIR of toevoegt in het SIS. De MID dient waarborgen te bevatten tegen mogelijke discriminatie en ongunstige beslissingen jegens personen met meerdere rechtmatige identiteiten.

(40)

Deze verordening voorziet in nieuwe gegevensverwerkingsverrichtingen voor het correct identificeren van de betrokkenen. Dit vormt een inmenging in hun grondrechten die worden beschermd door de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie. Aangezien de Unie-informatiesystemen alleen doeltreffend kunnen worden geïmplementeerd als de betrokkenen correct worden geïdentificeerd, is een dergelijke inmenging gerechtvaardigd op grond van dezelfde doelstellingen als die waarvoor elk van deze systemen tot stand is gebracht, namelijk het doeltreffende beheer van de grenzen van de Unie, de interne veiligheid van de Unie en de doeltreffende tenuitvoerlegging van het asiel- en visumbeleid van de Unie.

(41)

Het ESP en de gezamenlijke BMS dienen in het CIR en SIS opgeslagen gegevens over personen te vergelijken wanneer een nationale autoriteit of een Unie-agentschap nieuwe records aanmaakt of uploadt. Deze vergelijking moet automatisch worden verricht. Het CIR en SIS dienen het gezamenlijke BMS te gebruiken om mogelijke links op te sporen op basis van biometrische gegevens. Het CIR en SIS dienen gebruik te maken van het ESP om mogelijke links op basis van alfanumerieke gegevens op te sporen. Het CIR en SIS dienen identieke of vergelijkbare gegevens over een persoon in meerdere systemen te kunnen identificeren. In voorkomend geval dient een link te worden aangebracht waaruit blijkt dat het om dezelfde persoon gaat. Het CIR en SIS dienen zodanig te worden geconfigureerd dat kleine transliteratie- of spelfouten zodanig worden opgemerkt dat de betrokken persoon geen onnodige hinder ondervindt.

(42)

De nationale autoriteit of het Unie-agentschap dat de gegevens in het betrokken Unie-informatiesysteem heeft geregistreerd, dient deze links te bevestigen of veranderen. Deze nationale autoriteit of dat Unie-agentschap dient toegang te hebben tot de gegevens die zijn opgeslagen in het CIR of SIS en in de MID met het oog op manuele verificatie van meerdere identiteiten.

(43)

Een manuele verificatie van meerdere identiteiten dient te worden gewaarborgd door de autoriteit die verantwoordelijk is voor het genereren of bijwerken van de gegevens die leiden tot een match naar aanleiding waarvan een link is aangebracht met reeds in een ander Unie-informatiesysteem opgeslagen gegevens. De voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit dient te beoordelen of er sprake is van meerdere identiteiten die op gerechtvaardigde of ongerechtvaardigde wijze naar dezelfde persoon verwijzen. Een dergelijke beoordeling dient, indien mogelijk, te worden uitgevoerd in aanwezigheid van de betrokkenen en, zo nodig, door om nadere toelichting of informatie te vragen. De beoordeling dient onverwijld te worden uitgevoerd, overeenkomstig de wettelijke voorschriften betreffende de juistheid van informatie op grond van het Unie- en nationale recht.

(44)

Voor links die zijn verkregen in verband met SIS voor signaleringen van personen die worden gezocht met het oog op aanhouding ten behoeve van overlevering of uitlevering, van vermiste of kwetsbare personen, van personen die worden gezocht met het oog op een gerechtelijke procedure of personen die aan een onopvallende controle, ondervragingscontrole of gerichte controle moeten worden onderworpen, dient de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit het Sirene-bureau te zijn van de lidstaat die de signalering heeft gecreëerd. Deze categorieën SIS-signaleringen zijn gevoelig en mogen niet per se worden gedeeld met de autoriteiten die de daaraan gelinkte gegevens in een van de andere Unie-informatiesystemen creëren of bijwerken. Het aanbrengen van een link met SIS-gegevens dient de maatregelen die moeten worden genomen overeenkomstig Verordeningen (EU) 2018/1860 (8), (EU) 2018/1861 (9) en (EU) 2018/1862 (10) van het Europees Parlement en de Raad onverlet te laten.

(45)

Het aanbrengen van dergelijke links vereist transparantie ten opzichte van de betrokkenen. Om de tenuitvoerlegging van de nodige waarborgen overeenkomstig de toepasselijke gegevensbeschermingsregels van de Unie te vergemakkelijken, dienen personen voor wie na manuele verificatie van meerdere identiteiten een rode of witte link is aangemaakt, schriftelijk te worden geïnformeerd, zonder afbreuk te doen aan beperkingen om de veiligheid en de openbare orde te beschermen, criminaliteit te voorkomen en ervoor te zorgen dat nationale onderzoeken niet in gevaar komen. Deze personen moeten een uniek identificatienummer krijgen aan de hand waarvan zij kunnen bepalen tot welke autoriteit zij zich moeten wenden om hun rechten uit te oefenen.

(46)

Wanneer er een gele link wordt aangemaakt, moet de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit toegang hebben tot de MID. Wanneer er een rode link is, moeten de lidstatelijke autoriteiten en Unie-agentschappen die toegang hebben tot ten minste één in het CIR of het SIS opgenomen Unie-informatiesysteem toegang hebben tot de MID. Een rode link wijst erop dat een persoon op ongerechtvaardigde wijze gebruikmaakt van meerdere identiteiten of dat een persoon de identiteit van iemand anders gebruikt.

(47)

Wanneer er een witte of een groene link bestaat tussen gegevens van twee Unie-informatiesystemen, moeten de lidstatelijke autoriteiten en Unie-agentschappen ook toegang hebben tot de MID wanneer de autoriteit of het betrokken agentschap toegang heeft tot beide informatiesystemen. Dergelijke toegang mag alleen worden verleend om die autoriteit of dat agentschap in staat te stellen mogelijke gevallen van foutief gelinkte gegevens of van in strijd met deze verordening in de MID, het CIR en het SIS verwerkte gegevens op te sporen en maatregelen te nemen om de situatie recht te zetten en de link bij te werken of te wissen.

(48)

Het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) dient geautomatiseerde mechanismen voor de controle van gegevenskwaliteit en gemeenschappelijke indicatoren voor gegevenskwaliteit vast te stellen. eu-LISA dient een centrale controlecapaciteit voor gegevenskwaliteit te ontwikkelen en regelmatig verslag uit te brengen over de gegevenskwaliteit, teneinde de controle te verbeteren van de wijze waarop de lidstaten de Unie-informatiesystemen implementeren. De gemeenschappelijke kwaliteitsindicatoren dienen de minimumkwaliteitsnormen voor gegevensopslag in de Unie-informatiesystemen en de interoperabiliteitscomponenten te omvatten. Met behulp van dergelijke gegevenskwaliteitsnormen dienen de Unie-informatiesystemen en interoperabiliteitscomponenten kennelijk onjuiste of inconsistente gegevensinvoer automatisch te kunnen herkennen, zodat de lidstaat die de gegevens heeft ingevoerd deze kan verifiëren en zo nodig corrigerende maatregelen kan nemen.

(49)

De Commissie dient de kwaliteitsverslagen van eu-LISA te evalueren en zo nodig aanbevelingen te doen aan de lidstaten. De lidstaten dienen te worden belast met het opstellen van een actieplan met een beschrijving van de maatregelen om tekortkomingen in de kwaliteit van de gegevens te verhelpen en dienen regelmatig verslag uit te brengen over de geboekte voortgang.

(50)

Het Universal Message Format (UMF) dient als norm te gelden voor de gestructureerde, grensoverschrijdende informatie-uitwisseling tussen informatiesystemen, autoriteiten of organisaties op het gebied van justitie en binnenlandse zaken. Het UMF dient een gemeenschappelijk vocabularium en logische structuren voor informatie-uitwisseling vast te stellen met als doel de interoperabiliteit te bevorderen door het mogelijk te maken de inhoud van de uitwisseling op een consistente en semantisch gelijkwaardige manier te creëren en te lezen.

(51)

Toepassing van de UMF-norm kan overwogen worden in VIS, SIS en in andere bestaande of nieuwe grensoverschrijdende informatie-uitwisselingsmodellen en informatiesystemen op het gebied van justitie en binnenlandse zaken die worden ontwikkeld door lidstaten.

(52)

Er moet worden voorzien in een centraal register voor rapportage en statistieken (CRRS) om systeemoverschrijdende statistische gegevens en analytische verslagen te genereren voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit, in overeenstemming met de toepasselijke rechtsinstrumenten. eu-LISA dient op zijn technische locaties te zorgen voor het opstellen, implementeren en hosten van het CRRS. Het register moet statistische gegevens van de Unie-informatiesystemen, het CIR, de MID en de gezamenlijke BMS anonimiseren. Het mag niet mogelijk zijn om aan de hand van de in het CRRS opgenomen gegevens personen te identificeren. eu-LISA dient de gegevens automatisch te anonimiseren en de geanonimiseerde gegevens te registreren in het CRRS. Het anonimiseren van de gegevens dient automatisch te gebeuren en aan het personeel van eu-LISA mag geen directe toegang worden verleend tot persoonsgegevens die zijn opgeslagen in de Unie-informatiesystemen of de interoperabiliteitscomponenten.

(53)

Verordening (EU) 2016/679 is toepassing op de verwerking van persoonsgegevens ten behoeve van de interoperabiliteit door de nationale autoriteiten uit hoofde van deze verordening, tenzij de verwerking wordt verricht door de aangewezen autoriteiten of centrale toegangspunten van de lidstaten met het oog op het voorkomen, onderzoeken of opsporen van terroristische misdrijven of andere ernstige strafbare feiten.

(54)

Indien de verwerking van persoonsgegevens door de lidstaten ten behoeve van de interoperabiliteit overeenkomstig deze verordening door de bevoegde autoriteiten wordt uitgevoerd met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of van andere ernstige strafbare feiten, is Richtlijn (EU) 2016/680 van toepassing.

(55)

Verordening (EU) 2016/679, Verordening (EU) 2018/1725 of, in voorkomend geval, Richtlijn (EU) 2016/680 zijn van toepassing op doorgiften van persoonsgegevens aan derde landen of internationale organisaties overeenkomstig deze verordening. Onverminderd de gronden voor doorgifte uit hoofde van hoofdstuk V van Verordening (EU) 2016/679 of in voorkomend geval Richtlijn (EU) 2016/680, mag elke rechterlijke uitspraak en elke beslissing van een administratieve autoriteit van een derde land op grond waarvan een voor verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd is op een internationale overeenkomst tussen het verzoekende derde land en de Unie of een lidstaat.

(56)

De specifieke voorschriften inzake gegevensbescherming van Verordening (EU) 2018/1862 en Verordening (EU) 2019/816 van het Europees Parlement en de Raad (11) zijn van toepassing op de verwerking van persoonsgegevens in de systemen die onder die verordeningen vallen.

(57)

Verordening (EU) 2018/1725 is van toepassing op de verwerking van persoonsgegevens door eu-LISA en andere instellingen en organen van de Unie wanneer deze hun taken in het kader van deze verordening uitvoeren, onverminderd Verordening (EU) 2016/794 van het Europees Parlement en de Raad, die geldt voor de verwerking van persoonsgegevens door Europol.

(58)

De in Verordening (EU) 2016/679 of Richtlijn (EU) 2016/680 bedoelde toezichthoudende autoriteiten dienen toe te zien op de rechtmatigheid van de verwerking van persoonsgegevens door de lidstaten. De Europese Toezichthouder voor gegevensbescherming toezicht dient uit te oefenen op de werkzaamheden van de instellingen en organen van de Unie in verband met de verwerking van persoonsgegevens. De Europese Toezichthouder voor gegevensbescherming en de toezichthoudende autoriteiten dienen samen te werken bij het toezicht op de verwerking van persoonsgegevens door interoperabiliteitscomponenten. Om de Europese Toezichthouder voor gegevensbescherming in staat te stellen de hem krachtens deze verordening toevertrouwde taken te vervullen, zijn voldoende — zowel personele als financiële — middelen nodig.

(59)

De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (12) en heeft op 16 april 2018 (13) advies uitgebracht.

(60)

De Groep gegevensbescherming artikel 29 heeft op 11 april 2018 advies uitgebracht.

(61)

Zowel de lidstaten als eu-LISA dienen beveiligingsplannen bij te houden om de uitvoering van hun verplichtingen op het gebied van beveiliging te vereenvoudigen, en met elkaar samen te werken om beveiligingsvraagstukken vanuit een gemeenschappelijke invalshoek te benaderen. eu-LISA dient er ook voor te zorgen dat steeds gebruik wordt gemaakt van de meest recente technologische ontwikkelingen teneinde de gegevensintegriteit te waarborgen in het kader van de ontwikkeling, het ontwerp en het beheer van de interoperabiliteitscomponenten. De verplichtingen van eu-LISA in dit verband houden onder meer in dat alle nodige maatregelen worden getroffen om te voorkomen dat onbevoegden, zoals personeel van externe dienstverleners, toegang krijgen tot persoonsgegevens die via de interoperabiliteitscomponenten worden verwerkt. Bij de gunning van contracten voor het verstrekken van diensten moeten de lidstaten en eu-LISA alle maatregelen die nodig zijn om de naleving van de wet- of regelgeving inzake de bescherming van persoonsgegevens en de persoonlijke levenssfeer van natuurlijke personen te garanderen of wezenlijke veiligheidsbelangen te waarborgen, overeenkomstig Verordening (EU) 2018/1046 van het Europees Parlement en de Raad (14) en de toepasselijke internationale verdragen. eu-LISA moet de beginselen van privacy door ontwerp en door standaardinstellingen toepassen bij de ontwikkeling van de interoperabiliteitscomponenten.

(62)

Ter ondersteuning van de rapportage en statistieken is het noodzakelijk toegang te verlenen aan gemachtigde personeelsleden van de in deze verordening bedoelde bevoegde autoriteiten, Unie-instellingen en Unie-agentschappen, zodat zij bepaalde gegevens kunnen raadplegen die verband houden met bepaalde interoperabiliteitscomponenten, zonder dat individuele identificatie mogelijk wordt gemaakt.

(63)

Om de lidstatelijke autoriteiten en de Unie-agentschappen in staat te stellen zich aan te passen aan de nieuwe vereisten inzake het gebruik van het ESP, dient er te worden voorzien in een overgangsperiode. Evenzo dienen met het oog op een samenhangende en optimale werking van de MID overgangsmaatregelen te worden vastgesteld voor de ingebruikneming ervan.

(64)

Daar de doelstelling van deze verordening, namelijk de vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen, niet voldoende door de lidstaten kan worden verwezenlijkt, maar vanwege de omvang en de effecten van de actie beter door de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie (VEU) neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstelling te verwezenlijken.

(65)

Het saldo van de begroting die in Verordening (EU) nr. 515/2014 van het Europees Parlement en de Raad (15) is uitgetrokken voor slimme grenzen moet overeenkomstig artikel 5, lid 5, onder b), van Verordening (EU) nr. 515/2014 worden herbestemd om de kosten in verband met het ontwikkelen van de interoperabiliteitscomponenten te dekken.

(66)

Ter aanvulling van bepaalde gedetailleerde technische aspecten van deze verordening dient de bevoegdheid om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie (VWEU) handelingen vast te stellen, aan de Commissie te worden gedelegeerd met betrekking tot:

de verlenging van de overgangsperiode voor het gebruik van ESP;

de verlenging van de overgangsperiode voor het gebruik van detectie van meerdere identiteiten door de centrale Etias-eenheid;

de procedures voor de bepaling van de gevallen waarin identiteitsgegevens als identiek of vergelijkbaar worden beschouwd;

de regels inzake de werking van het CRRS, met inbegrip van de voor het register geldende specifieke waarborgen voor de verwerking van persoonsgegevens en beveiligingsvoorschriften, en

gedetailleerde voorschriften voor het beheer van het webportaal.

Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 (16).over beter wetgeven. Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen, dienen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip te ontvangen als de deskundigen van de lidstaten, en dienen hun deskundigen systematisch toegang te hebben tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

(67)

Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om de data te bepalen waarop het ESP, de gezamenlijke BMS, het CIR, de MID en het CRRS hun werking moeten starten.

(68)

Aan de Commissie moeten ook uitvoeringsbevoegdheden worden toegekend om gedetailleerde regels vast te stellen inzake: de technische details van profielen voor de eindgebruikers van het ESP; de specificaties van de technische oplossing om het doorzoeken van de Unie-informatiesystemen, Europol-gegevens en Interpol-databanken via het ESP mogelijk te maken en het formaat van de antwoorden van het ESP; de technische voorschriften voor het aanmaken van links in de MID tussen gegevens uit verschillende Unie-informatiesystemen; de inhoud en presentatie van het formulier voor het informeren van de betrokkene wanneer een rode link wordt aangemaakt; de prestatievereisten en controle van de prestaties van de gezamenlijke BMS; de mechanismen, procedures en indicatoren voor de geautomatiseerde controle van gegevenskwaliteit; de ontwikkeling van de UMF-norm; de samenwerkingsprocedure die moet worden gevolgd bij veiligheidsincidenten; en de specificaties van de technische oplossing voor de lidstaten voor het beheer van verzoeken om toegang van gebruikers. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (17).

(69)

Aangezien de interoperabiliteitscomponenten de verwerking van aanzienlijke hoeveelheden gevoelige persoonsgegevens met zich brengen, moeten personen van wie door middel van die componenten gegevens worden verwerkt, hun rechten daadwerkelijk kunnen uitoefenen als betrokkenen overeenkomstig Verordening (EU) 2016/679, Richtlijn (EU) 2016/680 en Verordening (EU) 2018/1725. De betrokkenen dienen toegang te krijgen tot een webportaal waarmee zij hun rechten van inzage in en rectificatie, wissing en beperking van de verwerking van hun persoonsgegevens kunnen uitoefenen. eu-LISA moet een dergelijk webportaal opzetten en beheren.

(70)

Een van de kernbeginselen van gegevensbescherming is minimale gegevensverwerking: overeenkomstig artikel 5, lid 1, onder c), van Verordening (EU) 2016/679, moet de verwerking van persoonsgegevens toereikend zijn, ter zake dienend zijn en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Om deze reden moeten de interoperabiliteitsonderdelen niet voorzien in de opslag van nieuwe persoonsgegevens, met uitzondering van de in de MID opgeslagen links, die het minimum zijn dat voor de toepassing van deze verordening noodzakelijk is.

(71)

Deze verordening dient duidelijke bepalingen te omvatten betreffende aansprakelijkheid en het recht op schadevergoeding wegens onrechtmatige verwerking van persoonsgegevens en voor andere met deze verordening onverenigbare handelingen. Dergelijke bepalingen doen geen afbreuk aan het recht op schadevergoeding door en de aansprakelijkheid van de verwerkingsverantwoordelijke of de verwerker uit hoofde van Verordening (EU) 2016/679, Richtlijn (EU) 2016/680 en Verordening (EG) nr. 2018/1725. eu-LISA moet verantwoordelijk zijn voor alle schade die het veroorzaakt in de hoedanigheid van verwerker wanneer het niet heeft voldaan aan de specifiek erop rustende verplichtingen van deze verordening, of wanneer het heeft gehandeld buiten dan wel in strijd met de rechtmatige instructies van de lidstaat die de verwerkingsverantwoordelijke is.

(72)

Deze verordening laat de toepassing van Richtlijn 2004/38/EG van het Europees Parlement en de Raad onverlet (18).

(73)

Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 betreffende de positie van Denemarken, dat aan het VEU en het VWEU is gehecht, neemt Denemarken niet deel aan de vaststelling van deze Verordening en is deze niet bindend voor, noch van toepassing op deze lidstaat. Aangezien deze verordening, voor zover deze betrekking heeft op SIS zoals vervat in Verordening (EU) 2018/1862, voortbouwt op het Schengenacquis, beslist Denemarken overeenkomstig artikel 4 van het bovengenoemde protocol binnen een termijn van zes maanden nadat de Raad heeft beslist over deze verordening of het deze in zijn interne recht zal omzetten.

(74)

Voor zover deze bepalingen betrekking hebben op het SIS, zoals vervat in Verordening (EU) 2018/1862, neemt het Verenigd Koninkrijk deel aan deze verordening, overeenkomstig artikel 5, lid 1, van Protocol nr. 19 inzake het Schengenacquis, opgenomen in het kader van de Europese Unie, dat aan het VEU en het VWEU is gehecht (Protocol betreffende het Schengenacquis) en artikel 8, lid 2, van het Besluit van de Raad 2000/365/EG (19). Voorts, voor zover de bepalingen betrekking hebben op Eurodac en ECRIS-TCN, overeenkomstig artikel 3, van Protocol nr. 21, dat aan het VEU en het VWEU is gehecht betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, heeft het Verenigd Koninkrijk bij schrijven van 18 mei 2018 te kennen gegeven dat het aan de vaststelling van deze verordening wenst deel te nemen.

(75)

Voor zover de bepalingen van deze verordening betrekking hebben op SIS, zoals vervat in Verordening (EU) 2018/1862, kan Ierland aan deze verordening deelnemen, overeenkomstig artikel 5, lid 1, van Protocol nr. 19 inzake het Schengenacquis, opgenomen in het kader van de Europese Unie, dat aan het VEU en het VWEU is gehecht en artikel 6, lid 2, van het Besluit van de Raad 2002/192/EG (20). Voorts, voor zover de bepalingen betrekking hebben op Eurodac en ECRIS-TCN, neemt Ierland overeenkomstig de artikelen 1 en 2 van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, dat aan het VEU en het VWEU is gehecht, en onverminderd artikel 4 van dat Protocol, niet deel aan de vaststelling van deze verordening, die derhalve niet bindend is voor, noch van toepassing is in deze lidstaat. Aangezien het in deze omstandigheden niet mogelijk is te verzekeren dat deze verordening in haar geheel toepasselijk is in Ierland, zoals vereist door artikel 288 VWEU, neemt Ierland niet deel aan de vaststelling van deze verordening en is deze niet bindend voor, noch van toepassing op deze lidstaat, onverminderd zijn rechten uit hoofde van de Protocollen nrs. 19 en 21.

(76)

Wat IJsland en Noorwegen betreft en met betrekking tot SIS zoals vervat in Verordening (EU) 2018/1862 houdt deze verordening een ontwikkeling in van de bepalingen van het Schengenacquis als bedoeld in de Overeenkomst tussen de Raad van de Europese Unie en de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (21), die vallen onder het gebied bedoeld in artikel 1, punt G, van Besluit 1999/437/EG van de Raad (22).

