Publicatieblad
van de Europese Unie
NL
L-serie
|
|
Publicatieblad |
NL L-serie |
|
2026/798 |
8.4.2026 |
UITVOERINGSVERORDENING (EU) 2026/798 VAN DE COMMISSIE
van 7 april 2026
tot vaststelling van uitvoeringsbepalingen voor Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad ten aanzien van referentienormen en specificaties voor het instappen op afstand van gebruikers in de Europese portemonnees voor digitale identiteit door middel van elektronische identificatiemiddelen die aan betrouwbaarheidsniveau substantieel voldoen in combinatie met extra instapprocedures op afstand indien de combinatie aan de vereisten van betrouwbaarheidsniveau hoog voldoet
DE EUROPESE COMMISSIE,
Gezien Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (1), en met name artikel 5 bis, lid 24,
Overwegende hetgeen volgt:
|
(1) |
Het instappen van gebruikers in de Europese portemonnees voor digitale identiteit (“portemonnees”) is een cruciale stap ter verificatie van de identiteit van de portemonneegebruikers en de koppeling van de persoonlijke identificatiegegevens van de gebruikers aan hun portemonnees en aan het gebruikersapparaat waarop de portemonnee-eenheden zijn geïnstalleerd. |
|
(2) |
Met het oog op een hoog niveau van vertrouwen en veiligheid en een geharmoniseerde aanpak in de lidstaten voor het instappen van portemonneegebruikers via instapprocedures op afstand in combinatie met elektronische identificatiemiddelen die aan betrouwbaarheidsniveau substantieel voldoen, worden bij deze uitvoeringshandeling specificaties en procedures vastgesteld om het instappen van gebruikers in de Europese portemonnee voor digitale identiteit te faciliteren middels elektronische identificatiemiddelen die voldoen aan betrouwbaarheidsniveau substantieel in combinatie met extra procedures voor het instappen op afstand die gezamenlijk aan de vereisten van betrouwbaarheidsniveau hoog voldoen. |
|
(3) |
Deze normen moeten vastgestelde praktijken weerspiegelen en algemeen erkend zijn in de desbetreffende sectoren. Die normen moeten worden aangepast om er vereisten in op te nemen die de veiligheid en betrouwbaarheid van het instappen van gebruikers waarborgen. |
|
(4) |
In Uitvoeringsverordening (EU) 2015/1502 van de Commissie (2) is bepaald dat het, bij het uitgeven van elektronische identificatiemiddelen met betrouwbaarheidsniveau hoog”, en met inachtneming van het risico van een wijziging van de persoonsidentificatiegegevens, niet nodig is om het proces van bewijs en verificatie van de identiteit opnieuw uit te voeren. Daarom moeten de lidstaten in dat geval gebruikmaken van elektronische identificatiemiddelen die met betrouwbaarheidsniveau hoog zijn uitgegeven, ook voor het instapproces voor de toepassing van deze verordening. |
|
(5) |
Indien de lidstaten gebruikers doen instappen in portemonnees met behulp van een elektronisch identificatiemiddel dat niet bij de Commissie is aangemeld, moet het betrouwbaarheidsniveau van dat middel worden bevestigd door een conformiteitsbeoordelingsinstantie in de zin van artikel 2, lid 13, van Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (3) of door een gelijkwaardige instantie en moet worden aangetoond dat de resultaten van deze eerdere uitgifteprocedure van een elektronisch identificatiemiddel nog steeds geldig zijn. |
|
(6) |
De bijlage bevat de vereisten waaraan moet worden voldaan om een bepaald niveau van identiteitscontrole te bereiken, maar er is geen gelijkwaardigheid vastgesteld met betrekking tot het betrouwbaarheidsniveau overeenkomstig artikel 8 van Verordening (EU) nr. 910/2014. Daarom moeten de in de bijlage vastgestelde vereisten worden beschouwd als uitvoering van die van Uitvoeringsverordening (EU) 2015/1502 en moeten zij worden uitgevoerd door de aanbieder van persoonsidentificatiegegevens of een entiteit die namens die aanbieder identiteitscontrolediensten verleent. |
|
(7) |
De Commissie voert regelmatig beoordelingen uit van nieuwe technologieën, praktijken en technische specificaties. Overeenkomstig overweging 75 van Verordening (EU) 2024/1183 van het Europees Parlement en de Raad (4) moet de Commissie deze uitvoeringsverordening indien nodig evalueren en actualiseren om die in overeenstemming te houden met de mondiale ontwikkelingen, nieuwe technologieën, normen of technische specificaties en om de beste praktijken op de interne markt te volgen, met name ten aanzien van het instappen van gebruikers in de portemonnee. |
|
(8) |
Verordening (EU) 2016/679 van het Europees Parlement en de Raad (5) en, in voorkomend geval, Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (6) en Richtlijn 2002/58/EG van het Europees Parlement en de Raad (7) zijn van toepassing op de activiteiten betreffende de verwerking van persoonsgegevens uit hoofde van deze verordening. |
|
(9) |
De Europese Toezichthouder voor gegevensbescherming is overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 geraadpleegd en heeft op 30 januari 2026 een advies uitgebracht (8). |
|
(10) |
Het bij artikel 48 van Verordening (EU) nr. 910/2014 opgerichte comité heeft binnen de door de voorzitter bepaalde termijn geen advies uitgebracht, |
HEEFT DE VOLGENDE VERORDENING VASTGESTELD:
Artikel 1
De in artikel 5 bis, lid 24, van Verordening (EU) nr. 910/2014 genoemde referentienormen en specificaties zijn vastgesteld in de bijlage bij deze verordening.
