1.   Ecris-TCN bestaat uit:

2.   Het centrale systeem wordt door eu-LISA gehost op zijn technische locaties.

3.   De interfacesoftware wordt geïntegreerd in de Ecris-referentie-implementatie. De lidstaten gebruiken de Ecris-referentie-implementatie of, in de situatie en de omstandigheden bedoeld in de leden 4 tot en met 8, de nationale Ecris-implementatiesoftware, om Ecris-TCN te bevragen, alsmede om daaropvolgende verzoeken om gegevens uit strafregisters te verzenden.

4.   De lidstaten die hun nationale Ecris-implementatiesoftware gebruiken, zien erop toe dat hun nationale Ecris-implementatiesoftware hun met het nationale strafregister belaste autoriteiten in staat stelt Ecris-TCN, met uitzondering van de interfacesoftware, overeenkomstig deze verordening te gebruiken. Daartoe zorgen zij er, vóór de datum van ingebruikneming van Ecris-TCN krachtens artikel 35, lid 4, voor dat hun nationale Ecris-implementatiesoftware functioneert conform de protocollen en technische specificaties die bij de in artikel 10 bedoelde uitvoeringshandelingen zijn vastgesteld, en conform eventuele nadere technische voorschriften die door eu-LISA uit hoofde van deze verordening zijn vastgesteld op basis van die uitvoeringshandelingen.

5.   Zolang zij geen gebruikmaken van de Ecris-referentie-implementatie, zorgen de lidstaten die hun nationale Ecris-implementatiesoftware gebruiken tevens zonder onnodige vertraging voor de implementatie van eventuele latere technische aanpassingen van hun nationale Ecris-implementatiesoftware die noodzakelijk zijn vanwege wijzigingen van de technische specificaties die bij de in artikel 10 bedoelde uitvoeringshandelingen zijn vastgesteld, of wijzigingen van eventuele nadere technische voorschriften die door eu-LISA uit hoofde van deze verordening zijn vastgesteld op basis van die uitvoeringshandelingen.

6.   De lidstaten die hun nationale Ecris-implementatiesoftware gebruiken, dragen alle kosten die verbonden zijn aan de implementatie, het onderhoud en de verdere ontwikkeling van hun nationale Ecris-implementatiesoftware en de onderlinge koppeling ervan met Ecris-TCN, met uitzondering van de interfacesoftware.

7.   Indien een lidstaat die zijn nationale Ecris-implementatiesoftware gebruikt niet in staat is zijn verplichtingen uit hoofde van dit artikel na te komen, wordt hij verplicht gebruik te maken van de Ecris-referentie-implementatie, met inbegrip van de geïntegreerde interfacesoftware, om Ecris-TCN te gebruiken.

8.   De betrokken lidstaten verschaffen de Commissie alle noodzakelijke informatie met het oog op de door de Commissie uit te voeren beoordeling uit hoofde van artikel 36, lid 10, onder b).

1.   Voor elke veroordeelde onderdaan van een derde land creëert de centrale autoriteit van de lidstaat van veroordeling een gegevensbestand in het centrale systeem. Het gegevensbestand bevat:

2.   De in lid 1, onder b), van dit artikel bedoelde vingerafdrukgegevens voldoen aan de technische specificaties voor de kwaliteit, resolutie en het verwerken van vingerafdrukgegevens, die zijn voorzien in de in artikel 10, lid 1, onder b), bedoelde uitvoeringshandeling. De code van de lidstaat van veroordeling maakt deel uit van het referentienummer van de vingerafdrukgegevens van de veroordeelde.

3.   Indien het krachtens het nationale recht van de veroordelende lidstaat is toegestaan gezichtsopnamen van veroordeelden te verzamelen en op te slaan, kan het gegevensbestand ook gezichtsopnamen van veroordeelde onderdanen van een derde land bevatten.

4.   De veroordelende lidstaat creëert het gegevensbestand automatisch waar mogelijk en zo spoedig mogelijk nadat de veroordeling in het strafregister is opgenomen.

5.   De veroordelende lidstaten creëren tevens gegevensbestanden voor veroordelingen die vóór de datum van invoering van gegevens overeenkomstig artikel 35, lid 1 zijn uitgesproken, voor zover er in hun nationale databanken gegevens in verband met veroordeelden zijn opgeslagen. In dergelijke gevallen worden vingerafdrukgegevens uitsluitend opgenomen indien zij overeenkomstig het nationale recht tijdens strafrechtelijke procedures waren verzameld, en indien zij duidelijk kunnen worden gematcht met andere identiteitsgegevens in het strafregister.

6.   Om te voldoen aan de verplichtingen van lid 1, onder b), punten i) en ii), en lid 5, kunnen de lidstaten vingerafdrukgegevens gebruiken die zijn verzameld voor andere doeleinden dan een strafrechtelijke procedure, wanneer dat gebruik is toegestaan krachtens het nationale recht.

1.   Tot de inwerkingtreding van de in lid 2 bedoelde gedelegeerde handeling, worden gezichtsopnamen uitsluitend gebruikt ter bevestiging van de identiteit van een onderdaan van een derde land die werd geïdentificeerd als gevolg van een alfanumerieke zoekopdracht of een zoekopdracht op vingerafdrukgegevens.

2.   De Commissie is bevoegd overeenkomstig artikel 37 gedelegeerde handelingen vast te stellen om deze verordening betreffende het gebruik van gezichtsopnamen voor de vaststelling van de identiteit van onderdanen van derde landen aan te vullen teneinde vast te stellen welke lidstaten informatie hebben over eerdere veroordelingen met betrekking tot die personen, zodra dit technisch mogelijk is. Voordat de Commissie deze bevoegdheid uitoefent, beoordeelt zij, rekening houdend met noodzakelijkheid en evenredigheid, alsmede met de technische ontwikkelingen op het gebied van gezichtsherkenningssoftware, de beschikbaarheid en gereedheid van de vereiste technologie.

1.   De centrale autoriteiten maken gebruik van Ecris-TCN om vast te stellen welke lidstaten beschikken over strafregistergegevens over een onderdaan van een derde land met als doel via Ecris informatie te verkrijgen over eerdere veroordelingen wanneer in de betrokken lidstaat wordt verzocht om strafregistergegevens over die persoon ten behoeve van een strafrechtelijke procedure tegen die persoon of voor een van de volgende doelen, overeenkomstig het nationaal recht indien het hierin voorziet:

In andere specifieke gevallen dan die waarin een onderdaan van een derde land de centrale autoriteit verzoekt om gegevens over zichzelf uit het strafregister, of waarin het verzoek wordt gedaan om strafregistergegevens te verkrijgen krachtens artikel 10, lid 2, van Richtlijn 2011/93/EU, kan de om strafregistergegevens verzoekende autoriteit besluiten dat het gebruik van Ecris-TCN niet gepast is.

2.   Iedere lidstaat die beslist om, overeenkomstig het nationaal recht indien het hierin voorziet, Ecris-TCN te gebruiken voor andere doeleinden dan bepaald in lid 1, om via Ecris informatie te verkrijgen betreffende eerdere veroordelingen, stelt uiterlijk op de datum van ingebruikneming overeenkomstig artikel 35, lid 4, of een latere datum, de Commissie in kennis van die andere doeleinden en van alle wijzigingen daartoe. Die kennisgevingen worden binnen dertig dagen na ontvangst van de kennisgevingen door de Commissie gepubliceerd in het Publicatieblad van de Europese Unie.

3.   Eurojust, Europol en het EOM hebben het recht om mogen Ecris-TCN te bevragen om overeenkomstig de artikelen 14 tot en met 18 vast te stellen welke lidstaten over strafregistergegevens van een onderdaan van een derde land beschikken. Zij mogen evenwel geen gegevens in Ecris-TCN invoeren, rectificeren of wissen.

4.   Voor de in de leden 1, 2 en 3 bedoelde doelen kunnen de bevoegde autoriteiten kunnen Ecris-TCN ook bevragen om, wanneer het om een burger van de Unie gaat, na te gaan welke lidstaten over strafregistergegevens van deze persoon als onderdaan van een derde land beschikken.

5.   Bij bevragingen van Ecris-TCN kunnen de bevoegde autoriteiten gebruikmaken van alle of van een deel van de in artikel 5, lid 1, genoemde gegevens. In een overeenkomstig artikel 10, lid 1, onder g), vastgestelde uitvoeringshandeling wordt nader bepaald welke reeks gegevens ten minste nodig is om het systeem te bevragen.

6.   De bevoegde autoriteiten kunnen Ecris-TCN ook bevragen met behulp van gezichtsopnamen, mits die functie overeenkomstig artikel 6, lid 2, is ingevoerd.

7.   Bij een treffer verstrekt het centrale systeem de bevoegde autoriteit automatisch informatie over de lidstaten die over strafregistergegevens van een onderdaan van een derde land beschikken, alsmede de bijbehorende referentienummers en alle overeenkomstige identiteitsgegevens. Deze identiteitsgegevens worden uitsluitend gebruikt ter verificatie van de identiteit van de betrokken onderdaan van een derde land. Het resultaat van een zoekopdracht in het centrale systeem mag uitsluitend worden gebruikt voor een verzoek overeenkomstig artikel 6 van Kaderbesluit 2009/315/JBZ of overeenkomstig artikel 17, lid 1, van deze verordening.

8.   Indien er geen treffer is, stelt het centrale systeem de bevoegde autoriteit daarvan automatisch in kennis.

1.   Elk gegevensbestand wordt in het centrale systeem opgeslagen zolang de gegevens over de veroordelingen van de betrokkene in het strafregister worden opgeslagen.

2.   Na het verstrijken van de in lid 1 bedoelde bewaringstermijn wist de centrale autoriteit van de lidstaat van veroordeling het gegevensbestand, met inbegrip van vingerafdrukgegevens of gezichtsopnamen, uit het centrale systeem. Het wissen van gegevens gebeurt waar mogelijk automatisch en in ieder geval uiterlijk één maand na het verstrijken van de bewaringstermijn.

1.   De lidstaten mogen de gegevens die zij in Ecris-TCN hebben ingevoerd, wijzigen of wissen.

2.   Na elke wijziging van de gegevens in het strafregister die tot het creëren van een gegevensbestand overeenkomstig artikel 5 heeft geleid, volgt zonder onnodige vertraging een identieke wijziging door de lidstaat van veroordeling van de gegevens die zijn opgeslagen in dat gegevensbestand in het centrale systeem.

3.   Indien een lidstaat van veroordeling reden heeft om aan te nemen dat de gegevens die hij in het centrale systeem heeft opgeslagen, onjuist zijn of dat er gegevens in het centrale systeem zijn verwerkt in strijd met deze verordening:

4.   Indien een andere lidstaat dan de lidstaat van veroordeling die de gegevens heeft ingevoerd, reden heeft om aan te nemen dat de in het centrale systeem opgeslagen gegevens onjuist zijn of dat er gegevens in het centrale systeem werden verwerkt in strijd met deze verordening, neemt hij zonder onnodige vertraging contact op met de centrale autoriteit van de lidstaat van veroordeling.

De lidstaat van veroordeling:

1.   De Commissie stelt de uitvoeringshandelingen vast die nodig zijn om Ecris-TCN zo spoedig mogelijk technisch te ontwikkelen en te implementeren, en met name handelingen inzake:

2.   De in lid 1 bedoelde uitvoeringshandelingen worden volgens de in artikel 38, lid 2, bedoelde onderzoeksprocedure vastgesteld.

1.   Eu-LISA is verantwoordelijk voor de ontwikkeling van Ecris-TCN in overeenstemming met het beginsel van gegevensbescherming door ontwerp en door standaardinstellingen. Daarnaast is eu-LISA verantwoordelijk voor het operationele beheer van Ecris-TCN. De ontwikkeling omvat de uitwerking en implementatie van de technische specificaties, het testen en de algehele projectcoördinatie.

2.   Eu-LISA is ook verantwoordelijk voor de verdere ontwikkeling en het onderhoud van de Ecris-referentie-implementatie.

3.   Eu-LISA bepaalt het ontwerp van de fysieke architectuur van Ecris-TCN, met inbegrip van de technische specificaties en de evolutie daarvan met betrekking tot het nationale centrale toegangspunt en de interfacesoftware. Dat ontwerp wordt vastgesteld door de raad van bestuur, na een gunstig advies van de Commissie.

4.   Eu-LISA ontwikkelt en implementeert Ecris-TCN zo spoedig mogelijk na de inwerkingtreding van deze verordening en na de vaststelling door de Commissie van de in artikel 10 bedoelde uitvoeringshandelingen.

5.   Vóór de ontwerp- en ontwikkelingsfase van Ecris-TCN stelt de raad van bestuur van eu-LISA een programmabestuursraad in, die uit tien leden bestaat.

De programmabestuursraad bestaat uit acht leden die door de raad van bestuur worden aangewezen, de voorzitter van de in artikel 39 bedoelde adviesgroep en één door de Commissie aangewezen lid. De door de raad van bestuur aangewezen leden worden uitsluitend gekozen uit de lidstaten die krachtens het Unierecht geheel aan de wetgevingsinstrumenten betreffende Ecris zijn gebonden en aan Ecris-TCN zullen deelnemen. De raad van bestuur zorgt ervoor dat de leden die hij voor de programmabestuursraad aanwijst, over de nodige ervaring en deskundigheid beschikken op het gebied van de ontwikkeling en het beheer van IT-systemen ter ondersteuning van justitiële en voor strafregisters bevoegde autoriteiten.

Eu-LISA neemt deel aan de werkzaamheden van de programmabestuursraad. De vertegenwoordigers van eu-LISA wonen daartoe de vergaderingen van de programmabestuursraad bij om verslag uit te brengen over het ontwerp en de ontwikkeling van Ecris-TCN en over enige andere daarmee verband houdende werkzaamheden en activiteiten.

De programmabestuursraad komt ten minste eenmaal per kwartaal bijeen, en vaker indien nodig. De programmabestuursraad zorgt voor een adequaat beheer van de ontwerp- en ontwikkelingsfase van Ecris-TCN en voor samenhang tussen centrale en nationale Ecris-TCN-projecten, en nationale Ecris-implementatiesoftware. De programmabestuursraad brengt over de voortgang van het project regelmatig, indien mogelijk maandelijks, schriftelijk verslag uit aan de raad van bestuur van eu-LISA. De programmabestuursraad heeft geen beslissingsbevoegdheid, noch een mandaat om de leden van de raad van bestuur te vertegenwoordigen.

6.   De programmabestuursraad stelt zijn reglement van orde op, met daarin met name regels inzake:

7.   Het voorzitterschap van de programmabestuursraad wordt bekleed door een lidstaat die krachtens het Unierecht geheel is gebonden door de wetgevingsinstrumenten betreffende Ecris en de wetgevingsinstrumenten inzake de ontwikkeling, de instelling, het functioneren en het gebruik van alle door eu-LISA beheerde grootschalige IT-systemen.

8.   Alle door de leden van de programmabestuursraad gemaakte reis- en verblijfkosten worden betaald door het agentschap. Artikel 10 van het reglement van orde van eu-LISA is van overeenkomstige toepassing. Het secretariaat van de programmabestuursraad wordt verzorgd door eu-LISA.

9.   Tijdens de ontwerp- en ontwikkelingsfase bestaat de in artikel 39 bedoelde adviesgroep uit de nationale projectbeheerders van Ecris-TCN en wordt zij door eu-LISA voorgezeten. Tijdens de ontwerp- en ontwikkelingsfase vergadert deze groep regelmatig, indien mogelijk ten minste eenmaal per maand, totdat Ecris-TCN in gebruik wordt genomen. Zij brengt na elke bijeenkomst verslag uit aan de programmabestuursraad. De groep levert de technische deskundigheid ter ondersteuning van de taken van de programmabestuursraad en houdt de voorbereidingen van de lidstaten bij.

10.   Opdat de vertrouwelijkheid en de integriteit van de in Ecris-TCN opgeslagen gegevens te allen tijde wordt gewaarborgd, neemt eu-LISA, in samenwerking met de lidstaten, passende technische en organisatorische maatregelen, rekening houdend met de stand van de techniek, de implementatiekosten en de aan de verwerking verbonden risico's.

11.   Eu-LISA is verantwoordelijk voor de volgende taken in verband met de in artikel 4, lid 1, onder d), bedoelde communicatie-infrastructuur:

12.   De Commissie is verantwoordelijk voor alle andere taken in verband met de communicatie-infrastructuur, als bedoeld in artikel 4, lid 1, onder d), met name:

13.   Eu-LISA ontwikkelt en onderhoudt een mechanisme en procedures ter controle van de kwaliteit van de gegevens die in het centrale Ecris-TCN bewaard worden en brengt regelmatig verslag uit aan de lidstaten. Eu-LISA brengt de Commissie regelmatig verslag uit over geconstateerde problemen en over de betrokken lidstaten.