(77)

Met betrekking tot Zwitserland en met betrekking tot SIS zoals vervat in Verordening (EU) 2018/1862, houdt deze verordening een ontwikkeling in van de bepalingen van het Schengenacquis als bedoeld in de Overeenkomst tussen de Raad van de Europese Unie en de Zwitserse Bondsstaat inzake de wijze waarop de Zwitserse Bondsstaat wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (23), die vallen onder het gebied bedoeld in artikel 1, punt G, van Besluit 1999/437/EG van de Raad in samenhang met artikel 3 van Besluit 2008/149/JBZ van de Raad (24).

(78)

Met betrekking tot Liechtenstein en met betrekking tot SIS zoals vervat in Verordening (EU) 2018/1862, houdt deze verordening een ontwikkeling in van de bepalingen van het Schengenacquis als bedoeld in het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserse Bondsstaat wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (25), die vallen onder het gebied bedoeld in artikel 1, punt G, van Besluit 1999/437/EG van de Raad in samenhang met artikel 3 van Besluit 2011/350/EU van de Raad (26).

(79)

Deze verordening eerbiedigt de grondrechten en de beginselen die met name zijn vastgelegd in het Handvest van de grondrechten van de Europese Unie, en dient te worden toegepast overeenkomstig die rechten en beginselen.

(80)

Om ervoor te zorgen dat deze verordening past in het bestaande rechtskader dienen de Verordeningen (EU) 2018/1726 van het Europees Parlement en de Raad (27) en Verordeningen (EU) 2018/1862 en (EU) 2019/816 dienovereenkomstig te worden gewijzigd,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I

Algemene bepalingen

Artikel 1

Onderwerp

1.   Deze verordening stelt, samen met Verordening (EU) 2019/817 van het Europees Parlement en de Raad (28), een kader vast dat ervoor moet zorgen dat het inreis-uitreissysteem (EES), het Visuminformatiesysteem (VIS), het Europees systeem voor reisinformatie en -autorisatie (Etias), Eurodac, het Schengeninformatiesysteem (SIS) en het Europees Strafregister Informatiesysteem voor onderdanen van derde landen (ECRIS-TCN) interoperabel zijn.

2.   Het kader bestaat onder meer uit de volgende interoperabiliteitscomponenten:

a)

een Europees zoekportaal (European search portal — ESP);

b)

een gezamenlijke dienst voor biometrische matching (biometric matching service — gezamenlijke BMS);

c)

een gemeenschappelijk identiteitsregister (common identity repository — CIR);

d)

een detector van meerdere identiteiten (multiple-identity detector — MID).

3.   De verordening bevat ook bepalingen inzake de vereisten op het gebied van gegevenskwaliteit, inzake een Universal Message Format (UMF) en inzake een centraal register voor rapportage en statistieken (CRRS), alsook inzake de verantwoordelijkheden van de lidstaten en van het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) met betrekking tot het ontwerp, de ontwikkeling en de werking van de interoperabiliteitscomponenten.

4.   De verordening behelst tevens een aanpassing van de procedures en voorwaarden waaraan de aangewezen lidstatelijke autoriteiten en het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) zich moeten houden om toegang tot het EES, VIS, Etias en Eurodac te krijgen met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten.

5.   In deze richtlijn wordt ook een kader vastgesteld voor het verifiëren van de identiteiten van personen en voor het identificeren van personen.

Artikel 2

Doelstellingen

1.   Door de interoperabiliteit te waarborgen, heeft deze verordening de volgende doelstellingen:

a)

verbeteren van de doeltreffendheid en doelmatigheid van de grenscontroles aan de buitengrenzen;

b)

bijdragen aan het voorkomen en bestrijden van illegale immigratie;

c)

bijdragen aan een hoog veiligheidsniveau in de ruimte van vrijheid, veiligheid en recht van de Unie, met inbegrip van handhaving van de openbare orde en veiligheid en vrijwaring van de veiligheid op het grondgebied van de lidstaten;

d)

verbeteren van de uitvoering van het gemeenschappelijk visumbeleid;

e)

verlenen van bijstand bij de behandeling van verzoeken om internationale bescherming;

f)

bijdragen aan het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten;

g)

bieden van ondersteuning bij de identificatie van onbekende personen die niet in staat zijn zichzelf te legitimeren of van niet-geïdentificeerde stoffelijke overschotten bij natuurrampen, ongevallen of terroristische aanslagen.

2.   De in lid 1 bedoelde doelstellingen worden bereikt door:

a)

de correcte identificatie van personen te verzekeren;

b)

bij te dragen tot de bestrijding van identiteitsfraude;

c)

te zorgen voor gegevens van hogere kwaliteit en geharmoniseerde vereisten inzake de kwaliteit van gegevens die zijn opgeslagen in de Unie-informatiesystemen, met inachtneming van de gegevensbeschermingsvoorschriften waarin de rechtsinstrumenten van de afzonderlijke systemen voorzien, en van de gegevensbeschermingsnormen en -beginselen;

d)

de technische en operationele implementatie van Unie-informatiesystemen door de lidstaten te vergemakkelijken en te ondersteunen;

e)

de gegevensbeveiliging en -beschermingsvoorwaarden voor de respectieve Unie-informatiesystemen strenger, eenvoudiger en uniformer te maken, zonder afbreuk te doen aan de bijzondere bescherming en waarborgen die op bepaalde gegevenscategorieën van toepassing zijn;

f)

de voorwaarden voor de toegang van aangewezen autoriteiten tot het EES, VIS, Etias en Eurodac te stroomlijnen en te zorgen voor noodzakelijke en evenredige voorwaarden voor die toegang;

g)

de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN te ondersteunen.

Artikel 3

Toepassingsgebied

1.   Deze verordening is van toepassing op Eurodac, het SIS en het ECRIS-TCN.

2.   De verordening is ook van toepassing op Europol-gegevens, voor zover zij het mogelijk maakt dat de in lid 1 bedoelde Unie-informatiesystemen deze gegevens gelijktijdig doorzoeken.

3.   De verordening is van toepassing op personen ten aanzien van wie persoonsgegevens mogen worden verwerkt in de in lid 1 bedoelde Unie-informatiesystemen en in de in lid 2 bedoelde Europol-gegevens.

Artikel 4

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1.   "buitengrenzen": de buitengrenzen in de zin van artikel 2, punt 2, van Verordening (EU) 2016/399 van het Europees Parlement en de Raad (29);

2.   "grenscontroles": grenscontroles in de zin van artikel 2, punt 11, van Verordening (EU) 2016/399;

3.   "grensautoriteiten": de grenswachter die overeenkomstig het nationale recht is aangewezen voor het verrichten van grenscontroles;

4.   "toezichthoudende autoriteiten": de in artikel 51, lid 1, van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteit en de in artikel 41, lid 1, van Richtlijn (EU) 2016/680 bedoelde toezichthoudende autoriteit;

5.   "verificatie": het proces waarbij reeksen gegevens worden vergeleken om vast te stellen of een beweerde identiteit correct is (één-op-éénvergelijking);

6.   "identificatie": het proces waarbij de identiteit van een persoon wordt vastgesteld door middel van een zoekopdracht in een databank en vergelijking met meerdere reeksen gegevens (één-op-veelvergelijking);

7.   "alfanumerieke gegevens": door letters, cijfers, speciale tekens, spaties en leestekens weergegeven gegevens;

8.   "identiteitsgegevens": de in artikel 27, lid 3, onder a) tot en met e) bedoelde gegevens;

9.   "vingerafdrukgegevens": beelden van vingerafdrukken en beelden van latente vingerafdrukken, die vanwege hun uniciteit en de erin vervatte referentiepunten, accurate en definitieve vergelijkingen met iemands identiteit mogelijk maken;

10.   "gezichtsopname": een digitale afbeelding van het gezicht;

11.   "biometrische gegevens": vingerafdrukgegevens of gezichtsopnames of beiden;

12.   "biometrische template": een mathematische weergave die wordt verkregen door uit biometrische gegevens uitsluitend de kenmerken te extraheren die nodig zijn om identificaties en verificaties te verrichten;

13.   "reisdocument": een paspoort of een ander gelijkwaardig document dat de houder ervan het recht geeft de buitengrenzen te overschrijden en waarin een visum kan worden aangebracht;

14.   "reisdocumentgegevens": het type, het nummer en het land van uitgifte van het reisdocument, de datum waarop de geldigheidstermijn van het reisdocument verstrijkt, en de drielettercode van het land dat het reisdocument heeft afgegeven;

15.   "Unie-informatiesystemen": het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN;

16.   "Europol-gegevens": persoonsgegevens die door Europol worden verwerkt voor de in artikel 18, lid 2, onder a), b) en c), van Verordening (EU) 2016/794 vermelde doeleinden;

17.   "Interpol-databanken": de Interpol-databank voor gestolen en verloren reisdocumenten (SLTD-databank) en de Interpol-databank voor reisdocumenten die voorkomen in Notices (TDAWN-databank); "match";

18.   "match": het bestaan van een verband dat aan het licht wordt gebracht door een automatische vergelijking tussen persoonsgegevens die in een informatiesysteem of databank zijn of worden geregistreerd;

19.   "politieautoriteit": "bevoegde autoriteit" zoals gedefinieerd in artikel 3, punt 7, van Richtlijn (EU) 2016/680;

20.   "aangewezen autoriteiten": de aangewezen lidstatelijke autoriteiten zoals gedefinieerd in artikel 3, lid 1, punt 26, van Verordening (EU) 2017/2226 van het Europees Parlement en de Raad (30), artikel 2, lid 1, onder e), van Besluit 2008/633/JBZ van de Raad (31), en artikel 3, lid 1, punt 21, van Verordening (EU) 2018/1240 van het Europees Parlement en de Raad (32);

21.   "terroristisch misdrijf": een strafbaar feit naar nationaal recht dat overeenkomt met of gelijkwaardig is aan een van de in Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad (33) bedoelde strafbare feiten;

22.   "ernstig strafbaar feit": een strafbaar feit dat overeenkomt met of gelijkwaardig is aan een van de in artikel 2, lid 2, van Kaderbesluit 2002/584/JBZ van de Raad (34) bedoelde strafbare feiten, indien het naar nationaal recht strafbaar is gesteld met een vrijheidsstraf of een tot vrijheidsbeneming strekkende maatregel met een maximumduur van minstens drie jaar;

23.   "inreis-uitreissysteem" of EES: het inreis-uitreissysteem als ingesteld bij Verordening (EU) 2017/2226;

24.   "visuminformatiesysteem" of VIS: het Visuminformatiesysteem als ingesteld bij Verordening (EG) nr. 767/2008 van het Europees Parlement en de Raad (35);

25.   "Europees systeem voor reisinformatie en -autorisatie" of ETIAS: het Europees systeem voor reisinformatie en -autorisatie als ingesteld bij Verordening (EU) 2018/1240;

26.   "Eurodac": Eurodac als ingesteld bij Verordening (EU) nr. 603/2013 van het Europees Parlement en de Raad (36);

27.   "Schengeninformatiesysteem" of SIS: het Schengeninformatiesysteem als ingesteld bij Verordeningen (EU) nr. 2018/1860, (EU) 2018/1861 en (EU) 2018/1862;

28.   "ECRIS-TCN": het bij Verordening (EU) 2019/816 ingestelde gecentraliseerde systeem voor de identificatie van lidstaten met informatie inzake veroordelingen van onderdanen van derde landen en staatlozen.

Artikel 5

Non-discriminatie en grondrechten

De verwerking van persoonsgegevens voor de toepassing van deze verordening mag niet leiden tot discriminatie van personen op grond van onder meer geslacht, ras, huidskleur, etnische afstamming of sociale afkomst, genetische kenmerken, taal, godsdienst of overtuiging, politieke of andere denkbeelden, het behoren tot een nationale minderheid, vermogen, geboorte, handicap, leeftijd of seksuele geaardheid. Bij de verwerking worden de menselijke waardigheid, integriteit en grondrechten ten volle gerespecteerd, met inbegrip van het recht op eerbiediging van de persoonlijke levenssfeer en bescherming van persoonsgegevens. Bijzondere aandacht wordt geschonken aan kinderen, ouderen, personen met een handicap en personen die internationale bescherming behoeven. Het belang van het kind komt op de eerste plaats.

HOOFDSTUK II

Het Europees zoekportaal

Artikel 6

Het Europees zoekportaal

1.   Er wordt een Europees zoekportaal (European search portal - ESP) ingesteld om ervoor te zorgen dat de autoriteiten van de lidstaten en de Unie-agentschappen snel, ononderbroken, efficiënt, systematisch en gecontroleerd toegang hebben tot de Unie-informatiesystemen, de Europol-gegevens en de Interpol-databanken die zij nodig hebben om hun taken te verrichten overeenkomstig hun toegangsrechten en de doelstellingen van EES, VIS, Etias, Eurodac, SIS, en ECRIS-TCN.

2.   Het ESP bestaat uit:

a)

een centrale infrastructuur, waaronder een zoekportaal voor het gelijktijdig doorzoeken van het EES, VIS, ETIAS, Eurodac, SIS, ECRIS-TCN, alsmede van de Europol-gegevens en de Interpol-databanken;

b)

een beveiligd communicatiekanaal tussen het ESP, de lidstaten en de Unie-agentschappen die gebruik mogen maken van het ESP;

c)

een beveiligde communicatie-infrastructuur tussen het ESP en het EES, VIS, ETIAS, Eurodac, het centrale SIS, ECRIS-TCN, Europol-gegevens en de Interpol-databanken, alsmede tussen het ESP en de centrale infrastructuren van het CIR en de MID.

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van het ESP.

Artikel 7

Gebruik van het Europees zoekportaal

1.   Het gebruik van het ESP is voorbehouden aan de lidstatelijke autoriteiten en de Unie-agentschappen die toegang hebben tot ten minste een van die EU-informatiesystemen, overeenkomstig de rechtsinstrumenten met betrekking tot die EU-informatiesystemen, tot het CIR en de MID overeenkomstig deze verordening, de tot Europol-gegevens overeenkomstig Verordening (EU) 2016/794 of tot de Interpol-databanken overeenkomstig het Unierecht of het desbetreffend nationaal recht.

Deze lidstatelijke autoriteiten en de Unie-agentschappen mogen het ESP en de door het ESP verstrekte gegevens alleen gebruiken voor de doelstellingen die zijn vastgelegd in de rechtsinstrumenten betreffende die Unie-informatiesystemen in Verordening (EU) 2016/794 en in deze verordening.

2.   De in lid 1 bedoelde lidstatelijke autoriteiten en de Unie-agentschappen gebruiken het ESP om overeenkomstig hun toegangsrechten als bedoeld in de wettelijke instrumenten met betrekking tot deze Unie-informatiesystemen en het nationaal recht gegevens over personen of hun reisdocumenten te doorzoeken in de centrale systemen van Eurodac en het ECRIS-TCN. Zij maken eveneens gebruik van het ESP om overeenkomstig hun toegangsrechten uit hoofde van deze verordening het CIR te doorzoeken voor de in de artikelen 20, 21 en 22 bedoelde doeleinden.

3.   De in lid 1 bedoelde lidstatelijke autoriteiten kunnen het ESP gebruiken om gegevens over personen of hun reisdocumenten te doorzoeken in het centrale SIS bedoeld in Verordeningen (EU) 2018/1860 en (EU) 2018/1861.

4.   In gevallen waarin zij daartoe krachtens het Unierecht verplicht zijn, gebruiken de in lid 1 bedoelde Unie-agentschappen het ESP voor het doorzoeken van gegevens over personen of hun reisdocumenten in het centrale SIS.

5.   De in lid 1 bedoelde lidstatelijke autoriteiten en Unie-agentschappen kunnen het ESP gebruiken om overeenkomstig hun toegangsrechten uit hoofde van het Unierecht of het nationaal recht gegevens over personen of hun reisdocumenten te bevragen in de Europol-gegevens.

Artikel 8

Profielen voor de gebruikers van het Europees zoekportaal

1.   Om het gebruik van het ESP mogelijk te maken, maakt eu-LISA samen met de lidstaten in overeenstemming met de in lid 2 bedoelde technische details en toegangsrechten een profiel aan op basis van elke categorie van ESP-gebruikers en over de doeleinden van de zoekopdrachten. Elk profiel bevat overeenkomstig het Unie- en nationale recht de volgende informatie:

a)

de voor de zoekopdrachten gebruikte datavelden;

b)

de Unie-informatiesystemen, Europol-gegevens en Interpol-databanken die moeten worden doorzocht, die kunnen worden doorzocht en die de gebruiker van een antwoord moeten voorzien;

c)

de specifieke gegevens in de Unie-informatiesystemen, de Europol-gegevens en de Interpol-databanken die kunnen worden doorzocht;

d)

de gegevenscategorieën die in elk antwoord kunnen worden verstrekt.

2.   De Commissie stelt uitvoeringshandelingen vast waarin de in lid 1 bedoelde profielen technisch worden gespecificeerd in overeenstemming met de toegangsrechten van de ESP-gebruikers overeenkomstig de rechtsinstrumenten met betrekking tot de Unie-informatiesystemen en overeenkomstig het nationaal recht. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 70, lid 2, bedoelde onderzoeksprocedure vastgesteld.

3.   De in lid 1 bedoelde profielen worden regelmatig en tenminste eenmaal per jaar door eu-LISA, in samenwerking met de lidstaten, geëvalueerd en zo nodig bijgewerkt.

Artikel 9

Zoekopdrachten

1.   De ESP-gebruikers starten een zoekopdracht door alfanumerieke of biometrische gegevens in het ESP in te voeren. Zodra een zoekopdracht is gestart, gebruikt het ESP de door de ESP-gebruiker overeenkomstig het gebruikersprofiel ingevoerde gegevens om het EES, Etias, VIS, SIS, Eurodac, ECRIS-TCN en CIR, alsmede de Europol-gegevens en de Interpol-databanken gelijktijdig te doorzoeken.

2.   De gegevenscategoriëen die worden gebruikt om via het ESP een zoekopdracht te starten, komen overeen met de gegevenscategorieën betreffende personen of reisdocumenten die mogen worden gebruikt om de verschillende Unie-informatiesystemen, de Europol-gegevens en de Interpol-databanken te doorzoeken overeenkomstig de rechtsinstrumenten die daarop van toepassing zijn.

3.   eu-LISA implementeert samen met de lidstaten voor het ESP een interface control document op basis van de in artikel 38 bedoelde UMF.

4.   Wanneer een zoekopdracht wordt gestart via een ESP-gebruiker, verstrekken het EES, Etias, VIS, SIS, Eurodac, ECRIS-TCN, CIR en de MID, de Europol-gegevens en de Interpol-databanken in reactie op de zoekopdracht de gegevens die zij bevatten.

Onverminderd artikel 20 wordt in het door het ESP verstrekte antwoord vermeld van welk Unie-informatiesysteem of van welke databank de gegevens deel uitmaken.

In het ESP wordt geen informatie verstrekt over gegevens in Unie-informatiesystemen, Europol-gegevens en Interpol-databanken waartoe de gebruiker overeenkomstig het toepasselijke Unierecht en nationale recht geen toegang heeft.

5.   Via het ESP gestarte zoekopdrachten in de Interpol-databanken worden zodanig uitgevoerd dat aan de eigenaar van de Interpol-signalering geen informatie wordt onthuld.

6.   Het ESP voorziet de gebruiker van een antwoord zodra gegevens uit een van de Unie-informatiesystemen, Europol-gegevens of Interpol-databanken beschikbaar zijn. Deze antwoorden bevatten uitsluitend de gegevens waartoe de gebruiker op grond van het Unierecht en het nationale recht toegang heeft.

7.   De Commissie stelt een uitvoeringshandeling vast met specificaties voor de technische procedure voor het doorzoeken van de Unie-informatiesystemen, Europol-gegevens en Interpol-databanken door het ESP en het format van de ESP-antwoorden. Deze uitvoeringshandeling wordt vastgesteld overeenkomstig de in artikel 70, lid 2, bedoelde onderzoeksprocedure.

Artikel 10

Bijhouden van logbestanden

1.   Onverminderd de artikelen 12 en 18 van Verordening (EU) 2018/1862, artikel 29 van Verordening (EU) 2019/816 en artikel 40 van Verordening (EU) 2016/794, houdt eu-LISA logbestanden bij van alle gegevensverwerkingsverrichtingen in het ESP. In deze logbestanden wordt het volgende vermeld:

a)

de lidstaat die of het Unie-agentschap dat de zoekopdracht start en het gebruikte ESP-profiel;

b)

de datum en het tijdstip van de zoekopdracht;

c)

de doorzochte Unie-informatiesystemen en Europol-gegevens.

2.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten van zijn autoriteiten en van de personeelsleden van zijn autoriteiten die naar behoren gemachtigd zijn om het ESP te gebruiken. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

3.   De in de leden 1 en 2 bedoelde logbestanden mogen uitsluitend worden gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de wettigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit. De logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist als de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

Artikel 11

Vangnetprocedures voor wanneer het Europees zoekportaal om technische redenen niet kan worden gebruikt

1.   Indien het ESP vanwege een interne technische storing niet kan worden gebruikt om een of meer Unie-informatiesystemen of het CIR te doorzoeken, brengt eu-LISA de ESP-gebruikers daarvan op geautomatiseerde wijze op de hoogte.

2.   Indien het ESP vanwege een technische storing in de nationale infrastructuur van een lidstaat niet kan worden gebruikt om een of meer van de Unie-informatiesystemen of het CIR te doorzoeken, brengt die lidstaat eu-LISA en de Commissie daarvan op geautomatiseerde wijze op de hoogte.

3.   Tijdens de technische storing is in de leden 1 en 2 van dit artikel bedoelde gevallen de in artikel 7, leden 2 en 4, bedoelde verplichting niet van toepassing en krijgen de lidstaten via hun respectieve nationale uniforme interfaces of nationale communicatie-infrastructuur rechtstreekse toegang tot de bedoelde Unie-informatiesystemen of rechtstreeks tot het CIR, indien zij daartoe krachtens het Unie- of nationale recht gehouden zijn.

4.   Indien het ESP vanwege een technische storing in de infrastructuur van een Unie-agentschap niet kan worden gebruikt om een of meer van de Unie-informatiesystemen of het CIR te doorzoeken, brengt dat agentschap eu-LISA en de Commissie daarvan op geautomatiseerde wijze op de hoogte.

HOOFDSTUK III

Gezamenlijke dienst voor biometrische matching

Artikel 12

Gezamenlijke dienst voor biometrische matching

1.   Om het CIR en de MID te ondersteunen en de doelstellingen van het EES, VIS, Eurodac, SIS en ECRIS-TCN te bevorderen, wordt een gezamenlijke dienst voor biometrische matching (gezamenlijke BMS) opgezet, die biometrische templates opslaat, verkregen van de biometrische gegevens bedoeld in artikel 13, die zijn opgeslagen in het CIR en het SIS en het mogelijk maakt om aan de hand van biometrische gegevens zoekopdrachten in meerdere Unie-informatiesystemen uit te voeren.