Artikel 2
Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Brussel, 7 april 2026.
Voor de Commissie
De voorzitter
Ursula VON DER LEYEN
(1) PB L 257 van 28.8.2014, blz. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Uitvoeringsverordening (EU) 2015/1502 van de Commissie van 8 september 2015 tot vaststelling van minimale technische specificaties en procedures betreffende het betrouwbaarheidsniveau voor elektronische identificatiemiddelen overeenkomstig artikel 8, lid 3, van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (PB L 235 van 9.9.2015, blz. 7, ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).
(3) Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
(4) Verordening (EU) 2024/1183 van het Europees Parlement en de Raad van 11 april 2024 tot wijziging van Verordening (EU) nr. 910/2014, wat betreft de vaststelling van het Europees kader voor digitale identiteit (PB L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(5) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(6) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(7) Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(8) Formele opmerkingen van de Europese Toezichthouder voor gegevensbescherming over het ontwerp van uitvoeringsverordening van de Commissie betreffende het instappen van gebruikers in de Europese portemonnees voor digitale identiteit.
BIJLAGE
Lijst van referentienormen en specificaties
De conformiteit wordt beoordeeld aan de hand van de in deel 1 opgenomen bepalingen van ETSI TS 119 461 V2.1.1 (2025-02), met inachtneming van de in deel 2 vermelde aanpassingen.
Deel 1 — Toepasselijke bepalingen
|
— |
5 |
Beoordeling van operationele risico’s; |
|
— |
6 |
Beleid en praktijken; |
|
— |
7 |
Beheer en werking van identiteitscontrolediensten; |
|
— |
8 |
Vereisten voor identiteitscontrolediensten; |
|
— |
9.1 |
Inleiding, naleving van dit document, algemene vereisten voor alle use cases; |
|
— |
9.2.2 |
Use cases waarbij een identiteitsdocument wordt gebruikt voor identiteitscontrole op afstand in persoon; |
|
— |
9.2.3 |
Use cases waarbij een identiteitsdocument wordt gebruikt voor identiteitscontrole op afstand zonder menselijke inbreng; |
|
— |
9.2.4 |
Use case voor identiteitscontrole door authenticatie met behulp van eID-middelen; |
|
— |
9.5 |
Use cases voor extra identiteitscontrole om een met behulp van eID aangetoonde identiteit van Baseline LoIP tot Extended LoIP te verhogen. |
Deel 2 — Aanpassingen
|
(1) |
5 |
Beoordeling van operationele risico’s |
|
|
|
— |
OVR-5-01: De in ETSI EN 319 401 [1], punt 5 bedoelde vereisten zijn van toepassing. |
|
|
— |
|
||
|
(2) |
6.1 |
Praktijkverklaring van identiteitscontrolediensten |
|
|
|
— |
OVR-6.1-02: Een IPSP (aanbieder van identiteitscontrolediensten) omschrijft in zijn praktijkverklaring de use cases die in overeenstemming met dit document worden geacht. |
|
|
— |
|
||
|
(3) |
7.9 |
Kwetsbaarheden- en incidentenbeheer |
|
|
|
— |
OVR-7.9-02: De rapportageverplichtingen overeenkomstig ETSI EN 319401 [1] REQ-7.9.2-02X en punt 7.9.3 moeten worden vervuld conform de context van de identiteitscontrole en de verplichtingen van de aanbieder van persoonsidentificatiegegevens die gebruikmaakt van de diensten van de IPSP. |
|
|
— |
VOORBEELD: De IPSP en de aanbieder van persoonsidentificatiegegevens kunnen samenwerken voor de rapportage aan de toezichthoudende autoriteit die toezicht houdt op een in de aanwijzende lidstaat gevestigde aanbieder van Europese portemonnees voor digitale identiteit. |
||
|
(4) |
7.10 |
Bewijsgaring |
|
|
|
— |