14.   Het operationele beheer van Ecris-TCN omvat alle taken die nodig zijn om Ecris-TCN operationeel te houden overeenkomstig deze verordening, en met name de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een bevredigende werking van Ecris-TCN, overeenkomstig de technische specificaties.

15.   Eu-LISA vervult taken met betrekking tot het bieden van opleiding over het technische gebruik van Ecris-TCN en de Ecris-referentie-implementatie.

16.   Onverminderd artikel 17 van het Statuut van de ambtenaren van de Europese Unie, als neergelegd in Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (17), past eu-LISA passende voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op elk personeelslid dat moet werken met gegevens die zijn opgeslagen in het centrale systeem. Deze geheimhoudingsplicht blijft ook gelden nadat het betreffende personeelslid zijn functie of dienstverband heeft beëindigd of zijn werkzaamheden heeft stopgezet.

1.   Elke lidstaat is verantwoordelijk voor:

2.   Elke lidstaat geeft het personeel van zijn centrale autoriteit met een toegangsrecht tot Ecris-TCN een passende opleiding, met name op het gebied van de regels inzake gegevensbeveiliging en gegevensbescherming en van toepasselijke grondrechten, alvorens hen te machtigen om in het centrale systeem opgeslagen gegevens te verwerken.

1.   Overeenkomstig de toepasselijke voorschriften van de Unie inzake gegevensbescherming zorgt elke lidstaat ervoor dat de gegevens die in Ecris-TCN worden opgeslagen, op rechtmatige wijze worden verwerkt, en met name dat:

2.   Eu-LISA zorgt ervoor dat Ecris-TCN functioneert overeenkomstig deze verordening, de in artikel 6, lid 2, bedoelde gedelegeerde handeling en de in artikel 10 bedoelde uitvoeringshandelingen, evenals overeenkomstig Verordening (EU) 2018/1725 van de Raad. Eu-LISA neemt met name de nodige maatregelen ter beveiliging van het centrale systeem en de communicatie-infrastructuur zoals bedoeld in artikel 4, lid 1, onder d), onverminderd de verantwoordelijkheden van elke lidstaat.

3.   Eu-LISA stelt het Europees Parlement, de Raad en de Commissie, alsmede de Europese Toezichthouder voor gegevensbescherming in kennis van de maatregelen die het op grond van lid 2 neemt voor de ingebruikneming van Ecris-TCN, zo snel mogelijk nadat dergelijke maatregelen zijn getroffen.

4.   De Commissie stelt de in lid 3 bedoelde informatie aan de lidstaten en het publiek ter beschikking door middel van een regelmatig geactualiseerde openbare website.

1.   Eurojust heeft directe toegang tot Ecris-TCN met het oog op de toepassing van artikel 17, alsmede op het vervullen van zijn taken uit hoofde van artikel 2 van Verordening (EU) 2018/1727, teneinde vast te stellen welke lidstaten over informatie over eerdere veroordelingen van onderdanen van derde landen beschikken.

2.   Europol heeft directe toegang tot Ecris-TCN met het oog op het vervullen van zijn taken uit hoofde van artikel 4, lid 1, onder a) tot en met e), en h), van Verordening (EU) 2016/794, teneinde vast te stellen welke lidstaten over informatie over eerdere veroordelingen van onderdanen van derde landen beschikken.

3.   Het EOM heeft directe toegang tot Ecris-TCN met het oog op het vervullen van zijn taken uit hoofde van artikel 4 van Verordening (EU) 2017/1939, teneinde vast te stellen welke lidstaten over informatie over eerdere veroordelingen van onderdanen van derde landen beschikken.

4.   Na een treffer waarbij wordt aangegeven welke lidstaten over strafregistergegevens van een onderdaan van een derde land beschikken, kunnen Eurojust, Europol en het EOM hun respectieve contacten met de nationale autoriteiten van die lidstaten aanwenden om de strafregistergegevens op te vragen zoals omschreven in hun respectieve oprichtingsbesluiten.

1.   Derde landen en internationale organisaties kunnen, met het oog op strafrechtelijke procedures, verzoeken om informatie over welke lidstaat eventueel beschikt over strafregistergegevens van een onderdaan van een derde land, tot Eurojust richten. Daartoe maken zij gebruik van het standaardformulier in de bijlage bij deze verordening.

2.   Bij ontvangst van een verzoek uit hoofde van lid 1, maakt Eurojust gebruik van Ecris-TCN om te bepalen welke lidstaten eventueel beschikken over strafregistergegevens over de betrokken onderdaan van een derde land.

3.   Indien er een treffer is, gaat Eurojust bij de lidstaat die over strafregistergegevens over de betrokken onderdaan van een derde land beschikt, na of zij ermee akkoord gaat dat Eurojust het derde land of de internationale organisatie in kennis stelt van de naam van de betrokken lidstaat. Indien die lidstaat toestemming geeft, stelt Eurojust het derde land of de internationale organisatie in kennis van de naam van die lidstaat, en deelt het derde land of de internationale organisatie mee hoe bij die lidstaat volgens de toepasselijke procedures een verzoek om uittreksels uit het strafregister kan worden ingediend.

4.   Indien er geen treffer is of Eurojust overeenkomstig lid 3 geen antwoord kan verstrekken over verzoeken die krachtens dit artikel werden ingediend, meldt Eurojust het betrokken derde land of internationale organisatie dat het de procedure heeft voltooid, zonder aan te geven of een van de lidstaten over strafregistergegevens over de betrokken persoon beschikt.

1.   Eu-LISA neemt de nodige maatregelen om de beveiliging van Ecris-TCN te waarborgen, onverminderd de op elke lidstaat rustende verantwoordelijkheden en rekening houdend met de in lid 3 bedoelde beveiligingsmaatregelen.

2.   Ten aanzien van het functioneren van Ecris-TCN neemt eu-LISA de nodige maatregelen ter verwezenlijking van de doelstellingen van lid 3, met inbegrip van de vaststelling van een beveiligingsplan en een bedrijfscontinuïteits- en uitwijkplan, en zorgt eu-LISA ervoor dat de geïnstalleerde systemen in geval van onderbreking kunnen worden hersteld.

3.   De lidstaten zorgen voor de beveiliging van de gegevens vóór en tijdens de verzending ervan naar en de ontvangst ervan vanuit het nationale centrale toegangspunt. In het bijzonder is elke lidstaat er verantwoordelijk voor:

4.   Eu-LISA en de lidstaten werken samen om te zorgen voor een coherente aanpak van gegevensbeveiliging op basis van een beheerproces inzake beveiligingsrisico's dat het gehele Ecris-TCN omvat.

1.   Elke persoon of lidstaat die ten gevolge van een onrechtmatige verwerking of van een andere handeling die onverenigbaar is met deze verordening materiële of immateriële schade heeft geleden, heeft recht op schadevergoeding van:

De betrokken lidstaat die verantwoordelijk is voor de geleden schade of eu-LISA wordt geheel of gedeeltelijk van zijn aansprakelijkheid ontheven indien hij, c.q. het, kan aantonen dat hij, c.q. het, niet verantwoordelijk is voor het schadetoebrengende feit.

2.   Indien schade aan Ecris-TCN ontstaat doordat een lidstaat, Eurojust, Europol of het EOM zijn verplichtingen uit hoofde van deze verordening niet is nagekomen, is respectievelijk deze lidstaat, Eurojust, Europol en het EOM daarvoor aansprakelijk, tenzij en voor zover eu-LISA of een andere lidstaat die aan Ecris-TCN deelneemt, heeft nagelaten redelijke stappen te ondernemen om de schade te voorkomen of de omvang ervan zo veel mogelijk te beperken.

3.   Op vorderingen tegen een lidstaat tot vergoeding van de in de leden 1 en 2 bedoelde schade is het recht van de gedaagde lidstaat van toepassing. Op vorderingen tegen eu-LISA, Eurojust, Europol en het EOM tot vergoeding van de in de leden 1 en 2 bedoelde schade die bij hun respectieve oprichtingsbesluiten geregeld is.

1.   Elke centrale autoriteit moet worden beschouwd als gegevensverwerkingsverantwoordelijke overeenkomstig de toepasselijke gegevensbeschermingsregels van de Unie wat betreft de verwerking van persoonsgegevens door de lidstaat krachtens deze verordening.

2.   Eu-LISA wordt beschouwd als gegevensverwerker in de zin van Verordening (EU) 2018/1725 wat betreft de persoonsgegevens die door de lidstaten in het centrale systeem worden ingevoerd.

1.   De gegevens die zijn ingevoerd in het centrale systeem worden uitsluitend verwerkt om vast te stellen welke lidstaten over strafregistergegevens over onderdanen van derde landen beschikken.

2.   Met uitzondering van de daartoe gemachtigde personeelsleden van Eurojust, Europol en het EOM, die toegang hebben tot Ecris-TCN voor de toepassing van deze verordening, is de toegang tot Ecris-TCN uitsluitend voorbehouden aan de daartoe gemachtigde personeelsleden van de centrale autoriteiten. De toegang is beperkt tot hetgeen vereist is voor het vervullen van de taken overeenkomstig het in lid 1 bedoelde doel en is beperkt tot hetgeen nodig is voor en in verhouding staat tot de nagestreefde doelen.

1.   De verzoeken van onderdanen van derde landen betreffende het recht op inzage, rectificatie, het wissen en de beperking van de verwerking van persoonsgegevens die in de toepasselijke gegevensbeschermingsregels van de Unie zijn opgenomen, kunnen aan de centrale autoriteit van ongeacht welke lidstaat worden gericht.

2.   Indien er een verzoek wordt gericht tot een andere lidstaat dan de lidstaat van veroordeling, zendt de aangezochte lidstaat het verzoek zonder onnodige vertraging en in ieder geval binnen tien werkdagen na ontvangst ervan toe aan de lidstaat van veroordeling. Bij ontvangst van het verzoek doet de lidstaat van veroordeling het volgende:

3.   Indien blijkt dat de in Ecris-TCN opgeslagen gegevens onjuist zijn of onrechtmatig zijn verwerkt, worden zij overeenkomstig artikel 9 door de lidstaat van veroordeling gerectificeerd of gewist. De lidstaat van veroordeling of, indien van toepassing, de aangezochte lidstaat, geeft de betrokkene zonder onnodige vertraging de schriftelijke bevestiging dat het nodige is gedaan om de gegevens betreffende die betrokkene te rectificeren of te wissen. De lidstaat van veroordeling stelt ook zonder onnodige vertraging andere lidstaten die als gevolg van een bevraging van Ecris-TCN informatie inzake veroordelingen hebben ontvangen, in kennis van de maatregelen die zijn genomen.

4.   Indien de lidstaat van veroordeling er niet mee akkoord gaat dat de in Ecris-TCN opgeslagen gegevens onjuist zijn of onrechtmatig zijn verwerkt, neemt die lidstaat een administratief of gerechtelijk besluit waarbij de betrokkene schriftelijk wordt uitgelegd waarom de lidstaat niet bereid is de hem betreffende gegevens te rectificeren of te wissen. Die gevallen kunnen, waar passend, worden gemeld aan de nationale toezichthoudende instantie.

5.   De lidstaat die het besluit op grond van lid 4 heeft genomen, licht de betrokkene ook in over de stappen die hij kan ondernemen indien hij geen genoegen neemt met de uitleg die hem op grond van lid 4 is verstrekt. Dit houdt mede in dat de betrokkene wordt ingelicht over de wijze waarop hij een rechtsvordering kan instellen of een klacht kan indienen bij de bevoegde autoriteiten of bij de rechtbanken in die lidstaat, alsmede over de assistentie, onder meer van de nationale toezichthoudende instanties, die hem overeenkomstig het nationale recht van die lidstaat kan worden verleend.

6.   Elk verzoek krachtens lid 1 omvat de informatie die nodig is om de betrokkene te kunnen identificeren. Deze informatie wordt uitsluitend gebruikt om de uitoefening van de in de lid 1 bedoelde rechten mogelijk te maken en wordt onmiddellijk nadien gewist.

7.   Wanneer lid 2 van toepassing is, legt de centrale autoriteit waaraan het verzoek werd gericht schriftelijk vast dat er een verzoek werd gedaan, samen met de wijze waarop en de autoriteit waarnaar het verzoek werd doorgestuurd. Op verzoek van de nationale toezichthoudende instantie stelt de centrale autoriteit dat gegevensbestand onverwijld ter beschikking aan die nationale toezichthoudende instantie. De centrale autoriteit en de nationale toezichthoudende instantie wissen dat document drie jaar nadat het gecreëerd werd.

1.   De centrale autoriteiten werken met elkaar samen opdat de in artikel 25 vastgestelde rechten worden gerespecteerd.

2.   In elke lidstaat licht de nationale toezichthoudende instantie de betrokkene desgevraagd in over de manier waarop hij het recht op rectificatie of het wissen van de op hem betrekking hebbende gegevens kan uitoefenen overeenkomstig de toepasselijke gegevensbeschermingsregels van de Unie.

3.   Voor de toepassing van dit artikel werken de nationale toezichthoudende instantie van de lidstaat die de gegevens heeft doorgegeven en de aangezochte nationale toezichthoudende instantie van de lidstaat samen.

1.   Elke lidstaat zorgt ervoor dat de krachtens de toepasselijke gegevensbeschermingsregels van de Unie aangewezen nationale toezichthoudende instanties toezicht houden op de rechtmatigheid van de verwerking van de in artikelen 5 en 6 bedoelde persoonsgegevens door de betrokken lidstaat, met inbegrip van de overdracht van die gegevens naar en vanuit Ecris-TCN.

2.   De nationale toezichthoudende instantie zorgt ervoor dat er ten minste om de drie jaar vanaf de datum van ingebruikneming van Ecris-TCN een audit van de gegevensverwerkingsactiviteiten in de nationale strafregisters en vingerafdrukdatabanken in verband met de gegevensuitwisseling tussen die systemen en Ecris-TCN wordt verricht overeenkomstig de desbetreffende internationale auditnormen.

3.   De lidstaten zorgen ervoor dat hun nationale toezichthoudende instanties over voldoende middelen beschikken om hun taken uit hoofde van deze verordening te kunnen vervullen.

4.   Elke lidstaat verstrekt de door de nationale toezichthoudende instanties gevraagde informatie en in het bijzonder informatie over de overeenkomstig de artikelen 12, 13 en 19 verrichte activiteiten. Elke lidstaat biedt de nationale toezichthoudende instanties inzage in zijn gegevensbestanden krachtens artikel 25, lid 7, en zijn logbestanden krachtens artikel 31, lid 6, en verleent hun te allen tijde toegang tot al zijn gebouwen en terreinen die verband houden met Ecris-TCN.

1.   De Europese Toezichthouder voor gegevensbescherming ziet erop toe dat de verwerking van persoonsgegevens door eu-LISA in verband met Ecris-TCN in overeenstemming met deze verordening geschiedt.

2.   De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat ten minste om de drie jaar een audit van de activiteiten van eu-LISA op het gebied van de verwerking van persoonsgegevens wordt verricht overeenkomstig de betreffende internationale auditnormen. Het auditrapport wordt toegezonden aan het Europees Parlement, de Raad, de Commissie, eu-LISA en de toezichthoudende instanties. Voordat het rapport wordt aangenomen, wordt eu-LISA in de gelegenheid gesteld opmerkingen in te dienen.

3.   Eu-LISA verstrekt de door de Europese Toezichthouder voor gegevensbescherming gevraagde informatie en verleent deze te allen tijde toegang tot alle documenten en tot zijn in artikel 31 bedoelde logbestanden, alsmede tot al zijn gebouwen en terreinen.

1.   Eu-LISA en de bevoegde autoriteiten zorgen ervoor, overeenkomstig hun respectieve verantwoordelijkheden, dat alle gegevensverwerkende handelingen in Ecris-TCN overeenkomstig lid 2 in logbestanden worden vastgelegd om de toelaatbaarheid van het verzoek na te gaan, de integriteit en de beveiliging van de gegevens en de rechtmatigheid van de gegevensverwerking te controleren, alsmede ten behoeve van interne controle.

2.   In de logbestanden wordt het volgende vermeld:

3.   Het logbestand van raadplegingen en bekendmakingen maken het mogelijk de motivering van deze handelingen na te gaan.