2.   De gezamenlijke BMS bestaat uit:

a)

een centrale infrastructuur, die in de plaats komt van de centrale systemen van respectievelijk het EES, VIS, SIS, Eurodac en ECRIS-TCN, voor zover deze biometrische templates opslaat en het mogelijk maakt te zoeken met biometrische gegevens;

b)

een beveiligde communicatie-infrastructuur tussen de gezamenlijke BMS, het centrale SIS en het CIR.

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van de gezamenlijke BMS.

Artikel 13

Opslag van biometrische templates in de gemeenschappelijke dienst voor biometrische matching

1.   In de gezamenlijke BMS worden de biometrische templates opgeslagen die de dienst extraheert uit de volgende biometrische gegevens:

a)

de gegevens bedoeld in artikel 20, lid 3, onder w) en y), van Verordening (EU) 2018/1862, met uitzondering van gegevens over handpalmafdrukken

b)

de gegevens bedoeld in artikel 5, lid 1, onder b) en lid 2 van Verordening (EU) 2019/816.

De biometrische templates worden opgeslagen in de gezamenlijke BMS in logisch gescheiden vorm per Unie-informatiesysteem waaruit de gegevens afkomstig zijn.

2.   De gezamenlijke BMS bevat voor elke reeks gegevens als bedoeld in lid 1 in elke biometrische template een verwijzing naar de Unie-informatiesystemen en een verwijzing naar de werkelijke bestanden in de Unie-informatiesystemen waarin de overeenkomstige biometrische gegevens zijn opgeslagen.

3.   Biometrische templates worden pas in de gezamenlijke BMS opgenomen nadat de gezamenlijke BMS door middel van een automatische kwaliteitscontrole heeft vastgesteld dat de aan een van de Unie-informatiesystemen toegevoegde biometrische gegevens voldoen aan een minimumnorm voor gegevenskwaliteit.

4.   De opslag van de in lid 1 bedoelde gegevens moet voldoen aan de in artikel 37, lid 2, bedoelde kwaliteitsnormen.

5.   De Commissie stelt door middel van een uitvoeringshandeling prestatie-eisen en praktische regelingen voor het toezicht op de prestaties van de gezamenlijke BMS vast om ervoor te zorgen dat de doeltreffendheid van biometrische zoekopdrachten in overeenstemming is met tijdskritische procedures zoals grenscontroles en identificaties. Die uitvoeringshandeling wordt overeenkomstig de in artikel 70, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 14

Doorzoeken van biometrische gegevens met de gezamenlijke dienst voor biometrische matching

Het CIR en het SIS doorzoeken de in het CIR en SIS opgeslagen biometrische gegevens aan de hand van de in de gezamenlijke BMS opgeslagen biometrische templates. Zoekopdrachten aan de hand van biometrische gegevens worden uitgevoerd overeenkomstig de doelstellingen vastgesteld in Verordeningen (EG) nr. 767/2008, (EU) 2017/2226, (EU) 2018/1860, (EU) 2018/1861, (EU) 2018/1862 en (EU) 2019/816.

Artikel 15

Bewaring van gegevens in de gezamenlijke dienst voor biometrische matching

De termijn voor de opslag van de in artikel 13, lid 1 en 2, bedoelde gegevens in de gezamenlijke BMS stemt enkel overeen met die voor de opslag van de overeenkomstige biometrische gegevens in het CIR of het SIS. De gegevens worden automatisch gewist uit de gezamenlijke BMS.

Artikel 16

Bijhouden van logbestanden

1.   Onverminderd de artikelen 12 en 18 van Verordening (EU) 2018/1862 en artikel 29 van Verordening (EU) 2019/816, houdt eu-LISA logbestanden bij van alle gegevensverwerkingsverrichtingen in de gezamenlijke BMS. In deze logbestanden wordt het volgende vermeld:

a)

de lidstaat die of het Unie-agentschap dat de zoekopdracht start;

b)

het relaas van het aanmaken en opslaan van de biometrische templates;

c)

de Unie-informatiesystemen die zijn doorzocht met de in de gezamenlijke BMS opgeslagen biometrische templates;

d)

de datum en het tijdstip van de zoekopdracht;

e)

het soort biometrische gegevens dat is gebruikt om de zoekopdracht te starten;

f)

de resultaten van de zoekopdracht en de datum en het tijdstip van het resultaat.

2.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten van zijn autoriteiten en van de personeelsleden van deze autoriteiten die naar behoren gemachtigd zijn om de gezamenlijke BMS te gebruiken. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

3.   De in de leden 1 en 2 bedoelde logbestanden worden uitsluitend gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de wettigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en integriteit. De logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist zodra de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

HOOFDSTUK IV

Gemeenschappelijk identiteitsregister

Artikel 17

Gemeenschappelijk identiteitsregister

1.   Er wordt een gemeenschappelijk identiteitsregister (common identity repository - CIR) ingesteld, waarin voor elke in het EES, VIS, Etias, Eurodac of ECRIS-TCN geregistreerde persoon een afzonderlijk bestand met de in artikel 18 bedoelde gegevens wordt aangelegd, met als doel de correcte identificatie van in het EES, VIS, Etias, Eurodac of ECRIS-TCN geregistreerde personen te vergemakkelijken en te bevorderen overeenkomstig artikel 20, de werking van de MID te ondersteunen overeenkomstig artikel 21 en de toegang van de aangewezen autoriteiten en Europol tot het EES, VIS, Etias, Eurodac te vergemakkelijken en te stroomlijnen wanneer dat nodig is voor de preventie, de opsporing of het onderzoek van terroristische misdrijven of andere ernstige strafbare feiten uit hoofde van artikel 22.

2.   Het CIR bestaat uit:

a)

een centrale infrastructuur die in de plaats komt van de centrale systemen van respectievelijk het EES, VIS, Etias, Eurodac en ECRIS-TCN, voor zover de in artikel 18 bedoelde gegevens in deze centrale infrastructuur worden opgeslagen;

b)

een beveiligd communicatiekanaal tussen het CIR, de lidstaten en de Unie-agentschappen die overeenkomstig het Unie- en het nationale recht gebruik mogen maken van het CIR;

c)

een beveiligde communicatie-infrastructuur tussen het CIR, EES, VIS, Etias, Eurodac en ECRIS-TCN en de centrale infrastructuur van het ESP, de gezamenlijke BMS en de MID.

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van het CIR.

4.   Indien het CIR vanwege een interne technische storing van het CIR niet kan worden doorzocht met het oog op de identificatie van een persoon uit hoofde van artikel 20, de detectie van meerdere identiteiten uit hoofde van artikel 21 of het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten uit hoofde van artikel 22, stelt eu-LISA de CIR-gebruikers daarvan op geautomatiseerde wijze in kennis.

5.   eu-LISA implementeert samen met de lidstaten voor het CIR een interface control document op basis van de in artikel 38 bedoelde UMF.

Artikel 18

De gegevens van het gemeenschappelijke identiteitsregister

1.   In het CIR worden de volgende gegevens — logisch gescheiden — opgeslagen per informatiesysteem waaruit de gegevens afkomstig zijn: de in artikel 5, lid 1, onder b), en artikel 5, lid 2, van de volgende in artikel 5, lid 1, onder a), van Verordening (EU) 2019/816 bedoelde gegevens: achternaam, familienaam; voornamen; geboortedatum; geboorteplaats (stad en land); nationaliteit of nationaliteiten; gender, indien van toepassing vroegere namen, indien beschikbaar pseudoniemen of bijnamen, alsook, indien beschikbaar, informatie over reisdocumenten.

2.   In het CIR wordt voor elke reeks gegevens, als bedoeld in lid 1, een verwijzing opgenomen naar de Unie-informatiesystemen waar de gegevens toe behoren.

3.   De autoriteiten die het CIR raadplegen voor de in de artikelen 20, 21 en 22 bedoelde doeleinden, doen dit in overeenstemming met hun toegangsrechten uit hoofde van de rechtsinstrumenten betreffende de Unie-informatiesystemen en het nationale recht, en in overeenstemming met hun toegangsrechten krachtens deze verordening.

4.   In het CIR wordt voor elke reeks gegevens als bedoeld in lid 1, een verwijzing opgenomen naar de werkelijke bestanden in de Unie-informatiesystemen waar de gegevens deel van uitmaken.

5.   De opslag van de in lid 1 bedoelde gegevens moet voldoen aan de in artikel 37, lid 2, bedoelde kwaliteitsnormen.

Artikel 19

Toevoeging, wijziging en wissing van gegevens in het gemeenschappelijke identiteitsregister

1.   Wanneer gegevens worden toegevoegd, gewijzigd of gewist in Eurodac of ECRIS-TCN, worden de overeenkomstige in artikel 18 bedoelde gegevens die zijn opgeslagen in het afzonderlijke CIR-bestand, automatisch toegevoegd, gewijzigd of gewist.

2.   Wanneer er overeenkomstig artikel 32 of 33 in de MID een witte of een rode link wordt aangemaakt tussen de gegevens van twee of meer van de Unie-informatiesystemen die deel uitmaken van het CIR, maakt het CIR geen nieuw afzonderlijk bestand aan, maar voegt het de nieuwe gegevens toe aan het afzonderlijke bestand waarin de gelinkte gegevens voorkomen.

Artikel 20

Toegang tot het gemeenschappelijke identiteitsregister met het oog op identificatie

1.   Zoekopdrachten in het CIR worden uitgevoerd door een politieautoriteit van een lidstaat overeenkomstig de leden 2 en 5 en uitsluitend in de volgende omstandigheden:

a)

als een politieautoriteit niet in staat is om een persoon te identificeren vanwege het ontbreken van een reisdocument of ander betrouwbaar document dat de identiteit van deze persoon aantoont;

b)

als er twijfel bestaat over de door die persoon verstrekte identiteitsgegevens;

c)

als er twijfel bestaat over de echtheid van het reisdocument of een ander door een persoon verstrekt betrouwbare document;

d)

als er twijfel bestaat over de identiteit van de houder van het reisdocument of een ander betrouwbare document; of

e)

als een persoon niet in staat is of weigert om mee te werken.

Dergelijke zoekopdrachten zijn niet toegestaan bij kinderen jonger dan twaalf jaar, tenzij dit in het belang van het kind is.

2.   In een van de in lid 1 opgesomde omstandigheden kan een politieautoriteit, mits zij daartoe op grond van nationale wetgevingsmaatregelen als bedoeld in lid 5 is gemachtigd, het CIR doorzoeken aan de hand van de bij een identiteitscontrole ter plaatse genomen biometrische gegevens van een persoon, doch uitsluitend met het oog op de identificatie van die persoon en mits de procedure in aanwezigheid van die persoon is gestart.

3.   Als de zoekopdracht uitwijst dat in het CIR gegevens over die persoon zijn opgeslagen, krijgt de politieautoriteit toegang om de in artikel 18, lid 1, bedoelde gegevens te raadplegen.

Wanneer de biometrische gegevens van de persoon niet kunnen worden gebruikt of wanneer het zoeken aan de hand van die gegevens geen resultaat oplevert, wordt gezocht aan de hand van de identiteitsgegevens van de persoon in combinatie met reisdocumentgegevens, of aan de hand van de door die persoon verstrekte identiteitsgegevens.

4.   Een politieautoriteit kan, mits zij daartoe op grond van nationale wetgevingsmaatregelen als bedoeld in lid 6 is gemachtigd, in geval van een natuurramp, ongeval of terroristische aanslag en uitsluitend met het oog op de identificatie van onbekende personen die niet in staat zijn om zichzelf te legitimeren of de identificatie van niet-geïdentificeerde stoffelijke overschotten, het CIR doorzoeken aan de hand van de biometrische gegevens van die personen.

5.   Lidstaten die gebruik wensen te maken van de in lid 2 bedoelde mogelijkheid, stellen daartoe nationale wetgevingsmaatregelen vast. Hierbij houden de lidstaten rekening met de noodzaak om elke discriminatie van onderdanen van derde landen te vermijden. In zulke wetgevingsmaatregelen wordt bepaald welke specifieke doelstellingen met de identificatie worden nagestreefd in het kader van de in artikel 2, lid 1, onder b) en c). omschreven doelen. Voorts worden in de wetgevingsmaatregelen de bevoegde politieautoriteiten aangewezen en de procedures, voorwaarden en criteria voor deze controles vastgelegd.

6.   Lidstaten die gebruik wensen te maken van de in lid 4 bedoelde mogelijkheid, stellen nationale wetgevingsmaatregelen vast tot vaststelling van de procedures, voorwaarden en criteria.

Artikel 21

Toegang tot het gemeenschappelijke identiteitsregister met het oog op het detecteren van meerdere identiteiten

1.   Wanneer een zoekopdracht in het CIR overeenkomstig artikel 28, lid 4, een gele link oplevert, krijgt de in artikel 29 bedoelde autoriteit die bevoegd is voor de manuele verificatie van meerdere identiteiten, uitsluitend voor die verificatie toegang tot de in artikel 18, leden 1 en 2 bedoelde in het CIR opgeslagen gegevens die aan elkaar verbonden zijn door de gele link.

2.   Wanneer een zoekopdracht in het CIR overeenkomstig artikel 32 een rode link oplevert, krijgen de in artikel 26, lid 2, bedoelde autoriteiten uitsluitend voor de bestrijding van identiteitsfraude toegang tot de in artikel 18, leden 1 en 2 bedoelde in het CIR opgeslagen gegevens die aan elkaar verbonden zijn door de rode link.

Artikel 22

Doorzoeken van het gemeenschappelijke identiteitsregister met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten

1.   In specifieke gevallen, wanneer er gegronde redenen zijn om aan te nemen dat raadpleging van de Unie-informatiesystemen zal bijdragen aan het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten, met name wanneer er een vermoeden bestaat dat de verdachte, de dader of het slachtoffer van een terroristisch misdrijf of andere ernstig strafbaar feiten een persoon is van wie gegevens opgeslagen zijn in Eurodac, kunnen de aangewezen autoriteiten en Europol het CIR raadplegen om zich ervan te vergewissen of Eurodac gegevens over een specifieke persoon bevat.

2.   Wanneer het CIR naar aanleiding van een zoekopdracht aangeeft dat Eurodac gegevens over de betrokken persoon bevat, verwijst het CIR in zijn antwoord aan de aangewezen autoriteiten en Europol op de wijze zoals bedoeld in artikel 18, lid 2, het geeft het aan dat Eurodac gegevens bevat die een match opleveren, als bedoeld in artikel 18, lid 2. Het CIR antwoordt op zodanige wijze dat de beveiliging van de gegevens niet in gevaar wordt gebracht.

Het antwoord waarin wordt aangegeven dat in Eurodac gegevens over die persoon aanwezig zijn, wordt alleen gebruikt voor het indienen van een verzoek om volledige toegang overeenkomstig de voorwaarden en procedures die zijn vastgelegd in de respectieve rechtsinstrumenten betreffende die toegang.

In geval van een match of meerdere matches verzoekt de aangewezen autoriteit of Europol om volledige toegang tot ten minste een van de informatiesystemen die een match heeft opgeleverd.

Indien bij wijze van uitzondering niet om volledige toegang wordt verzocht registreren de aangewezen autoriteiten de redenen voor de niet-indiening van het verzoek, hetgeen traceerbaar zal zijn naar het nationale dossier. Europol registreert de redenen hiervoor in het betreffende dossier.

3.   Volledige toegang tot in Eurodac opgenomen gegevens met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten blijft onderworpen aan de voorwaarden en procedures als vastgesteld in de desbetreffende rechtsinstrumenten waarbij deze toegang wordt geregeld.

Artikel 23

Bewaring van gegevens in het gemeenschappelijke identiteitsregister

1.   De in artikel 18, leden 1, 2 en 4, bedoelde gegevens worden automatisch gewist in het CIR overeenkomstig de bepalingen over de bewaring van gegevens als vastgesteld in Verordening (EU) 2019/816.

2.   De termijn voor de opslag van het afzonderlijke bestand in het CIR stemt overeen met die voor de opslag van de overeenkomstige gegevens in ten minste één van de Unie-informatiesystemen waaruit de in het CIR aanwezige gegevens afkomstig zijn. Het aanmaken van een link heeft geen gevolgen voor de bewaringstermijn van elk element van de gelinkte gegevens.

Artikel 24

Bijhouden van logbestanden

1.   Onverminderd artikel 29 van Verordening (EU) 2019/816 houdt eu-LISA overeenkomstig de leden 2, 3 en 4 van dit artikel logbestanden bij van alle gegevensverwerkingsverrichtingen in het CIR.

2.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op grond van artikel 20 in het CIR. Deze logbestanden vermelden het volgende:

a)

de lidstaat die of het Unie-agentschap dat de zoekopdracht start;

b)

het doel van de toegang dat wordt beoogd door de gebruiker die een zoekopdracht via het CIR geeft;

c)

de datum en het tijdstip van de zoekopdracht;

d)

het soort gegevens dat is gebruikt om de zoekopdracht te starten;

e)

de resultaten van de zoekopdracht.

3.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op grond van artikel 21 in het CIR. Deze logbestanden vermelden het volgende:

a)

de lidstaat die of het Unie-agentschap dat de zoekopdracht start;

b)

het doel van de toegang dat wordt beoogd door de gebruiker die een zoekopdracht via het CIR geeft;

c)

de datum en het tijdstip van de zoekopdracht;

d)

wanneer er een link is aangemaakt, de gegevens die zijn gebruikt om de zoekopdracht te starten en de resultaten van de zoekopdracht en het Unie-informatiesysteem waaruit de gegevens afkomstig zijn.

4.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op grond van artikel 22 in het CIR. Deze logbestanden vermelden het volgende:

a)

de datum en het tijdstip van de zoekopdracht;

b)

de gegevens die zijn gebruikt om de zoekopdracht te starten;

c)

de resultaten van de zoekopdracht;

d)

de lidstaat die of het Unie-agentschap dat het CIR doorzoekt.

De logbestanden over deze toegang worden regelmatig, met tussenpozen van ten hoogste zes maanden, geverifieerd door de toezichthoudende autoriteit overeenkomstig artikel 41 van Richtlijn (EU) 2016/680 of door de Europese Toezichthouder voor gegevensbescherming overeenkomstig artikel 43 van Verordening (EU) 2016/794, om na te gaan of de procedures en voorwaarden als bedoeld in artikel 22, leden 1 en 2, van deze verordening in acht zijn genomen.

5.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten die zijn autoriteiten en de voor het gebruik van het CIR naar behoren gemachtigde personeelsleden van die autoriteiten maken overeenkomstig de artikelen 20, 21 en 22. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten die zijn naar behoren gemachtigde personeelsleden maken overeenkomstig de artikelen 21 en 22.

Voorts houden alle lidstaten voor toegang tot het CIR overeenkomstig artikel 22 de volgende logbestanden bij:

a)

het referentiekenmerk van het nationale bestand;

b)

het doel van de toegang;

c)

volgens de nationale regels, het kenmerk van de functionaris die de zoekopdracht heeft verricht en van de functionaris die om de zoekopdracht heeft verzocht.

6.   Overeenkomstig Verordening (EU) 2016/794 houdt Europol voor elke toegang tot het CIR overeenkomstig artikel 22 van deze verordening logbestanden bij van de functionaris die de zoekopdracht heeft verricht en van de functionaris die om de zoekopdracht heeft verzocht.

7.   De in de leden 2 tot en met 6 bedoelde logbestanden mogen uitsluitend worden gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit. De logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist als de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

8.   eu-LISA slaat de logbestanden met de geschiedenis op in afzonderlijke bestanden. eu-LISA wist zulke logbestanden automatisch zodra de gegevens worden gewist.

HOOFDSTUK V

Detector van meerdere identiteiten

Artikel 25

Detector van meerdere identiteiten

1.   Om de werking van het CIR te ondersteunen en de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN te bevorderen, wordt een detector van meerdere identiteiten (MID) ingesteld, die zorgt voor het aanmaken en opslaan van een identiteitsbevestigingsbestand als bedoeld in artikel 34, dat links bevat tussen gegevens in de Unie-informatiesystemen die zijn opgenomen in het CIR en het SIS, en op basis daarvan meerdere identiteiten detecteert, met als tweeledig doel de identiteitscontroles te vergemakkelijken en identiteitsfraude te bestrijden.

2.   De MID bestaat uit:

a)

een centrale infrastructuur, waarin links en verwijzingen naar Unie-informatiesystemen worden opgeslagen;

b)

een beveiligde communicatie-infrastructuur om de MID te verbinden met het SIS en de centrale infrastructuur van het ESP en het CIR.

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van de MID.

Artikel 26

Toegang tot de detector van meerdere identiteiten

1.   Met het oog op de in artikel 29 bedoelde manuele verificatie van meerdere identiteiten wordt toegang tot de in artikel 34 bedoelde, in de MID opgeslagen gegevens verleend aan:

a)

het Sirene-bureau van de lidstaat die een SIS-signalering creëert of bijwerkt overeenkomstig Verordening (EU) 2018/1862;

b)

de centrale autoriteiten van de lidstaat van veroordeling, bij het invoeren en wijzigen van de gegevens in ECRIS-TCN overeenkomstig artikel 5 of artikel 9 van Verordening (EU) 2019/816.

2.   De lidstatelijke autoriteiten en de Unie-agentschappen die toegang hebben tot ten minste één Unie-informatiesysteem dat is opgenomen in het CIR, of tot het SIS, krijgen toegang tot de in artikel 34, onder a) en b), bedoelde gegevens wanneer sprake is van een rode link als bedoeld in artikel 32.

3.   De lidstatelijke autoriteiten en de Unie-agentschappen hebben toegang tot de in artikel 33 bedoelde witte links als zij toegang hebben tot de twee Unie-informatiesystemen die gegevens bevatten waartussen de witte link is aangemaakt.

4.   De lidstatelijke autoriteiten en de Unie-agentschappen hebben toegang tot de in artikel 31 bedoelde groene links als zij toegang hebben tot de twee Unie-informatiesystemen die gegevens bevatten waartussen de groene link is aangemaakt en een zoekopdracht in die informatiesystemen een match oplevert met de twee gelinkte reeksen gelinkte gegevens.

Artikel 27

Detectie van meerdere identiteiten

1.   In het CIR en SIS wordt een detectie van meerdere identiteiten gestart wanneer:

a)

een signalering van een persoon wordt gecreëerd of bijgewerkt in het SIS overeenkomstig de hoofdstukken VI tot en met IX van Verordening (EU) 2018/1862;

b)

een gegevensbestand wordt gecreëerd of gewijzigd in ECRIS-TCN overeenkomstig artikel 5 of artikel 9 van Verordening (EU) 2019/816.

