Aanhef

Bij Verordening (EG) nr. 1987/2006 van het Europees Parlement en de Raad (2) en Besluit 2007/533/JBZ van de Raad (3) is het Schengeninformatiesysteem (SIS II) ingesteld. In Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ wordt bepaald dat de Commissie gedurende een overgangsperiode belast is met het operationele beheer van het centrale systeem van het SIS II (centrale SIS II). Na die overgangsperiode wordt een beheersautoriteit belast met het operationele beheer van het centrale SIS II en bepaalde aspecten van de communicatie-infrastructuur.

Bij Beschikking 2004/512/EG van de Raad (4) is het Visuminformatiesysteem (VIS) ingesteld. In Verordening (EG) nr. 767/2008 van het Europees Parlement en de Raad (5) wordt bepaald dat gedurende een overgangsperiode de Commissie verantwoordelijk is voor het operationele beheer van het VIS. Na die overgangsperiode wordt een beheersautoriteit belast met het operationele beheer van het centrale VIS en van de nationale interfaces, alsook met bepaalde aspecten van de communicatie-infrastructuur.

Bij Verordening (EG) nr. 2725/2000 van de Raad (6) is Eurodac ingesteld. Bij Verordening (EG) nr. 407/2002 van de Raad (7) zijn de nodige uitvoeringsbepalingen vastgesteld. Deze rechtshandelingen zijn bij Verordening (EU) nr. 603/2013 van het Europees Parlement en de Raad (8) ingetrokken en vervangen met ingang van 20 juli 2015.

Het Europees Agentschap voor het operationeel beheer van grootschalige informatietechnologiesystemen (‘IT-systemen’) op het gebied van vrijheid, veiligheid en recht, gewoonlijk eu-LISA genoemd, is opgericht bij Verordening (EU) nr. 1077/2011 van het Europees Parlement en de Raad (9) teneinde te voorzien in het operationele beheer van het SIS, het VIS en Eurodac en van bepaalde aspecten van de communicatie-infrastructuur, en mogelijk ook in het operationele beheer van andere grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, onder voorbehoud van de vaststelling van afzonderlijke Unierechtshandelingen. Verordening (EU) nr. 1077/2011 is bij Verordening (EU) nr. 603/2013 gewijzigd teneinde rekening te houden met de veranderingen die in Eurodac werden aangebracht.

Aangezien de beheersautoriteit juridisch, administratief en financieel autonoom diende te zijn, moest zij de vorm aannemen van een regelgevend agentschap met rechtspersoonlijkheid (het ‘Agentschap’). Er werd overeengekomen dat de zetel van het Agentschap in Tallinn (Estland) zou worden gevestigd. Aangezien de taken met betrekking tot de technische ontwikkeling en de voorbereidingen voor het operationeel beheer van het SIS II en het VIS reeds in Straatsburg (Frankrijk) werden verricht, en reeds een back-uplocatie voor deze systemen was gevestigd in Sankt Johann im Pongau (Oostenrijk), wat ook in overeenstemming is met de in de relevante Unierechtshandelingen bepaalde locaties van het SIS II en het VIS, dient deze situatie te worden bestendigd. Het blijft zo dat op deze twee locaties respectievelijk de taken in verband met het operationeel beheer van Eurodac worden verricht en een back-uplocatie voor Eurodac wordt gevestigd. Deze twee sites dienen ook de locatie te zijn voor de technische ontwikkeling en het operationeel beheer van andere grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, respectievelijk voor een back-uplocatie waarmee ervoor kan worden gezorgd dat een falend grootschalig IT-systeem operationeel blijft. Teneinde de mogelijkheden voor het gebruik van de back-uplocatie zo groot mogelijk te maken, zou die site ook kunnen worden gebruikt voor de simultane bediening van systemen op voorwaarde dat zij in geval van falen van een of meer systemen in staat blijft de werking ervan te garanderen. Vanwege de kritieke aard van de systemen, waaraan hoge eisen worden gesteld op het gebied van beveiliging en beschikbaarheid, moet de raad van bestuur van het Agentschap (de raad van bestuur) de mogelijkheid hebben, wanneer de hostingcapaciteit van de bestaande technische locaties onvoldoende blijkt, een tweede afzonderlijke technische locatie voor te stellen in — afhankelijk van de vereisten — Straatsburg of in Sankt Johann im Pongau, dan wel op beide locaties, mits dit gerechtvaardigd is op basis van een onafhankelijke effectbeoordeling en kosten-batenanalyse. De raad van bestuur moet de Commissie raadplegen en rekening houden met haar standpunt voordat hij het Europees Parlement en de Raad (de ‘begrotingsautoriteit’) in kennis stelt van zijn voornemen om een onroerendgoedproject uit te voeren.