4.   Logbestanden worden uitsluitend gebruikt voor het toezicht op de rechtmatigheid van de gegevensverwerking en voor het waarborgen van de integriteit en de beveiliging van de gegevens. Alleen een logbestand dat geen persoonsgegevens bevat, mag worden gebruikt voor controle en evaluatie in de zin van artikel 36. Deze logbestanden worden met passende maatregelen beschermd tegen toegang door onbevoegden en worden na drie jaar gewist, indien zij niet langer nodig zijn in het kader van reeds lopende toezichtprocedures.

5.   Desgevraagd stelt eu-LISA de logbestanden van zijn verwerkingshandelingen onverwijld ter beschikking van de centrale autoriteiten.

6.   De bevoegde nationale toezichthoudende instanties die verantwoordelijk zijn voor het nagaan van de toelaatbaarheid van het verzoek en het toezicht op de rechtmatigheid van de gegevensverwerking en op de integriteit en de beveiliging van de gegevens, krijgen op hun verzoek toegang tot deze logbestanden om hun taken te kunnen vervullen. Desgevraagd stellen de centrale autoriteiten de logbestanden van hun verwerkingshandelingen onverwijld ter beschikking van de bevoegde nationale toezichthoudende instanties.

1.   De daartoe gemachtigde personeelsleden van eu-LISA, de bevoegde autoriteiten en de Commissie hebben, uitsluitend met het oog op het opstellen van verslagen en statistieken en zonder dat daarbij personen kunnen worden geïdentificeerd, toegang tot de in Ecris-TCN verwerkte gegevens.

2.   Voor de toepassing van lid 1 wordt door eu-LISA op zijn technische locaties een centraal register opgezet, ten uitvoer gelegd en gehost, met daarin de in lid 1 bedoelde gegevens waarmee, zonder dat daarbij personen kunnen worden geïdentificeerd, aanpasbare verslagen en statistieken kunnen worden verkregen. Toegang tot het centrale register wordt uitsluitend met het oog op het opstellen van verslagen en statistieken verleend, door middel van beveiligde toegang, met toegangscontrole en specifieke gebruikersprofielen.

3.   De in artikel 36 bedoelde, door eu-LISA ingevoerde procedures voor controle op de werking van Ecris-TCN en van de Ecris-referentie-implementatie omvatten de mogelijkheid regelmatig statistieken voor controledoeleinden op te stellen.

Elke maand verstrekt eu-LISA de Commissie statistieken in verband met de registratie, opslag en uitwisseling van informatie die via Ecris-TCN en de Ecris-referentie-implementatie uit strafregisters is verkregen. eu-LISA ziet erop toe dat personen niet kunnen worden geïdentificeerd op basis van deze statistieken. Wanneer de Commissie daarom verzoekt, verstrekt eu-LISA haar statistieken over specifieke aspecten van de tenuitvoerlegging van deze verordening.

4.   De lidstaten verstrekken eu-LISA de statistieken die nodig zijn om zijn in dit artikel bedoelde verplichtingen na te komen. Zij verstrekken de Commissie statistische gegevens over het aantal veroordeelde onderdanen van derde landen, en het aantal veroordelingen van onderdanen van derde landen op hun grondgebied.

1.   De kosten in verband met de instelling en werking van het centrale systeem, de in artikel 4, lid 1, onder d), bedoelde communicatie-infrastructuur, de interfacesoftware en de Ecris-referentie-implementatie komen ten laste van de algemene begroting van de Unie.

2.   De kosten om Eurojust, Europol en het EOM met Ecris-TCN te verbinden, komen ten laste van hun respectieve begrotingen.

3.   Andere kosten worden gedragen door de lidstaten, in het bijzonder de kosten in verband met de verbinding van de bestaande nationale strafregisters, vingerafdrukdatabanken en de centrale autoriteiten met Ecris-TCN, evenals de kosten van het hosten van de Ecris-referentie-implementatie.

1.   Elke lidstaat stelt eu-LISA in kennis van zijn centrale autoriteit, of autoriteiten, die toegang heeft, c.q. hebben, om gegevens in te voeren, te rectificeren, te wissen, te raadplegen of op te zoeken, alsmede van iedere wijziging in dat verband.

2.   Eu-LISA zorgt voor de publicatie van de lijst van centrale autoriteiten, zoals meegedeeld door de lidstaten, zowel in het Publicatieblad van de Europese Unie als op zijn website. Wanneer eu-LISA bericht ontvangt van een wijziging betreffende de centrale autoriteit van een lidstaat, past het de lijst onverwijld aan.

1.   De Commissie stelt de datum vast waarop de lidstaten de in artikel 5 bedoelde gegevens in Ecris-TCN beginnen in te voeren, zodra zij oordeelt dat aan de volgende voorwaarden wordt voldaan:

2.   Wanneer de Commissie de datum heeft vastgesteld waarop wordt begonnen met de invoer van gegevens overeenkomstig lid 1, deelt zij die datum mee aan de lidstaten. Binnen een periode van twee maanden volgend op die datum voeren de lidstaten de in artikel 5 bedoelde gegevens in Ecris-TCN in, met inachtneming van artikel 41, lid 2.

3.   Na het einde van de in lid 2 bedoelde periode voert eu-LISA in samenwerking met de lidstaten een laatste test van Ecris-TCN uit.

4.   Wanneer de in lid 3 bedoelde test succesvol is afgerond en eu-LISA van oordeel is dat Ecris-TCN klaar is om in gebruik te worden genomen, stelt het de Commissie daarvan in kennis. De Commissie stelt het Europees Parlement en de Raad in kennis van de resultaten van de test en zij neemt een besluit over de datum waarop Ecris-TCN in gebruik wordt genomen.

5.   Het in lid 4 bedoelde besluit van de Commissie inzake de datum van ingebruikneming van Ecris-TCN wordt bekendgemaakt in het Publicatieblad van de Europese Unie.

6.   De lidstaten nemen Ecris-TCN in gebruik op de overeenkomstig lid 4 door de Commissie bepaalde datum.

7.   Bij het nemen van de in dit artikel bedoelde besluiten kan de Commissie verschillende datums bepalen voor de invoering in Ecris-TCN van alfanumerieke gegevens en vingerafdrukgegevens, als bedoeld in artikel 5, evenals voor de ingebruikneming van het systeem voor deze verschillende categorieën gegevens.

1.   Eu-LISA zorgt ervoor dat er procedures voorhanden zijn om de ontwikkeling van Ecris-TCN te controleren in het licht van de doelstellingen op het gebied van planning en kosten, en om de werking van Ecris-TCN en de Ecris-referentie-implementatie te controleren in het licht van doelstellingen inzake de technische resultaten, de kosteneffectiviteit, de beveiliging en de kwaliteit van de dienstverlening.

2.   Ten behoeve van de controle op de werking van Ecris-TCN en het technisch onderhoud ervan krijgt eu-LISA toegang tot de noodzakelijke informatie met betrekking tot de in Ecris-TCN en de Ecris-referentie-implementatie verrichte gegevensverwerkingshandelingen.

3.   Uiterlijk op 12 december 2019 en vervolgens om de zes maanden tijdens de ontwerp- en ontwikkelingsfase, legt eu-LISA het Europees Parlement en de Raad een verslag voor over de stand van zaken van de ontwikkeling van Ecris-TCN en van de Ecris-referentie-implementatie.

4.   Het verslag waarnaar in lid 3 wordt verwezen, bevat een overzicht van de actuele kosten en de voortgang van het project, een evaluatie van de financiële gevolgen, alsmede informatie over eventuele technische problemen en risico's die gevolgen kunnen hebben voor de totale kosten van Ecris-TCN die overeenkomstig artikel 33 ten laste komen van de algemene begroting van de Unie.

5.   Indien het ontwikkelingsproces aanzienlijke vertraging oploopt, stelt eu-LISA het Europees Parlement en de Raad onmiddellijk op de hoogte van de redenen van deze vertraging, de gevolgen voor het tijdschema en de financiële consequenties.

6.   Wanneer de ontwikkeling van Ecris-TCN en de Ecris-referentie-implementatie is afgerond, dient eu-LISA bij het Europees Parlement en de Raad een verslag in waarin wordt uiteengezet hoe de doelstellingen, met name die welke betrekking hebben op de planning en kosten, zijn bereikt en waarin eventuele afwijkingen worden gemotiveerd.

7.   Wanneer een technische upgrade van Ecris-TCN veel kosten kan meebrengen, brengt eu-LISA het Europees Parlement en de Raad daarvan op de hoogte.

8.   Twee jaar na de ingebruikneming van Ecris-TCN, en vervolgens jaarlijks, dient eu-LISA bij de Commissie een verslag in over de technische werking, met inbegrip van de beveiliging, van Ecris-TCN en de Ecris-referentie-implementatie, met name op basis van de statistieken over de werking en het gebruik van Ecris-TCN en over de uitwisseling van strafregistergegevens via de Ecris-referentie-implementatie.

9.   Vier jaar na de ingebruikneming van Ecris-TCN, en vervolgens om de vier jaar, verricht de Commissie een algemene evaluatie van Ecris-TCN en de Ecris-referentie-implementatie. In het daarbij opgestelde algemene evaluatieverslag wordt de toepassing van deze verordening beoordeeld, worden de bereikte resultaten afgezet tegen de doelstellingen en worden de gevolgen voor de grondrechten beoordeeld. Het verslag beoordeelt ook of de uitgangspunten van de werking van Ecris-TCN nog steeds gelden, naast de relevantie van het gebruik van de biometrische gegevens die voor de doelstellingen van Ecris-TCN gebruikt worden, de beveiliging van Ecris-TCN en eventuele veiligheidsimplicaties voor toekomstige werkzaamheden. De evaluatie omvat de nodige aanbevelingen. De Commissie zendt het verslag toe aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten.

10.   Voorts omvat de eerste algemene evaluatie bedoeld in lid 9 een beoordeling van:

De beoordeling kan indien nodig vergezeld gaan van wetgevingsvoorstellen. Latere algemene evaluaties kunnen een beoordeling van één of meer van deze aspecten omvatten.

11.   De lidstaten, Eurojust, Europol en het EOM verstrekken eu-LISA en de Commissie de informatie die nodig is om de in de leden 3, 8 en 9 bedoelde verslagen op te stellen overeenkomstig de door de Commissie en/of eu-LISA vooraf bepaalde kwantitatieve indicatoren. Deze informatie mag de werkmethoden niet in gevaar brengen noch informatie bevatten waardoor bronnen, namen van personeelsleden of onderzoeken worden onthuld.

12.   In voorkomend geval verstrekken de toezichthoudende instanties aan eu-LISA en de Commissie de informatie die nodig is om de in lid 9 bedoelde verslagen op te stellen overeenkomstig de door de Commissie en/of eu-LISA vooraf bepaalde kwantitatieve indicatoren. Deze informatie mag de werkmethoden niet in gevaar brengen noch informatie bevatten waardoor bronnen, namen van personeelsleden of onderzoeken worden onthuld.

13.   Eu-LISA verstrekt de Commissie de informatie die nodig is om de in lid 9 bedoelde algemene evaluaties op te stellen.

1.   De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2.   De bevoegdheid om de in artikel 6, lid 2, bedoelde gedelegeerde handelingen vast te stellen, wordt met ingang van 11 juni 2019 voor onbepaalde tijd aan de Commissie toegekend.

3.   Het Europees Parlement of de Raad kan de in artikel 6, lid 2, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Een besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.   Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5.   Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, stelt zij daarvan gelijktijdig het Europees Parlement en de Raad in kennis.

6.   Een overeenkomstig artikel 6, lid 2, vastgestelde gedelegeerde handeling treedt slechts in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn aan de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

1.   De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.   Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Indien door het comité geen advies wordt uitgebracht, stelt de Commissie de ontwerpuitvoeringshandeling niet vast en is artikel 5, lid 4, derde alinea, van Verordening (EU) nr. 182/2011 van toepassing.

1.   De lidstaten treffen de nodige maatregelen om zo spoedig mogelijk aan deze richtlijn te voldoen teneinde de goede werking van Ecris-TCN te garanderen.

2.   Voor veroordelingen die vóór datum van de aanvang van invoering van gegevens overeenkomstig artikel 35, lid 1 zijn uitgesproken, creëren de centrale autoriteiten het individuele gegevensbestand in het centrale systeem als volgt:

Dit formulier, dat in alle 24 officiële talen van de instellingen van de Unie beschikbaar is op www.eurojust.europa.eu, moet in één van die talen worden gericht aan ECRIS-TCN@eurojust.europa.eu

Verzoekende staat of internationale organisatie:

Naam van de staat of internationale organisatie:

Instantie die het verzoek indient:

Vertegenwoordigd door (naam van de persoon):

Titel:

Adres:

Telefoonnummer:

E-mailadres:

Strafprocedure waarvoor de informatie gezocht wordt:

Nationaal referentienummer:

Bevoegde instantie:

Type strafbare feiten die onderzocht worden (gelieve de relevante artikelen van de strafwetgeving te vermelden):

Andere relevante informatie (bv. urgentie van het verzoek):

Identiteitsinformatie van de persoon met de nationaliteit van een derde land waarvoor informatie over de lidstaat van veroordeling wordt gezocht:

NB: gelieve zo veel mogelijk informatie te verschaffen.

Achternaam (familienaam):

Voornaam/-namen:

Geboortedatum:

Geboorteplaats (gemeente en land):

Nationaliteit(en):

Geslacht:

Vroegere naam (namen), indien van toepassing:

Namen van de ouders:

Identiteitsnummer:

Type en nummer van het identiteitsdocument van de betrokkene:

Uitvaardigende instantie van document(en):

Pseudoniemen of aliassen:

Gelieve vingerafdrukgegevens te verstrekken, indien voorhanden.

Indien het om verscheidene personen gaat, gelieve deze dan afzonderlijk aan te duiden

Dankzij een drop-down veld zouden er bijkomende onderwerpen aan toegevoegd kunnen worden

Plaats

Datum

(Elektronische) handtekening en stempel:

1.   Deze verordening stelt, samen met Verordening (EU) 2019/818 van het Europees Parlement en de Raad (34), een kader vast dat ervoor moet zorgen dat het inreis-uitreissysteem (EES), het Visuminformatiesysteem (VIS), het Europees systeem voor reisinformatie en -autorisatie (Etias), Eurodac, het Schengeninformatiesysteem (SIS) en het Europees Strafregister Informatiesysteem voor onderdanen van derde landen (ECRIS-TCN) interoperabel zijn.

2.   Het kader bestaat onder meer uit de volgende interoperabiliteitscomponenten:

3.   De verordening bevat ook bepalingen inzake de vereisten op het gebied van gegevenskwaliteit, inzake een Universal Message Format (UMF) en inzake een centraal register voor rapportage en statistieken (CRRS), alsook een omschrijving van de verantwoordelijkheden van de lidstaten en van het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) met betrekking tot het ontwerp, de ontwikkeling en de werking van de interoperabiliteitscomponenten.

4.   De verordening behelst tevens een aanpassing van de procedures en voorwaarden waaraan de aangewezen autoriteiten en het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) zich moeten houden om toegang tot het EES, VIS, Etias en Eurodac te krijgen met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten.

5.   In deze richtlijn wordt ook een kader vastgesteld voor het verifiëren van de identiteiten van personen en voor het identificeren van personen.

1.   Door de interoperabiliteit te waarborgen, dient deze verordening de volgende doelstellingen:

2.   De in lid 1 bedoelde doelstellingen worden bereikt door:

1.   Deze verordening is van toepassing op het EES, VIS, Etias en SIS.

2.   Deze verordening is van toepassing op personen ten aanzien van wie persoonsgegevens mogen worden verwerkt in de in lid 1 van dit artikel bedoelde Unie-informatiesystemen en wier gegevens worden verzameld voor de doeleinden als omschreven in de artikel 1 en 2 van Verordening (EG) nr. 767/2008, artikel 1 van Verordening (EU) 2017/2226, de artikelen 1 en 4 van Verordening (EU) 2018/1240, artikel 1 van Verordening (EU) nr. 2018/1860 en artikel 1 van Verordening (EU) 2018/1861.

1.   Er wordt een Europees zoekportaal (European search portal - ESP) ingesteld om ervoor te zorgen dat de lidstatelijke autoriteiten en de -Unie-agentschappensnel, ononderbroken, efficiënt, systematisch en gecontroleerd toegang hebben tot de Unie-informatiesystemen, de Europol-gegevens en de Interpol-databanken die zij nodig hebben om hun taken te verrichten overeenkomstig hun toegangsrechten en de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN.

2.   Het ESP bestaat uit:

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van het ESP.