2.   Wanneer de gegevens in een EU-informatiesysteem als bedoeld in lid 1 biometrische gegevens bevatten, maken het CIR en het centrale SIS voor de detectie van meerdere identiteiten gebruik van de gezamenlijke BMS. De gezamenlijke BMS maakt een vergelijking tussen de uit nieuwe biometrische gegevens verkregen biometrische templates en de reeds in de gezamenlijke BMS opgenomen biometrische templates om na te gaan of over een bepaalde persoon reeds gegevens zijn opgeslagen in het CIR of het centrale SIS.

3.   Naast de in lid 2 bedoelde procedure maken het CIR en het centrale SIS gebruik van het ESP om de in het centrale SIS, respectievelijk het CIR opgeslagen gegevens te doorzoeken aan de hand van de volgende gegevens:

a)

achternamen; voornamen; namen bij geboorte, voorheen gebruikte namen en aliassen; geboorteplaats, geboortedatum, gender en nationaliteiten als bedoeld in artikel 20, lid 3, van Verordening (EU) 2018/1862;

b)

achternaam (familienaam); voornamen; geboortedatum, geboorteplaats (stad en land), nationaliteit of nationaliteiten en gender als bedoeld in artikel 5, lid 1, onder a) van Verordening (EU) 2019/816.

4.   Naast de in de leden 2 en 3 bedoelde procedure maken het CIR en het centrale SIS gebruik van het ESP om de in het centrale SIS, respectievelijk het CIR opgeslagen gegevens te doorzoeken aan de hand van reisdocumentgegevens.

5.   De detectie van meerdere identiteiten wordt alleen gestart om gegevens die in een Unie-informatiesysteem beschikbaar zijn, te vergelijken met gegevens die in andere Unie-informatiesystemen beschikbaar zijn.

Artikel 28

Resultaten van de detectie van meerdere identiteiten

1.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, geen match oplevert, blijven de in artikel 27, lid 1, bedoelde procedures erop van toepassing overeenkomstig de rechtsinstrumenten.

2.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, een of meer matches oplevert, maakt het CIR, en in voorkomend geval SIS, een link aan tussen de gegevens die zijn gebruikt om de zoekopdracht te starten en de gegevens die tot de match hebben geleid.

In het geval van meerdere matches wordt een link aangemaakt tussen alle gegevens die tot de match hebben geleid. Als de gegevens al gelinkt waren, wordt de bestaande link uitgebreid tot de gegevens die zijn gebruikt om de zoekopdracht te starten.

3.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, een of meer matches oplevert en de identiteitsgegevens van de gelinkte bestanden dezelfde of vergelijkbaar zijn, wordt een witte link aangemaakt overeenkomstig artikel 33.

4.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, een of meer matches oplevert en de identiteitsgegevens van de gelinkte bestanden niet als vergelijkbaar kunnen worden beschouwd, wordt een gele link aangemaakt overeenkomstig artikel 30 en is de in artikel 29 bedoelde procedure van toepassing.

5.   De Commissie stelt overeenkomstig artikel 69 bij gedelegeerde handelingen de procedures vast aan de hand waarvan moet worden bepaald welke identiteitsgegevens als identiek of vergelijkbaar moeten worden beschouwd

6.   De links worden opgeslagen in het in artikel 34 bedoelde identiteitsbevestigingsbestand.

7.   De Commissie stelt in samenwerking met eu-LISA bij uitvoeringshandelingen de technische voorschriften vast voor het aanmaken van links tussen gegevens uit verschillende Unie-informatiesystemen. Deze uitvoeringshandeling wordt overeenkomstig de in artikel 70, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 29

Manuele verificatie van meerdere identiteiten en verantwoordelijke autoriteiten

1.   Onverminderd lid 2 is de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit:

a)

het Sirene-bureau van de lidstaat voor matches die zich voordoen bij het creëren of bijwerken van een SIS-signalering overeenkomstig Verordening (EU) 2018/1862;

b)

de centrale autoriteiten van de lidstaat van veroordeling, voor matches die zich voordoen bij het invoeren of wijzigen van de gegevens in ECRIS-TCN overeenkomstig artikel 5 of artikel 9 van Verordening (EU) 2019/816.

De MID vermeldt in het identiteitsbevestigingsbestand welke autoriteit verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

2.   De in het identiteitsbevestigingsbestand bedoelde voor de manuele verificatie van meerdere identiteiten bevoegde autoriteit is het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd wanneer er een link wordt aangemaakt met gegevens in een signalering:

a)

van personen die worden gezocht met het oog op aanhouding ten behoeve van overlevering of uitlevering als bedoeld in artikel 26 van Verordening (EU) 2018/1862;

b)

vermiste of kwetsbare personen als bedoeld in artikel 32 van Verordening (EU) 2018/1862;

c)

van personen die worden gezocht met het oog op een gerechtelijke procedure als bedoeld in artikel 34 van Verordening (EU) 2018/1862;

d)

van personen met het oog op onopvallende controle, ondervragingscontrole of gerichte controle als bedoeld in artikel 36 van Verordening (EU) 2018/1862.

3.   Onverminderd lid 4 van dit artikel, heeft de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit toegang tot de gelinkte gegevens in het desbetreffende identiteitsbevestigingsbestand en tot de gelinkte identiteitsgegevens in het CIR en, in voorkomend geval, in het SIS. Zij beoordeelt onverwijld de meerdere identiteiten. Als zij die beoordeling heeft afgerond, werkt zij de link bij overeenkomstig de artikelen 31, 32 en 33 en voegt deze onverwijld toe aan het identiteitsbevestigingsbestand.

4.   Indien meer dan één link wordt aangemaakt, wordt elke link afzonderlijk beoordeeld door de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

5.   Als de gegevens die een match opleveren, al gelinkt waren, houdt de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, rekening met de bestaande links wanneer zij het aanmaken van nieuwe links beoordeelt.

Artikel 30

Gele link

1.   Wanneer er nog geen de manuele verificatie van meerdere identiteiten is verricht, wordt een link tussen gegevens uit twee of meer Unie-informatiesystemen in de volgende gevallen ingedeeld als geel:

a)

de gelinkte gegevens hebben dezelfde biometrische gegevens maar vergelijkbare of verschillende identiteitsgegevens;

b)

de gelinkte gegevens hebben verschillende identiteitsgegevens maar dezelfde reisdocumentgegevens, en ten minste een van de Unie-informatiesystemen bevat geen biometrische gegevens van de betrokkene;

c)

de gelinkte gegevens hebben dezelfde identiteitsgegevens maar verschillende biometrische gegevens;

d)

de gelinkte gegevens hebben vergelijkbare of verschillende identiteitsgegevens, dezelfde reisdocumentgegevens, maar verschillende biometrische gegevens.

2.   Indien een link overeenkomstig lid 1 is ingedeeld als geel, is de procedure van artikel 29 van toepassing.

Artikel 31

Groene link

1.   Een link tussen gegevens van twee of meer Unie-informatiesystemen wordt in de volgende gevallen ingedeeld als groen:

a)

de gelinkte gegevens hebben verschillende biometrische gegevens maar dezelfde identiteitsgegevens en verwijzen volgens de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit, naar twee verschillende personen;

b)

de gelinkte gegevens hebben verschillende biometrische gegevens, hebben vergelijkbare of verschillende identiteitsgegevens, hebben dezelfde reisdocumentgegevens en verwijzen volgens de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit naar twee verschillende personen;

c)

de gelinkte gegevens hebben verschillende identiteitsgegevens, maar hebben dezelfde reisdocumentgegevens, ten minste een van de Unie-informatiesystemen bevat geen biometrische gegevens van de betrokkene en de gegevens verwijzen volgens de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit naar twee verschillende personen.

2.   Wanneer het CIR of het SIS wordt doorzocht en er een groene link bestaat tussen gegevens in twee of meer van de Unie-informatiesystemen, geeft de MID aan dat de identiteitsgegevens van de gelinkte gegevens niet overeenstemmen met dezelfde persoon.

3.   Wanneer een lidstatelijke autoriteit beschikt over bewijs dat een groene link foutief is ingevoerd in de MID, dat een groene link niet actueel is of dat de gegevens in de MID of de Unie-informatiesystemen in strijd met deze verordening werden verwerkt, controleert die autoriteit de desbetreffende gegevens die in het CIR en het CIS zijn opgeslagen, en indien nodig corrigeert zij de link of wist zij deze onverwijld uit de MID. De lidstatelijke autoriteit stelt de lidstaat die verantwoordelijk is voor de manuele verificatie van de meerdere identiteiten hiervan onverwijld in kennis.

Artikel 32

Rode link

1.   Een link tussen gegevens van twee of meer Unie-informatiesystemen wordt in de volgende gevallen ingedeeld als rood:

a)

de gelinkte gegevens hebben dezelfde biometrische gegevens maar hebben vergelijkbare of verschillende identiteitsgegevens, en verwijzen volgens de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit op ongerechtvaardigde wijze naar dezelfde persoon;

b)

de gelinkte gegevens hebben dezelfde, vergelijkbare of verschillende identiteitsgegevens en dezelfde reisdocumentgegevens, maar verschillende biometrische gegevens en verwijzen volgens de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit op ongerechtvaardigde wijze naar twee verschillende personen, van wie ten minste één die gebruikmaakt van hetzelfde reisdocument;

c)

de gelinkte gegevens hebben dezelfde identiteitsgegevens maar verschillende biometrische gegevens en verschillende of geen reisdocumentgegevens, en de gelinkte gegevens verwijzen volgens de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit, op ongerechtvaardigde wijze naar twee verschillende personen;

d)

de gelinkte gegevens hebben verschillende identiteitsgegevens en dezelfde reisdocumentgegevens, en ten minste een van de Unie-informatiesystemen bevat geen biometrische gegevens van de betrokkene, en de gelinkte gegevens verwijzen volgens de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit op ongerechtvaardigde wijze naar dezelfde persoon.

2.   Wanneer het CIR of SIS wordt doorzocht en er een rode link bestaat tussen gegevens in twee of meer van de Unie-informatiesystemen, vermeldt de MID in zijn antwoord de in artikel 34 bedoelde gegevens. De follow-up van een rode link verloopt overeenkomstig het Unierecht en het nationaal recht, waarbij eventuele rechtsgevolgen voor de betrokkene uitsluitend worden gebaseerd op de gegevens met betrekking tot die persoon. Het bestaan van een rode link op zich heeft voor de betrokken persoon geen rechtsgevolgen.

3.   Wanneer er een rode link wordt aangemaakt tussen gegevens in het EES, VIS, Etias, Eurodac of ECRIS-TCN, wordt het in het CIR opgeslagen afzonderlijke bestand bijgewerkt overeenkomstig artikel 19, lid 2.

4.   Onverminderd de bepalingen in verband met de behandeling van signaleringen in SIS zoals vervat in de Verordeningen (EU) 2018/1860, (EU) 2018/1861 en (EU) 2018/1862 en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat geen enkel nationaal onderzoek in gevaar wordt gebracht, meldt de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit, in het geval van een rode link, aan de betrokkene dat meerdere onrechtmatige identiteitsgegevens zijn geconstateerd en verstrekt de betrokkene het unieke identificatienummer als bedoeld in artikel 34, onder c), van deze verordening informatie over de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit als bedoeld in artikel 34, onder d), van deze verordening en het internetadres van het overeenkomstig artikel 49 van deze verordening opgerichte webportaal.

5.   De in lid 4 bedoelde informatie wordt door de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit schriftelijk meegedeeld via een standaardformulier. De Commissie stelt de inhoud en de presentatie van dat formulier vast door middel van uitvoeringshandelingen. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 70, lid 2, bedoelde onderzoeksprocedure vastgesteld.

6.   Wanneer een rode link wordt aangemaakt, stelt de MID de autoriteiten die verantwoordelijk zijn voor de gelinkte gegevens hiervan automatisch in kennis.

7.   Wanneer een lidstatelijke autoriteit of een Unie-agentschap met toegang tot het CIR of het SIS bewijs verkrijgt dat een rode link foutief in de MID is geregistreerd of dat de gegevens in de MID, het CIR of het SIS in strijd met deze verordening werden verwerkt, controleert die autoriteit of dat agentschap de relevante gegevens die zijn opgeslagen in het CIR of het SIS en, indien nodig,

a)

stelt zij het relevante Sirene-bureau van de lidstaat die de SIS-signalering heeft gecreëerd onmiddellijk hiervan in kennis, als de link betrekking heeft op een van de in artikel 29, lid 2, bedoelde SIS-signaleringen;

b)

in alle andere gevallen corrigeert zij de link of verwijdert deze onmiddellijk uit de MID.

Indien een Sirene-bureau overeenkomstig punt a) van de eerste alinea is gecontacteerd, controleert het het door de lidstatelijke autoriteit of het Unie-agentschap verstrekte bewijs en corrigeert zij waar nodig de link of verwijdert zij deze onmiddellijk uit de MID.

De autoriteit van de lidstaat die dergelijk bewijs verkrijgt, stelt de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat onverwijld in kennis van een relevante correctie of van het wissen van een rode link.

Artikel 33

Witte link

1.   Een link tussen gegevens van twee of meer Unie-informatiesystemen wordt in de volgende gevallen ingedeeld als wit:

a)

de gelinkte gegevens hebben dezelfde biometrische gegevens en dezelfde of vergelijkbare identiteitsgegevens;

b)

de gelinkte gegevens hebben dezelfde of vergelijkbare identiteitsgegevens, dezelfde reisdocumentgegevens en ten minste één Unie-informatiesysteem heeft geen biometrische gegevens van de betrokkene;

c)

de gelinkte gegevens hebben dezelfde biometrische gegevens, dezelfde reisdocumentgegevens en vergelijkbare identiteitsgegevens;

d)

de gelinkte gegevens hebben dezelfde biometrische gegevens maar gelijksoortige of andere identiteitsgegevens, en verwijzen volgens de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit, op gerechtvaardigde wijze naar dezelfde persoon.

2.   Wanneer het CIR of SIS wordt doorzocht en er een witte link bestaat tussen gegevens in twee of meer van de Unie-informatiesystemen, geeft de MID aan dat de identiteitsgegevens van de gelinkte gegevens overeenstemmen met dezelfde persoon. De doorzochte Unie-informatiesystemen vermelden in hun antwoord, in voorkomend geval, alle gelinkte gegevens van de persoon en brengen zo een match tot stand met de gegevens waartussen een witte link bestaat, indien de autoriteit die de zoekopdracht heeft gestart, overeenkomstig het Unie- of nationaal recht toegang heeft tot de gelinkte gegevens.

3.   Wanneer er een witte link wordt aangemaakt tussen gegevens van het EES, VIS, Etias, Eurodac of ECRIS-TCN, wordt het afzonderlijke bestand dat in het CIR is opgeslagen, bijgewerkt overeenkomstig artikel 19, lid 2.

4.   Onverminderd de bepalingen in verband met de behandeling van signaleringen in het SIS als neergelegd in de Verordeningen (EU) 2018/1860, (EU) 2018/1861 en (EU) 2018/1862 en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat geen enkel nationaal onderzoek in gevaar wordt gebracht, meldt de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit, wanneer er een witte link is aangemaakt na een manuele verificatie van meerdere identiteiten, aan de betrokkene dat vergelijkbare of verschillende identiteitsgegevens zijn geconstateerd en verstrekt zij de persoon met het in artikel 34, onder c), van deze verordening bedoelde unieke identificatienummer informatie over de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit als bedoeld in artikel 34, onder d), van deze verordening en het internetadres van het overeenkomstig artikel 49 van deze verordening opgerichte webportaal.

5.   Wanneer een lidstatelijke autoriteit beschikt over bewijs dat een witte link foutief is geregistreerd in de MID, een witte link niet actueel is of dat de gegevens in de MID of de Unie-informatiesystemen in strijd met deze verordening werden verwerkt, controleert die autoriteit de relevante gegevens die zijn opgeslagen in het CIR en het CIS en indien nodig corrigeert zij de link of wist zij deze onverwijld uit de MID. De lidstatelijke autoriteit stelt de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat hiervan onverwijld in kennis.

6.   De in lid 4 bedoelde informatie wordt door de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit schriftelijk meegedeeld via een standaardformulier. De Commissie stelt de inhoud en de presentatie van dat formulier vast door middel van uitvoeringshandelingen. Deze uitvoeringshandeling wordt overeenkomstig de in artikel 70, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 34

Identiteitsbevestigingsbestand

Het identiteitsbevestigingsbestand bevat de volgende gegevens:

a)

de links als bedoeld in de artikelen 30 tot en met 33;

b)

een verwijzing naar de Unie-informatiesystemen waarin de gelinkte gegevens worden bewaard;

c)

een uniek identificatienummer om de gegevens van de gelinkte bestanden op te vragen uit de desbetreffende Unie-informatiesystemen;

d)

de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit;

e)

de datum waarop de link is aangemaakt of bijgewerkt.

Artikel 35

Bewaring van gegevens in de detector van meerdere identiteiten

De termijn voor opslag van de identiteitsbevestigingsbestanden en de desbetreffende gegevens, inclusief links, in de MID is niet langer dan die voor de opslag van de gelinkte gegevens die zijn opgeslagen in twee of meer Unie-informatiesystemen. Zij worden automatisch gewist uit de MID.

Artikel 36

Bijhouden van logbestanden

1.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen in de MID. In deze logbestanden wordt het volgende vermeld:

a)

de lidstaat die de zoekopdracht start;

b)

het doel waarvoor de gebruiker toegang heeft;

c)

de datum en het tijdstip van de zoekopdracht;

d)

het soort gegevens dat is gebruikt om de zoekopdracht te starten;

e)

de referentie naar de gelinkte gegevens;

f)

de geschiedenis van het identiteitsbevestigingsbestand.

2.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten van zijn autoriteiten en van de personeelsleden van die autoriteiten die naar behoren gemachtigd zijn om de MID te gebruiken. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

3.   De in de leden 1 en 2 bedoelde logbestanden worden uitsluitend gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit. Deze logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist als de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

HOOFDSTUK VI

Maatregelen ter ondersteuning van interoperabiliteit

Artikel 37

Gegevenskwaliteit

1.   Onverminderd de verantwoordelijkheden van de lidstaten met betrekking tot de kwaliteit van de in de systemen opgeslagen gegevens, stelt eu-LISA automatische mechanismen en procedures vast voor het controleren van de kwaliteit van de gegevens die worden opgeslagen in het SIS, Eurodac, ECRIS-TCN, de gezamenlijke BMS, en het CIR.

2.   eu-LISA voorziet in mechanismen voor evaluatie van de nauwkeurigheid van de gezamenlijke BMS, gemeenschappelijke indicatoren voor gegevenskwaliteit, en de minimumkwaliteitsnormen voor de opslag van gegevens in het SIS, Eurodac, ECRIS-TCN, de gezamenlijke BMS, en het CIR.

Alleen gegevens die voldoen aan de minimumkwaliteitsnormen mogen worden ingevoerd in SIS, Eurodac, ECRIS-TCN, de gezamenlijke BMS, het CIR en de MID.

3.   eu-LISA brengt regelmatig verslag uit aan de lidstaten over de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit en over de gemeenschappelijke indicatoren voor gegevenskwaliteit. eu-LISA brengt ook regelmatig verslag uit aan de Commissie over kwesties die zijn geconstateerd en de lidstaten die hierbij zijn betrokken. eu-LISA stelt dat verslag tevens op verzoek ter beschikking aan het Europees Parlement en de Raad. De in dit lid bedoelde verslagen bevatten in geen geval persoonsgegevens.

4.   Bij uitvoeringshandelingen worden nadere bepalingen vastgesteld inzake de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen voor de opslag van gegevens in het SIS, Eurodac, ECRIS-TCN, de gezamenlijke BMS en CIR, met name met betrekking tot biometrische gegevens. Deze uitvoeringshandeling wordt overeenkomstig de in artikel 70, lid 2, bedoelde onderzoeksprocedure vastgesteld.

5.   Eén jaar na de vaststelling van de automatische mechanismen en procedures voor het controleren van gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumgegevenskwaliteitsnormen, en vervolgens om het jaar, evalueert de Commissie de prestaties van de lidstaten op het gebied van gegevenskwaliteit en doet zij zo nodig aanbevelingen. De lidstaten dienen bij de Commissie een actieplan in om de in het evaluatieverslag geconstateerde gebreken te verhelpen, met name problemen in verband met de gegevenskwaliteit die het gevolg zijn van verkeerde gegevens in de Unie-informatiesystemen. De lidstaten brengen op gezette tijden verslag uit aan de Commissie over de voortgang van het actieplan tot dit volledig is uitgevoerd.

De Commissie legt het evaluatieverslag voor aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming, het Europees Comité voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten dat is opgericht bij Verordening (EG) nr. 168/2007 van de Raad (37).

Artikel 38

Universal Message Format

1.   Hierbij wordt de norm inzake het Universal Message Format (UMF) ingesteld. De UMF-norm definieert bepaalde elementen van de inhoud van grensoverschrijdende informatie-uitwisseling tussen informatiesystemen, autoriteiten of organisaties op het gebied van justitie en binnenlandse zaken.

2.   Toepassing van de UMF-norm is verplicht bij de ontwikkeling van Eurodac, ECRIS-TCN, het ESP, het CIR, de MID en in voorkomend geval bij de ontwikkeling, door eu-LISA of een ander Unie-agentschap, van nieuwe informatie-uitwisselingsmodellen en informatiesystemen op het gebied van justitie en binnenlandse zaken.

3.   De Commissie stelt een uitvoeringshandeling vast voor het vastleggen en ontwikkelen van de in lid 1 van dit artikel bedoelde UMF-norm. Die uitvoeringshandeling wordt overeenkomstig de in artikel 70, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 39

Centraal register voor rapportage en statistieken

1.   Er wordt een centraal register voor rapportage en statistieken (CRRS) ingesteld om de doelstellingen van Eurodac, SIS en ECRIS-TCN in overeenstemming met de voor die systemen respectievelijk geldende rechtsinstrumenten te ondersteunen en om te voorzien in systeemoverschrijdende statistische gegevens en analytische verslagen voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit.

2.   eu-LISA zorgt op zijn technische locaties voor het opstellen, implementeren en hosten van het CRRS, met daarin de logisch door het Unie-informatiesysteem gescheiden gegevens en statistieken als bedoeld in artikel 74 van Verordening (EU) 2018/1862 en artikel 32 van Verordening (EU) 2019/816. Toegang tot het CRRS wordt uitsluitend met het oog op het opstellen van rapporten en statistieken verleend aan de in artikel 74 van Verordening (EU) 2018/1862 en artikel 32 van Verordening (EU) 2019/816 bedoelde autoriteiten door middel van een gecontroleerde en beveiligde toegang en specifieke gebruikersprofielen.

3.   eu-LISA anonimiseert de gegevens en registreert de geanonimiseerde gegevens in het CRRS. Het anonimiseren van de gegevens gebeurt automatisch.