Sinds de start van de activiteiten van eu-LISA op 1 december 2012 heeft het Agentschap de taken op zich genomen waarmee de beheersautoriteit ten aanzien van het VIS bij Verordening (EG) nr. 767/2008 en Besluit 2008/633/JBZ van de Raad (10) is belast. Het heeft in april 2013, nadat SIS II in gebruik was gesteld, de taken overgenomen waarmee de beheersautoriteit ten aanzien van SIS II was belast bij Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ, en het heeft in juni 2013 de taken op zich genomen waarmee de Commissie ten aanzien van Eurodac was belast overeenkomstig Verordening (EG) nr. 2725/2000 en Verordening (EG) nr. 407/2002.

De eerste evaluatie van de werkzaamheden van het Agentschap, die in 2015–2016 is verricht op basis van een onafhankelijke externe evaluatie, leidde tot de conclusie dat het Agentschap zich op doeltreffende wijze kwijt van het operationele beheer van de grootschalige IT-systemen en andere taken waarmee het is belast, maar ook dat een aantal wijzigingen moet worden aangebracht in Verordening (EU) nr. 1077/2011; zo moeten de nog bij de Commissie berustende taken in verband met de communicatie-infrastructuur aan het Agentschap worden overgedragen. Voortbouwende op die externe evaluatie heeft de Commissie de ontwikkelingen op feitelijk, juridisch en beleidsgebied in aanmerking genomen en met name in haar verslag van 29 juni 2017 over het functioneren van het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) (het beoordelingsrapport) voorgesteld het mandaat van het Agentschap uit te breiden met de taken die voortvloeien uit de door de medewetgevers goed te keuren wetgevingsvoorstellen waarbij het Agentschap met het beheer van nieuwe systemen wordt belast, en de taken bedoeld in de mededeling van de Commissie van 6 april 2016 getiteld ‘Krachtigere en slimmere informatiesystemen voor grenzen en veiligheid’, in het eindverslag van de deskundigengroep op hoog niveau inzake informatiesystemen en interoperabiliteit van 11 mei 2017 en in de mededeling van de Commissie van 16 mei 2017 getiteld ‘Zevende voortgangsverslag over de totstandbrenging van een echte en doeltreffende Veiligheidsunie’, zo nodig onder voorbehoud van de goedkeuring van de desbetreffende Unierechtshandelingen. In het bijzonder dient het Agentschap te worden belast met de ontwikkeling van oplossingen voor interoperabiliteit, die in de Mededeling van 6 april 2016 wordt omschreven als het vermogen van informatiesystemen om gegevens uit te wisselen en het delen van informatie mogelijk te maken. Waar van toepassing dienen maatregelen inzake interoperabiliteit rekening te houden met de mededeling van de Commissie van 23 maart 2017 getiteld ‘Europees interoperabiliteitskader — Implementatiestrategie’. In bijlage 2 bij deze mededeling zijn algemene richtsnoeren, aanbevelingen en beste praktijken opgenomen om bij de opzet, de implementatie en het beheer van Europese openbare diensten interoperabiliteit tot stand te brengen, of in ieder geval een omgeving tot stand te brengen die tot sterkere interoperabiliteit leidt.

In het evaluatieverslag werd tevens geconcludeerd dat het mandaat van het Agentschap moest worden uitgebreid om het Agentschap in staat te stellen de lidstaten advies te verlenen in verband met de aansluiting van de nationale systemen op de centrale systemen van de grootschalige IT-systemen die het beheert (de ‘systemen’), en desgevraagd ad_hocbijstand en ondersteuning te bieden aan de lidstaten alsook bijstand en ondersteuning te verlenen aan de diensten van de Commissie inzake technische kwesties die verband houden met nieuwe systemen.

Het Agentschap dient derhalve te worden belast met de opzet, de ontwikkeling en het operationele beheer van het inreis-uitreissysteem (EES), dat is ingesteld bij Verordening (EU) 2017/2226 van het Europees Parlement en de Raad (11).

Het Agentschap dient tevens te worden belast met het operationele beheer van DubliNet, een afzonderlijk beveiligd elektronisch transmissiekanaal dat op grond van artikel 18 van Verordening (EG) nr. 1560/2003 van de Commissie (12) is opgezet en dat door de bevoegde asielinstanties van de lidstaten moet worden gebruikt voor de uitwisseling van informatie over verzoekers om internationale bescherming.

Het Agentschap dient te worden belast met de opzet, de ontwikkeling en het operationele beheer van het Europees systeem voor reisinformatie en -autorisatie (Etias) dat is ingesteld bij Verordening (EU) 2018/1240 van het Europees Parlement en de Raad (13).