1.   Het gebruik van het ESP is voorbehouden aan de lidstatelijke autoriteiten en de Unie-agentschappen die toegang hebben tot ten minste een van de EU-informatiesystemen, overeenkomstig de rechtsinstrumenten met betrekking tot die EU-informatiesystemen, tot het CIR en de MID overeenkomstig deze verordening, tot Europol-gegevens overeenkomstig Verordening (EU) 2016/794 of tot de Interpol-databanken overeenkomstig het Unierecht of het desbetreffend nationaal recht.

Deze lidstatelijke autoriteiten en de Unie-agentschappen mogen het ESP en de door het ESP verstrekte gegevens alleen gebruiken voor de doelstellingen die zijn vastgelegd in de rechtsinstrumenten betreffende die Unie-informatiesystemen in Verordening (EU) 2016/794 en in deze verordening.

2.   De in lid 1 bedoelde lidstatelijke autoriteiten en de Unie-agentschappen gebruiken het ESP om overeenkomstig hun toegangsrechten als bedoeld in de rechtsinstrumenten met betrekking tot deze Unie-informatiesystemen of het nationaal recht gegevens over personen of hun reisdocumenten te doorzoeken in de centrale systemen van het EES, VIS en Etias. Zij maken eveneens gebruik van het ESP om overeenkomstig hun toegangsrechten uit hoofde van deze verordening het CIR te doorzoeken voor de in de artikelen 20, 21 en 22 bedoelde doeleinden.

3.   De in lid 1 bedoelde lidstatelijke autoriteiten kunnen het ESP gebruiken om gegevens over personen of hun reisdocumenten te doorzoeken in het centrale SIS bedoeld in Verordeningen (EU) 2018/1860 en (EU) 2018/1861.

4.   Indien het Unierecht hierin voorziet, gebruiken de in lid 1 bedoelde Unie-agentschappen het ESP voor het doorzoeken van gegevens over personen of hun reisdocumenten in het centrale SIS.

5.   De in lid 1 bedoelde lidstatelijke autoriteiten en Unie-agentschappen kunnen het ESP gebruiken om gegevens over reisdocumenten te bevragen in de Interpol-databanken indien hierin is voorzien en dit in overeenstemming is met hun toegangsrechten uit hoofde van het Unierecht of het nationaal recht.

1.   Om het gebruik van het ESP mogelijk te maken, maakt eu-LISA samen met de lidstaten in overeenstemming met de in lid 2 bedoelde technische details en toegangsrechten een profiel aan op basis van elke categorie van ESP-gebruikers en over de doeleinden van hun zoekopdrachten. Elk profiel bevat overeenkomstig het Unie- en nationale recht de volgende informatie:

2.   De Commissie stelt uitvoeringshandelingen vast waarin de in lid 1 bedoelde profielen van de in artikel 7, lid 1, bedoelde ESP-gebruikers technisch worden gespecificeerd in overeenstemming met de respectieve toegangsrechten overeenkomstig de rechtsinstrumenten met betrekking tot de Unie-informatiesystemen en overeenkomstig het nationaal recht. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

3.   De in lid 1 bedoelde profielen worden regelmatig en tenminste eenmaal per jaar door eu-LISA, in samenwerking met de lidstaten, geëvalueerd en zo nodig bijgewerkt.

1.   De ESP-gebruikers starten een zoekopdracht door alfanumerieke of biometrische gegevens in het ESP in te voeren. Zodra een zoekopdracht is gestart, gebruikt het ESP de door de ESP-gebruiker overeenkomstig het gebruikersprofiel ingevoerde gegevens om het EES, Etias, VIS, SIS, Eurodac, ECRIS-TCN en CIR, alsmede de Europol-gegevens en de Interpol-databanken gelijktijdig te doorzoeken.

2.   De gegevenscategorieën die worden gebruikt om via het ESP een zoekopdracht te starten, komen overeen met de gegevenscategorieën betreffende personen of reisdocumenten die mogen worden gebruikt om de verschillende Unie-informatiesystemen, de Europol-gegevens en de Interpol-databanken te doorzoeken overeenkomstig de rechtsinstrumenten die daarop van toepassing zijn.

3.   eu-LISA implementeert samen met de lidstaten voor het ESP een interface control document op basis van de in artikel 38 bedoelde UMF.

4.   Wanneer een zoekopdracht wordt gestart door een ESP-gebruiker, verstrekken het EES, Etias, VIS, SIS, Eurodac, ECRIS-TCN, CIR en de MID, de Europol-gegevens en de Interpol-databanken in reactie op de zoekopdracht de gegevens die zij bevatten.

Onverminderd artikel 20 wordt in het door het ESP verstrekte antwoord vermeld van welk Unie-informatiesysteem of van welke databank de gegevens deel uitmaken.

In het ESP wordt geen informatie verstrekt over gegevens in Unie-informatiesystemen, Europol-gegevens en de Interpol-databanken waartoe de gebruiker overeenkomstig het toepasselijke Unierecht en nationale recht geen toegang heeft.

5.   Via het ESP gestarte zoekopdrachten in de Interpol-databanken worden zodanig uitgevoerd dat aan de eigenaar van de Interpol-signalering geen informatie wordt onthuld.

6.   Het ESP voorziet de gebruiker van een antwoord zodra gegevens uit een van de Unie-informatiesystemen, Europol-gegevens en Interpol-databanken beschikbaar zijn. Deze antwoorden bevatten uitsluitend de gegevens waartoe de gebruiker op grond van het Unierecht en het nationale recht toegang heeft.

7.   De Commissie stelt een uitvoeringshandeling vast met specificaties voor de technische procedure voor het doorzoeken van de Unie-informatiesystemen, Europol-gegevens en Interpol-databanken door het ESP en het format van de ESP-antwoorden. Deze uitvoeringshandeling wordt vastgesteld overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure.

1.   Onverminderd artikel 46 van Verordening (EU) 2017/2226, artikel 34 van Verordening (EG) nr. 767/2008, artikel 69 van Verordening (EU) 2018/1240 en de artikelen 12 en 18 van Verordening (EU) 2018/1861, houdt eu-LISA logbestanden bij van alle gegevensverwerkingsverrichtingen in het ESP. In deze logbestanden wordt het volgende vermeld:

2.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten van zijn autoriteiten en van de personeelsleden van zijn autoriteiten die naar behoren gemachtigd zijn om het ESP te gebruiken. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

3.   De in de leden 1 en 2 bedoelde logbestanden mogen uitsluitend worden gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit. De logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist als de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

1.   Indien het ESP vanwege een interne technische storing niet kan worden gebruikt om een of meer Unie-informatiesystemen of het CIR te doorzoeken, stelt eu-LISA de ESP-gebruikers daarvan op geautomatiseerde wijze in kennis.

2.   Indien het ESP vanwege een technische storing in de nationale infrastructuur van een lidstaat niet kan worden gebruikt om een of meer van de Unie-informatiesystemen of het CIR te doorzoeken, stelt die lidstaat eu-LISA en de Commissie daarvan op geautomatiseerde wijze in kennis.

3.   Tijdens de technische storing is in de in de leden 1 en 2 van dit artikel bedoelde gevallen de in artikel 7, leden 2 en 4, bedoelde verplichting niet van toepassing en hebben de lidstaten rechtstreekse toegang tot de Unie-informatiesystemen of tot het CIR, indien zij daartoe krachtens het Unie- of nationale recht gehouden zijn.

4.   Indien het ESP vanwege een technische storing in de infrastructuur van een Unie-agentschap niet kan worden gebruikt om een of meer van de Unie-informatiesystemen of het CIR te doorzoeken, stelt dat agentschap eu-LISA en de Commissie daarvan op geautomatiseerde wijze in kennis.

1.   Om het CIR en de MID te ondersteunen en de doelstellingen van het EES, VIS, Eurodac, SIS en ECRIS-TCN te bevorderen, wordt een gezamenlijke dienst voor biometrische matching (gezamenlijke BMS) opgezet, die biometrische templates opslaat die worden verkregen uit de in het CIR en SIS opgeslagen biometrische gegevens als bedoeld in artikel 13, en het mogelijk maakt om aan de hand van biometrische gegevens zoekopdrachten in meerdere Unie-informatiesystemen uit te voeren.

2.   De gezamenlijke BMS bestaat uit:

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van de gezamenlijke BMS.

1.   In de gezamenlijke BMS worden de biometrische templates opgeslagen die de dienst extraheert uit de volgende biometrische gegevens:

De biometrische templates worden opgeslagen in de gezamenlijke BMS in logisch gescheiden vorm per Unie-informatiesysteem waaruit de gegevens afkomstig zijn.

2.   De gezamenlijke BMS bevat voor elke reeks gegevens als bedoeld in lid 1 in elke biometrische template een verwijzing naar de Unie-informatiesystemen en een verwijzing naar de werkelijke bestanden in de Unie-informatiesystemen waarin de overeenkomstige biometrische gegevens zijn opgeslagen.

3.   Biometrische templates worden pas in de gezamenlijke BMS opgenomen nadat de gezamenlijke BMS door middel van een automatische kwaliteitscontrole heeft vastgesteld dat de aan een van de Unie-informatiesystemen toegevoegde biometrische gegevens voldoen aan een minimumnorm voor gegevenskwaliteit.

4.   De opslag van de in lid 1 bedoelde gegevens moet voldoen aan de in artikel 37, lid 2, bedoelde kwaliteitsnormen.

5.   De Commissie stelt door middel van een uitvoeringshandeling prestatievereisten en praktische regelingen voor het toezicht op de prestaties van de gezamenlijke BMS vast om ervoor te zorgen dat de doeltreffendheid van biometrische zoekopdrachten in overeenstemming is met tijdskritische procedures, zoals grenscontroles en identificaties. Die uitvoeringshandeling wordt overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

1.   Onverminderd artikel 46 van Verordening (EU) 2017/2226, artikel 34 van Verordening (EG) nr. 767/2008 en de artikelen 12 en 18 van Verordening (EU) 2018/1861 houdt eu-LISA logbestanden bij van alle gegevensverwerkingsverrichtingen in de gezamenlijke BMS. In deze logbestanden wordt het volgende vermeld:

2.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten van zijn autoriteiten en van de personeelsleden van deze autoriteiten die naar behoren gemachtigd zijn om de gezamenlijke BMS te gebruiken. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

3.   De in de leden 1 en 2 bedoelde logbestanden worden uitsluitend gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en integriteit. De logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist zodra de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

1.   Er wordt een gemeenschappelijk identiteitsregister (common identity repository - CIR) ingesteld, waarin voor elke in het EES, VIS, Etias, Eurodac of ECRIS-TCN geregistreerde persoon een afzonderlijk bestand met de in artikel 18 bedoelde gegevens wordt aangelegd, met als doel de correcte identificatie van in het EES, VIS, Etias, Eurodac of ECRIS-TCN geregistreerde personen te vergemakkelijken en te bevorderen overeenkomstig artikel 20, de werking van de MID te ondersteunen overeenkomstig artikel 21 en de toegang van aangewezen autoriteiten en Europol tot het EES, VIS, ETIAS en Eurodac te vergemakkelijken en te stroomlijnen wanneer dat nodig is voor de preventie, de opsporing of het onderzoek van terroristische misdrijven of andere ernstige strafbare feiten overeenkomstig artikel 22.

2.   Het CIR bestaat uit:

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van het CIR.

4.   Indien het CIR vanwege een interne technische storing van het CIR niet kan worden doorzocht met het oog op de identificatie van een persoon uit hoofde van artikel 20, de detectie van meerdere identiteiten uit hoofde van artikel 21 of het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten uit hoofde van artikel 22, stelt eu-LISA de CIR-gebruikers daarvan op geautomatiseerde wijze in kennis.

5.   eu-LISA implementeert samen met de lidstaten voor het CIR een interface control document op basis van de in artikel 38 bedoelde UMF.

1.   In het CIR worden de volgende gegevens – logisch gescheiden – opgeslagen per informatiesysteem waaruit de gegevens afkomstig zijn:

2.   In het CIR wordt voor elke reeks gegevens, als bedoeld in lid 1, een verwijzing opgenomen naar de Unie-informatiesystemen waar de gegevens toe behoren.

3.   De autoriteiten die het CIR raadplegen voor de in de artikelen 20, 21 en 22 bedoelde doeleinden, doen dit in overeenstemming met hun toegangsrechten uit hoofde van de rechtsinstrumenten betreffende de Unie-informatiesystemen en het nationale recht, en in overeenstemming met hun toegangsrechten krachtens deze verordening.

4.   In het CIR wordt voor elke reeks gegevens als bedoeld in lid 1, een verwijzing opgenomen naar de werkelijke bestanden in de Unie-informatiesystemen waar de gegevens deel van uitmaken.

5.   De opslag van de in lid 1 bedoelde gegevens voldoet aan de in artikel 37, lid 2, bedoelde kwaliteitsnormen.

1.   Wanneer gegevens worden toegevoegd, gewijzigd of gewist in het EES, VIS en Etias, worden de overeenkomstige in artikel 18 bedoelde gegevens die zijn opgeslagen in het afzonderlijke CIR-bestand, automatisch toegevoegd, gewijzigd of gewist.

2.   Wanneer er overeenkomstig artikel 32 of 33 in de MID een witte of een rode link wordt aangemaakt tussen de gegevens van twee of meer van de Unie-informatiesystemen die deel uitmaken van het CIR, maakt het CIR geen nieuw afzonderlijk bestand aan, maar voegt het de nieuwe gegevens toe aan het afzonderlijke bestand waarin de gelinkte gegevens voorkomen.

1.   Zoekopdrachten in het CIR worden uitgevoerd door een politieautoriteit van een lidstaat overeenkomstig de leden 2 en 5 en uitsluitend in één van de volgende omstandigheden:

Dergelijke zoekopdrachten zijn niet toegestaan bij kinderen jonger dan twaalf jaar, tenzij dit in het belang van het kind is.

2.   In een van de in lid 1 opgesomde omstandigheden kan een politieautoriteit, mits zij daartoe op grond van nationale wetgevingsmaatregelen als bedoeld in lid 5 is gemachtigd, het CIR doorzoeken aan de hand van de bij een identiteitscontrole ter plaatse genomen biometrische gegevens van een persoon, doch uitsluitend met het oog op de identificatie van die persoon en mits de procedure in aanwezigheid van die persoon is gestart.

3.   Als de zoekopdracht uitwijst dat in het CIR gegevens over die persoon zijn opgeslagen, krijgt de politieautoriteit toegang om de in artikel 18, lid 1, bedoelde gegevens te raadplegen.

Wanneer de biometrische gegevens van de persoon niet kunnen worden gebruikt of wanneer het zoeken aan de hand van die gegevens geen resultaat oplevert, wordt gezocht aan de hand van de identiteitsgegevens van de persoon in combinatie met reisdocumentgegevens, of aan de hand van de door die persoon verstrekte identiteitsgegevens.

4.   Een politieautoriteit kan, mits zij daartoe op grond van nationale wetgevingsmaatregelen als bedoeld in lid 6 is gemachtigd, in geval van een natuurramp, ongeval of terroristische aanslag en uitsluitend met het oog op de identificatie van onbekende personen die niet in staat zijn om zichzelf te legitimeren of de identificatie van niet-geïdentificeerde stoffelijke overschotten, het CIR doorzoeken aan de hand van de biometrische gegevens van die personen.

5.   Lidstaten die gebruik wensen te maken van de in lid 2 bedoelde mogelijkheid, stellen daartoe nationale wetgevingsmaatregelen vast. Hierbij houden de lidstaten rekening met de noodzaak om elke discriminatie van onderdanen van derde landen te vermijden. In zulke wetgevingsmaatregelen wordt bepaald welke specifieke doelstellingen met de identificatie worden nagestreefd in het kader van de in artikel 2, lid 1, onder b) en c) omschreven doelen. Voorts worden in de wetgevingsmaatregelen de bevoegde politieautoriteiten aangewezen en de procedures, voorwaarden en criteria voor deze controles vastgelegd.

6.   Lidstaten die gebruik wensen te maken van de in lid 4 bedoelde mogelijkheid, stellen nationale wetgevingsmaatregelen vast houdende de procedures, voorwaarden en criteria.

1.   Wanneer een zoekopdracht in het CIR overeenkomstig artikel 28, lid 4, een gele link oplevert, krijgt de in artikel 29 bedoelde autoriteit die bevoegd is voor de manuele verificatie van meerdere identiteiten, uitsluitend voor die verificatie toegang tot de in artikel 18, leden 1 en 2, bedoelde in het CIR opgeslagen gegevens die aan elkaar verbonden zijn door de gele link.