Aan de hand van in het CRRS opgenomen gegevens kunnen geen personen worden geïdentificeerd.

4.   Het CRRS bestaat uit:

a)

instrumenten die nodig zijn voor het anonimiseren van gegevens;

b)

een centrale infrastructuur, bestaande uit een gegevensregister van anonieme gegevens;

c)

een beveiligde communicatie-infrastructuur voor de verbinding van het CRRS met het SIS, Eurodac en ECRIS-TCN en met de centrale infrastructuur van de gezamenlijke BMS, het CIR en de MID.

5.   De Commissie stelt overeenkomstig artikel 69 bij gedelegeerde handeling nadere bepalingen vast over de werking van het CRRS, met inbegrip van specifieke waarborgen voor de verwerking van persoonsgegevens overeenkomstig de leden 2 en 3 van dit artikel, en veiligheidsvoorschriften voor het register.

HOOFDSTUK VII

Gegevensbescherming

Artikel 40

Verwerkingsverantwoordelijke

1.   Met betrekking tot de verwerking van gegevens in de gezamenlijke BMS zijn de autoriteiten van de lidstaten die verwerkingsverantwoordelijke zijn voor Eurodac, het SIS en het ECRIS-TCN verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 of artikel 3, punt 8, van Richtlijn (EU) 2016/680 met betrekking tot de door hen in de onderliggende systemen ingevoerde biometrische templates die worden verkregen uit de in artikel 13 van deze verordening bedoelde gegevens, en zijn deze autoriteiten verantwoordelijk voor de verwerking van de biometrische templates in de gezamenlijke BMS.

2.   Met betrekking tot de verwerking van gegevens in het CIR zijn de autoriteiten van de lidstaten die verwerkingsverantwoordelijke zijn voor Eurodac, en ECRIS-TCN verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 of van artikel 3, punt 8, van Richtlijn (EU) 2016/680 met betrekking tot de in artikel 18 van deze verordening bedoelde gegevens die zij in de onderliggende systemen invoeren, en zijn deze autoriteiten verantwoordelijk voor de verwerking van die persoonsgegevens in het CIR.

3.   Met betrekking tot de verwerking van gegevens in de MID geldt dat:

a)

het Europees Grens- en kustwachtagentschap met betrekking tot de verwerking van persoonsgegevens door de centrale Etias-eenheid een verwerkingsverantwoordelijke is in de zin van artikel 3, punt 8, van Verordening (EU) 2018/1725;

b)

de lidstatelijke autoriteiten die toevoegingen of wijzigingen aanbrengen aan de gegevens in het identiteitsbevestigingsbestand verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 of artikel 3, punt 8, van Richtlijn (EU) 2016/680 zijn en verantwoordelijk zijn voor de verwerking van de persoonsgegevens in de MID.

4.   Met het oog op het toezicht op de gegevensbescherming, waaronder het controleren van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, hebben de verwerkingsverantwoordelijken voor interne monitoring als bedoeld in artikel 44 toegang tot de in de artikelen 10, 16, 24 en 36 bedoelde logbestanden.

Artikel 41

Verwerker

Met betrekking tot de verwerking van persoonsgegevens in de gezamenlijke BMS, het CIR en de MID is eu-LISA de verwerker in de zin van artikel 3, punt 12, onder a), van Verordening (EU) 2018/1725.

Artikel 42

Beveiliging van de verwerking

1.   eu-LISA, de centrale Etias-eenheid, Europol en de lidstatelijke autoriteiten zorgen voor de beveiliging van de verwerking van persoonsgegevens uit hoofde van deze verordening. eu-LISA, de centrale Etias-eenheid, Europol en de lidstatelijke autoriteiten werken samen aan taken op het gebied van beveiliging.

2.   Onverminderd artikel 33 van Verordening (EU) 2018/1725 neemt eu-LISA de nodige maatregelen ter beveiliging van de interoperabiliteitscomponenten en de bijbehorende communicatie-infrastructuur.

3.   Met name neemt eu-LISA passende maatregelen, waaronder de vaststelling van een veiligheidsplan, een bedrijfscontinuïteitsplan en een uitwijkplan, om:

a)

de gegevens fysiek te beschermen, onder meer met noodplannen voor de bescherming van kritieke infrastructuur;

b)

te verhinderen dat onbevoegden toegang krijgen tot gegevensverwerkende apparatuur en installaties;

c)

te voorkomen dat gegevensdragers onrechtmatig worden gelezen, gekopieerd, gewijzigd of verwijderd;

d)

te voorkomen dat gegevens onrechtmatig worden ingevoerd en dat opgeslagen persoonsgegevens onrechtmatig worden ingezien, gewijzigd of verwijderd;

e)

te voorkomen dat gegevens onrechtmatig worden verwerkt, gekopieerd, gewijzigd of verwijderd;

f)

te voorkomen dat onbevoegden de systemen voor geautomatiseerde gegevensverwerking gebruiken met behulp van datatransmissieapparatuur;

g)

te waarborgen dat personen die toestemming hebben voor toegang tot de interoperabiliteitscomponenten, uitsluitend toegang hebben tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft, en uitsluitend door middel van persoonlijke gebruikersidentiteiten en geheime toegangsprocedures;

h)

te waarborgen dat kan worden nagegaan en vastgesteld aan welke autoriteiten persoonsgegevens mogen worden doorgegeven door middel van datatransmissieapparatuur;

i)

te waarborgen dat kan worden nagegaan en vastgesteld welke gegevens wanneer, door wie en met welk doel in de interoperabiliteitscomponenten zijn verwerkt;

j)

te voorkomen, in het bijzonder door middel van passende versleutelingstechnieken, dat bij de doorgifte van persoonsgegevens vanuit en naar de interoperabiliteitscomponenten of gedurende het transport van gegevensdragers de gegevens onrechtmatig worden gelezen, gekopieerd, gewijzigd of verwijderd;

k)

ervoor te zorgen dat de normale werking van de gebruikte systemen in geval van storing kan worden hersteld;

l)

te zorgen voor betrouwbaarheid door te garanderen dat eventuele functionele storingen in de interoperabiliteitscomponenten correct worden gesignaleerd;

m)

de doelmatigheid van de in dit lid bedoelde beveiligingsmaatregelen te controleren, met betrekking tot de interne controle de nodige organisatorische maatregelen te nemen om te waarborgen dat deze verordening wordt nageleefd en die beveiligingsmaatregelen te beoordelen in het licht van nieuwe technologische ontwikkelingen.

4.   Om de verwerking van persoonsgegevens door autoriteiten met recht op toegang tot een of meer interoperabiliteitscomponenten te beveiligen, nemen de lidstaten, Europol en de centrale Etias-eenheid maatregelen die gelijkwaardig zijn aan die van lid 3 van dit artikel.

Artikel 43

Beveiligingsincidenten

1.   Elke gebeurtenis die gevolgen heeft of kan hebben voor de beveiliging van de interoperabiliteitscomponenten of kan leiden tot beschadiging of verlies van gegevens die in de componenten zijn opgeslagen, wordt beschouwd als een beveiligingsincident, met name wanneer onrechtmatige toegang tot gegevens kan zijn verkregen of wanneer de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens in gevaar is of kan zijn gekomen.

2.   Het beheer van beveiligingsincidenten is gericht op een snelle, doeltreffende en passende reactie.

3.   Onverminderd de melding en mededeling van een inbreuk in verband met persoonsgegevens uit hoofde van artikel 33 van Verordening (EU) 2016/679, artikel 30 van Richtlijn (EU) 2016/680, of beide, stellen de lidstaten de Commissie, eu-LISA, de bevoegde toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming onverwijld in kennis van beveiligingsincidenten.

Onverminderd de artikelen 34 en 35 van Verordening (EU) 2018/1725 en artikel 34 van Verordening (EU) 2016/794 stellen de centrale Etias-eenheid en Europol de Commissie, eu-LISA en de Europese Toezichthouder voor gegevensbescherming onverwijld in kennis van eventuele beveiligingsincidenten.

eu-LISA stelt de Commissie en de Europese Toezichthouder voor gegevensbescherming onverwijld in kennis van beveiligingsincidenten in verband met de centrale infrastructuur van de interoperabiliteitscomponenten.

4.   Informatie betreffende een beveiligingsincident dat gevolgen heeft of kan hebben voor de werking van interoperabiliteitscomponenten of voor de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens, wordt onverwijld aan de lidstaten, de centrale Etias-eenheid en Europol verstrekt en gerapporteerd in overeenstemming met het door eu-LISA te verstrekken incidentenbeheerplan.

5.   De betrokken lidstaten, de centrale ETIAS-eenheid, Europol en eu-LISA werken samen wanneer zich een beveiligingsincident voordoet. De Commissie stelt bij uitvoeringshandelingen de specificaties van deze samenwerkingsprocedure vast. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 70, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 44

Interne monitoring

De lidstaten en de betrokken Unie-agentschappen zorgen ervoor dat elke autoriteit met recht op toegang tot de interoperabiliteitscomponenten de nodige maatregelen treft met het oog op de naleving van deze verordening en, indien nodig, samenwerkt met de toezichthoudende autoriteit.

De in artikel 40 bedoelde verwerkingsverantwoordelijke neemt de nodige maatregelen, waaronder frequente verificatie van de in de artikelen 10, 16, 24 en 36 bedoelde logbestanden, om na te gaan of de gegevens in overeenstemming met deze verordening worden verwerkt, en werkt, indien nodig, samen met de toezichthoudende autoriteiten en met de Europese Toezichthouder voor gegevensbescherming.

Artikel 45

Sancties

De lidstaten zorgen ervoor dat misbruik, verwerking of uitwisseling van gegevens in strijd met deze verordening strafbaar wordt gesteld volgens het nationaal recht. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.

Artikel 46

Aansprakelijkheid

1.   Onverminderd het recht op schadevergoeding door en de aansprakelijkheid van de verwerkingsverantwoordelijke of de verwerker uit hoofde van Verordening (EU) 2016/679, Richtlijn (EU) 2016/680 en Verordening (EU) 2018/1725, geldt het volgende:

a)

iedere persoon of lidstaat die als gevolg van onrechtmatige gegevensverwerking of een andere met deze verordening strijdige handeling vanwege een lidstaat materiële of immateriële schade heeft geleden, is gerechtigd om van die lidstaat schadevergoeding te ontvangen;

b)

iedere persoon of lidstaat die als gevolg van een met deze verordening strijdige handeling vanwege Europol, het Europees Grens- en kustwachtagentschap of eu-LISA materiële of immateriële schade heeft geleden, is gerechtigd om van het desbetreffende agentschap schadevergoeding te ontvangen.

De betrokken lidstaat, Europol, het Europees Grens- en kustwachtagentschap of eu-LISA wordt geheel of gedeeltelijk van zijn aansprakelijkheid op grond van de eerste alinea ontheven indien hij kan aantonen niet verantwoordelijk te zijn voor het feit dat de schade heeft veroorzaakt.

2.   Indien schade aan de interoperabiliteitscomponenten ontstaat doordat een lidstaat zijn verplichtingen uit hoofde van deze verordening niet is nagekomen, is deze lidstaat daarvoor aansprakelijk, tenzij en voor zover eu-LISA of een andere door deze verordening gebonden lidstaat, heeft nagelaten redelijke stappen te ondernemen om het optreden van de schade te voorkomen of de omvang ervan zo veel mogelijk te beperken.

3.   Op vorderingen tegen een lidstaat tot vergoeding van de in de leden 1 en 2 bedoelde schade is het nationale recht van de verwerende lidstaat van toepassing. Op vorderingen tegen de verwerkingsverantwoordelijke of eu-LISA tot vergoeding van de in de leden 1 en 2 bedoelde schade zijn de in de Verdragen bepaalde voorwaarden van toepassing.

Artikel 47

Recht op informatie

1.   De autoriteit die de persoonsgegevens verzamelt die moeten worden opgeslagen in de gezamenlijke BMS, het CIR of de MID, verstrekt de personen van wie gegevens zijn verzameld de informatie die is vereist uit hoofde van de artikelen 13 en 14 van Verordening (EU) 2016/679, de artikelen 12 en 13 van Richtlijn (EU) 2016/680 en de artikelen 15 en 16 van Verordening (EU) 2018/1725. De autoriteit verstrekt deze informatie op het tijdstip waarop dergelijke persoonsgegevens worden verzameld.

2.   Alle informatie wordt verstrekt in duidelijke en eenvoudige taal, in een taalversie die de betrokkene begrijpt of waarvan redelijkerwijs kan worden aangenomen dat hij die begrijpt. Dit betekent ook dat informatie aan minderjarige betrokkenen wordt verstrekt op een wijze die bij hun leeftijd past.

3.   De regels inzake het recht op informatie in de toepasselijke Unievoorschriften inzake gegevensbescherming zijn van toepassing op de persoonsgegevens die in ECRIS-TCN zijn opgeslagen en voor de toepassing van deze verordening worden verwerkt.

Artikel 48

Recht van inzage, rectificatie en wissing van in de MID opgeslagen persoonsgegevens en beperking van de verwerking van die gegevens

1.   Voor de uitoefening van hun rechten krachtens de artikelen 15 tot en met 18 van Verordening (EU) 2016/679, de artikelen 17 tot en met 20 van Verordening (EU) 2018/1725 en de artikelen 14, 15 en 16 van Richtlijn (EU) 2016/680 heeft elke persoon het recht om zich te wenden tot de bevoegde autoriteit van een lidstaat, die het verzoek zal onderzoeken en beantwoorden.

2.   De lidstaat die een dergelijk verzoek onderzoekt, beantwoordt het verzoek onverwijld, doch in elk geval binnen 45 dagen na ontvangst van het verzoek. Afhankelijk van de complexiteit van het verzoek en van het aantal ingediende verzoeken kan die termijn indien nodig met nog eens 15 dagen worden verlengd. De lidstaat die het verzoek onderzoekt stelt de betrokkene binnen 45 dagen na ontvangst van het verzoek in kennis van een dergelijke verlenging en van de redenen voor de vertraging. De lidstaten kunnen besluiten dat antwoorden moeten worden gegeven door de centrale kantoren.

3.   Als er een verzoek om rectificatie of wissing van persoonsgegevens wordt gericht tot een andere lidstaat dan de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat, neemt de aangezochte lidstaat binnen zeven dagen contact op met de autoriteiten van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat. De voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat controleert onverwijld, doch in ieder geval binnen 30 dagen na dit contact, de juistheid van de gegevens en de rechtmatigheid van de gegevensverwerking. Afhankelijk van de complexiteit van het verzoek en van het aantal ingediende verzoeken kan die termijn indien nodig met nog eens 15 dagen worden verlengd. De voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat stelt de lidstaat die contact heeft opgenomen in kennis van een dergelijke verlenging en van de redenen voor de vertraging. De betrokkene wordt door de lidstaat die contact heeft opgenomen met de autoriteiten van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat geïnformeerd over de verdere procedure.

4.   Als er een verzoek om rectificatie of wissing van persoonsgegevens wordt gericht tot een lidstaat en de centrale Etias-eenheid verantwoordelijk was voor de manuele verificatie van meerdere identiteiten, neemt de aangezochte lidstaat binnen zeven dagen contact op met de centrale Etias-eenheid om advies te vragen. De Etias-eenheid verstrekt onverwijld advies en in elk geval binnen 30 dagen na te zijn gecontacteerd. Afhankelijk van de complexiteit van het verzoek en van het aantal ingediende verzoeken kan die termijn indien nodig met nog eens 15 dagen worden verlengd. De betrokkene wordt door de lidstaat die met de centrale Etias-eenheid contact heeft opgenomen in kennis gesteld van de verdere procedure.

5.   Wanneer na onderzoek blijkt dat de in de MID opgeslagen gegevens onjuist zijn of onrechtmatig zijn geregistreerd, worden deze gegevens onverwijld gerectificeerd of gewist door de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat of, als er geen lidstaat is die verantwoordelijk is voor de manuele verificatie of als de centrale Etias-eenheid verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, door de aangezochte lidstaat. De betrokkene wordt schriftelijk van de rectificatie of wissing van zijn gegevens in kennis gesteld.

6.   Wanneer een lidstaat tijdens de bewaringstermijn in de MID opgeslagen gegevens wijzigt, bepaalt hij aan de hand van de in artikel 27 en, in voorkomend geval, artikel 29 bedoelde verwerking of een link tussen de gewijzigde gegevens moet worden aangemaakt. Wanneer de verwerking geen match oplevert, verwijdert die lidstaat de gegevens uit het identiteitsbevestigingsbestand. Indien de automatische verwerking een of meer matches oplevert, wordt de link dienovereenkomstig door die lidstaat aangemaakt of bijgewerkt overeenkomstig de desbetreffende bepalingen van deze verordening.

7.   Indien de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat of, in voorkomend geval, de aangezochte lidstaat niet van oordeel is dat de in de MID opgeslagen gegevens onjuist zijn of onrechtmatig zijn geregistreerd, stelt die lidstaat een administratief besluit vast waarbij hij de betrokken persoon onverwijld schriftelijk uitlegt waarom hij niet bereid is de gegevens betreffende die persoon te corrigeren of te wissen.

8.   Het in lid 7 bedoelde besluit verstrekt de betrokkene tevens informatie over de mogelijkheid om de beslissing inzake het verzoek om toegang tot of rectificatie, wissing of beperking van de verwerking van persoonsgegevens te betwisten en, indien relevant, over de wijze waarop hij een rechtsvordering kan instellen of een klacht kan indienen bij de bevoegde autoriteiten of rechtbanken, alsmede over bijstand, onder meer van de toezichthoudende autoriteiten.

9.   Elk verzoek om toegang tot of rectificatie, wissing of beperking van de verwerking van persoonsgegevens bevat de informatie die nodig is om de betrokkene te identificeren. Deze informatie wordt uitsluitend gebruikt om de uitoefening van de in dit artikel bedoelde rechten mogelijk te maken en wordt onmiddellijk nadien gewist.

10.   De voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat of, in voorkomend geval, de aangezochte lidstaat legt in een schriftelijk document vast dat een verzoek om toegang tot of rectificatie, wissing, beperking van de verwerking van persoonsgegevens is ingediend en op welke wijze dit is behandeld, en stelt dit document onverwijld ter beschikking van de toezichthoudende autoriteiten voor gegevensbescherming.

11.   Dit artikel doet geen afbreuk aan beperkingen van de in dit artikel bedoelde rechten uit hoofde van Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680.

Artikel 49

Webportaal

1.   Er wordt een webportaal opgericht om de uitoefening van het recht van toegang tot en rectificatie, wissing of beperking van de verwerking van persoonsgegevens te vergemakkelijken.

2.   Het webportaal bevat informatie over de in de artikelen 47 en 48 bedoelde rechten en procedures, alsmede een gebruikersinterface die personen van wie gegevens worden verwerkt in de MID en die in kennis zijn gesteld van het bestaan van een rode link als bedoeld in artikel 32, lid 4, in staat stelt om de contactgegevens te verkrijgen van de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat.

3.   Om de contactgegevens te verkrijgen van de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat, moet de persoon van wie gegevens in de MID worden verwerkt de referentie naar de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten als bedoeld in artikel 34, onder d), invoeren. Het webportaal maakt gebruik van deze referentie om de contactgegevens van de bevoegde autoriteit van de lidstaat die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten op te vragen. Het webportaal bevat voorts een model-e-mail om communicatie tussen de het portaal en de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat te vergemakkelijken. Een dergelijke e-mail bevat een veld voor het in artikel 34, onder c), bedoelde unieke identificatienummer, opdat de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat in staat is om te bepalen om welke gegevens het gaat.

4.   De lidstaten verstrekken eu-LISA de contactgegevens van alle autoriteiten die bevoegd zijn om verzoeken als bedoeld in de artikelen 47 en 48 te beoordelen en beantwoorden, en controleren regelmatig of deze contactgegevens nog actueel zijn.

5.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van het webportaal.

6.   De Commissie stelt overeenkomstig artikel 69 een gedelegeerde handeling vast houdende gedetailleerde voorschriften inzake het beheer van het webportaal, inclusief de gebruikersinterface, de talen waarin het webportaal beschikbaar is en de model-e-mail.

Artikel 50

Mededeling van persoonsgegevens aan derde landen, internationale organisaties en particulieren

Onverminderd artikel 31 van Verordening (EU) nr. 767/2008, de artikelen 25 en 26 van Verordening (EU) 2016/794, artikel 41 van Verordening (EG) 2017/2226, artikel 65 van Verordening (EU) 2018/1240, en het bevragen van de Interpol-databanken door het ESP overeenkomstig artikel 9, lid 5, van deze verordening, in overeenstemming met de bepalingen van hoofdstuk V van Verordening (EU) 2018/1725 en hoofdstuk V van Verordening (EU) 2016/679, worden persoonsgegevens die worden opgeslagen in de interoperabiliteitscomponenten, die worden verwerkt door de interoperabiliteitscomponenten of waartoe deze componenten toegang hebben, niet doorgegeven aan of ter beschikking gesteld van derde landen, internationale organisaties of particuliere partijen.

Artikel 51

Toezicht door de toezichthoudende autoriteiten

1.   Elke lidstaat zorgt ervoor dat de toezichthoudende autoriteiten onafhankelijk toezicht houden op de rechtmatigheid van de verwerking van persoonsgegevens overeenkomstig deze verordening door de betrokken lidstaat, met inbegrip van de doorgifte van die gegevens naar en van de interoperabiliteitscomponenten.

2.   Elke lidstaat zorgt ervoor dat de wettelijke en bestuursrechtelijke bepalingen die overeenkomstig Richtlijn (EU) 2016/680 in het nationale recht zijn vastgesteld, in voorkomend geval ook van toepassing zijn op de toegang tot de interoperabiliteitscomponenten door politieautoriteiten en aangewezen autoriteiten, mede met betrekking tot de rechten van de personen tot wier gegevens aldus toegang wordt verkregen.

3.   De toezichthoudende autoriteiten zorgen ervoor dat voor de doeleinden van deze verordening ten minste om de vier jaar een audit van de verrichtingen van de verantwoordelijke nationale autoriteiten op het gebied van de verwerking van persoonsgegevens wordt uitgevoerd overeenkomstig de desbetreffende internationale auditnormen.

Jaarlijks worden het aantal verzoeken om rectificatie, wissing of beperking van verwerking van persoonsgegevens, het daaraan gegeven gevolg en het aantal rectificaties, wissingen en beperkingen van verwerking dat op verzoek van de betrokkenen is aangebracht, door de toezichthoudende autoriteiten bekendgemaakt.

4.   De lidstaten zorgen ervoor dat hun toezichthoudende autoriteiten over voldoende middelen en deskundigheid beschikken om hun taken uit hoofde van deze verordening te kunnen vervullen.