OVR-7.10-01: De in ETSI EN 319 401 [1], punt 7.10 bedoelde vereisten zijn van toepassing. |
|
|
— |
|
||
|
— |
|
||
|
(5) |
7.11 |
Beheer van de bedrijfscontinuïteit |
|
|
|
— |
OVR-7.11-02: Het proces voor crisisbeheer overeenkomstig ETSI EN 319401 [1] REQ-7.11.3-01X is zoals vereist conform de context van de identiteitscontrole en de verplichtingen van de aanbieder van persoonsidentificatiegegevens die gebruikmaakt van de diensten van de IPSP. |
|
|
(6) |
7.12 |
Beëindiging en beëindigingsplannen |
|
|
|
— |
OVR-7.12-01: De in ETSI EN 319401 [1], punt 7.12 bedoelde vereisten zijn van toepassing, uitgezonderd REQ-7.12-11. |
|
|
— |
|
||
|
(7) |
8.1 |
Initiatie |
|
|
|
— |
INI-8.1-05: Indien het proces voor identiteitscontrole op afstand wordt afgebroken of mislukt, zorgt de IPSP ervoor dat personen voldoende uitleg en oplossingen krijgen, met name in het geval van identiteitscontrole op afstand zonder menselijke inbreng. De informatie moet waarborgen dat personen daadwerkelijk kunnen bijdragen tot een snelle oplossing van het probleem en, indien nodig, hun rechten als betrokkene — zoals het recht op rectificatie of de mogelijkheid om het besluit aan te vechten — kunnen doen gelden jegens de betrokken verwerkingsverantwoordelijke. |
|
|
(8) |
8.2.1. |
Algemene voorschriften |
|
|
|
— |
COL-8.2.1-08: De IPSP voert maatregelen uit opdat tijdens het instapproces aan de voorwaarden inzake gegevensbescherming door ontwerp en door standaardinstellingen overeenkomstig artikel 25 van Verordening (EU) 2016/679 wordt voldaan, met name inzake de verwerking van biometrische gegevens. Relevante maatregelen kunnen bestaan uit afdoende privacybevorderende cryptografische controles, apparatuur en organisatorische maatregelen. Die maatregelen moeten de gegevensverzameling beperken tot hetgeen strikt noodzakelijk is voor de verwerking van biometrische gegevens en andere persoonsgegevens die uit de fysieke en digitale identificatiebronnen moeten worden verzameld om de persoonlijke identificatiegegevens van de gebruiker te koppelen aan de portemonnees en aan het apparaat van de gebruiker waarop de portemonnee-eenheid is geïnstalleerd. |
|
|
(9) |
8.2.4 |
Gebruik van bestaande eID-middelen als bewijs |
|
|
|
— |
[VOORWAARDELIJK] COL-8.2.4-02X: Indien de Baseline LoIP wordt beoogd, moeten de eID-middelen ten minste zijn aangemeld op eIDAS- betrouwbaarheidsniveau substantieel of is het betrouwbaarheidsniveau van dat middel bevestigd door een conformiteitsbeoordelingsinstantie in de zin van artikel 2, lid 13, van Verordening (EG) nr. 765/2008 of door een gelijkwaardige instantie en, indien alle toepasselijke voorwaarden zijn vervuld, leidt de beoordeling tot een certificaat van overeenstemming op basis van een certificeringsaudit. Dit formele certificeringsproces is gebaseerd op een veiligheidsevaluatie aan de hand van de betrouwbaarheidsniveaus die overeenkomstig Verordening (EU) nr. 910/2014 zijn vastgelegd voor aangemelde elektronische identificatiemiddelen of gecertificeerde Europese portemonnees voor digitale identiteit [i.25]. |
|
|
— |
COL-8.2.4-02A: ongeldig |
||
|
(10) |
8.3.1. |
Algemene voorschriften |
|
|
|
— |
VAL-8.3.1-11X: Bij het proces voor identiteitscontrole wordt nagegaan of het bewijs geldig is op het moment van de identiteitscontrole. |
|
|
(11) |
8.3.3 |
Validering van document met betrekking tot fysieke identiteit |
|
|
|
— |
VAL-8.3.3-21: De doeltreffendheid van de maatregelen om te voldoen aan de vereisten VAL-8.3.3-05X, VAL-8.3.3-05A, VAL-8.3.3-05B, VAL-8.3.3-05C, VAL-8.3.3-07A en VAL-8.3.3-07X wordt bevestigd door een geaccrediteerde conformiteitsbeoordelingsinstantie in de zin van artikel 2, lid 13, van Verordening (EG) nr. 765/2008 of een gelijkwaardige instantie. |