2.   Wanneer een zoekopdracht in het CIR overeenkomstig artikel 32 een rode link oplevert, krijgen de in artikel 26, lid 2, bedoelde autoriteiten uitsluitend voor de bestrijding van identiteitsfraude toegang tot de in artikel 18, leden 1 en 2, bedoelde in het CIR opgeslagen gegevens die aan elkaar verbonden zijn door de rode link.

1.   In specifieke gevallen, wanneer er gegronde redenen zijn om aan te nemen dat raadpleging van de Unie-informatiesystemen zal bijdragen aan het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten, met name wanneer er een vermoeden bestaat dat de verdachte, de dader of het slachtoffer van een terroristisch misdrijf of een ander ernstig strafbaar feit een persoon is van wie gegevens opgeslagen zijn in het EES, VIS of Etias, kunnen de aangewezen autoriteiten en Europol het CIR raadplegen om zich ervan te vergewissen of het EES, VIS en Etias gegevens over een specifieke persoon bevatten.

2.   Wanneer het CIR naar aanleiding van een zoekopdracht aangeeft dat het EES, VIS of Etias gegevens over de betrokken persoon bevatten, verwijst het CIR in zijn antwoord aan de aangewezen autoriteiten en Europol naar de Unie-informatiesystemen die de gegevens bevatten die een match opleveren, als bedoeld in artikel 18, lid 2. Het CIR antwoordt op zodanige wijze dat de beveiliging van de gegevens niet in gevaar wordt gebracht.

Het antwoord waarin wordt aangegeven dat in één van de in lid 1 bedoelde Unie-informatiesystemen gegevens over die persoon aanwezig zijn, wordt alleen gebruikt voor het indienen van een verzoek om volledige toegang overeenkomstig de voorwaarden en procedures die zijn vastgelegd in de respectieve rechtsinstrumenten betreffende die toegang.

In geval van een match of meerdere matches verzoekt de aangewezen autoriteit of Europol om volledige toegang tot ten minste een van de informatiesystemen die een match heeft opgeleverd.

Indien bij wijze van uitzondering niet om volledige toegang wordt verzocht, registreren de aangewezen autoriteiten de redenen voor de niet-indiening van het verzoek, hetgeen traceerbaar zal zijn naar het nationale dossier. Europol registreert de redenen hiervoor in het betreffende dossier.

3.   Volledige toegang tot in het EES, VIS of ETIAS opgenomen gegevens met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten blijft onderworpen aan de voorwaarden en procedures als vastgesteld in de desbetreffende rechtsinstrumenten waarbij deze toegang wordt geregeld.

1.   De in artikel 18, leden 1, 2 en 4, bedoelde gegevens worden automatisch gewist in het CIR overeenkomstig de bepalingen over de bewaring van gegevens als vastgesteld in respectievelijk Verordeningen (EU) 2017/2226, (EG) nr. 767/2008 en (EU) 2018/1240.

2.   De termijn voor de opslag van het afzonderlijke bestand in het CIR stemt overeen met die voor de opslag van de overeenkomstige gegevens in ten minste één van de Unie-informatiesystemen waaruit de in het CIR aanwezige gegevens afkomstig zijn. Het aanmaken van een link heeft geen gevolgen voor de bewaringstermijn van elk element van de gelinkte gegevens.

1.   Onverminderd artikel 46 van Verordening (EU) 2017/2226, artikel 34 van Verordening (EG) nr. 767/2008 en artikel 69 van Verordening (EU) 2018/1240 houdt eu-LISA overeenkomstig de leden 2, 3 en 4 van dit artikel logbestanden bij van alle gegevensverwerkingsverrichtingen in het CIR.

2.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op grond van artikel 20 in het CIR. Deze logbestanden vermelden het volgende:

3.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op grond van artikel 21 in het CIR. Deze logbestanden vermelden het volgende:

4.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen op grond van artikel 22 in het CIR. Deze logbestanden vermelden het volgende:

De logbestanden over deze toegang worden regelmatig, met tussenpozen van ten hoogste zes maanden, geverifieerd door de toezichthoudende autoriteit overeenkomstig artikel 41 van Richtlijn (EU) 2016/680 of door de Europese Toezichthouder voor gegevensbescherming overeenkomstig artikel 43 van Verordening (EU) 2016/794, om na te gaan of de procedures en voorwaarden als bedoeld in artikel 22, leden 1 en 2, van deze verordening in acht zijn genomen.

5.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten die zijn autoriteiten en de voor het gebruik van het CIR naar behoren gemachtigde personeelsleden van die autoriteiten maken overeenkomstig de artikelen 20, 21 en 22. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten die zijn naar behoren gemachtigde personeelsleden maken overeenkomstig de artikelen 21 en 22.

Voorts houden alle lidstaten voor toegang tot het CIR overeenkomstig artikel 22 de volgende logbestanden bij:

6.   Overeenkomstig Verordening (EU) 2016/794 houdt Europol voor elke toegang tot het CIR overeenkomstig artikel 22 van deze verordening logbestanden bij van de functionaris die de zoekopdracht heeft verricht en van de functionaris die om de zoekopdracht heeft verzocht.

7.   De in de leden 2 tot en met 6 bedoelde logbestanden mogen uitsluitend worden gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit. Deze logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist als de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

8.   eu-LISA slaat de logbestanden met de geschiedenis op in afzonderlijke bestanden. eu-LISA wist zulke logbestanden automatisch zodra de gegevens worden gewist.

1.   Om de werking van het CIR te ondersteunen en de doelstellingen van het EES, VIS, Etias, Eurodac, SIS en ECRIS-TCN te bevorderen, wordt een detector van meerdere identiteiten (MID) ingesteld, die zorgt voor het aanmaken en opslaan van een identiteitsbevestigingsbestand als bedoeld in artikel 34, dat links bevat tussen gegevens in de Unie-informatiesystemen die zijn opgenomen in het CIR en het SIS, en op basis daarvan meerdere identiteiten detecteert, met als tweeledig doel de identiteitscontroles te vergemakkelijken en identiteitsfraude te bestrijden.

2.   De MID bestaat uit:

3.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van de MID.

1.   Met het oog op de in artikel 29 bedoelde manuele verificatie van meerdere identiteiten wordt toegang tot de in artikel 34 bedoelde, in de MID opgeslagen gegevens verleend aan:

2.   De lidstatelijke autoriteiten en de Unie-agentschappen die toegang hebben tot ten minste één Unie-informatiesysteem dat is opgenomen in het CIR of tot het SIS, krijgen toegang tot de in artikel 34, onder a) en b), bedoelde gegevens wanneer sprake is van een rode link als bedoeld in artikel 32.

3.   De lidstatelijke autoriteiten en de Unie-agentschappen hebben toegang tot de in artikel 33 bedoelde witte links als zij toegang hebben tot de twee Unie-informatiesystemen die gegevens bevatten waartussen de witte link is aangemaakt.

4.   De lidstatelijke autoriteiten en de Unie-agentschappen hebben toegang tot de in artikel 31 bedoelde groene links als zij toegang hebben tot de twee Unie-informatiesystemen die gegevens bevatten waartussen de groene link is aangemaakt en een zoekopdracht in die informatiesystemen een match oplevert met de twee reeksen gelinkte gegevens.

1.   In het CIR en SIS wordt een detectie van meerdere identiteiten gestart wanneer:

2.   Wanneer de gegevens in een Unie-informatiesysteem als bedoeld in lid 1 biometrische gegevens bevatten, maken het CIR en het centrale SIS voor de detectie van meerdere identiteiten gebruik van de gezamenlijke BMS. De gezamenlijke BMS maakt een vergelijking tussen de uit nieuwe biometrische gegevens verkregen biometrische templates en de reeds in de gezamenlijke BMS opgenomen biometrische templates om na te gaan of over een bepaalde persoon reeds gegevens zijn opgeslagen in het CIR of het centrale SIS.

3.   Naast de in lid 2 bedoelde procedure maken het CIR en het centrale SIS gebruik van het ESP om de in het centrale SIS, respectievelijk het CIR opgeslagen gegevens te doorzoeken aan de hand van de volgende gegevens:

4.   Naast de in de leden 2 en 3 bedoelde procedure maken het CIR en het centrale SIS gebruik van het ESP om de in het centrale SIS, respectievelijk het CIR opgeslagen gegevens te doorzoeken aan de hand van reisdocumentgegevens.

5.   De detectie van meerdere identiteiten wordt alleen gestart om gegevens die in een Unie-informatiesysteem beschikbaar zijn, te vergelijken met gegevens die in andere Unie-informatiesystemen beschikbaar zijn.

1.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, geen match oplevert, blijven de in artikel 27, lid 1, bedoelde procedures erop van toepassing overeenkomstig de desbetreffende rechtsinstrumenten.

2.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, een of meer matches oplevert, maakt het CIR, en in voorkomend geval het SIS, een link aan tussen de gegevens die zijn gebruikt om de zoekopdracht te starten en de gegevens die tot de match hebben geleid.

In het geval van meerdere matches wordt een link aangemaakt tussen alle gegevens die tot de match hebben geleid. Als de gegevens al gelinkt waren, wordt de bestaande link uitgebreid tot de gegevens die zijn gebruikt om de zoekopdracht te starten.

3.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, een of meer matches oplevert en de identiteitsgegevens van de gelinkte bestanden identiek of vergelijkbaar zijn, wordt een witte link aangemaakt overeenkomstig artikel 33.

4.   Wanneer een zoekopdracht als bedoeld in artikel 27, lid 2, lid 3 en lid 4, een of meer matches oplevert en de identiteitsgegevens van de gelinkte bestanden niet als vergelijkbaar kunnen worden beschouwd, wordt een gele link aangemaakt overeenkomstig artikel 30 en is de in artikel 29 bedoelde procedure van toepassing.

5.   De Commissie stelt overeenkomstig artikel 73 bij gedelegeerde handelingen de procedures vast aan de hand waarvan moet worden bepaald welke identiteitsgegevens als identiek of vergelijkbaar moeten worden beschouwd.

6.   De links worden opgeslagen in het in artikel 34 bedoelde identiteitsbevestigingsbestand.

7.   De Commissie stelt in samenwerking met eu-LISA bij uitvoeringshandelingen de technische voorschriften vast voor het aanmaken van links tussen gegevens uit verschillende Unie-informatiesystemen. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

1.   Onverminderd lid 2 is de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit:

De MID vermeldt in het identiteitsbevestigingsbestand welke autoriteit verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

2.   De in het identiteitsbevestigingsbestand bedoelde voor de manuele verificatie van meerdere identiteiten bevoegde autoriteit is het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd wanneer er een link wordt aangemaakt met gegevens in een signalering:

3.   Onverminderd lid 4 van dit artikel, heeft de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit toegang tot de gelinkte gegevens in het desbetreffende identiteitsbevestigingsbestand en tot de gelinkte identiteitsgegevens in het CIR en, in voorkomend geval, in het SIS. Zij beoordeelt onverwijld de meerdere identiteiten. Als zij die beoordeling heeft afgerond, werkt zij de link bij overeenkomstig de artikelen 31, 32 en 33 en voegt deze onverwijld toe aan het identiteitsbevestigingsbestand.

4.   Wanneer de voor de manuele verificatie van meerdere identiteiten in het identiteitsbevestigingsbestand verantwoordelijke autoriteit de bevoegde autoriteit is die is aangewezen overeenkomstig artikel 9, lid 2, van Verordening (EU) 2017/2226 die een afzonderlijk bestand in het EES aanlegt of bijwerkt overeenkomstig artikel 14 van die verordening, en er een gele link is aangemaakt, verricht de grensautoriteit aanvullende verificaties. Uitsluitend met het oog daarop heeft die autoriteit toegang tot de daarmee verband houdende identiteitsgegevens in het identiteitsbevestigingsbestand. Zij beoordeelt de verschillende identiteiten, werkt de link bij overeenkomstig de artikelen 31, 32 en 33 van die verordening en voegt deze link onverwijld toe aan het identiteitsbevestigingsbestand.

Die manuele verificatie van meerdere identiteiten wordt geïnitieerd in het bijzijn van de betrokkene, die de gelegenheid moet krijgen om de omstandigheden toe te lichten aan de verantwoordelijke autoriteit, die deze toelichting in aanmerking moet nemen.

In gevallen waarin de manuele verificatie van meerdere identiteiten plaatsvindt aan de grens, moet de verificatie zo mogelijk binnen twaalf uur na de aanmaak van een gele link overeenkomstig artikel 28, lid 4, geschieden.

5.   Indien meer dan één link wordt aangemaakt, wordt elke link afzonderlijk beoordeeld door de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

6.   Als de gegevens die een match opleveren, al gelinkt waren, houdt de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, rekening met de bestaande links wanneer zij het aanmaken van nieuwe links beoordeelt.

1.   Wanneer er nog geen de manuele verificatie van meerdere identiteiten is verricht, wordt een link tussen gegevens uit twee of meer Unie-informatiesystemen in de volgende gevallen ingedeeld als geel:

2.   Indien een link overeenkomstig lid 1 is ingedeeld als geel, is de procedure van artikel 29 van toepassing.

1.   Een link tussen gegevens van twee of meer Unie-informatiesystemen wordt in de volgende gevallen ingedeeld als groen:

2.   Wanneer het CIR of het SIS wordt doorzocht en er een groene link bestaat tussen gegevens in twee of meer van de Unie-informatiesystemen, geeft de MID aan dat de identiteitsgegevens van de gelinkte gegevens niet overeenstemmen met dezelfde persoon.

3.   Wanneer een lidstatelijke autoriteit beschikt over bewijs dat een groene link foutief is ingevoerd in de MID, dat een groene link niet actueel is of dat de gegevens in de MID of de Unie-informatiesystemen in strijd met deze verordening werden verwerkt, controleert die autoriteit de desbetreffende gegevens die in het CIR en het CIS zijn opgeslagen, en indien nodig corrigeert zij de link of wist zij deze onverwijld uit de MID. De lidstatelijke autoriteit stelt de lidstaat die verantwoordelijk is voor de manuele verificatie van de meerdere identiteiten hiervan onverwijld in kennis.

1.   Een link tussen gegevens van twee of meer Unie-informatiesystemen wordt in de volgende gevallen ingedeeld als rood:

2.   Wanneer het CIR of het SIS wordt doorzocht en er een rode link bestaat tussen gegevens in twee of meer van de Unie-informatiesystemen die deel uitmaken van het CIR of het SIS, vermeldt de MID in zijn antwoord de in artikel 34 bedoelde gegevens. De follow-up van een rode link verloopt overeenkomstig het Unierecht en het nationaal recht, waarbij eventuele rechtsgevolgen voor de betrokkene uitsluitend worden gebaseerd op de gegevens met betrekking tot die persoon. Het bestaan van een rode link op zich heeft voor de betrokken persoon geen rechtsgevolgen.

3.   Wanneer er een rode link wordt aangemaakt tussen gegevens in het EES, VIS, Etias, Eurodac of ECRIS-TCN, wordt het in het CIR opgeslagen afzonderlijke bestand bijgewerkt overeenkomstig artikel 19, lid 2.

4.   Onverminderd de bepalingen in verband met de behandeling van signaleringen in het SIS zoals vervat in de Verordeningen (EU) 2018/1860, (EU) 2018/1861 en (EU) 2018/1862 en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat geen enkel nationaal onderzoek in gevaar wordt gebracht, meldt de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, in het geval van een rode link, aan de betrokkene dat meerdere onrechtmatige identiteiten zijn geconstateerd en verstrekt de betrokkene het unieke identificatienummer als bedoeld in artikel 34, onder c), van deze verordening informatie over de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten als bedoeld in artikel 34, onder d), van deze verordening en het internetadres van het overeenkomstig artikel 49 van deze verordening opgerichte webportaal.

5.   De in lid 4 bedoelde informatie wordt door de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten schriftelijk meegedeeld via een standaardformulier. De Commissie stelt de inhoud en de presentatie van dat formulier vast door middel van uitvoeringshandelingen. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

6.   Wanneer een rode link wordt aangemaakt, stelt de MID de autoriteiten die verantwoordelijk zijn voor de gelinkte gegevens hiervan automatisch in kennis.

7.   Wanneer een lidstatelijke autoriteit of een Unie-agentschap met toegang tot het CIR of het SIS bewijs verkrijgt dat een rode link foutief in de MID is geregistreerd of dat de gegevens in de MID, het CIR of het SIS in strijd met deze verordening werden verwerkt, controleert die autoriteit of dat agentschap de relevante gegevens die zijn opgeslagen in het CIR of het SIS en, indien nodig:

Indien een Sirene-bureau overeenkomstig punt a) van de eerste alinea is gecontacteerd, controleert het het door de lidstatelijke autoriteit of het Unie-agentschap verstrekte bewijs en corrigeert zij waar nodig de link of verwijdert zij deze onmiddellijk uit de MID.