5.   Lidstaten verstrekken de door een in artikel 51, lid 1, van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteit gevraagde informatie, en in het bijzonder informatie over de activiteiten die zijn verricht in overeenstemming met hun verantwoordelijkheden uit hoofde van deze verordening. De lidstaten bieden de in artikel 51, lid 1, van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteiten toegang tot hun logbestanden als bedoeld in de artikelen 10, 16, 24 en 36 van deze verordening en tot de in artikel 22, lid 2, van deze verordening bedoelde geregistreerde redenen, en verlenen hen te allen tijde toegang tot al hun gebouwen die worden gebruikt voor activiteiten in verband met interoperabiliteit.

Artikel 52

Audits door de Europese Toezichthouder voor gegevensbescherming

De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat voor de doeleinden van deze verordening ten minste om de vier jaar een audit van de verrichtingen van eu-LISA, de centrale Etias-eenheid en Europol op het gebied van de verwerking van persoonsgegevens wordt uitgevoerd overeenkomstig de toepasselijke internationale auditnormen. Het auditrapport wordt toegezonden aan het Europees Parlement, de Raad, eu-LISA, de Commissie, de lidstaten en het betrokken Unie-agentschap. Voordat de verslagen worden aangenomen, worden eu-LISA, de centrale Etias-eenheid en Europol in de gelegenheid gesteld opmerkingen te maken.

eu-LISA, de centrale Etias-eenheid en Europol verstrekken de door de Europese Toezichthouder voor gegevensbescherming gevraagde informatie en verlenen de Europese Toezichthouder voor gegevensbescherming te allen tijde toegang tot alle documenten waarom zij verzoekt en tot hun in artikel 10, 16, 24 en 36 bedoelde logbestanden, alsook tot al hun gebouwen en terreinen.

Artikel 53

Samenwerking tussen de toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming

1.   De toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming werken, elk binnen hun eigen bevoegdheidsgebieden en binnen het kader van hun eigen verantwoordelijkheden, actief met elkaar samen, en zorgen voor een gecoördineerd toezicht op het gebruik van de interoperabiliteitscomponenten en de toepassing van de andere bepalingen van deze verordening, met name wanneer de Europese Toezichthouder voor gegevensbescherming of een toezichthoudende autoriteit grote verschillen tussen praktijken van de lidstaten constateert of potentieel onrechtmatige gegevensdoorgiften via de communicatiekanalen van de interoperabiliteitscomponenten constateert.

2.   In de in lid 1 van dit artikel bedoelde gevallen wordt gezorgd voor gecoördineerd toezicht in overeenstemming met artikel 62 van Verordening (EU) 2018/1725.

3.   Uiterlijk op 12 juni 2021 en vervolgens om de twee jaar zendt het Europees Comité voor gegevensbescherming krachtens dit artikel een gezamenlijk verslag van zijn activiteiten uit hoofde van dit artikel toe aan het Europees Parlement, de Raad, de Commissie, Europol, het Europees Grens- en kustwachtagentschap en eu-LISA. Het verslag bevat voor elke lidstaat een hoofdstuk dat door de toezichthoudende autoriteit van de betrokken lidstaat wordt opgesteld.

HOOFDSTUK VIII

Verantwoordelijkheden

Artikel 54

Verantwoordelijkheden van eu-LISA gedurende de ontwerp- en ontwikkelingsfase

1.   eu-LISA zorgt ervoor dat de centrale infrastructuur van de interoperabiliteitscomponenten wordt beheerd in overeenstemming met deze verordening.

2.   De interoperabiliteitscomponenten worden door eu-LISA gehost op zijn technische locaties en voorzien in de in deze verordening beschreven functies overeenkomstig de voorwaarden inzake beveiliging, beschikbaarheid, kwaliteit en prestaties bedoeld in artikel 55, lid 1.

3.   eu-LISA is verantwoordelijk voor de ontwikkeling van de interoperabiliteitscomponenten en voor alle aanpassingen die nodig zijn met het oog op de interoperabiliteit tussen de centrale systemen van het EES, VIS, Etias, SIS, Eurodac en ECRIS-TCN, en het ESP, de gezamenlijke BMS, het CIR, de MID en het CRRS.

Onverminderd artikel 62 heeft eu-LISA geen toegang tot de persoonsgegevens die via het ESP, de gezamenlijke BMS, het CIR of de MID worden verwerkt.

Het ontwerp van de fysieke architectuur van de interoperabiliteitscomponenten, met inbegrip van de communicatie-infrastructuur alsook de technische specificaties en de evolutie daarvan met betrekking tot de centrale infrastructuur en de beveiligde communicatie-infrastructuur, wordt door eu-LISA bepaald en na een gunstig advies van de Commissie vastgesteld door de raad van bestuur. eu-LISA verricht ook de nodige aanpassingen van het SIS, Eurodac of ECRIS-TCN, als voortvloeiend uit de totstandbrenging van de interoperabiliteit en bedoeld in deze verordening.

eu-LISA ontwikkelt en implementeert de interoperabiliteitscomponenten zo spoedig mogelijk na de inwerkingtreding van deze verordening en de vaststelling door de Commissie van de maatregelen bedoeld in artikel 8, lid 2, artikel 9, lid 7, artikel 28, leden 5 en 7, artikel 37, lid 4, artikel 38, lid 3, artikel 39, lid 5, artikel 43, lid 5, en artikel 74, lid 10.

De ontwikkeling omvat de uitwerking en implementatie van de technische specificaties, het testen en het algemeen projectbeheer en de algehele projectcoördinatie.

4.   Gedurende de ontwerp- en ontwikkelingsfase wordt een programmabestuursraad met ten hoogste tien leden ingesteld. Deze raad bestaat uit zeven door de raad van bestuur van eu-LISA uit zijn eigen leden of plaatsvervangers aangewezen leden, de voorzitter van de in artikel 71 bedoelde adviesgroep inzake interoperabiliteit, een door de uitvoerend directeur benoemd lid dat eu-LISA vertegenwoordigt, en één door de Commissie benoemd lid. De door de raad van bestuur van eu-LISA aangewezen leden worden bij uitsluiting gekozen uit de lidstaten die krachtens het Unierecht ten volle gebonden zijn door rechtsinstrumenten betreffende de ontwikkeling, de oprichting, de exploitatie en het gebruik van alle Unie-informatiesystemen, en die aan de interoperabiliteitscomponenten zullen deelnemen.

5.   De programmabestuursraad komt op gezette tijden, en ten minste driemaal per kwartaal, bijeen. Hij zorgt voor een passend beheer van de fasen waarin de interoperabiliteitscomponenten worden ontworpen en ontwikkeld.

Elke maand brengt de programmabestuursraad schriftelijk verslag uit over de voortgang van het project aan de raad van bestuur van eu-LISA. De programmabestuursraad heeft geen beslissingsbevoegdheid of mandaat om de leden van de raad van bestuur van eu-LISA te vertegenwoordigen.

6.   De raad van bestuur van eu-LISA stelt het reglement van de programmabestuursraad op, dat met name regels bevat inzake:

a)

het voorzitterschap;

b)

de plaats van vergadering;

c)

de voorbereiding van vergaderingen;

d)

de toelating van deskundigen tot de vergaderingen;

e)

communicatieplannen die ervoor zorgen dat de niet-deelnemende leden van de raad van bestuur volledig op de hoogte worden gehouden.

Het voorzitterschap wordt bekleed door een lidstaat die Unierechtelijk ten volle is gebonden door rechtsinstrumenten betreffende de ontwikkeling, de oprichting, de exploitatie en het gebruik van alle Unie-informatiesystemen en die deelneemt aan de interoperabiliteitscomponenten.

Alle door de leden van de programmabestuursraad gemaakte reis- en verblijfkosten worden betaald door eu-LISA en artikel 10 van het reglement van orde van eu-LISA is van overeenkomstige toepassing. Het secretariaat van de programmabestuursraad wordt verzorgd door eu-LISA.

Tot de ingebruikneming van de interoperabiliteitscomponenten komt de in artikel 71 bedoelde adviesgroep inzake interoperabiliteit op gezette tijden bijeen. Zij brengt na elke bijeenkomst verslag uit aan de programmabestuursraad. Zij ondersteunt de programmabestuursraad met technische deskundigheid en houdt de voortgang van de voorbereidingen van de lidstaten bij.

Artikel 55

Verantwoordelijkheden van eu-LISA na de ingebruikneming

1.   Na de ingebruikneming van elke interoperabiliteitscomponent is eu-LISA verantwoordelijk voor het technisch beheer van de centrale infrastructuur van de interoperabiliteitscomponenten, met inbegrip van hun onderhoud en de technologische ontwikkelingen. eu-LISA zorgt er in samenwerking met de lidstaten voor dat de beste beschikbare technologie wordt gebruikt, onder voorbehoud van een kosten-batenanalyse. eu-LISA is ook verantwoordelijk voor het technisch beheer van de communicatie-infrastructuur als bedoeld in de artikelen 6, 12, 17, 25 en 39.

Het technisch beheer van de interoperabiliteitscomponenten omvat alle taken en technische oplossingen die nodig zijn om de interoperabiliteitscomponenten zeven dagen per week en 24 uur per dag overeenkomstig deze verordening te laten functioneren en ononderbroken diensten te laten verlenen aan de lidstaten en de Unie-agentschappen. Het omvat de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een bevredigende technische kwaliteit van de interoperabiliteitscomponenten, in het bijzonder wat betreft de tijd die nodig is voor raadpleging van de centrale infrastructuur overeenkomstig de technische specificaties.

Alle interoperabiliteitscomponenten worden zodanig ontwikkeld en beheerd dat een snelle, naadloze, efficiënte en gecontroleerde toegang tot en de volledige en ononderbroken beschikbaarheid van de componenten en de in de MID, de gezamenlijke BMS en het CIR opgeslagen gegevens is gewaarborgd, met een responstijd die beantwoordt aan de operationele behoeften van de lidstatelijke autoriteiten en de Unie-agentschappen.

2.   Onverminderd artikel 17 van het Statuut van de ambtenaren van de Europese Unie past eu-LISA passende voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op personeelsleden die moeten werken met in de interoperabiliteitscomponenten opgeslagen gegevens. Deze geheimhoudingsplicht blijft ook gelden nadat deze personeelsleden hun functie of dienstverband hebben beëindigd of hun werkzaamheden hebben stopgezet.

Onverminderd artikel 62 heeft eu-LISA geen toegang tot de persoonsgegevens die via het ESP, de gezamenlijke BMS, het CIR en de MID worden verwerkt.

3.   eu-LISA ontwikkelt en onderhoudt een mechanisme en procedures voor het uitvoeren van kwaliteitscontroles op de in de gezamenlijke BMS en het CIR opgeslagen gegevens overeenkomstig artikel 37.

4.   eu-LISA verricht ook taken met betrekking tot het aanbieden van opleiding in het technische gebruik van de interoperabiliteitscomponenten.

Artikel 56

Verantwoordelijkheden van de lidstaten

1.   Elke lidstaat is verantwoordelijk voor:

a)

de aansluiting op de communicatie-infrastructuur van het ESP en het CIR;

b)

de integratie van de bestaande nationale systemen en infrastructuur met het ESP, het CIR en de MID;

c)

de organisatie, het beheer, de werking en het onderhoud van de bestaande nationale infrastructuur en de aansluiting daarvan op de interoperabiliteitscomponenten;

d)

het beheer en de regelingen op grond waarvan de naar behoren gemachtigde personeelsleden van de bevoegde nationale autoriteiten overeenkomstig deze verordening toegang hebben tot het ESP, het CIR en de MID, en de opstelling en regelmatige bijwerking van een lijst van de betrokken personeelsleden en hun profiel;

e)

de vaststelling van de in artikel 20, leden 5 en 6, bedoelde wettelijke maatregelen om toegang te krijgen tot het CIR voor identificatiedoeleinden;

f)

de manuele verificatie van meerdere identiteiten als bedoeld in artikel 29;

g)

de naleving van de krachtens het Unierecht vastgestelde vereisten inzake gegevenskwaliteit;

h)

de naleving van de regels van elk Unie-informatiesysteem met betrekking tot de veiligheid en integriteit van persoonsgegevens;

i)

het verhelpen van tekortkomingen die zijn geconstateerd in het evaluatieverslag van de Commissie over de gegevenskwaliteit als bedoeld in artikel 37, lid 5.

2.   Elke lidstaat sluit zijn aangewezen autoriteiten aan op het CIR.

Artikel 57

Verantwoordelijkheden van Europol

1.   Europol verwerkt de zoekopdrachten die het ESP geeft om de Europol-gegevens te doorzoeken, en past zijn Quest-interface ("Querying Europol Systems") dienovereenkomstig aan voor gebruik met gegevens waarop het basisbeschermingsniveau van toepassing is.

2.   Europol is verantwoordelijk voor het beheer en de regelingen op grond waarvan zijn naar behoren gemachtigde personeelsleden overeenkomstig deze verordening toegang tot het ESP en het CIR hebben en het ESP en het CIR gebruiken, alsmede voor de opstelling en regelmatige bijwerking van een lijst van de betrokken personeelsleden en hun profiel.

Artikel 58

Verantwoordelijkheden van de centrale Etias-eenheid

De centrale Etias-eenheid is verantwoordelijk voor:

a)

de manuele verificatie van meerdere identiteiten uit hoofde van artikel 29;

b)

het uitvoeren van een detectie van meerdere identiteiten aan de hand van de gegevens die zijn opgeslagen in het EES, VIS, Eurodac en SIS als bedoeld in artikel 65.

HOOFDSTUK IX

Wijzigingen van andere instrumenten van de Unie

Artikel 59

Wijzigingen van Verordening (EU) 2018/1726

Verordening (EU) 2018/1726 wordt als volgt gewijzigd:

1)

Artikel 12 wordt vervangen door:

"Artikel 12

Gegevenskwaliteit

1.   Onverminderd de verantwoordelijkheden van de lidstaten met betrekking tot de gegevens die worden ingevoerd in de systemen waarvoor het Agentschap operationeel verantwoordelijk is, stelt het Agentschap, met nauwe betrokkenheid van zijn adviesgroepen, voor alle systemen waarvoor het operationeel verantwoordelijk is geautomatiseerde controlemechanismen voor gegevenskwaliteit en gemeenschappelijke indicatoren voor gegevenskwaliteit vast, alsook minimumkwaliteitsnormen voor gegevensopslag, overeenkomstig de relevante bepalingen van de rechtsinstrumenten voor die informatiesystemen en artikel 37 van Verordeningen (EU) 2019/817 (*1) en (EU) 2019/818 (*2) van het Europees Parlement en de Raad.

2.   Het Agentschap stelt een centraal register voor verslagen en statistieken vast dat uitsluitend geanonimiseerde gegevens bevat, overeenkomstig artikel 39 van Verordeningen (EU) 2019/817 en (EU) 2019/818, onder voorbehoud van specifieke bepalingen in de rechtsinstrumenten betreffende de ontwikkeling, de instelling, de werking en het gebruik van de door het Agentschap beheerde grootschalige IT-systemen.

(*1)  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa, en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad en Besluiten 2004/512/EG en 2008/633/JBZ (PB L 135 van 22.5.2019, blz. 27)."

(*2)  Verordening (EU) 2019/818 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van politiële en justitiële samenwerking, asiel en migratie en tot wijziging van Verordening (EU) 2018/1726, (EU) 2018/1862 en (EU) 2019/816 (PB L 135 van 22.5.2019, blz. 85)."."

2)

Artikel 19, lid 1, wordt als volgt gewijzigd:

a)

het volgende punt wordt ingevoegd:

"ee bis)

verslagen vast te stellen over de stand van zaken met betrekking tot de ontwikkeling van de interoperabiliteitscomponenten overeenkomstig artikel 78, lid 2, van Verordening (EU) 2019/817 en artikel 74, lid 2, van Verordening (EU) 2019/818,";

b)

punt ff) wordt vervangen door:

"ff)

verslagen vast te stellen over de technische werking van SIS II overeenkomstig artikel 60, lid 7, van Verordening (EU) 2018/1861 van het Europees Parlement en de Raad (*3) en artikel 74, lid 8, van Verordening (EU) 2018/1862 van het Europees Parlement en de Raad (*4), de technische werking van het VIS overeenkomstig artikel 50, lid 3, van Verordening (EG) nr. 767/2008 en artikel 17, lid 3, van Besluit 2008/633/JBZ, de technische werking van EES overeenkomstig artikel 72, lid 4, van Verordening (EU) 2017/2226, van Etias overeenkomstig artikel 92, lid 4, van Verordening (EU) 2018/2140 inzake het ECRIS-TCN en de ECRIS-referentie-implementatie krachtens artikel 36, lid 8, van Verordening (EU) 2019/816 van het Europees Parlement en de Raad (*5) en van de interoperabiliteitscomponenten overeenkomstig artikel 78, lid 3, van Verordening (EU) 2019/817 en artikel 74, lid 3, van Verordening (EU) 2019/818;

(*3)  Verordening (EU) 2018/1861 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van grenscontroles, tot wijziging van de Overeenkomst ter uitvoering van het Akkoord van Schengen en tot wijziging en intrekking van Verordening (EG) nr. 1987/2006 (PB L 312 van 7.12.2018, blz. 14)."

(*4)  Verordening (EU) 2018/1862 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van politiële en justitiële samenwerking in strafzaken en tot wijziging en intrekking van Verordening 2007/533/JBZ, en tot intrekking van Verordening (EG) nr. 1986/2006 van het Europees Parlement en de Raad en Besluit 2010/261/EU van de Commissie (PB L 312 van 7.12.2018, blz. 56)."

(*5)  Verordening (EU) 2019/816 van het Europees Parlement en de Raad van 17 april 2019 tot invoering van een gecentraliseerd systeem voor de vaststelling welke lidstaten over informatie beschikken inzake veroordelingen van onderdanen van derde landen en staatlozen (ECRIS-TCN) ter aanvulling en ondersteuning van het Europees Strafregisterinformatiesysteem en tot wijziging van Verordening (EU) nr. 2018/1726 (PB L 135 van 22.5.2019, blz. 1).";"

c)

punt hh) wordt vervangen door:

"hh)

formeel opmerkingen vast te stellen over de verslagen van de Europese Toezichthouder voor gegevensbescherming betreffende zijn audits op grond van artikel 56, lid 2, van Verordening (EU) 2018/1861, artikel 42, lid 2, van Verordening (EG) nr. 767/2008 en artikel 31, lid 2, van Verordening (EU) nr. 603/2013, artikel 56, lid 2, van Verordening (EU) 2017/2226 en artikel 67 van Verordening (EU) 2018/1240 en artikel 29, lid 2, van Verordening (EU) 2019/816 en artikel 52 van Verordening (EU) 2019/817 en (EU) 2019/818 ervoor te zorgen dat aan die audits het passende gevolg wordt gegeven;";

d)

punt mm) wordt vervangen door:

"mm)

erop toe te zien dat jaarlijks de lijst van bevoegde autoriteiten die gemachtigd zijn tot directe bevraging van de in SIS II opgenomen gegevens wordt bekendgemaakt, overeenkomstig artikel 41, lid 8, van Verordening (EU) 2018/1861 en artikel 56, lid 7, van Verordening (EU) 2018/1862, alsmede de lijst van autoriteiten van de nationale systemen van SIS (N.SIS) en SIRENE-bureaus overeenkomstig respectievelijk artikel 7, lid 3, van Verordening (EU) 2018/1861 en artikel 7, lid 3, van Verordening (EU) 2018/1862, alsook de lijst van bevoegde autoriteiten overeenkomstig artikel 65, lid 2, van Verordening (EU) 2017/2226, de lijst van bevoegde autoriteiten overeenkomstig artikel 87, lid 2, van Verordening (EU) 2018/1240, de lijst van centrale autoriteiten overeenkomstig artikel 34, lid 2, van Verordening (EU) 2019/816 en de lijst van autoriteiten overeenkomstig artikel 71, lid 1, van Verordening (EU) 2019/817 en artikel 67, lid 1, van Verordening (EU) 2019/818;".

3)

Artikel 22, lid 4, wordt vervangen door:

"4.   Europol en Eurojust kunnen de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake SIS II met betrekking tot de toepassing van Besluit 2007/533/JBZ op de agenda staat.

Het Europees Grens- en kustwachtagentschap kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake SIS met betrekking tot de toepassing van Verordening (EU) 2016/1624 op de agenda staat.

Europol kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake het VIS met betrekking tot de toepassing van Besluit 2008/633/JBZ op de agenda staat of wanneer een vraagstuk inzake Eurodac met betrekking tot de toepassing van Verordening (EU) nr. 603/2013 op de agenda staat.

Europol kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake het EES met betrekking tot de toepassing van Verordening (EU) 2017/2226 op de agenda staat of wanneer een vraagstuk inzake het Etias met betrekking tot Verordening (EU) 2018/1240 op de agenda staat.

Het Europees Grens- en kustwachtagentschap kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake het Etias met betrekking tot de toepassing van Verordening (EU) 2018/1240 op de agenda staat.

Eurojust, Europol en het Europees Openbaar Ministerie kunnen de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake Verordening (EU) 2019/816 op de agenda staat.

Europol, Eurojust en het Europees Grens- en kustwachtagentschap kunnen voorts de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake Verordening (EU) 2019/817 en (EU) 2019/818 op de agenda staat.

De raad van bestuur kan andere personen wier mening van belang kan zijn, uitnodigen om als waarnemer de vergaderingen bij te wonen.".

4)

In artikel 24, lid 3, wordt punt p) vervangen door:

"p)

het onverminderd artikel 17 van het Statuut van de ambtenaren vaststellen van vertrouwelijkheidsvoorschriften teneinde te voldoen aan artikel 17 van Verordening (EG) nr. 1987/2006, artikel 17 van Besluit 2007/533/JBZ, artikel 26, lid 9, van Verordening (EG) nr. 767/2008 en artikel 4, lid 4, van Verordening (EU) nr. 603/2013; artikel 37, lid 4, van Verordening (EU) 2017/2226, artikel 74, lid 2, van Verordening (EU) 2018/1240, artikel 11, lid 16, van Verordening (EU) 2019/816 en artikel 53, lid 2, van Verordeningen (EU) 2019/817 en (EU) 2019/818;".

5)

Artikel 27 wordt als volgt gewijzigd:

a)

In lid 1 wordt het volgende punt ingevoegd:

"(da)

de adviesgroep inzake interoperabiliteit;";

b)

lid 3 wordt vervangen door:

"3.   Europol, Eurojust en het Europees Grens- en kustwachtagentschap kunnen elk een vertegenwoordiger in de adviesgroep-SIS II benoemen.

Europol kan ook een vertegenwoordiger benoemen in de VIS-adviesgroep, de Eurodac-adviesgroep en de adviesgroep-EES-Etias.