De kerntaak van het Agentschap dient te blijven bestaan in de uitvoering van taken voor het operationele beheer van SIS II, het VIS, Eurodac, het EES, DubliNet, het Etias, alsmede andere grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, indien daartoe wordt besloten. Het Agentschap dient tevens de verantwoordelijkheid te dragen voor technische maatregelen die dienen te worden genomen als gevolg van de niet-normatieve taken waarmee het is belast. Deze verantwoordelijkheid dient te gelden onverminderd de normatieve taken die krachtens de verschillende Unierechtshandelingen betreffende de systemen worden vervuld door de Commissie, of door de Commissie bijgestaan door een comité.

Het Agentschap moet in staat zijn technische oplossingen te implementeren met het oog op de naleving van de beschikbaarheidsvoorschriften die zijn vastgelegd in de Unierechtshandelingen met betrekking tot de systemen, evenwel met volledige inachtneming van de specifieke bepalingen van die handelingen wat betreft de technische architectuur van de respectieve systemen. Indien voor die technische oplossingen een duplicatie is vereist van een systeem of een duplicatie van onderdelen van een systeem, moet een onafhankelijke effectbeoordeling en kosten-batenanalyse worden uitgevoerd en een besluit worden genomen door de raad van bestuur na raadpleging van de Commissie. Die effectbeoordeling dient tevens een onderzoek te omvatten naar de behoeften met betrekking tot de hostingcapaciteit van de bestaande technische locaties in verband met de ontwikkeling van dergelijke technische oplossingen en met de mogelijke risico's voor de bestaande operationele inrichting.

Het is niet langer gerechtvaardigd dat de Commissie bepaalde taken in verband met de communicatie-infrastructuur van de systemen behoudt en derhalve dienen deze taken, teneinde de samenhang van het beheer van de communicatie-infrastructuur te vergroten, te worden overgedragen aan het Agentschap. Voor de systemen die gebruikmaken van EuroDomain, een beveiligde communicatie-infrastructuur die wordt aangeboden door TESTA-ng (‘trans-Europese diensten voor telematica tussen overheidsdiensten — volgende generatie’) en die is ingesteld als onderdeel van het door Besluit nr. 922/2009/EG van het Europees Parlement en de Raad (14) tot stand gebrachte ISA-programma en is voortgezet als onderdeel van het door Besluit (EU) 2015/2240 van het Europees Parlement en de Raad (15) tot stand gebrachte ISA2-programma, dienen de taken met betrekking tot de uitvoering van de begroting, aanschaf en vernieuwing en contractuele aangelegenheden echter door de Commissie te worden behouden.

Het Agentschap moet in staat zijn externe particuliere entiteiten of organen overeenkomstig Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad (16) te belasten met taken betreffende het leveren, opzetten, onderhouden en monitoren van de communicatie-infrastructuur. Het Agentschap moet over voldoende budgettaire en personele middelen beschikken, zodat het zijn opdrachten en taken zo min mogelijk in onderaanbesteding hoeft te geven aan externe particuliere entiteiten of organen.

Het Agentschap dient taken te blijven vervullen inzake opleiding met betrekking tot de technische toepassing van SIS II, het VIS, Eurodac en andere IT-systemen die in de toekomst aan het Agentschap worden toevertrouwd.

Teneinde bij te dragen aan de empirisch onderbouwde beleidsvoering van de Unie op het vlak van migratie en veiligheid, en aan de monitoring van het naar behoren functioneren van de systemen, moet het Agentschap statistieken verzamelen en publiceren, statistische rapporten maken en ze beschikbaar stellen aan de relevante actoren, overeenkomstig de Unierechtshandelingen met betrekking tot de systemen, bijvoorbeeld voor de monitoring van de toepassing van Verordening (EU) nr. 1053/2013 van de Raad (17) en met het oog op de uitvoering van risicoanalyses en kwetsbaarheidsbeoordelingen overeenkomstig Verordening (EU) 2016/1624 van het Europees Parlement en de Raad (18).

Voorts moet het mogelijk zijn het Agentschap te belasten met de opzet, de ontwikkeling en het operationeel beheer van andere grootschalige IT-systemen krachtens de artikelen 67 tot en met 89 van het Verdrag betreffende de werking van de Europese Unie (VWEU). Mogelijke voorbeelden van dergelijke systemen zijn het gecentraliseerd systeem om vast te stellen welke lidstaten over informatie beschikken inzake veroordelingen van onderdanen van derde landen en staatlozen ter aanvulling en ondersteuning van het Europees Strafregisterinformatiesysteem (ECRIS-TCN-systeem) of het geautomatiseerde systeem voor grensoverschrijdende communicatie in civiele en strafzaken (e-Codex). Het Agentschap dient echter uitsluitend met dergelijke systemen te worden belast op basis van latere en afzonderlijke Unierechtshandelingen, nadat een effectbeoordeling is verricht.