De autoriteit van de lidstaat die dergelijk bewijs verkrijgt, stelt de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat onverwijld in kennis van een relevante correctie of verwijdering van een rode link.

1.   Een link tussen gegevens van twee of meer Unie-informatiesystemen wordt in de volgende gevallen ingedeeld als wit:

2.   Wanneer het CIR of het SIS wordt doorzocht en er een witte link bestaat tussen gegevens in twee of meer van de Unie-informatiesystemen, geeft de MID aan dat de identiteitsgegevens van de gelinkte gegevens overeenstemmen met dezelfde persoon. De doorzochte Unie-informatiesystemen vermelden in hun antwoord, in voorkomend geval, alle gelinkte gegevens van de persoon en brengen zo een match tot stand met de gegevens waartussen een witte link bestaat, indien de autoriteit die de zoekopdracht heeft gestart, overeenkomstig het Unie- of nationaal recht toegang heeft tot de gelinkte gegevens.

3.   Wanneer er een witte link wordt aangemaakt tussen gegevens van het EES, VIS, Etias, Eurodac of ECRIS-TCN, wordt het afzonderlijke bestand dat in het CIR is opgeslagen, bijgewerkt overeenkomstig artikel 19, lid 2.

4.   Onverminderd de bepalingen in verband met de behandeling van signaleringen in het SIS als bedoeld in de Verordeningen (EU) 2018/1860, (EU) 2018/1861 en (EU) 2018/1862 en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat geen enkel nationaal onderzoek in gevaar wordt gebracht, meldt de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten, wanneer er een witte link is aangemaakt na een manuele verificatie van meerdere identiteiten, aan de betrokkene dat vergelijkbare of verschillende identiteiten zijn geconstateerd en verstrekt zij de persoon met het in artikel 34, onder c), van deze verordening bedoelde unieke identificatienummer informatie over de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten als bedoeld in artikel 34, onder d), van deze verordening en het internetadres van het overeenkomstig artikel 49 van deze verordening opgerichte webportaal.

5.   Wanneer een lidstatelijke autoriteit beschikt over bewijs dat een witte link foutief is geregistreerd in de MID, een witte link niet actueel is of dat de gegevens in de MID of de Unie-informatiesystemen in strijd met deze verordening werden verwerkt, controleert die autoriteit de relevante gegevens die zijn opgeslagen in het CIR en het CIS en indien nodig corrigeert zij de link of verwijdert zij deze onverwijld uit de MID. De lidstatelijke autoriteit stelt de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat hiervan onverwijld in kennis.

6.   De in lid 4 bedoelde informatie wordt door de voor de manuele verificatie van meerdere identiteiten verantwoordelijke autoriteit schriftelijk meegedeeld via een standaardformulier. De Commissie stelt de inhoud en de presentatie van dat formulier vast door middel van uitvoeringshandelingen. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

1.   eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen in de MID. In deze logbestanden wordt het volgende vermeld:

2.   Elke lidstaat houdt logbestanden bij van de zoekopdrachten van zijn autoriteiten en van de personeelsleden van die autoriteiten die naar behoren gemachtigd zijn om de MID te gebruiken. Elk Unie-agentschap houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

3.   De in de leden 1 en 2 bedoelde logbestanden worden uitsluitend gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit. Deze logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanleggen ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist als de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

1.   Onverminderd de verantwoordelijkheden van de lidstaten met betrekking tot de kwaliteit van de in de systemen opgeslagen gegevens, stelt eu-LISA automatische mechanismen en procedures vast voor het controleren van de kwaliteit van de gegevens die worden opgeslagen in het EES, VIS, Etias, SIS, de gezamenlijke BMS en het CIR.

2.   eu-LISA voorziet in mechanismen voor evaluatie van de nauwkeurigheid van de gezamenlijke BMS, gemeenschappelijke indicatoren voor gegevenskwaliteit, en de minimumkwaliteitsnormen voor de opslag van gegevens in het EES, VIS, Etias, SIS, de gezamenlijke BMS en het CIR.

In het EES, VIS, Etias, SIS, de gezamenlijke BMS, het CIR en de MID mogen alleen gegevens worden ingevoerd die aan de minimumkwaliteitsnormen voldoen.

3.   eu-LISA brengt regelmatig verslag uit aan de lidstaten over de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit en over de gemeenschappelijke indicatoren voor gegevenskwaliteit. eu-LISA brengt ook regelmatig verslag uit aan de Commissie over kwesties die zijn geconstateerd en de hierbij betrokken lidstaten. eu-LISA legt dat verslag op verzoek ook voor aan het Europees Parlement en de Raad. De in dit lid bedoelde verslagen bevatten in geen geval persoonsgegevens.

4.   Bij uitvoeringshandelingen worden nadere bepalingen vastgesteld inzake de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen voor de opslag van gegevens in het EES, VIS, Etias, SIS, de gezamenlijke BMS en het CIR, met name met betrekking tot biometrische gegevens. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

5.   Eén jaar na de vaststelling van de automatische mechanismen en procedures voor het controleren van gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumgegevenskwaliteitsnormen, en vervolgens om het jaar, evalueert de Commissie de prestaties van de lidstaten op het gebied van gegevenskwaliteit en doet zij zo nodig aanbevelingen. De lidstaten dienen bij de Commissie een actieplan in om de in het evaluatieverslag geconstateerde gebreken te verhelpen, met name problemen in verband met de gegevenskwaliteit die het gevolg zijn van verkeerde gegevens in de Unie-informatiesystemen. De lidstaten brengen op gezette tijden verslag uit aan de Commissie over de voortgang van het actieplan tot dit volledig is uitgevoerd.

De Commissie legt het evaluatieverslag voor aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming, het Europees Comité voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten dat is opgericht bij Verordening (EG) nr. 168/2007 van de Raad (39).

1.   Hierbij wordt de norm inzake het Universal Message Format (UMF) ingesteld. De UMF-norm definieert bepaalde elementen van de inhoud van grensoverschrijdende informatie-uitwisseling tussen informatiesystemen, autoriteiten of organisaties op het gebied van justitie en binnenlandse zaken.

2.   De UMF-norm wordt toegepast bij de ontwikkeling van het EES, ETIAS, ESP, CIR, de MID en in voorkomend geval bij de ontwikkeling, door eu-LISA of een ander Unie-agentschap, van nieuwe informatie-uitwisselingsmodellen en informatiesystemen op het gebied van justitie en binnenlandse zaken.

3.   De Commissie stelt een uitvoeringshandeling vast voor het vastleggen en ontwikkelen van de in lid 1 van dit artikel bedoelde UMF-norm. Die uitvoeringshandeling wordt overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

1.   Er wordt een centraal register voor rapportage en statistieken (CRRS) ingesteld om de doelstellingen van het EES, VIS, ETIAS en SIS in overeenstemming met de voor die systemen respectievelijk geldende rechtsinstrumenten te ondersteunen en om te voorzien in systeemoverschrijdende statistische gegevens en analytische verslagen voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit.

2.   eu-LISA zorgt op zijn technische locaties voor het opstellen, implementeren en hosten van het CRRS met daarin de logisch gescheiden gegevens en statistieken als bedoeld in artikel 63 van Verordening (EU) 2017/2226, artikel 17 van Verordening (EG) nr. 767/2008, artikel 84 van Verordening (EU) 2018/1240, artikel 60 van Verordening (EU) 2018/1861 en artikel 16 van Verordening (EU) 2018/1860. Toegang tot het CRRS wordt uitsluitend met het oog op het opstellen van rapporten en statistieken verleend aan de in artikel 63 van Verordening (EU) 2017/2226, artikel 17 van Verordening (EG) nr. 767/2008, artikel 84 van Verordening (EU) 2018/1240 en artikel 60 van Verordening (EU) 2018/1861 bedoelde autoriteiten door middel van een gecontroleerde en beveiligde toegang en specifieke gebruikersprofielen.

3.   eu-LISA anonimiseert de gegevens en registreert de geanonimiseerde gegevens in het CRRS. Het anonimiseren van de gegevens gebeurt automatisch.

Aan de hand van in het CRRS opgenomen gegevens kunnen geen personen worden geïdentificeerd.

4.   Het CRRS bestaat uit:

5.   De Commissie stelt overeenkomstig artikel 73 bij gedelegeerde handeling nadere bepalingen vast inzake de werking van het CRRS, met inbegrip van specifieke waarborgen voor de verwerking van persoonsgegevens overeenkomstig de leden 2 en 3 van dit artikel, en veiligheidsvoorschriften voor het register.

1.   Met betrekking tot de verwerking van gegevens in de gezamenlijke BMS zijn de autoriteiten van de lidstaten die verwerkingsverantwoordelijke zijn voor het EES, VIS of SIS verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 of artikel 3, punt 8, van Richtlijn (EU) 2016/680 met betrekking tot de door hen in de onderliggende systemen ingevoerde biometrische templates die worden verkregen uit de in artikel 13 van deze verordening bedoelde gegevens, en zijn deze autoriteiten verantwoordelijk voor de verwerking van de biometrische templates in de gezamenlijke BMS.

2.   Met betrekking tot de verwerking van gegevens in het CIR zijn de autoriteiten van de lidstaten die verwerkingsverantwoordelijke zijn voor het EES, VIS of Etias verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 met betrekking tot de in artikel 18 van deze verordening bedoelde gegevens die zij in de onderliggende systemen invoeren, en zijn deze autoriteiten verantwoordelijk voor de verwerking van die persoonsgegevens in het CIR.

3.   Met betrekking tot de verwerking van gegevens in de MID geldt dat:

4.   Met het oog op het toezicht op de gegevensbescherming, waaronder het controleren van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, hebben de verwerkingsverantwoordelijken voor interne monitoring als bedoeld in artikel 44 toegang tot de in de artikelen 10, 16, 24 en 36 bedoelde logbestanden.

1.   eu-LISA, de centrale Etias-eenheid, Europol en de lidstatelijke autoriteiten zorgen voor de beveiliging van de verwerking van persoonsgegevens uit hoofde van deze verordening. eu-LISA, de centrale Etias-eenheid, Europol en de lidstatelijke autoriteiten werken samen aan taken op het gebied van beveiliging.

2.   Onverminderd artikel 33 van Verordening (EU) 2018/1725 neemt eu-LISA de nodige maatregelen ter beveiliging van de interoperabiliteitscomponenten en de bijbehorende communicatie-infrastructuur.

3.   Met name neemt eu-LISA passende maatregelen, waaronder de vaststelling van een veiligheidsplan, een bedrijfscontinuïteitsplan en een uitwijkplan, om:

4.   Om de verwerking van persoonsgegevens door autoriteiten met recht op toegang tot een of meer interoperabiliteitscomponenten te beveiligen, nemen de lidstaten, Europol en de centrale Etias-eenheid maatregelen die gelijkwaardig zijn aan die van lid 3 van dit artikel.

1.   Elke gebeurtenis die gevolgen heeft of kan hebben voor de beveiliging van de interoperabiliteitscomponenten of kan leiden tot beschadiging of verlies van gegevens die in de componenten zijn opgeslagen, wordt beschouwd als een beveiligingsincident, met name wanneer onrechtmatige toegang tot gegevens kan zijn verkregen of wanneer de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens in gevaar is of kan zijn gekomen.

2.   Het beheer van beveiligingsincidenten is gericht op een snelle, doeltreffende en passende reactie.

3.   Onverminderd de melding en mededeling van een inbreuk in verband met persoonsgegevens uit hoofde van artikel 33 van Verordening (EU) 2016/679, artikel 30 van Richtlijn (EU) 2016/680, of beide, stellen de lidstaten de Commissie, eu-LISA, de bevoegde toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming onverwijld in kennis van beveiligingsincidenten.

Onverminderd de artikelen 34 en 35 van Verordening (EU) 2018/1725 en artikel 34 van Verordening (EU) 2016/794 stellen de centrale Etias-eenheid en Europol de Commissie, eu-LISA en de Europese Toezichthouder voor gegevensbescherming onverwijld in kennis van eventuele beveiligingsincidenten.

eu-LISA stelt de Commissie en de Europese Toezichthouder voor gegevensbescherming onverwijld in kennis van beveiligingsincidenten in verband met de centrale infrastructuur van de interoperabiliteitscomponenten.

4.   Informatie betreffende een beveiligingsincident dat gevolgen heeft of kan hebben voor de werking van interoperabiliteitscomponenten of voor de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens, wordt onverwijld aan de lidstaten, de centrale Etias-eenheid en Europol verstrekt en gerapporteerd in overeenstemming met het door eu-LISA te verstrekken incidentenbeheerplan.

5.   De betrokken lidstaten, de centrale ETIAS-eenheid, Europol en eu-LISA werken samen wanneer zich een beveiligingsincident voordoet. De Commissie stelt bij uitvoeringshandelingen de specificaties van deze samenwerkingsprocedure vast. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.

1.   Onverminderd het recht op schadevergoeding door en de aansprakelijkheid van de verwerkingsverantwoordelijke of de verwerker uit hoofde van Verordening (EU) 2016/679, Richtlijn (EU) 2016/680 en Verordening (EU) 2018/1725, geldt het volgende:

De betrokken lidstaat, Europol, het Europees Grens- en kustwachtagentschap of eu-LISA wordt geheel of gedeeltelijk van zijn aansprakelijkheid op grond van de eerste alinea ontheven indien hij kan aantonen niet verantwoordelijk te zijn voor het feit dat de schade heeft veroorzaakt.

2.   Indien schade aan de interoperabiliteitscomponenten ontstaat doordat een lidstaat zijn verplichtingen uit hoofde van deze verordening niet is nagekomen, is deze lidstaat daarvoor aansprakelijk, tenzij en voor zover eu-LISA of een andere door deze verordening gebonden lidstaat, heeft nagelaten redelijke stappen te ondernemen om het optreden van de schade te voorkomen of de omvang ervan zo veel mogelijk te beperken.

3.   Op vorderingen tegen een lidstaat tot vergoeding van de in de leden 1 en 2 bedoelde schade is het nationale recht van de verwerende lidstaat van toepassing. Op vorderingen tegen de verwerkingsverantwoordelijke of eu-LISA tot vergoeding van de in de leden 1 en 2 bedoelde schade zijn de in de Verdragen bepaalde voorwaarden van toepassing.

1.   De autoriteit die de persoonsgegevens verzamelt die moeten worden opgeslagen in de gezamenlijke BMS, het CIR of de MID, verstrekt de personen van wie gegevens zijn verzameld de informatie die is vereist uit hoofde van de artikelen 13 en 14 van Verordening (EU) 2016/679, de artikelen 12 en 13 van Richtlijn (EU) 2016/680 en de artikelen 15 en 16 van Verordening (EU) 2018/1725. De autoriteit verstrekt deze informatie op het tijdstip waarop dergelijke persoonsgegevens worden verzameld.

2.   Alle informatie wordt verstrekt in duidelijke en eenvoudige taal, in een taalversie die de betrokkene begrijpt of waarvan redelijkerwijs kan worden aangenomen dat hij die begrijpt. Dit betekent ook dat informatie aan minderjarige betrokkenen wordt verstrekt op een wijze die bij hun leeftijd past.

3.   Personen van wie gegevens in het EES, VIS of ETIAS worden opgeslagen, worden overeenkomstig lid 1 in kennis gesteld van de verwerking van persoonsgegevens met het oog op de toepassing van deze verordening, wanneer:

1.   Voor de uitoefening van hun rechten krachtens de artikelen 15 tot en met 18 van Verordening (EU) 2016/679, de artikelen 17 tot en met 20 van Verordening (EU) 2018/1725 en de artikelen 14, 15 en 16 van Richtlijn (EU) 2016/680 heeft elke persoon het recht om zich te wenden tot de bevoegde autoriteit van een lidstaat, die het verzoek zal onderzoeken en beantwoorden.

2.   De lidstaat die een dergelijk verzoek onderzoekt, beantwoordt het verzoek onverwijld, doch in elk geval binnen 45 dagen na ontvangst van het verzoek. Afhankelijk van de complexiteit van het verzoek en van het aantal ingediende verzoeken kan die termijn indien nodig met nog eens 15 dagen worden verlengd. De lidstaat die het verzoek onderzoekt, stelt de betrokkene binnen 45 dagen na ontvangst van het verzoek in kennis van een dergelijke verlenging en van de redenen voor de vertraging. De lidstaten kunnen besluiten dat antwoorden moeten worden gegeven door de centrale kantoren.