Het Europees Grens- en kustwachtagentschap kan ook een vertegenwoordiger in de adviesgroep voor EES-Etias benoemen.

Eurojust, Europol en het Europees Openbaar Ministerie kunnen ook een vertegenwoordiger in de adviesgroep voor ECRIS-TCN benoemen.

Europol en Eurojust en het Europees Grens- en kustwachtagentschap kunnen elk een vertegenwoordiger in de adviesgroep inzake interoperabiliteit benoemen.".

Artikel 60

Wijzigingen van Verordening (EU) 2018/1862

Verordening (EU) 2018/1862 wordt als volgt gewijzigd:

1)

In artikel 3 worden de volgende punten toegevoegd:

"18)   "ESP": het Europees zoekportaal ingesteld bij artikel 6, lid 1, van Verordening (EU) 2019/818 van het Europees Parlement en de Raad (*6);

19)   "gezamenlijke BMS": de gezamenlijke dienst voor biometrische matching ingesteld bij artikel 12, lid 1, van Verordening (EU) 2019/818;

20)   "CIR": het gemeenschappelijke identiteitsregister ingesteld bij artikel 17, lid 1, van Verordening (EU) 2019/818;

21)   "MID": de detector van meerdere identiteiten ingesteld bij artikel 25, lid 1, van Verordening (EU) 2019/818;

(*6)  Verordening (EU) 2019/818 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van politiële en justitiële samenwerking, asiel en migratie en tot wijziging van Verordening (EU) 2018/1726, Verordening (EU) 2018/1862 en Verordening (EU) 2019/816 (PB L 135 van 22.5.2019, blz. 85)."."

2)

Artikel 4 wordt als volgt gewijzigd:

a)

in lid 1 worden de punten b) en c) vervangen door:

"b)

een nationaal systeem (N.SIS) in elk van de lidstaten, bestaande uit de nationale datasystemen die in verbinding staan met het centrale SIS, en minstens één nationale of gedeelde N.SIS-back-up,

c)

een communicatie-infrastructuur tussen CS-SIS, CS-SIS-back-up en de NI-SIS ("communicatie-infrastructuur") waarmee een versleuteld virtueel netwerk tot stand wordt gebracht dat specifiek bestemd is voor SIS-gegevens en voor de uitwisseling van gegevens tussen de Sirene-bureaus, als bedoeld in artikel 7, lid 2; en

d)

een beveiligde communicatie-infrastructuur tussen CS-SIS en de centrale infrastructuur van het ESP, de gezamenlijke BMS, en de MID.";

b)

de volgende leden worden toegevoegd:

"8.   Onverminderd de leden 1 tot en met 5, kunnen SIS-gegevens over personen en identiteitsdocumenten ook worden doorzocht via het ESP.

9.   Onverminderd de leden 1 tot en met 5, kunnen SIS-gegevens over personen en identiteitsdocumenten ook worden doorgegeven via de beveiligde communicatie-infrastructuur als bedoeld in lid 1, onder d). Deze doorgifte is beperkt tot de gegevens die vereist zijn voor de doeleinden van Verordening (EU) 2019/818.".

3)

In artikel 7 wordt het volgende lid ingevoegd:

"2 bis.   De Sirene-bureaus zorgen ook voor de manuele verificatie van meerdere identiteiten overeenkomstig artikel 29 van Verordening (EU) 2019/818. Voor zover dit voor de uitvoering van deze taak nodig is, hebben de Sirene-bureaus toegang om de in het CIR en de MID opgeslagen gegevens te raadplegen voor de in de artikelen 21 en 26 van Verordening (EU) 2019/818 omschreven doeleinden.".

4)

In artikel 12, lid 1 wordt de volgende alinea toegevoegd:

"De lidstaten zorgen ervoor dat elke toegang tot persoonsgegevens via het ESP wordt vastgelegd in een logbestand met het oog op controle op de rechtmatigheid van de bevraging, monitoring van de rechtmatigheid van de gegevensverwerking, interne monitoring en de integriteit en beveiliging van de gegevens.".

5)

Aan artikel 44, lid 1, wordt het volgende punt toegevoegd:

"f)

het verifiëren van meerdere identiteiten en het bestrijden van identiteitsfraude overeenkomstig hoofdstuk V van Verordening (EU) 2019/818.".

6)

In artikel 74 wordt lid 7 vervangen door:

"7.   Voor de toepassing van artikel 15, lid 4, en de leden 3, 4 en 6 van dit artikel, slaat eu-LISA de in artikel 15, lid 4, en in lid 3 van dit artikel bedoelde gegevens aan de hand waarvan geen personen kunnen worden geïdentificeerd, op in het in artikel 39 van Verordening (EU) 2019/818 bedoelde centrale register voor rapportage en statistieken.

eu-LISA geeft de Commissie en de in lid 6 van dit artikel bedoelde organen de mogelijkheid verslagen en statistieken op maat te verkrijgen. Op verzoek verleent eu-LISA de lidstaten, de Commissie, Europol en het Europees Grens- en kustwachtagentschap toegang tot het centrale register voor verslagen en statistieken overeenkomstig artikel 39 van Verordening (EU) 2019/818.".

Artikel 61

Wijzigingen van Verordening (EU) 2019/816

Verordening (EU) 2019/816 wordt als volgt gewijzigd:

1)

In artikel 1 wordt het volgende punt toegevoegd:

"c)

worden de voorwaarden vastgesteld waaronder het ECRIS-TCN bijdraagt aan het vergemakkelijken en bevorderen van de correcte identificatie van personen die in ECRIS-TCN zijn geregistreerd onder de voorwaarden en voor de uiteindelijke doeleinden van artikel 20 van Verordening (EU) 2019/818 van het Europees Parlement en de Raad (*7) door identiteitsgegevens, reisdocumentgegevens en biometrische gegevens op te slaan in CIR

(*7)  Verordening (EU) 2019/818 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van politiële en justitiële samenwerking, asiel en migratie en tot wijziging van Verordeningen (EU) 2018/1726, (EU) 2018/1862 en (EU) 2019/816 (PB L 135 van 22.5.2019, blz. 85)."."

2)

Artikel 2 wordt vervangen door:

"Artikel 2

Werkingssfeer

Deze verordening is van toepassing op het verwerken van identiteitsgegevens van in de lidstaten veroordeelde onderdanen van derde landen, met als doel te bepalen in welke lidstaten deze veroordelingen zijn uitgesproken. Met uitzondering van artikel 5, lid 1, onder b), ii), zijn de bepalingen van deze verordening die gelden voor onderdanen van derde landen ook van toepassing op burgers van de Unie die tevens de nationaliteit van een derde land bezitten en die in de lidstaten veroordeeld zijn. Deze verordening vergemakkelijkt en draagt bij aan de correcte identificatie van personen, overeenkomstig deze verordening en Verordening (EU) 2019/818.".

3)

Artikel 3 wordt als volgt gewijzigd:

a)

punt 8 wordt geschrapt:

b)

de volgende punten worden toegevoegd:

"19)   "CIR": het gemeenschappelijke identiteitsregister ingesteld bij artikel 17, lid 1, van Verordening (EU) 2019/818;

20)   "ECRIS-TCN-gegevens": alle gegevens die in het centrale systeem en in het CIR zijn opgeslagen overeenkomstig artikel 5;

21)   "ESP": het Europees zoekportaal ingesteld bij artikel 6, lid 1 van Verordening (EU) 2019/818.".

4)

In artikel 4 wordt lid 1 als volgt gewijzigd:

a)

punt a) wordt vervangen door:

"a)

een centraal systeem;";

b)

het volgende punt wordt ingevoegd:

"ab)

het CIR;";

c)

het volgende punt wordt toegevoegd:

"(e)

een communicatie-infrastructuur tussen het centrale systeem en de centrale infrastructuur van het ESP en het CIR;".

5)

Artikel 5 wordt als volgt gewijzigd:

a)

in lid 1 wordt het inleidende deel vervangen door:

"1.   Voor elke veroordeelde onderdaan van een derde land, creëert de centrale autoriteit van de lidstaat van veroordeling een gegevensbestand in ECRIS-TCN. Het gegevensbestand bevat:";

b)

het volgende lid wordt ingevoegd:

"1 bis.   Het CIR bevat de in lid 1, onder b), bedoelde gegevens en de volgende in lid 1, onder a), bedoelde gegevens: achternaam (familienaam), voornamen, geboortedatum, geboorteplaats (gemeente en land), nationaliteit of nationaliteiten, gender, en in voorkomend geval vorige namen, en indien beschikbaar pseudoniemen of bijnamen, indien beschikbaar het type en het nummer van de reisdocumenten van de persoon, alsmede de naam van de afgevende instantie. Het CIR kan de in lid 3, bedoelde gegevens bevatten. De overige ECRIS-TCN-gegevens worden opgeslagen in het centrale systeem.".

6)

Artikel 8 wordt als volgt gewijzigd:

a)

lid 1 wordt vervangen door:

"1.   Elk gegevensbestand wordt in het centrale systeem en het CIR opgeslagen zolang de gegevens over de veroordelingen van de betrokkene in het strafregister worden opgeslagen.";

b)

lid 2 wordt vervangen door:

"2.   Na het verstrijken van de in lid 1 bedoelde bewaringstermijn wist de centrale autoriteit van de lidstaat van veroordeling het gegevensbestand, met inbegrip van vingerafdrukgegevens en gezichtsopnames, onverwijld uit het centrale systeem en het CIR. Deze wissing gebeurt waar mogelijk automatisch en in ieder geval uiterlijk één maand na het verstrijken van de bewaringstermijn.".

7)

Artikel 9 wordt als volgt gewijzigd:

a)

in lid 1 wordt het woord "ECIRS-TCN" vervangen door de woorden "het centrale systeem en het CIR";

b)

in de leden 2, 3 en 4, worden de woorden "het centrale systeem" vervangen door de woorden "het centrale systeem en het CIR".

8)

In artikel 10, lid 1, wordt punt j) geschrapt.

9)

In artikel 12, lid 2, worden de woorden "het centrale systeem" vervangen door de woorden "het centrale systeem en het CIR".

10)

In artikel 13, lid 2, worden de woorden "het centrale systeem" vervangen door de woorden "het centrale systeem en het CIR".

11)

In artikel 23, lid 2, worden de woorden "het centrale systeem" vervangen door de woorden "het centrale systeem en het CIR".

12)

Artikel 24 wordt als volgt gewijzigd:

a)

lid 1 wordt vervangen door:

"1.   De in het centrale systeem en in het CIR ingevoerde gegevens worden alleen verwerkt om vast te stellen welke lidstaten over strafregistergegevens van onderdanen van derde landen beschikken. De in het CIR ingevoerde gegevens worden ook verwerkt overeenkomstig Verordening (EU) 2019/818 om bij te dragen aan het vergemakkelijken en bevorderen van de correcte identificatie van in het ECRIS-TCN geregistreerde personen, overeenkomstig deze verordening.";

b)

het volgende lid wordt toegevoegd:

"3.   Onverminderd lid 2 hebben ook de naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat en de naar behoren gemachtigde personeelsleden van de Unie-agentschappen die bevoegd zijn voor de doeleinden als omschreven in de artikelen 20 en 21 van Verordening (EU) 2019/818, toegang om de in het CIR opgeslagen gegevens te raadplegen. Deze toegang is beperkt tot de gegevens die vereist zijn voor de uitvoering van de taken van deze nationale autoriteiten en Unie-agentschappen overeenkomstig deze doeleinden en is evenredig met de nagestreefde doelen.".

13)

Artikel 32 wordt lid 2 wordt vervangen door:

"2.   Voor de toepassing van lid 1 van dit artikel slaat eu-LISA de in lid 1 bedoelde gegevens op in het centrale register voor rapportage en statistieken als bedoeld in artikel 39 van Verordening (EU) 2019/818.".

14)

In artikel 33, lid 1, worden de woorden "het centrale systeem" vervangen door de woorden "het centrale systeem en het CIR".

15)

Artikel 41, lid 2, wordt vervangen door:

"2.   Voor veroordelingen die vóór datum van de aanvang van invoering van gegevens overeenkomstig artikel 35, lid 1 zijn uitgesproken, creëren de centrale autoriteiten het individuele gegevensbestand in het centrale systeem en het CIR als volgt:

a)

alfanumerieke gegevens worden uiterlijk aan het eind van de in artikel 35, lid 2, bedoelde periode in het centrale systeem en het CIR ingevoerd;

b)

vingerafdrukgegevens worden uiterlijk binnen twee jaar na de ingebruikneming overeenkomstig artikel 35, lid 4, in het centrale systeem en het CIR ingevoerd.".

HOOFDSTUK X

Slotbepalingen

Artikel 62

Verslagen en statistieken

1.   De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke autoriteiten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken, het aantal zoekopdrachten per persoon raadplegen die het ESP-gebruikersprofiel gebruikt.

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

2.   De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke autoriteiten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken de volgende gegevens inzake het CIR raadplegen:

a)

het aantal zoekopdrachten als bedoeld in de artikelen 20, 21 en 22;

b)

nationaliteit, gender en geboortejaar van de betrokken persoon;

c)

het soort reisdocument en de drielettercode van het land dat het reisdocument heeft afgegeven;

d)

het aantal met en zonder biometrische gegevens uitgevoerde zoekopdrachten.

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

3.   De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke autoriteiten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken de volgende gegevens inzake de MID raadplegen:

a)

het aantal met en zonder biometrische gegevens uitgevoerde zoekopdrachten;

b)

het aantal en het type links en de Unie-informatiesystemen waartussen de links werden gelegd;

c)

de periode gedurende welke een gele en rode link in het systeem werd gehandhaafd.

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

4.   De naar behoren gemachtigde personeelsleden van het Europees Grens- en kustwachtagentschap, hebben toegang om de in de leden 1, 2 en 3 van dit artikel bedoelde gegevens te raadplegen, teneinde risico- en kwetsbaarheidsbeoordelingen zoals bedoeld in de artikelen 11 en 13 van Verordening (EU) 2016/1624 van het Europees Parlement en de Raad (38) te kunnen uitvoeren.

5.   De naar behoren gemachtigde personeelsleden van Europol hebben toegang om de in de leden 2 en 3 van dit artikel bedoelde gegevens te raadplegen, teneinde strategische, thematische en operationele analyses zoals bedoeld in artikel 18, lid 2, onder b) en c), van Verordening (EU) 2016/794 te kunnen uitvoeren.

6.   Voor de toepassing van de leden 1, 2 en 3 slaat eu-LISA de in die leden bedoelde gegevens op in het CRRS. De in het CRRS opgenomen gegevens mogen het niet mogelijk maken om personen te identificeren, maar de gegevens moeten de leden 1, 2 en 3 bedoelde autoriteiten in staat te stellen op maat gesneden verslagen en statistieken op te stellen met als doel de grenscontroles doeltreffender te maken, de autoriteiten te helpen bij de verwerking van visumaanvragen en een op feiten gebaseerde beleidsvorming inzake migratie en veiligheid in de Unie te ondersteunen.

7.   Op verzoek stelt de Commissie aan het Bureau van de Europese Unie voor de grondrechten relevante informatie ter beschikking om de gevolgen van deze verordening voor de grondrechten te beoordelen.

Artikel 63

Overgangsperiode voor het gebruik van het Europees zoekportaal

1.   Gedurende een periode van twee jaar vanaf de ingebruikneming van het ESP zijn de verplichtingen als bedoeld in artikel 7, leden 2 en 4, niet van toepassing en is het gebruik van het ESP facultatief.

2.   De Commissie is bevoegd overeenkomstig artikel 69 een gedelegeerde handeling vast te stellen om de in lid 1 van dit artikel bedoelde periode eenmaal met maximaal 1 jaar te verlengen wanneer uit een beoordeling van de tenuitvoerlegging van het ESP blijkt dat een dergelijke verlenging met name nodig is vanwege de gevolgen van de ingebruikname van het ESP voor de organisatie en de duur van grenscontroles.

Artikel 64

Overgangsperiode voor de toepassing van de bepalingen inzake de toegang tot het gemeenschappelijke identiteitsregister met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten

Artikel 22 is van toepassing vanaf de datum van ingebruikneming van het CIR als bedoeld in artikel 68, lid 3.

Artikel 65

Overgangsperiode voor de detectie van meerdere identiteiten

1.   Gedurende een periode van één jaar nadat eu-LISA de voltooiing van de test van de MID als bedoeld in artikel 68, lid 4, onder b), heeft gemeld en voordat de MID in gebruik wordt genomen, is de centrale Etias-eenheid verantwoordelijk voor het uitvoeren van een detectie van meerdere identiteiten aan de hand van de gegevens die zijn opgeslagen in het EES, VIS, Eurodac en SIS. Voor de detectie van meerdere identiteiten wordt uitsluitend gebruik gemaakt van biometrische gegevens.

2.   Wanneer een zoekopdracht een of meer matches oplevert en de identiteitsgegevens van de gelinkte bestanden identiek of vergelijkbaar zijn, wordt een witte link aangemaakt overeenkomstig artikel 33.

Wanneer een zoekopdracht een of meer matches oplevert en de identiteitsgegevens in de gelinkte bestanden niet als vergelijkbaar kunnen worden beschouwd, wordt een gele link aangemaakt overeenkomstig artikel 30 en is de in artikel 29 bedoelde procedure van toepassing.

In het geval van meerdere matches wordt een link aangemaakt tussen alle gegevenselementen die tot de match hebben geleid.

3.   Wanneer een gele link wordt aangemaakt, verleent de MID de centrale Etias-eenheid toegang tot de identiteitsgegevens in de verschillende Unie-informatiesystemen.

4.   Wanneer een link wordt aangemaakt met een signalering in SIS, anders dan een signalering op grond van artikel 3 van Verordening (EU) 2018/1860, de artikelen 24 en 25 van Verordening (EU) 2018/1861 of artikel 38 van Verordening (EU) 2018/1862, verleent de MID aan het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd, toegang tot de identiteitsgegevens in de verschillende informatiesystemen.

5.   De centrale Etias-eenheid of, in de in lid 4 van dit artikel bedoelde gevallen, het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd, heeft toegang tot de gegevens in het identiteitsbevestigingsbestand, maakt een beoordeling van de verschillende identiteiten, werkt de link bij overeenkomstig de artikelen 31, 32 en 33 en voegt deze toe aan het identiteitsbevestigingsbestand.

6.   De centrale Etias-eenheid stelt de Commissie overeenkomstig artikel 67, lid 3, pas in kennis wanneer alle gele links manueel zijn geverifieerd en ofwel hun status in groene, witte of rode links zijn veranderd.

7.   Waar nodig helpen de lidstaten de centrale Etias-eenheid bij het uitvoeren van de detectie van meerdere identiteiten overeenkomstig dit artikel.

8.   De Commissie is bevoegd overeenkomstig artikel 69 een gedelegeerde handeling vast te stellen tot wijziging van deze verordening om de in lid 1 van dit artikel bedoelde periode met zes maanden te verlengen, waarbij tweemaal een verdere verlenging met telkens zes maanden mogelijk is. Een dergelijke verlenging wordt slechts toegestaan wanneer uit een beoordeling van de geraamde tijdspanne voor het voltooien van de detectie van meerdere identiteiten uit hoofde van dit artikel, blijkt dat detectie van meerdere identiteiten niet kan worden voltooid voor het verstrijken van de resterende periode in de zin van lid 1 van dit artikel of een lopende verlenging om redenen buiten de wil van de centrale Etias-eenheid en dat er geen corrigerende maatregelen kunnen worden getroffen. De beoordeling moet uiterlijk drie maanden voor het verstrijken van een dergelijke periode of een lopende verlenging worden verricht.

Artikel 66

Kosten

1.   De kosten in verband met de instelling en de werking van het ESP, de gezamenlijke BMS, het CIR en de MID komen ten laste van de algemene begroting van de Unie.

2.   De kosten in verband met de integratie van de bestaande nationale infrastructuur, de aansluiting van die infrastructuur op de nationale uniforme interfaces en het hosten van de nationale uniforme interfaces komen ten laste van de algemene begroting van de Unie.

De volgende kosten komen niet in aanmerking:

a)

de dienst voor projectbeheer van de lidstaten (vergaderingen, missies, kantoren);

b)

het hosten van nationale IT-systemen (ruimte, implementatie, elektriciteit, koeling);

c)

het beheer van nationale IT-systemen (operatoren en contracten voor ondersteuning);

d)

ontwerp, ontwikkeling, implementatie, beheer en onderhoud van nationale communicatienetwerken.

3.   Onverminderd verdere financiering voor dit doel uit andere bronnen van de algemene begroting van de Europese Unie komt een bedrag van 32 077 000 EUR uit de 791 000 000 EUR aan middelen als vastgelegd in artikel 5, lid 5, onder b), van Verordening (EU) nr. 515/2014 van het Europees Parlement en de Raad voor de in de leden 1 en 2 van dit artikel bedoelde kosten voor de uitvoering van deze verordening.

4.   Van de in lid 3 bedoelde middelen wordt 22 861 000 EUR toegewezen aan eu-LISA, 9 072 000 EUR aan Europol en 144 000 EUR aan het Agentschap van de Europese Unie voor opleiding op het gebied van rechtshandhaving (Cepol), ter ondersteuning van deze agentschappen bij de uitvoering van hun respectieve taken overeenkomstig deze verordening. Deze financiering wordt uitgevoerd onder indirect beheer.

5.   De kosten die worden gemaakt door de aangewezen autoriteiten worden respectievelijk gedragen door de aangewezen lidstaten. De kosten voor de aansluiting van de aangewezen autoriteit op het CIR worden respectievelijk door elke lidstaat gedragen.

De door Europol gemaakte kosten, waaronder die welke verband houden met het CIR, worden door Europol gedragen.

Artikel 67

Kennisgevingen

1.   De lidstaten melden aan eu-LISA welke in de artikelen 7, 20, 21 en 26 bedoelde autoriteiten gebruik kunnen maken van of toegang hebben tot respectievelijk het ESP, het CIR en de MID.

Binnen drie maanden na de ingebruikneming van elke interoperabiliteitscomponent overeenkomstig artikel 68 wordt een geconsolideerde lijst van deze autoriteiten bekendgemaakt in het Publicatieblad van de Europese Unie. Wanneer de lijst wordt gewijzigd, maakt eu-LISA eenmaal per jaar een bijgewerkte geconsolideerde versie bekend.

2.   eu-LISA stelt de Commissie in kennis van de succesvolle afsluiting van de in artikel 68, lid 1, onder b), lid 2, onder b), lid 3, onder b), lid 4, onder b), lid 5, onder b), en lid 6, onder b), bedoelde test.

3.   De centrale Etias-eenheid stelt de Commissie in kennis van de succesvolle afsluiting van de overgangsperiode als bedoeld in artikel 65.