Het mandaat van het Agentschap op onderzoeksgebied dient te worden uitgebreid om het Agentschap in staat te stellen proactiever op te treden en relevante en noodzakelijke technische wijzigingen voor te stellen van de systemen. Het Agentschap dient niet alleen in staat te zijn de uitvoering te monitoren van onderzoeksactiviteiten die van belang zijn voor het operationele beheer van de systemen, maar moet ook in staat zijn aan de uitvoering van relevante onderdelen van het kaderprogramma voor onderzoek en innovatie van de Europese Unie bij te dragen, indien de Commissie de desbetreffende bevoegdheden aan het Agentschap delegeert. Het Agentschap dient informatie over dergelijke monitoring ten minste eenmaal per jaar door te geven aan het Europees Parlement, de Raad en, wat de verwerking van persoonsgegevens betreft, aan de Europese Toezichthouder voor gegevensbescherming.

De Commissie moet over de mogelijkheid beschikken om het Agentschap de verantwoordelijkheid te geven voor de uitvoering van proefprojecten van experimentele aard, die zijn ontworpen om de haalbaarheid en het nut van een actie te testen; deze proefprojecten mogen zonder basishandeling worden uitgevoerd, overeenkomstig Verordening (EU, Euratom) 2018/1046. Bovendien moet de Commissie het Agentschap kunnen belasten met begrotingsuitvoeringstaken voor ‘conceptbewijzen’ (bewijzen dat een bepaald concept uitvoerbaar is) die worden gefinancierd uit het instrument voor financiële steun voor de buitengrenzen en visa dat in het leven is geroepen bij Verordening (EU) nr. 515/2014 van het Europees Parlement en de Raad (19), overeenkomstig Verordening (EU, Euratom) 2018/1046, na het Europees Parlement daarvan in kennis te hebben gesteld. Het moet ook mogelijk zijn voor het Agentschap om testactiviteiten te plannen en te verrichten voor aangelegenheden die, strikt genomen, vallen onder deze verordening en de Unierechtshandelingen betreffende de ontwikkeling, de instelling, de werking en het gebruik van de systemen, zoals het testen van virtualisatieconcepten. Bij de uitvoering van proefprojecten dient het Agentschap in het bijzonder aandacht te schenken aan de strategie voor informatiebeheer van de Europese Unie.

Het Agentschap dient de lidstaten op hun verzoek advies te verlenen in verband met de aansluiting van nationale systemen op de centrale systemen, als bepaald in de Unierechtshandelingen met betrekking tot die systemen.

Het Agentschap dient de lidstaten, op hun verzoek, en volgens de in deze verordening vastgestelde procedure, tevens ad-hocsteun te bieden, indien dat noodzakelijk is vanwege buitengewone uitdagingen of behoeften op veiligheids- of migratiegebied. Met name moet een lidstaat kunnen verzoeken om en rekenen op operationele en technische versterking indien hij aan welbepaalde delen van zijn buitengrenzen wordt geconfronteerd met specifieke onevenredige uitdagingen op het gebied van migratie als gevolg van een sterke instroom van migranten. Dergelijke versterkingen dienen in hotspotgebieden te worden geboden door ondersteuningsteams voor migratiebeheer, bestaande uit deskundigen van de betrokken agentschappen van de Unie. Indien in dit verband ondersteuning door het Agentschap is vereist met betrekking tot vraagstukken die verband houden met de systemen, dient de betrokken lidstaat een ondersteuningsverzoek te richten aan de Commissie, die — nadat zij heeft geoordeeld dat die ondersteuning daadwerkelijk gerechtvaardigd is — het verzoek tot ondersteuning onverwijld dient door te geven aan het Agentschap. Het Agentschap moet de raad van bestuur informeren over dergelijke verzoeken. De Commissie moet ook monitoren of het Agentschap tijdig op het verzoek om ad-hocsteun reageert. In het jaarlijkse activiteitenverslag van het Agentschap moet in detail verslag worden uitgebracht van de acties die het Agentschap heeft uitgevoerd om lidstaten ad-hocsteun te verlenen en van de in dat verband gemaakte kosten.

Het Agentschap dient desgevraagd tevens steun te verlenen aan de diensten van de Commissie inzake technische vraagstukken die met bestaande of nieuwe systemen samenhangen, met name ten behoeve van het opstellen van nieuwe voorstellen over door het Agentschap te beheren grootschalige IT-systemen.