3.   Als er een verzoek om rectificatie of wissing van persoonsgegevens wordt gericht tot een andere lidstaat dan de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat, neemt de aangezochte lidstaat binnen zeven dagen contact op met de autoriteiten van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat. De voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat controleert onverwijld, doch in ieder geval binnen 30 dagen na dit contact, de juistheid van de gegevens en de rechtmatigheid van de gegevensverwerking. Afhankelijk van de complexiteit van het verzoek en van het aantal ingediende verzoeken kan die termijn indien nodig met nog eens 15 dagen worden verlengd. De voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat stelt de lidstaat die contact heeft opgenomen in kennis van een dergelijke verlenging en van de redenen voor de vertraging. De betrokkene wordt door de lidstaat die contact heeft opgenomen met de autoriteiten van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat geïnformeerd over de verdere procedure.

4.   Als er een verzoek om rectificatie of wissing van persoonsgegevens wordt gericht tot een lidstaat en de centrale Etias-eenheid verantwoordelijk was voor de manuele verificatie van meerdere identiteiten, neemt de aangezochte lidstaat binnen zeven dagen contact op met de centrale Etias-eenheid om advies te verzoeken. De Etias-eenheid verstrekt onverwijld advies en in elk geval binnen 30 dagen na te zijn gecontacteerd. Afhankelijk van de complexiteit van het verzoek en van het aantal ingediende verzoeken kan die termijn indien nodig met nog eens 15 dagen worden verlengd. De betrokkene wordt door de lidstaat die met de centrale Etias-eenheid contact heeft opgenomen in kennis gesteld van de verdere procedure.

5.   Wanneer na onderzoek blijkt dat de in de MID opgeslagen gegevens onjuist zijn of onrechtmatig zijn geregistreerd, worden deze gegevens onverwijld gerectificeerd of gewist door de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat of, als er geen lidstaat is die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten of als de centrale Etias-eenheid verantwoordelijk is voor de manuele verificatie, door de aangezochte lidstaat. De betrokkene wordt schriftelijk van de rectificatie of wissing van zijn gegevens in kennis gesteld.

6.   Wanneer een lidstaat tijdens de geldigheidsduur in de MID opgeslagen gegevens wijzigt, bepaalt hij aan de hand van de in artikel 27 en, in voorkomend geval, artikel 29 bedoelde verwerking of een link tussen de gewijzigde gegevens moet worden aangemaakt. Wanneer de verwerking geen match oplevert, verwijdert die lidstaat de gegevens uit het identiteitsbevestigingsbestand. Indien de automatische verwerking een of meer matches oplevert, wordt de link dienovereenkomstig door die lidstaat aangemaakt of bijgewerkt overeenkomstig de desbetreffende bepalingen van deze verordening.

7.   Indien de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat of, in voorkomend geval, de aangezochte lidstaat niet van oordeel is dat de in de MID opgeslagen gegevens onjuist zijn of onrechtmatig zijn geregistreerd, stelt die lidstaat een administratief besluit vast waarbij hij de betrokken persoon onverwijld schriftelijk uitlegt waarom hij niet bereid is de gegevens betreffende die persoon te corrigeren of te wissen.

8.   Het in lid 7 bedoelde besluit verstrekt de betrokkene tevens informatie over de mogelijkheid om de beslissing inzake het verzoek om toegang tot of rectificatie, wissing of beperking van de verwerking van persoonsgegevens te betwisten en, indien relevant, over de wijze waarop hij een rechtsvordering kan instellen of een klacht kan indienen bij de bevoegde autoriteiten of rechtbanken, alsmede over bijstand, onder meer van de toezichthoudende autoriteiten.

9.   Elk verzoek om toegang tot of rectificatie, wissing of beperking van de verwerking van persoonsgegevens bevat de informatie die nodig is om de betrokkene te identificeren. Deze informatie wordt uitsluitend gebruikt om de uitoefening van de in dit artikel bedoelde rechten mogelijk te maken en wordt onmiddellijk nadien gewist.

10.   De voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat of, in voorkomend geval, de aangezochte lidstaat legt in een schriftelijk document vast dat een verzoek om toegang tot of rectificatie, wissing, beperking van de verwerking van persoonsgegevens is ingediend en op welke wijze dit is behandeld, en stelt dit document onverwijld ter beschikking van de toezichthoudende autoriteiten voor gegevensbescherming.

11.   Dit artikel doet geen afbreuk aan beperkingen van de in dit artikel bedoelde rechten uit hoofde van Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680.

1.   Er wordt een webportaal opgericht om de uitoefening van het recht van toegang tot en rectificatie, wissing of beperking van de verwerking van persoonsgegevens te vergemakkelijken.

2.   Het webportaal bevat informatie over de in de artikelen 47 en 48 bedoelde rechten en procedures, alsmede een gebruikersinterface die personen van wie gegevens worden verwerkt in de MID en die in kennis zijn gesteld van het bestaan van een rode link als bedoeld in artikel 32, lid 4, in staat stelt om de contactgegevens te verkrijgen van de bevoegde autoriteit van de lidstaat die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten.

3.   Om de contactgegevens te verkrijgen van de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat, moet de persoon van wie gegevens in de MID worden verwerkt de referentie naar de autoriteit die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten als bedoeld in artikel 34, onder d), invoeren. Het webportaal maakt gebruik van deze referentie om de contactgegevens van de bevoegde autoriteit van de lidstaat die verantwoordelijk is voor de manuele verificatie van meerdere identiteiten op te vragen. Het webportaal bevat voorts een model-e-mail om communicatie tussen de portaalgebruiker en de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat te vergemakkelijken. Een dergelijke e-mail bevat een veld voor het in artikel 34, onder c), bedoelde unieke identificatienummer, opdat de bevoegde autoriteit van de voor de manuele verificatie van meerdere identiteiten verantwoordelijke lidstaat in staat is om te bepalen om welke gegevens het gaat.

4.   De lidstaten verstrekken eu-LISA de contactgegevens van alle autoriteiten die bevoegd zijn om verzoeken als bedoeld in de artikelen 47 en 48 te beoordelen en beantwoorden, en controleren regelmatig of die contactgegevens nog actueel zijn.

5.   eu-LISA zorgt voor de ontwikkeling en het technische beheer van het webportaal.

6.   De Commissie stelt overeenkomstig artikel 73 een gedelegeerde handeling vast houdende gedetailleerde voorschriften inzake het beheer van het webportaal, inclusief de gebruikersinterface, de talen waarin het webportaal beschikbaar is en de model-e-mail.

1.   Elke lidstaat zorgt ervoor dat de toezichthoudende autoriteiten onafhankelijk toezicht houden op de rechtmatigheid van de verwerking van persoonsgegevens overeenkomstig deze verordening door de betrokken lidstaat, met inbegrip van de doorgifte van die gegevens naar en van de interoperabiliteitscomponenten.

2.   Elke lidstaat zorgt ervoor dat de wettelijke en bestuursrechtelijke bepalingen die overeenkomstig Richtlijn (EU) 2016/680 in het nationale recht zijn vastgesteld, in voorkomend geval ook van toepassing zijn op de toegang tot de interoperabiliteitscomponenten door politieautoriteiten en aangewezen autoriteiten, mede met betrekking tot de rechten van de personen tot wier gegevens aldus toegang wordt verkregen.

3.   De toezichthoudende autoriteiten zorgen ervoor dat voor de doeleinden van deze verordening ten minste om de vier jaar een audit van de verrichtingen van de verantwoordelijke nationale autoriteiten op het gebied van de verwerking van persoonsgegevens wordt uitgevoerd overeenkomstig de desbetreffende internationale auditnormen.

Jaarlijks worden het aantal verzoeken om rectificatie, wissing of beperking van verwerking van persoonsgegevens, het daaraan gegeven gevolg en het aantal rectificaties, wissingen en beperkingen van verwerking dat op verzoek van de betrokkenen is aangebracht, door de toezichthoudende autoriteiten bekendgemaakt.

4.   De lidstaten zorgen ervoor dat hun toezichthoudende autoriteiten over voldoende middelen en deskundigheid beschikken om hun taken uit hoofde van deze verordening te kunnen vervullen.

5.   De lidstaten verstrekken de door een in artikel 51, lid 1, van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteit gevraagde informatie, en in het bijzonder informatie over de activiteiten die zijn verricht in overeenstemming met hun taken uit hoofde van deze verordening. De lidstaten bieden de in artikel 51, lid 1, van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteiten toegang tot hun logbestanden als bedoeld in de artikelen 10, 16, 24 en 36 van deze verordening en tot de in artikel 22, lid 2, van deze verordening bedoelde geregistreerde redenen, en verlenen hen te allen tijde toegang tot al hun gebouwen die worden gebruikt voor activiteiten in verband met interoperabiliteit.

1.   De toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming werken, elk binnen hun eigen bevoegdheidsgebieden en binnen het kader van hun eigen verantwoordelijkheden, actief met elkaar samen, en zorgen voor een gecoördineerd toezicht op het gebruik van de interoperabiliteitscomponenten en de toepassing van de andere bepalingen van deze verordening, met name wanneer de Europese Toezichthouder voor gegevensbescherming of een toezichthoudende autoriteit grote verschillen tussen praktijken van de lidstaten constateert of potentieel onrechtmatige gegevensdoorgiften via de communicatiekanalen van de interoperabiliteitscomponenten constateert.

2.   In de in lid 1 van dit artikel bedoelde gevallen wordt gezorgd voor gecoördineerd toezicht in overeenstemming met artikel 62 van Verordening (EU) 2018/1725.

3.   Uiterlijk op 12 juni 2021 en vervolgens om de twee jaar zendt het Europees Comité voor gegevensbescherming een gezamenlijk verslag van zijn activiteiten uit hoofde van dit artikel toe aan het Europees Parlement, de Raad, de Commissie, Europol, het Europees Grens- en kustwachtagentschap en eu-LISA. Het verslag bevat voor elke lidstaat een hoofdstuk dat door de toezichthoudende autoriteit van de betrokken lidstaat wordt opgesteld.

1.   eu-LISA zorgt ervoor dat de centrale infrastructuur van de interoperabiliteitscomponenten wordt beheerd in overeenstemming met deze verordening.

2.   De interoperabiliteitscomponenten worden door eu-LISA gehost op zijn technische locaties en voorzien in de in deze verordening beschreven functies overeenkomstig de voorwaarden inzake beveiliging, beschikbaarheid, kwaliteit en prestaties bedoeld in artikel 55, lid 1.

3.   eu-LISA is verantwoordelijk voor de ontwikkeling van de interoperabiliteitscomponenten en voor alle aanpassingen die nodig zijn met het oog op de interoperabiliteit tussen de centrale systemen van het EES, VIS, Etias, SIS, Eurodac en ECRIS-TCN, en het ESP, de gezamenlijke BMS, het CIR, de MID en het CRRS.

Onverminderd artikel 56 heeft eu-LISA geen toegang tot de persoonsgegevens die via het ESP, de gezamenlijke BMS, het CIR of de MID worden verwerkt.

Het ontwerp van de fysieke architectuur van de interoperabiliteitscomponenten, met inbegrip van de communicatie-infrastructuur alsook de technische specificaties en de evolutie daarvan met betrekking tot de centrale infrastructuur en de beveiligde communicatie-infrastructuur, wordt door eu-LISA bepaald en na een gunstig advies van de Commissie vastgesteld door de raad van bestuur. eu-LISA verricht ook de nodige aanpassingen van het EES, VIS, Etias of SIS als voortvloeiend uit de totstandbrenging van de interoperabiliteit en bedoeld in deze verordening.

eu-LISA ontwikkelt en implementeert de interoperabiliteitscomponenten zo spoedig mogelijk na de inwerkingtreding van deze verordening en de vaststelling door de Commissie van de maatregelen bedoeld in artikel 8, lid 2, artikel 9, lid 7, artikel 28, leden 5 en 7, artikel 37, lid 4, artikel 38, lid 3, artikel 39, lid 5, artikel 43, lid 5, en artikel 74, lid 10.

De ontwikkeling omvat de uitwerking en implementatie van de technische specificaties, het testen en het algemeen projectbeheer en de algehele projectcoördinatie.

4.   In de ontwerp- en ontwikkelingsfase wordt een programmabestuursraad met ten hoogste tien leden ingesteld. Deze raad bestaat uit zeven door de raad van bestuur van eu-LISA uit zijn eigen leden of plaatsvervangers aangewezen leden, de voorzitter van de in artikel 75 bedoelde adviesgroep inzake interoperabiliteit, een door de uitvoerend directeur benoemd lid dat eu-LISA vertegenwoordigt, en één door de Commissie benoemd lid. De door de raad van bestuur van eu-LISA aangewezen leden worden bij uitsluiting gekozen uit de lidstaten die ten volle gebonden zijn door het Unierecht betreffende de ontwikkeling, de oprichting, de exploitatie en het gebruik van alle Unie-informatiesystemen, en die aan de interoperabiliteitscomponenten zullen deelnemen.

5.   De programmabestuursraad komt op gezette tijden, en ten minste driemaal per kwartaal, bijeen. Hij zorgt voor een passend beheer van de fasen waarin de interoperabiliteitscomponenten worden ontworpen en ontwikkeld.

Elke maand brengt de programmabestuursraad schriftelijk verslag uit over de voortgang van het project aan de raad van bestuur van eu-LISA. De programmabestuursraad heeft geen beslissingsbevoegdheid of mandaat om de leden van de raad van bestuur van eu-LISA te vertegenwoordigen.

6.   De raad van bestuur van eu-LISA stelt het reglement van de programmabestuursraad op, dat met name regels bevat inzake:

Het voorzitterschap wordt bekleed door een lidstaat die Unierechtelijk ten volle is gebonden door rechtsinstrumenten betreffende de ontwikkeling, de oprichting, de exploitatie en het gebruik van alle Unie-informatiesystemen en die deelneemt aan de interoperabiliteitscomponenten.

Alle door de leden van de programmabestuursraad gemaakte reis- en verblijfkosten worden betaald door eu-LISA en artikel 10 van het reglement van orde van eu-LISA is van overeenkomstige toepassing. Het secretariaat van de programmabestuursraad wordt verzorgd door eu-LISA.

Tot de ingebruikneming van de interoperabiliteitscomponenten komt de in artikel 75 bedoelde adviesgroep inzake interoperabiliteit op gezette tijden bijeen. Zij brengt na elke bijeenkomst verslag uit aan de programmabestuursraad. Zij ondersteunt de programmabestuursraad met technische deskundigheid en houdt de voortgang van de voorbereidingen van de lidstaten bij.

1.   Na de ingebruikneming van elke interoperabiliteitscomponent is eu-LISA verantwoordelijk voor het technisch beheer van de centrale infrastructuur van de interoperabiliteitscomponenten, met inbegrip van hun onderhoud en technologische ontwikkelingen. eu-LISA zorgt er in samenwerking met de lidstaten voor dat de beste beschikbare technologie wordt gebruikt, onder voorbehoud van een kosten-batenanalyse. eu-LISA is ook verantwoordelijk voor het technisch beheer van de communicatie-infrastructuur als bedoeld in de artikelen 6, 12, 17, 25 en 39.

Het technisch beheer van de interoperabiliteitscomponenten omvat alle taken en technische oplossingen die nodig zijn om de interoperabiliteitscomponenten zeven dagen per week en 24 uur per dag overeenkomstig deze verordening te laten functioneren en ononderbroken diensten te laten verlenen aan de lidstaten en de Unie-agentschappen. Het omvat de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een bevredigende technische kwaliteit van de interoperabiliteitscomponenten, in het bijzonder wat betreft de tijd die nodig is voor raadpleging van de centrale infrastructuur overeenkomstig de technische specificaties.

Alle interoperabiliteitscomponenten worden zodanig ontwikkeld en beheerd dat een snelle, naadloze, efficiënte en gecontroleerde toegang tot en de volledige en ononderbroken beschikbaarheid van de componenten en de in de MID, de gezamenlijke BMS en het CIR opgeslagen gegevens is gewaarborgd, met een responstijd die beantwoordt aan de operationele behoeften van de autoriteit van de lidstaten en de Unie-agentschappen.

2.   Onverminderd artikel 17 van het Statuut van de ambtenaren van de Europese Unie past eu-LISA passende voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op personeelsleden die moeten werken met in de interoperabiliteitscomponenten opgeslagen gegevens. Deze geheimhoudingsplicht blijft ook gelden nadat deze personeelsleden hun functie of dienstverband hebben beëindigd of hun werkzaamheden hebben stopgezet.