4.   De Commissie stelt de op grond van lid 1 meegedeelde informatie ter beschikking van lidstaten en het publiek door middel van een permanent bijgewerkte openbare website.

Artikel 68

Ingebruikneming

1.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop het ESP in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 8, lid 2, artikel 9, lid 7, en artikel 43, lid 5, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van het ESP, die eu-LISA samen met de lidstatelijke autoriteiten en de Unie-agentschappen die gebruik kunnen maken van het ESP, heeft uitgevoerd, met succes is afgesloten;

c)

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 8, lid 1, bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden;

Het ESP bevraagt de Interpol-databanken pas nadat de technische regelingen het mogelijk maken artikel 9, lid 5, na te leven. Elke onmogelijkheid om artikel 9, lid 5, na te leven, dient tot gevolg te hebben dat het ESP de Interpol-databanken niet bevraagt, maar dat de ingebruikneming van het ESP daardoor geen vertraging oploopt.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

2.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop de gezamenlijke BMS in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 13, lid 5, en artikel 43, lid 5, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van de gezamenlijke BMS, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten;

c)

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 13 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden;

d)

eu-LISA heeft verklaard dat de in lid 5, onder b), bedoelde test met succes is afgesloten.

De Commissie stelt de in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

3.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop het CIR in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 43, lid 5, en artikel 74, lid 10, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van het CIR, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten;

c)

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 18 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden;

d)

eu-LISA heeft verklaard dat de in lid 5, onder b), bedoelde test met succes is afgesloten.

De Commissie stelt de in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

4.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop de MID in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 28, leden 5 en 7, artikel 32, lid 5, artikel 33, lid 6, artikel 43, lid 5, en artikel 49, lid 6, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van de MID, die eu-LISA samen met de lidstatelijke autoriteiten en de centrale Etias-eenheid heeft uitgevoerd, met succes is afgesloten;

c)

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 34 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden;

d)

de centrale Etias-eenheid heeft de Commissie in kennis gesteld overeenkomstig artikel 67, lid 3;

e)

eu-LISA heeft verklaard dat de in lid 1, onder b), lid 2, onder b), lid 3, onder b), en lid 5, onder b), bedoelde tests met succes zijn afgesloten.

De Commissie stelt de in de eerste alinea bedoelde datum vast op binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

5.   De Commissie stelt door middel van uitvoeringshandelingen de datum vast vanaf wanneer de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen moeten worden gebruikt, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 37, lid 4, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten.

De Commissie stelt de in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

6.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop het CRRS in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

a)

de in artikel 39, lid 5, en artikel 43, lid 5, bedoelde maatregelen zijn goedgekeurd;

b)

eu-LISA heeft verklaard dat een uitgebreide test van het CRRS, die eu-LISA samen met de lidstatelijke autoriteiten heeft uitgevoerd, met succes is afgesloten;

c)

eu-LISA heeft de technische en wettelijke regelingen om de in artikel 39 bedoelde gegevens te verzamelen en door te geven, gevalideerd en ter kennisgeving aan de Commissie gezonden.

De Commissie stelt de in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

7.   De Commissie stelt het Europees Parlement en de Raad in kennis van de resultaten van de overeenkomstig lid 1, onder b), lid 2, onder b), lid 3, onder b), lid 4, onder b), lid 5, onder b), en lid 6, onder b), uitgevoerde tests.

8.   De lidstaten, de centrale Etias-eenheid en Europol nemen elk van de interoperabiliteitscomponenten in gebruik op de overeenkomstig respectievelijk de leden 1, 2, 3 en 4 door de Commissie bepaalde datum.

Artikel 69

Uitoefening van de bevoegdheidsdelegatie

1.   De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2.   De in artikel 28, lid 5, artikel 39, lid 5, artikel 49, lid 6, artikel 63, lid 2, en artikel 65, lid 8, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van 11 juni 2019. De Commissie stelt uiterlijk negen maanden voor het einde van de termijn van vijf jaar een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.

3.   Het Europees Parlement of de Raad kan de in artikel 28, lid 5, artikel 39, lid 5, artikel 49, lid 6, artikel 63, lid 2, en artikel 65, lid 8, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.   Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5.   Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, geeft zij daarvan gelijktijdig kennis aan het Europees Parlement en de Raad.

6.   Een overeenkomstig artikel 28, lid 5, artikel 39, lid 5, artikel 49, lid 6, artikel 63, lid 2, en artikel 65, lid 8, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

Artikel 70

Comitéprocedure

1.   De Commissie wordt bijgestaan door een comité. Dit comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.   Wanneer naar dit punt wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Indien het comité geen advies uitbrengt, stelt de Commissie de ontwerpuitvoeringshandeling niet vast en is artikel 5, lid 4, derde alinea, van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 71

Adviesgroep

eu-LISA richt een adviesgroep inzake interoperabiliteit op. Tijdens de fase waarin de interoperabiliteitscomponenten worden ontworpen en ontwikkeld, is artikel 54, leden 4, 5 en 6, van toepassing.

Artikel 72

Opleiding

eu-LISA vervult taken met betrekking tot opleiding over het technische gebruik van de interoperabiliteitscomponenten overeenkomstig Verordening (EU) 2018/1726.

De lidstatelijke autoriteiten en de Unie-agentschappen verstrekken hun personeelsleden die gemachtigd zijn om gegevens met gebruikmaking van de interoperabiliteitscomponenten te verwerken, passende opleidingsprogramma's over gegevensbeveiliging, gegevenskwaliteit en gegevensbescherming, de gegevensverwerkingsprocedures en de informatieverplichtingen uit hoofde van de artikelen 32, lid 4, 33, lid 4, en 47.

Waar passend worden op Unieniveau gemeenschappelijke opleidingscursussen over deze onderwerpen georganiseerd, ter verbetering van de samenwerking en de uitwisseling van beste praktijken tussen de personeelsleden van de lidstatelijke autoriteiten en de Unie-agentschappen die gemachtigd zijn om gegevens met gebruikmaking van de interoperabiliteitscomponenten te verwerken. Bijzondere aandacht wordt geschonken aan het proces voor de detectie van meerdere identiteiten, met inbegrip van de manuele verificatie van meerdere identiteiten en de daarmee verbonden noodzaak om passende waarborgen voor de grondrechten te handhaven.

Artikel 73

Praktische handleiding

De Commissie stelt, in nauwe samenwerking met de lidstaten, eu-LISA en andere betrokken Unie-agentschappen, een praktische handleiding ter beschikking voor de implementatie en het beheer van de interoperabiliteitscomponenten. De praktische handleiding bevat technische en operationele richtsnoeren, aanbevelingen en beste praktijken. De praktische handleiding wordt door de Commissie in de vorm van een aanbeveling goedgekeurd.

Artikel 74

Monitoring en evaluatie

1.   eu-LISA zorgt voor procedures om de ontwikkeling van de interoperabiliteitscomponenten en de aansluiting daarvan op de nationale uniforme interfaces te monitoren in het licht van de doelstellingen op het gebied van planning en kosten, en om de werking van de interoperabiliteitscomponenten te monitoren in het licht van doelstellingen inzake technische resultaten, kosteneffectiviteit, beveiliging en kwaliteit van de dienstverlening.

2.   Uiterlijk op 12 december 2019 en vervolgens om de zes maanden tijdens de fase waarin de interoperabiliteitscomponenten worden ontwikkeld, legt eu-LISA het Europees Parlement en de Raad een verslag voor over de stand van zaken bij de ontwikkeling van de interoperabiliteitscomponenten en de aansluiting daarvan op de nationale uniforme interfaces. Zodra de ontwikkeling is afgerond, wordt bij het Europees Parlement en de Raad een verslag ingediend waarin uitvoerig wordt uiteengezet hoe de doelstellingen, met name op het vlak van planning en kosten, zijn bereikt en waarin eventuele afwijkingen worden gerechtvaardigd.

3.   Vier jaar na de ingebruikneming van elke interoperabiliteitscomponent overeenkomstig artikel 68, en vervolgens om de vier jaar legt eu-LISA aan het Europees Parlement, de Raad en de Commissie een verslag voor over de technische werking en de beveiliging van de interoperabiliteitscomponenten.

4.   Eén jaar na elk verslag van eu-LISA stelt de Commissie een algemene evaluatie van de interoperabiliteitscomponenten op, met inbegrip van:

a)

een beoordeling van de toepassing van deze verordening;

b)

een toetsing van de bereikte resultaten aan de doelstellingen van deze verordening, en een beoordeling van de gevolgen ervan voor de grondrechten, waaronder met name een beoordeling van de gevolgen van de interoperabiliteitscomponenten voor het recht op non-discriminatie;

c)

een beoordeling van de werking van het webportaal, met inbegrip van cijfers over het gebruik van het webportaal en het aantal afgehandelde verzoeken;

d)

een beoordeling van de onverminderde geldigheid van de uitgangspunten voor de interoperabiliteitscomponenten;

e)

een beoordeling van de beveiliging van de interoperabiliteitscomponenten;

f)

een beoordeling van het gebruik van het CIR voor identificatiedoeleinden;

g)

een beoordeling van het gebruik van het CIR met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten;

h)

een beoordeling van alle mogelijke gevolgen, met inbegrip van disproportionele gevolgen voor de verkeersstroom aan grensdoorlaatposten en gevolgen voor de algemene begroting van de Unie;

i)

een beoordeling van het doorzoeken van de Interpol-databanken via het ESP, met inbegrip van informatie over het aantal matches dat de Interpol-databanken hebben opgeleverd en informatie over eventueel geconstateerde problemen;

In de algemene evaluatie overeenkomstig de eerste alinea van dit lid worden zo nodig aanbevelingen opgenomen. De Commissie legt de evaluatie voor aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten.

5.   Uiterlijk op 12 juni 2020 en vervolgens elk jaar totdat de in artikel 68 bedoelde uitvoeringshandelingen van de Commissie zijn vastgesteld, dient de Commissie bij het Europees Parlement en de Raad een verslag in over de stand van de voorbereidingen voor de volledige tenuitvoerlegging van deze verordening. Dat verslag bevat ook gedetailleerde informatie over de gemaakte kosten en over eventuele risico's die van invloed kunnen zijn op de totale kosten.

6.   Twee jaar na de ingebruikneming van de MID overeenkomstig artikel 68, lid 4, beoordeelt de Commissie de gevolgen van de MID voor het recht op non-discriminatie. Na dit eerste verslag maakt de beoordeling van de gevolgen van de MID voor het recht op non-discriminatie deel uit van de in lid 4, onder b), van dit artikel bedoelde beoordeling.

7.   De lidstaten en Europol verstrekken eu-LISA en de Commissie de informatie die nodig is om de in de leden 3 tot en met 6 bedoelde verslagen op te stellen. Deze informatie brengt de werkmethoden niet in gevaar en bevat geen informatie waardoor bronnen, namen van personeelsleden of onderzoeken van de aangewezen autoriteiten worden onthuld.

8.   eu-LISA verstrekt de Commissie de informatie die nodig is om de in lid 4 bedoelde algemene evaluaties op te stellen.

9.   Elke lidstaat en Europol stellen met inachtneming van de nationaalrechtelijke bepalingen inzake de bekendmaking van gevoelige informatie en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat geen enkel nationaal onderzoek in gevaar wordt gebracht, jaarlijkse verslagen op over de doeltreffendheid van de toegang tot in het CIR opgeslagen gegevens met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten, en nemen daarin informatie en statistieken op over:

a)

de exacte doelen van de raadpleging, met inbegrip van de soorten terroristische misdrijven of andere ernstige strafbare feiten;

b)

de gegronde redenen voor een gegrond vermoeden dat een verdachte, overtreder of slachtoffer onder Verordening (EU) nr. 603/2013 valt;

c)

het aantal verzoeken om toegang tot het CIR met het oog het voorkomen, opsporen of onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten;

d)

het aantal en de soorten gevallen die hebben geleid tot succesvolle identificaties;

e)

de noodzaak en het gebruik van de uitzonderingen voor dringende gevallen, met inbegrip van de gevallen waarin dat dringend karakter niet werd aanvaard bij de verificatie achteraf door het centrale toegangspunt.

De door de lidstaten en Europol opgestelde jaarlijkse verslagen worden aan de Commissie toegezonden vóór 30 juni van het daaropvolgende jaar.

10.   Een technische oplossing wordt aan de lidstaten beschikbaar gesteld om de in artikel 22 bedoelde verzoeken om gebruikerstoegang te beheren en het gemakkelijker te maken de in de leden 7 en 9 van dit artikel bedoelde gegevens te verzamelen met het oog op het genereren van de in die leden bedoelde verslagen en statistieken. De Commissie stelt uitvoeringshandelingen vast betreffende de specificaties van de technische oplossing. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 70, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 75

Inwerkingtreding en toepasselijkheid

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

De bepalingen van deze verordening met betrekking tot het ESP zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 68, lid 1, bepaalde datum.

De bepalingen van deze verordening met betrekking tot de gezamenlijke BMS zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 68, lid 2, bepaalde datum.

De bepalingen van deze verordening met betrekking tot het CIR zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 68, lid 3, bepaalde datum.

De bepalingen van deze verordening met betrekking tot de MID zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 68, lid 4, bepaalde datum.

De bepalingen van deze verordening met betrekking tot de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 68, lid 5, bepaalde datum.

De bepalingen van deze verordening met betrekking tot het CRRS zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 68, lid 6, bepaalde datum.

De artikelen 6, 12, 17, 25, 38, 42, 52, 54, 56, 58, 66, 67, 69, 70, 71, 73 en 74, lid 1, zijn van toepassing met ingang van 11 juni 2019.

Deze verordening is met betrekking tot Eurodac van toepassing vanaf de datum waarop de herschikking van Verordening (EU) nr. 603/2013 van toepassing wordt.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in de lidstaten overeenkomstig de Verdragen.

Gedaan te Brussel, 20 mei 2019.

Voor het Europees Parlement

De voorzitter

A. TAJANI

Voor de Raad

De voorzitter

G. CIAMBA


(1)  PB C 283 van 10.8.2018, blz. 48.

(2)  Standpunt van het Europees Parlement van 16 april 2019 2019 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 14 mei 2019.

(3)  PB C 101 van 16.3.2018, blz. 116.

(4)  Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en tot vervanging en intrekking van de Besluiten 2009/371/JBZ, 2009/934/JBZ, 2009/935/JBZ, 2009/936/JBZ en 2009/968/JBZ van de Raad (PB L 135 van 24.5.2016, blz. 53).

(5)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(6)  Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens, en intrekking van het Kaderbesluit van de Raad 2008/977/JBZ (PB L 119 van 4.5.2016, blz. 89).

(7)  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(8)  Verordening (EU) 2018/1860 van het Europees Parlement en de Raad van 28 november 2018 betreffende het gebruik van het Schengeninformatiesysteem voor de terugkeer van illegaal verblijvende onderdanen van derde landen (PB L 312 van 7.12.2018, blz. 1).

(9)  Verordening (EU) 2018/1861 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van grenscontroles, tot wijziging van de Overeenkomst ter uitvoering van het Akkoord van Schengen en tot wijziging en intrekking van Verordening (EG) nr. 1987/2006 (PB L 312 van 7.12.2018, blz. 14).

(10)  Verordening (EU) 2018/1862 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van politiële en justitiële samenwerking in strafzaken, tot wijziging en intrekking van Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EG) nr. 1986/2006 van het Europees Parlement en de Raad en Besluit 2010/261/EU van de Commissie (PB L 312 van 7.12.2018, blz. 56).

(11)  Verordening (EU) 2019/816 van het Europees Parlement en de Raad van 17 april 2019 tot invoering van een gecentraliseerd systeem voor de vaststelling welke lidstaten over informatie beschikken inzake veroordelingen van onderdanen van derde landen en staatlozen (ECRIS-TCN) ter aanvulling en ondersteuning van het Europees Strafregisterinformatiesysteem en tot wijziging van Verordening (EU) 2018/1726 (zie bladzijde 1 van dit Publicatieblad).

(12)  Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

(13)  PB C 233 van 4.7.2018, blz. 12.

(14)  Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad van 18 juli 2018 tot vaststelling van de financiële regels van toepassing op de algemene begroting van de Unie, tot wijziging van Verordeningen (EU) nr. 1296/2013, (EU) nr. 1301/2013, (EU) nr. 1303/2013, (EU) nr. 1304/2013, (EU) nr. 1309/2013, (EU) nr. 1316/2013, (EU) nr. 223/2014, (EU) nr. 283/2014 en Besluit nr. 541/2014/EU en tot intrekking van Verordening (EU, Euratom) nr. 966/2012 (PB L 193 van 30.7.2018, blz. 1).

(15)  Verordening (EU) nr. 515/2014 van het Europees Parlement en de Raad van 16 april 2014 tot vaststelling, als onderdeel van het Fonds voor interne veiligheid, van het instrument voor financiële steun voor de buitengrenzen en visa en tot intrekking van Beschikking nr. 574/2007/EG (PB L 150 van 20.5.2014, blz. 143).

(16)  PB L 123 van 12.5.2016, blz. 1.

(17)  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(18)  Richtlijn 2004/38/EG van het Europees Parlement en de Raad van 29 april 2004 betreffende het recht van vrij verkeer en verblijf op het grondgebied van de lidstaten voor de burgers van de Unie en hun familieleden, tot wijziging van Verordening (EEG) nr. 1612/68 en tot intrekking van Richtlijnen 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG en 93/96/EEG (PB L 158 van 30.4.2004, blz. 77).

(19)  Besluit van de Raad 2000/365/EG van 29 mei 2000 betreffende het verzoek van het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland deel te mogen nemen aan enkele van de bepalingen van het Schengenacquis (PB L 131 van 1.6.2000, blz. 43).

(20)  Besluit van de Raad 2002/192/EG van 28 februari 2002 betreffende het verzoek van Ierland deel te mogen nemen aan bepalingen van het Schengenacquis (PB L 64 van 7.3.2002, blz. 20).

(21)  PB L 176 van 10.7.1999, blz. 36.

(22)  Besluit 1999/437/EG van de Raad van 17 mei 1999 inzake bepaalde toepassingsbepalingen van de door de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen gesloten overeenkomst inzake de wijze waarop deze twee staten worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengen-acquis (PB L 176 van 10.7.1999, blz. 31).

(23)  PB L 53 van 27.2.2008, blz. 52.

(24)  Besluit 2008/149/JBZ van de Raad van 28 januari 2008 betreffende de sluiting namens de Europese Unie van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (PB L 53 van 27.2.2008, blz. 50).

(25)  PB L 160 van 18.6.2011, blz. 21.

(26)  Besluit 2011/350/EU van de Raad van 7 maart 2011 betreffende de sluiting namens de Europese Unie van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis betreffende de afschaffing van controles aan de binnengrenzen en het verkeer van personen (PB L 160 van 18.6.2011, blz. 19).

(27)  Verordening (EU) 2018/1726 van het Europees Parlement en de Raad van 14 november 2018 betreffende het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), tot wijziging van Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EU) nr. 1077/2011 (PB L 295 van 21.11.2018, blz. 99).

(28)  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa, en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad en Besluiten 2004/512/EG en 2008/633/JBZ (zie bladzijde 27 van dit Publicatieblad).

(29)  Verordening (EU) 2016/399 van het Europees Parlement en de Raad van 9 maart 2016 betreffende een Uniecode voor de overschrijding van de grenzen door personen (Schengengrenscode) (PB L 77 van 23.3.2016, blz. 1).

(30)  Verordening (EU) 2017/2226 van het Europees Parlement en de Raad van 30 november 2017 tot instelling van een inreis-uitreissysteem (EES) voor de registratie van inreis- en uitreisgegevens en van gegevens over weigering van toegang ten aanzien van onderdanen van derde landen die de buitengrenzen overschrijden en tot vaststelling van de voorwaarden voor toegang tot het EES voor rechtshandhavingsdoeleinden en tot wijziging van de overeenkomst ter uitvoering van het te Schengen gesloten akkoord en Verordeningen (EG) nr. 767/2008 en (EU) nr. 1077/2011 (PB L 327 van 9.12.2017, blz. 20).

(31)  Besluit 2008/633/JBZ van de Raad van 23 juni 2008 over de toegang tot het Visuminformatiesysteem (VIS) voor raadpleging door de aangewezen autoriteiten van de lidstaten en Europol, met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten (PB L 218 van 13.8.2008, blz. 129).

(32)  Verordening (EU) 2018/1240 van het Europees Parlement en de Raad van 12 september 2018 tot oprichting van een Europees reisinformatie- en -autorisatiesysteem (Etias) en tot wijziging van de Verordeningen (EU) nr. 1077/2011, (EU) nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 en (EU) 2017/2226 (PB L 236 van 19.9.2018, blz. 1).

(33)  Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad van 15 maart 2017 inzake terrorismebestrijding en ter vervanging van Kaderbesluit 2002/475/JBZ van de Raad en tot wijziging van Besluit 2005/671/JBZ van de Raad (PB L 88 van 31.3.2017, blz. 6).

(34)  Kaderbesluit 2002/584/JBZ van de Raad van 13 juni 2002 betreffende het Europees aanhoudingsbevel en de procedures van overlevering tussen de lidstaten (PB L 190 van 18.7.2002, blz. 1).

(35)  Verordening (EG) nr. 767/2008 van het Europees Parlement en de Raad van 9 juli 2008 betreffende het Visuminformatiesysteem (VIS) en de uitwisseling tussen de lidstaten van gegevens op het gebied van visa voor kort verblijf (VIS-verordening) (PB L 218 van 13.8.2008, blz. 60).

(36)  Verordening (EU) nr. 603/2013 van het Europees Parlement en van de Raad van 26 juni 2013 betreffende de instelling van "Eurodac" voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van Verordening (EU) nr. 604/2013 tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een verzoek om internationale bescherming dat door een onderdaan van een derde land of een staatloze bij een van de lidstaten wordt ingediend en betreffende verzoeken van rechtshandhavingsinstanties van de lidstaten en Europol om vergelijkingen van Eurodac-gegevens ten behoeve van rechtshandhaving, en tot wijziging van Verordening (EU) nr. 1077/2011 tot oprichting van een Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (PB L 180 van 29.6.2013, blz. 1).

(37)  Verordening (EG) nr. 168/2007 van de Raad van 15 februari 2007 tot oprichting van een Bureau van de Europese Unie voor de grondrechten (PB L 53 van 22.2.2007, blz. 1).

(38)  Verordening (EU) 2016/1624 van het Europees Parlement en de Raad van 14 september 2016 betreffende de Europese grens- en kustwacht, tot wijziging van Verordening (EU) 2016/399 van het Europees Parlement en de Raad en tot intrekking van Verordening (EG) nr. 863/2007 van het Europees Parlement en de Raad, Verordening (EG) nr. 2007/2004 van de Raad en Besluit 2005/267/EG van de Raad (PB L 251 van 16.9.2016, blz. 1).