Het dient mogelijk te zijn voor een groep lidstaten om het Agentschap te belasten met de ontwikkeling, het beheer of de hosting van een gemeenschappelijke IT-component, teneinde die groep te ondersteunen bij het implementeren van de technische aspecten van verplichtingen die voortvloeien uit de Unierechtshandelingen inzake gedecentraliseerde IT-systemen op het gebied van vrijheid, veiligheid en recht. Dit geldt onverminderd de verplichtingen van die lidstaten uit hoofde van de toepasselijke Unierechtshandelingen, met name wat de architectuur van die systemen betreft. Daarvoor dienen de voorafgaande toestemming van de Commissie en een positief besluit van de raad van bestuur vereist te zijn, alsmede een delegatieovereenkomst tussen de betrokken lidstaten en het Agentschap; de financiering dient volledig te geschieden door de betrokken lidstaten. Het Agentschap moet het Europees Parlement en de Raad informeren over de goedgekeurde delegatieovereenkomst en elke wijziging daarvan. Andere lidstaten moeten kunnen deelnemen aan dergelijke gemeenschappelijke IT-oplossingen op voorwaarde dat de delegatieovereenkomst in deze mogelijkheid voorziet en de nodige wijzigingen daartoe zijn aangebracht. Deze taak mag geen negatieve gevolgen hebben voor het operationele beheer van de systemen door het Agentschap.

Het feit dat het Agentschap wordt belast met het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, moet de specifieke regels betreffende die systemen onverlet laten. In het bijzonder zijn de specifieke regels inzake het doel, de toegangsrechten, de beveiligingsmaatregelen en andere vereisten op het gebied van gegevensbescherming ten volle van toepassing voor elk dergelijk systeem.

Teneinde doeltreffend toezicht te kunnen uitoefenen op het functioneren van het Agentschap, dienen de lidstaten en de Commissie vertegenwoordigd te zijn in de raad van bestuur. Deze raad van bestuur dient te beschikken over de nodige bevoegdheden, met name om het jaarlijkse werkprogramma vast te stellen, zijn taken met betrekking tot de begroting van het Agentschap te vervullen, de financiële regels die van toepassing zijn op het Agentschap vast te stellen en procedures vast te stellen voor het nemen van besluiten door de uitvoerend directeur in verband met de operationele taken van het Agentschap. De raad van bestuur dient die taken op efficiënte en transparante wijze uit te voeren. Na een door de Commissie georganiseerde passende selectieprocedure en na een hoorzitting van de voorgestelde kandidaten in de bevoegde commissie of commissies van het Europees Parlement moet de raad van bestuur ook een uitvoerend directeur benoemen.

Aangezien het aantal aan het Agentschap toevertrouwde grootschalige IT-systemen tegen 2020 behoorlijk zal zijn gestegen, en de taken van het Agentschap aanzienlijk worden uitgebreid, zal het personeelsbestand tot 2020 dienovereenkomstig aanzienlijk toenemen. De post van een plaatsvervangend uitvoerend directeur van het Agentschap moet derhalve worden gecreëerd, waarbij ook rekening gehouden wordt met het feit dat de taken in verband met de ontwikkeling en het operationele beheer van de systemen meer en specifiek toezicht zullen vereisen en dat de zetel en de technische locaties van het Agentschap verspreid zijn over drie lidstaten. De raad van bestuur moet de plaatsvervangend uitvoerend directeur benoemen.

Bij het beheer en de werking van het Agentschap dient rekening te worden gehouden met de beginselen van de gemeenschappelijke aanpak inzake de gedecentraliseerde agentschappen, die op 19 juli 2012 door het Europees Parlement, de Raad en de Commissie is aangenomen.

Wat SIS II betreft, dienen het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en de Europese Eenheid voor justitiële samenwerking (Eurojust), die krachtens Besluit 2007/533/JBZ beide recht hebben op toegang tot en directe bevraging van SIS II, de status van waarnemer te hebben in vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot de toepassing van dat besluit op de agenda staat. Het Europese grens- en kustwachtagentschap, dat recht op toegang tot en bevraging van SIS II heeft krachtens Verordening (EU) 2016/1624 dient de status van waarnemer te krijgen in de vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot de toepassing van die Verordening op de agenda staat. Europol, Eurojust en het Europees Grens- en kustwachtagentschap dienen elk een vertegenwoordiger te mogen benoemen in de adviesgroep SIS II die bij deze verordening wordt ingesteld.

Wat het VIS betreft, dient Europol de status van waarnemer te hebben in vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot de toepassing van Besluit 2008/633/JBZ op de agenda staat. Europol dient een vertegenwoordiger te mogen benoemen in de adviesgroep VIS die bij deze verordening wordt ingesteld.

Wat Eurodac betreft, dient Europol de status van waarnemer te hebben in vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot de toepassing van Verordening (EU) nr. 603/2013 op de agenda staat. Europol dient een vertegenwoordiger te mogen benoemen in de adviesgroep Eurodac die bij deze verordening wordt ingesteld.

Wat het EES betreft, dient Europol de status van waarnemer te hebben in vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot Verordening (EU) 2017/2226 op de agenda staat.

Wat het Etias betreft, dient Europol de status van waarnemer te krijgen in vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot Verordening (EU) 2018/1240 op de agenda staat. Het Europees Grens- en kustwachtagentschap dient tevens de status van waarnemer te krijgen in de vergaderingen van de raad van bestuur wanneer een vraagstuk inzake het Etias met betrekking tot de toepassing van die Verordening tot instelling van het Etias op de agenda staat. Europol en het Europees Grens- en kustwachtagentschap dienen beide een vertegenwoordiger te mogen benoemen in de adviesgroep EES-Etias die bij deze verordening wordt ingesteld.