|
|
— |
VAL-8.3.3-22: De referentiegezichtsafbeelding van het fysieke identiteitsdocument wordt verkregen met behulp van near field communication en er wordt bij het proces een passieve of een actieve authenticatie op de chip op het fysieke identiteitsdocument uitgevoerd. |
||
|
(12) |
9.1 |
Inleiding, naleving van dit document, algemene vereisten voor alle use cases |
|
|
|
— |
USE-9.1-01X: Om in overeenstemming te zijn met dit document, voldoet een proces voor identiteitscontrole aan de use case van punt 9.5 van dit document voor Extended LoIP. |
|
|
— |
USE-9.1-03X: ongeldig |
||
|
(13) |
9.2.3.4 |
Praktijkvoorbeeld voor geautomatiseerde uitvoering |
|
|
|
— |
USE-9.2.3.4-04: De IPSP stelt streefwaarden voor de FAR en FRR vast, op basis van een risicoanalyse en de bijbehorende procedure voor het verschaffen van inzicht in dreigingen, met behulp van de methode uit het Enisa-verslag “Methodology for sectoral cybersecurity assessments” [i.28] of een gelijkwaardige methode, in volledig geautomatiseerde processen voor identiteitscontrole. Deze streefwaarden zijn gelijk aan of lager dan die welke worden vastgesteld voor gevallen van gemengd gebruik, voor zover die bestaan. De IPSP houdt op consistente wijze vast aan deze streefwaarden voor FAR en FRR, gesteund door een risicoanalyse en de bijbehorende procedure voor het verschaffen van inzicht in dreigingen. |
|
|
(14) |
9.5.1. |
Algemene voorschriften |
|
|
|
— |
Eerste zin: Indien de aanvrager een natuurlijke persoon is, met inbegrip van een natuurlijke persoon die een rechtspersoon vertegenwoordigt, en de identiteit van de aanvrager is aangetoond tot baseline LoIP door middel van authenticatie met behulp van een eID, en een verhoging tot Extended LoIP is vereist, zijn de volgende vereisten van toepassing. |
|
|
— |
USE-9.5.1-08: De extra identiteitscontrole die nodig is om de betrouwbaarheid van een identiteit te verhogen, is alleen van toepassing voor een eID die niet is afgegeven op basis van een geautomatiseerde vergelijking tussen gezichtsafbeeldingen voor het initiële proces van afgifte. |
||
|
(15) |
9.5.2 |
Use case voor het verhogen van identiteitscontrole tot Extended LoIP door middel van een volledige identiteitscontrole met behulp van een identiteitsdocument |
|
|
|
— |
USE-9.5.2-01: De identiteitscontrole ter verhoging van Baseline naar Extended LoIP moet voldoen aan de vereisten voor Extended LoIP van een van de in punt 9.2.2 of 9.2.3 van dit document beschreven use cases voor Extended LoIP. |
|
|
(16) |
9.5.3 |
Use case voor het verhogen van identiteitscontrole tot Extended LoIP door middel van een eerder vastgelegde referentiegezichtsafbeelding |
|
|
|
— |
USE-9.5.3-01: Om een referentiegezichtsafbeelding vast te leggen en de nodige identiteitsattributen aan die referentiegezichtsafbeelding te verbinden, wordt gebruikgemaakt van een proces voor identiteitscontrole dat voldoet aan de vereisten voor Extended LoIP van een van de in punt 9.2.2 of 9.2.3 van dit document beschreven use cases, of van een een proces voor identiteitscontrole dat aan een collegiale toetsing is onderworpen of is gecertificeerd door een geaccrediteerde conformiteitsbeoordelingsinstantie in de zin van artikel 2, lid 13, van Verordening (EG) nr. 765/2008 of een gelijkwaardige instantie om aan de vereisten van betrouwbaarheidsniveau hoog te voldoen overeenkomstig Verordening (EU) nr. 910/2014 [i.25]. |
ELI: http://data.europa.eu/eli/reg_impl/2026/798/oj
ISSN 1977-0758 (electronic edition)