Onverminderd artikel 66 heeft eu-LISA geen toegang tot de persoonsgegevens die via het ESP, de gezamenlijke BMS, het CIR en de MID worden verwerkt.

3.   eu-LISA ontwikkelt en onderhoudt een mechanisme en procedures voor het uitvoeren van kwaliteitscontroles op de in de gezamenlijke BMS en het CIR opgeslagen gegevens overeenkomstig artikel 37.

4.   eu-LISA verricht ook taken met betrekking tot het aanbieden van opleiding in het technische gebruik van de interoperabiliteitscomponenten.

1.   Elke lidstaat is verantwoordelijk voor:

2.   Elke lidstaat sluit zijn aangewezen autoriteiten aan op het CIR.

1.   De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke autoriteiten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken, de volgende gegevens inzake het ESP raadplegen:

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

2.   De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke autoriteiten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken, de volgende gegevens inzake het CIR raadplegen:

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

3.   De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke autoriteiten, van de Commissie en van eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken, de volgende gegevens inzake de MID raadplegen:

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

4.   De naar behoren gemachtigde personeelsleden van het Europees Grens- en kustwachtagentschap hebben toegang om de in de leden 1, 2 en 3 van dit artikel bedoelde gegevens te raadplegen, teneinde risico- en kwetsbaarheidsbeoordelingen zoals bedoeld in de artikelen 11 en 13 van Verordening (EU) 2016/1624 van het Europees Parlement en de Raad (40) te kunnen uitvoeren.

5.   De naar behoren gemachtigde personeelsleden van Europol hebben toegang om de in de leden 2 en 3 van dit artikel bedoelde gegevens te raadplegen, teneinde strategische, thematische en operationele analyses zoals bedoeld in artikel 18, lid 2, onder b) en c), van Verordening (EU) 2016/794 te kunnen uitvoeren.

6.   Voor de toepassing van de leden 1, 2 en 3 slaat eu-LISA de in die leden bedoelde gegevens op in het CRRS. De in het CRRS opgenomen gegevens mogen het niet mogelijk maken om personen te identificeren, maar de gegevens moeten de in de leden 1, 2 en 3 bedoelde autoriteiten in staat te stellen op maat gesneden verslagen en statistieken op te stellen met als doel de grenscontroles doeltreffender te maken, de autoriteiten te helpen bij de verwerking van visumaanvragen en een op feiten gebaseerde beleidsvorming inzake migratie en veiligheid in de Unie te ondersteunen.

7.   Op verzoek stelt de Commissie aan het Bureau van de Europese Unie voor de grondrechten relevante informatie ter beschikking om de gevolgen van deze verordening voor de grondrechten te beoordelen.

1.   Gedurende een periode van twee jaar vanaf de ingebruikneming van het ESP zijn de verplichtingen als bedoeld in artikel 7, leden 2 en 4, niet van toepassing en is het gebruik van het ESP facultatief.

2.   De Commissie is bevoegd overeenkomstig artikel 73 een gedelegeerde handeling vast te stellen om de in lid 1 van dit artikel bedoelde periode eenmaal met maximaal 1 jaar te verlengen wanneer uit een beoordeling van de tenuitvoerlegging van het ESP blijkt dat een dergelijke verlenging nodig is met name vanwege de gevolgen van de ingebruikname van het ESP voor de organisatie en de duur van grenscontroles.

1.   Gedurende een periode van één jaar nadat eu-LISA de voltooiing van de test van de MID als bedoeld in artikel 72, lid 4, onder b), heeft gemeld en voordat de MID in gebruik wordt genomen, is de centrale Etias-eenheid verantwoordelijk voor het uitvoeren van een detectie van meerdere identiteiten aan de hand van de gegevens die zijn opgeslagen in het EES, VIS, Eurodac en SIS. Voor de detectie van meerdere identiteiten wordt uitsluitend gebruik gemaakt van biometrische gegevens.

2.   Wanneer een zoekopdracht een of meer matches oplevert en de identiteitsgegevens in de gelinkte bestanden identiek of vergelijkbaar zijn, wordt een witte link aangemaakt overeenkomstig artikel 33.

Wanneer een zoekopdracht een of meer matches oplevert en de identiteitsgegevens in de gelinkte bestanden niet als vergelijkbaar kunnen worden beschouwd, wordt een gele link aangemaakt overeenkomstig artikel 30 en is de in artikel 29 bedoelde procedure van toepassing.

In het geval van meerdere matches wordt een link aangemaakt tussen alle gegevenselementen die tot de match hebben geleid.

3.   Wanneer een gele link wordt aangemaakt, verleent de MID de centrale Etias-eenheid toegang tot de identiteitsgegevens in de verschillende Unie-informatiesystemen.

4.   Wanneer een link wordt aangemaakt met een signalering in SIS, anders dan een signalering op grond van artikel 3 van Verordening (EU) 2018/1860, de artikelen 24 en 25 van Verordening (EU) 2018/1861 of artikel 38 van Verordening (EU) 2018/1862, verleent de MID aan het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd, toegang tot de identiteitsgegevens in de verschillende informatiesystemen.

5.   De centrale Etias-eenheid of, in de in lid 4 van dit artikel bedoelde gevallen, het Sirene-bureau van de lidstaat die de signalering heeft gecreëerd, heeft toegang tot de gegevens in het identiteitsbevestigingsbestand, maakt een beoordeling van de verschillende identiteiten, werkt de link bij overeenkomstig de artikelen 31, 32 en 33 en voegt deze toe aan het identiteitsbevestigingsbestand.

6.   De centrale Etias-eenheid stelt de Commissie overeenkomstig artikel 71, lid 3, pas in kennis wanneer alle gele links manueel zijn geverifieerd en hun status in groene, witte of rode links zijn veranderd.

7.   Waar nodig helpen de lidstaten de centrale Etias-eenheid bij het uitvoeren van de detectie van meerdere identiteiten overeenkomstig dit artikel.

8.   De Commissie is bevoegd overeenkomstig artikel 73 een gedelegeerde handeling vast te stellen tot wijziging van deze verordening om de in lid 1 van dit artikel bedoelde periode met zes maanden te verlengen, waarbij tweemaal een verdere verlenging met telkens zes maanden mogelijk is. Een dergelijke verlenging wordt slechts toegestaan wanneer uit een beoordeling van de geraamde tijdspanne voor het voltooien van de detectie van meerdere identiteiten uit hoofde van dit artikel, blijkt dat detectie van meerdere identiteiten niet kan worden voltooid voor het verstrijken van de resterende periode in de zin van lid 1 van dit artikel of een lopende verlenging om redenen buiten de wil van de centrale Etias-eenheid en dat er geen corrigerende maatregelen kunnen worden getroffen. De beoordeling moet uiterlijk drie maanden voor het verstrijken van een dergelijke periode of een lopende verlenging worden verricht.

1.   De kosten in verband met de instelling en de werking van het ESP, de gezamenlijke BMS, het CIR en de MID komen ten laste van de algemene begroting van de Unie.

2.   De kosten in verband met de integratie van de bestaande nationale infrastructuur, de aansluiting van die infrastructuur op de nationale uniforme interfaces en het hosten van de nationale uniforme interfaces komen ten laste van de algemene begroting van de Unie.

De volgende kosten komen niet in aanmerking:

3.   Onverminderd verdere financiering voor dit doel uit andere bronnen van de algemene begroting van de Europese Unie komt een bedrag van 32 077 000 EUR uit de 791 000 000 EUR aan middelen als vastgelegd in artikel 5, lid 5, onder b), van Verordening (EU) nr. 515/2014 voor de in de leden 1 en 2 van dit artikel bedoelde kosten voor de uitvoering van deze verordening.

4.   Van de in lid 3 bedoelde middelen wordt 22 861 000 EUR toegewezen aan eu-LISA, 9 072 000 EUR aan Europol en 144 000 EUR aan het Agentschap van de Europese Unie voor opleiding op het gebied van rechtshandhaving (Cepol), ter ondersteuning van deze agentschappen bij de uitvoering van hun respectieve taken overeenkomstig deze verordening. Deze financiering wordt uitgevoerd onder indirect beheer.

5.   De kosten die worden gemaakt door de aangewezen autoriteiten worden respectievelijk gedragen door de aangewezen lidstaten. De kosten voor de aansluiting van de aangewezen autoriteit op het CIR worden door elke lidstaat gedragen.

De door Europol gemaakte kosten, waaronder die welke verband houden met het CIR, worden door Europol gedragen.

1.   De lidstaten melden aan eu-LISA welke in de artikelen 7, 20, 21 en 26 bedoelde autoriteiten gebruik kunnen maken van of toegang hebben tot het ESP, het CIR en de MID.

Binnen drie maanden na de ingebruikneming van elke interoperabiliteitscomponent overeenkomstig artikel 72 wordt een geconsolideerde lijst van deze autoriteiten bekendgemaakt in het Publicatieblad van de Europese Unie. Wanneer de lijst wordt gewijzigd, maakt eu-LISA eenmaal per jaar een bijgewerkte geconsolideerde versie bekend.

2.   eu-LISA stelt de Commissie in kennis van de succesvolle afsluiting van de testen als bedoeld in artikel 72, lid 1, onder b), lid 2, onder b), lid 3, onder b), lid 4, onder b), lid 5, onder b) en lid 6, onder b).

3.   De centrale Etias-eenheid stelt de Commissie in kennis van de succesvolle afsluiting van de overgangsperiode als bedoeld in artikel 69.

4.   De Commissie stelt de op grond van lid 1 meegedeelde informatie ter beschikking van lidstaten en het publiek door middel van een permanent bijgewerkte openbare website.

1.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop het ESP in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

Het ESP bevraagt de Interpol-databanken pas nadat de technische regelingen het mogelijk maken artikel 9, lid 5, na te leven. Elke onmogelijkheid om artikel 9, lid 5, na te leven, leidt ertoe dat het ESP de Interpol-databanken niet bevraagt, maar de ingebruikneming van het ESP loopt daardoor geen vertraging op.

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

2.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop de gezamenlijke BMS in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

3.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop het CIR in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

4.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop de MID in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

5.   De Commissie stelt door middel van uitvoeringshandelingen de datum vast vanaf wanneer de automatische mechanismen en procedures voor het controleren van de gegevenskwaliteit, de gemeenschappelijke indicatoren voor gegevenskwaliteit en de minimumkwaliteitsnormen moeten worden gebruikt, zodra aan de volgende voorwaarden is voldaan:

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

6.   De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop het CRRS in gebruik wordt genomen, zodra aan de volgende voorwaarden is voldaan:

De Commissie stelt in de eerste alinea bedoelde datum vast binnen 30 dagen na de vaststelling van de uitvoeringshandeling.

7.   De Commissie stelt het Europees Parlement en de Raad in kennis van de resultaten van de overeenkomstig lid 1, onder b), lid 2, onder b), lid 3, onder b), lid 4, onder b), lid 5, onder b) en lid 6, onder b), uitgevoerde tests.

8.   De lidstaten, de centrale Etias-eenheid en Europol nemen elk van de interoperabiliteitscomponenten in gebruik op de overeenkomstig respectievelijk de leden 1, 2, 3 en 4 door de Commissie bepaalde datum.

1.   De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2.   De in artikel 28, lid 5, artikel 39, lid 5, artikel 49, lid 6, artikel 67, lid 2, en artikel 69, lid 8, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van 11 juni 2019. De Commissie stelt uiterlijk negen maanden voor het einde van de termijn van vijf jaar een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.

3.   Het Europees Parlement of de Raad kan de in artikel 28, lid 5, artikel 39, lid 5, artikel 49, lid 6, artikel 67, lid 2, en artikel 69, lid 8, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.   Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5.   Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

6.   Een overeenkomstig artikel 28, lid 5, artikel 39, lid 5, artikel 49, lid 6, artikel 67, lid 2, en artikel 69, lid 8, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

1.   De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.   Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Indien door het comité geen advies wordt uitgebracht, stelt de Commissie de ontwerpuitvoeringshandeling niet vast en is artikel 5, lid 4, derde alinea, van Verordening (EU) nr. 182/2011 van toepassing.

1.   eu-LISA zorgt voor procedures om de ontwikkeling van de interoperabiliteitscomponenten en de aansluiting daarvan op de nationale uniforme interfaces te monitoren in het licht van de doelstellingen op het gebied van planning en kosten, en om de werking van de interoperabiliteitscomponenten te monitoren in het licht van doelstellingen inzake technische resultaten, kosteneffectiviteit, beveiliging en kwaliteit van de dienstverlening.

2.   Uiterlijk op 12 december 2019 en vervolgens om de zes maanden tijdens de fase waarin de interoperabiliteitscomponenten worden ontwikkeld, legt eu-LISA het Europees Parlement en de Raad een verslag voor over de stand van zaken bij de ontwikkeling van de interoperabiliteitscomponenten en de aansluiting daarvan op de nationale uniforme interfaces. Zodra de ontwikkeling is afgerond, wordt bij het Europees Parlement en de Raad een verslag ingediend waarin uitvoerig wordt uiteengezet hoe de doelstellingen, met name op het vlak van planning en kosten, zijn bereikt en waarin eventuele afwijkingen worden gerechtvaardigd.

3.   Vier jaar na de ingebruikneming van elke interoperabiliteitscomponent overeenkomstig artikel 72 en vervolgens om de vier jaar legt eu-LISA aan het Europees Parlement, de Raad en de Commissie een verslag voor over de technische werking en de beveiliging van de interoperabiliteitscomponenten.

4.   Eén jaar na elk verslag van eu-LISA stelt de Commissie een algemene evaluatie van de interoperabiliteitscomponenten op, met inbegrip van:

In de algemene evaluatie overeenkomstig de eerste alinea van het eerste lid worden zo nodig aanbevelingen opgenomen. De Commissie legt de evaluatie voor aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten.

5.   Uiterlijk op 12 juni 2020 en vervolgens elk jaar totdat de in artikel 72 bedoelde uitvoeringshandelingen van de Commissie zijn vastgesteld, dient de Commissie bij het Europees Parlement en de Raad een verslag in over de stand van de voorbereidingen voor de volledige tenuitvoerlegging van deze verordening. Dat verslag bevat ook gedetailleerde informatie over de gemaakte kosten en over eventuele risico's die van invloed kunnen zijn op de totale kosten.

6.   Twee jaar na de ingebruikneming van de MID overeenkomstig artikel 72, lid 4, beoordeelt de Commissie de gevolgen van de MID voor het recht op non-discriminatie. Na dit eerste verslag maakt de beoordeling van de gevolgen van de MID voor het recht op non-discriminatie deel uit van de in lid 4, onder b), van dit artikel bedoelde beoordeling.

7.   De lidstaten en Europol verstrekken eu-LISA en de Commissie de informatie die nodig is om de in de leden 3 tot en met 6 bedoelde verslagen op te stellen. Deze informatie brengt de werkmethoden niet in gevaar en bevat geen informatie waardoor bronnen, namen van personeelsleden of onderzoeken van de aangewezen autoriteiten worden onthuld.

8.   eu-LISA verstrekt de Commissie de informatie die nodig is om de in lid 4 bedoelde algemene evaluaties op te stellen.

9.   Elke lidstaat en Europol stellen met inachtneming van de nationaalrechtelijke bepalingen inzake de bekendmaking van gevoelige informatie en onverminderd de beperkingen die nodig zijn om de veiligheid en de openbare orde te handhaven, criminaliteit te voorkomen en te waarborgen dat geen enkel nationaal onderzoek in gevaar wordt gebracht, jaarlijkse verslagen op over de doeltreffendheid van de toegang tot in het CIR opgeslagen gegevens met het oog op het voorkomen, opsporen of onderzoeken van terroristische misdrijven of andere ernstige strafbare feiten, en nemen daarin informatie en statistieken op over:

De door de lidstaten en Europol opgestelde jaarlijkse verslagen worden aan de Commissie toegezonden vóór 30 juni van het daaropvolgende jaar.

10.   Een technische oplossing wordt aan de lidstaten beschikbaar gesteld om de in artikel 22 bedoelde verzoeken om gebruikerstoegang te beheren en het gemakkelijker te maken de in de leden 7 en 9 van dit artikel bedoelde gegevens te verzamelen met het oog op het genereren van de in die leden bedoelde verslagen en statistieken. De Commissie stelt uitvoeringshandelingen vast betreffende de specificaties van de technische oplossing. Deze uitvoeringshandelingen worden overeenkomstig de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.