De lidstaten dienen in de raad van bestuur stemgerechtigd zijn inzake een grootschalig IT-systeem, indien zij krachtens het Unierecht gebonden zijn door een Unierechtshandeling betreffende de ontwikkeling, de instelling, de werking en het gebruik van dat systeem. Denemarken dient eveneens stemgerechtigd te zijn met betrekking tot een grootschalig IT-systeem, indien het op grond van artikel 4 van Protocol nr. 22 betreffende de positie van Denemarken, gehecht aan het Verdrag betreffende de Europese Unie (VEU) en het VWEU, beslist om de Unierechtshandeling betreffende de ontwikkeling, de instelling, de werking en het gebruik van dat welbepaalde systeem in nationaal recht om te zetten.

De lidstaten dienen een lid in de adviesgroep van een grootschalig IT-systeem te benoemen, indien zij krachtens het Unierecht gebonden zijn door een Unierechtshandeling betreffende de ontwikkeling, de instelling, de werking en het gebruik van dat welbepaalde systeem. Denemarken dient eveneens een lid in de adviesgroep van een grootschalig IT-systeem te benoemen, indien het op grond van artikel 4 van Protocol nr. 22 besluit de Unierechtshandeling betreffende de ontwikkeling, de instelling, de werking en het gebruik van dat welbepaalde systeem in nationaal recht om te zetten. Adviesgroepen dienen met elkaar samen te werken wanneer dat nodig is.

Teneinde de volledige zelfstandigheid en onafhankelijkheid van het Agentschap te waarborgen en het in staat te stellen de doelstellingen van deze verordening te verwezenlijken en de taken die het op grond van deze verordening heeft naar behoren te vervullen, dient aan het Agentschap een eigen en gepaste begroting worden verleend, met inkomsten uit de algemene begroting van de Unie. Overeenkomstig punt 31 van het Interinstitutioneel Akkoord van 2 december 2013 tussen het Europees Parlement, de Raad en de Commissie betreffende de begrotingsdiscipline, de samenwerking in begrotingszaken en een goed financieel beheer (20) moet over de financiering van het Agentschap overeenstemming worden bereikt tussen het Europees Parlement en de Raad. De begrotings- en de kwijtingsprocedure van de Unie dienen van toepassing te zijn. De controle van de rekeningen en van de wettigheid en regelmatigheid van de onderliggende verrichtingen dient door de Rekenkamer te worden verricht.

Ten behoeve van de vervulling van zijn taken en voor zover dat voor de uitvoering daarvan nodig is, dient het Agentschap te kunnen samenwerken met andere instellingen, organen en instanties van de Unie — met name die welke zijn ingesteld op het gebied van vrijheid, veiligheid en recht — ten aanzien van aangelegenheden die worden bestreken door deze verordening en de Unierechtshandelingen betreffende de ontwikkeling, de instelling, de werking en het gebruik van de systemen in het kader van overeenkomstig het Unierecht vastgestelde werkafspraken en binnen de grenzen van hun respectieve bevoegdheden. Indien zo bepaald door een Unierechtshandeling, moet het Agentschap ook de toelating krijgen om samen te werken met internationale organisaties en ander relevante entiteiten en over de mogelijkheid beschikken om met het oog daarop werkafspraken te maken. Deze werkafspraken dienen vooraf door de Commissie te worden goedgekeurd en dienen door de raad van bestuur te worden bekrachtigd. Het Agentschap dient voorts, indien nodig, het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa), opgericht door Verordening (EU) nr. 526/2013 van het Europees Parlement en de Raad (21), te raadplegen en de aanbevelingen van dat agentschap met betrekking tot netwerkbeveiliging op te volgen.

Ten aanzien van de ontwikkeling en het operationeel beheer van de systemen moet het Agentschap Europese en internationale normen hanteren en de strengste professionele eisen in acht nemen, in het bijzonder de strategie voor informatiebeheer van de Europese Unie.

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (22) is van toepassing op de verwerking van persoonsgegevens door het Agentschap, onverminderd de bepalingen inzake gegevensbescherming vastgelegd in de Unierechtshandelingen betreffende de ontwikkeling, de instelling, de werking en het gebruik van de systemen, die in overeenstemming moeten zijn met Verordening (EU) 2018/1725. Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op Verordening (EU) 2018/1725 en de Unierechtshandelingen met betrekking tot de systemen, dient het Agentschap de aan de verwerking inherente risico's te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico's te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico's dient aandacht te worden besteed aan risico's die zich voordoen bij persoonsgegevensverwerking, zoals vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of ongeoorloofde inzage in de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, met name indien daaruit lichamelijke, materiële of immateriële schade kan voortkomen. De Europese Toezichthouder voor gegevensbescherming dient bij het Agentschap toegang te verkrijgen tot alle informatie die hij voor zijn onderzoek nodig heeft. De Commissie heeft op grond van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (23) de Europese Toezichthouder voor gegevensbescherming geraadpleegd, die op 10 oktober 2017 advies heeft uitgebracht.

Met het oog op de transparante werking van het Agentschap dient Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (24) op het Agentschap van toepassing te zijn. Het Agentschap dient met betrekking tot zijn activiteiten de grootst mogelijke transparantie te betrachten, zonder afbreuk te doen aan de verwezenlijking van de doelstelling van zijn werkzaamheden. Het dient informatie over al zijn activiteiten openbaar maken. Het dient er tevens op toe te zien dat het publiek en alle belanghebbenden snel over zijn werkzaamheden worden geïnformeerd.

De activiteiten van het Agentschap moeten overeenkomstig artikel 228 VWEU onderworpen zijn aan het toezicht van de Europese Ombudsman.

Het Agentschap dient onderworpen te zijn aan Verordening (EU, Euratom) nr. 883/2013 van het Europees Parlement en de Raad (25) en moet toetreden tot het Interinstitutioneel Akkoord van 25 mei 1999 tussen het Europees Parlement, de Raad van de Europese Unie en de Commissie van de Europese Gemeenschappen betreffende de interne onderzoeken verricht door het Europees Bureau voor fraudebestrijding (OLAF) (26).

Verordening (EU) 2017/1939 van de Raad (27) betreffende de instelling van het Europees Openbaar Ministerie (‘EOM’) moet op het Agentschap van toepassing zijn.

Met het oog op open en transparante arbeidsvoorwaarden en gelijke behandeling van de personeelsleden moeten de personeelsleden (met inbegrip van de uitvoerend directeur en de plaatsvervangend uitvoerend directeur van het Agentschap) onderworpen zijn aan het Statuut van de ambtenaren van de Europese Unie (‘statuut van de ambtenaren’) en de Regeling welke van toepassing is op de andere personeelsleden van de Europese Unie (‘Regeling welke van toepassing is op de andere personeelsleden’), die zijn neergelegd in Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (28) (samen ‘het Statuut’), met inbegrip van de voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht.

Aangezien het Agentschap een door de Unie opgericht orgaan is in de zin van Verordening (EU, Euratom) 2018/1046, dient het zijn financiële regels dienovereenkomstig vast te stellen.

Gedelegeerde Verordening (EU) nr. 1271/2013(29) van de Commissie moet van toepassing zijn op het Agentschap.

Het bij deze verordening opgerichte Agentschap vervangt en is de opvolger van het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht dat bij Verordening (EU) nr. 1077/2011 is opgericht. Derhalve moet het de rechtsopvolger zijn ten aanzien van alle overeenkomsten gesloten door, financiële verplichtingen van en eigendommen verworven door het bij Verordening (EU) nr. 1077/2011 opgerichte Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht. De onderhavige verordening moet de rechtsgeldigheid onverlet laten van de overeenkomsten, werkafspraken en memoranda van overeenstemming die door het bij Verordening (EU) nr. 1077/2011 opgerichte agentschap zijn gesloten, onverminderd eventuele wijzigingen daarvan die op grond van de onderhavige verordening vereist zijn.

Teneinde het Agentschap in staat te stellen de taken van het bij Verordening (EU) nr. 1077/2011 opgerichte Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht zo goed mogelijk te vervullen, dienen er overgangsmaatregelen te worden vastgesteld, met name met betrekking tot de raad van bestuur, de adviesgroepen, de uitvoerend directeur en de door de raad van bestuur vastgestelde interne regels.

Het doel van de onderhavige verordening is een wijziging en uitbreiding van de bepalingen van Verordening (EU) nr. 1077/2011. Aangezien bij de onderhavige verordening talrijke en ingrijpende wijzigingen dienen te worden doorgevoerd, dient Verordening (EU) nr. 1077/2011, ter wille van de duidelijkheid, in haar geheel te worden vervangen met betrekking tot de lidstaten die erdoor worden gebonden. Het Agentschap dat bij de onderhavige verordening wordt opgericht, dient het bij Verordening (EU) nr. 1077/2011 opgerichte agentschap te vervangen en de functies ervan over te nemen, en deze laatste verordening dient derhalve te worden ingetrokken.

Daar de doelstellingen van deze verordening, namelijk de oprichting van een Agentschap op het niveau van de Unie dat belast is met het operationele beheer en, in voorkomend geval, de ontwikkeling van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de omvang en de gevolgen van de maatregel beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 VEU neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan wat nodig is om deze doelstellingen te verwezenlijken.

Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 neemt Denemarken niet deel aan de vaststelling van deze verordening; deze is bijgevolg niet bindend voor, noch van toepassing op deze lidstaat. Aangezien deze verordening, voor zover zij betrekking heeft op SIS II, het VIS, het EES en het Etias, voortbouwt op het Schengenacquis, beslist Denemarken overeenkomstig artikel 4 van het bovengenoemde protocol binnen een termijn van zes maanden nadat de Raad heeft beslist over deze verordening of het deze in zijn interne recht zal omzetten. Overeenkomstig artikel 3 van de Overeenkomst tussen de Europese Gemeenschap en het Koninkrijk Denemarken betreffende de criteria en instrumenten om te bepalen welke staat verantwoordelijk is voor de behandeling van een asielverzoek dat wordt ingediend in Denemarken of een andere lidstaat van de Europese Unie en Eurodac voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van de Overeenkomst van Dublin (30), stelt Denemarken de Commissie ervan in kennis of het de inhoud van deze verordening zal toepassen, voor zover zij betrekking heeft op Eurodac en DubliNet.

Voor zover de bepalingen van deze verordening betrekking hebben op SIS II, zoals geregeld bij Besluit 2007/533/JBZ, neemt het Verenigd Koninkrijk aan deze verordening deel overeenkomstig artikel 5, lid 1, van Protocol nr. 19 betreffende het Schengenacquis dat is opgenomen in het kader van de Europese Unie, gehecht aan het VEU en het VWEU, en overeenkomstig artikel 8, lid 2, van Besluit 2000/365/EG van de Raad (31). Voor zover de bepalingen van deze verordening betrekking hebben op SIS II, zoals geregeld bij Verordening (EG) nr. 1987/2006 en op het VIS, het EES en het Etias, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis waaraan het Verenigd Koninkrijk niet deelneemt, overeenkomstig Besluit 2000/365/EG; het Verenigd Koninkrijk heeft de voorzitter van de Raad bij brief van 19 juli 2018 verzocht te mogen deelnemen aan deze verordening, overeenkomstig artikel 4 van Protocol nr. 19. Op grond van artikel 1 van Besluit (EU) 2018/1600 van de Raad (32) heeft het Verenigd Koninkrijk de machtiging verkregen aan deze verordening deel te nemen. Voor zover deze verordening voorts betrekking heeft op Eurodac en DubliNet, heeft het Verenigd Koninkrijk te kennen gegeven dat het aan de vaststelling en toepassing van deze verordening wenst deel te nemen bij brief van 23 oktober 2017 aan de voorzitter van de Raad, in overeenstemming met artikel 3 van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, gehecht aan het VEU en het VWEU. Het Verenigd Koninkrijk neemt derhalve deel aan de vaststelling van deze verordening, die bindend is voor en van toepassing is op het Verenigd Koninkrijk.

Voor zover de bepalingen van deze verordening betrekking hebben op SIS II, zoals geregeld bij Besluit 2007/533/JBZ, zou Ierland in principe aan deze verordening kunnen deelnemen overeenkomstig artikel 5, lid 1, van Protocol nr. 19, en overeenkomstig artikel 6, lid 2, van Besluit 2002/192/EG van de Raad (33). Voor zover de bepalingen van deze verordening betrekking hebben op SIS II, zoals geregeld bij Verordening (EG) nr. 1987/2006, en op het VIS, het EES en het Etias, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis waaraan Ierland niet deelneemt, overeenkomstig Besluit 2002/192/EG; Ierland heeft niet verzocht deel te nemen aan de vaststelling van deze verordening overeenkomstig artikel 4 van Protocol nr. 19. Ierland neemt derhalve niet deel aan de vaststelling van deze verordening en deze is niet bindend voor, noch van toepassing op deze lidstaat voor zover de bepalingen ervan een ontwikkeling vormen van het Schengenacquis en betrekking hebben op SIS II, zoals geregeld bij Verordening (EG) nr. 1987/2006, en op het VIS, het EES en het Etias. Voor zover de bepalingen van deze verordening voorts betrekking hebben op Eurodac en DubliNet, neemt Ierland, overeenkomstig de artikelen 1 en 2 en artikel 4 bis, lid 1, van Protocol nr. 21, niet deel aan de vaststelling van deze verordening, die derhalve niet bindend is voor, noch van toepassing is op deze lidstaat. Aangezien het in deze omstandigheden niet mogelijk is te verzekeren dat deze verordening in haar geheel toepasselijk is in Ierland, zoals vereist door artikel 288 VWEU, neemt Ierland niet deel aan de vaststelling van deze verordening en is deze niet bindend voor, noch van toepassing op deze lidstaat, onverminderd zijn rechten uit hoofde van de Protocollen nrs. 19 en 21.

Wat IJsland en Noorwegen betreft, vormt deze verordening, voor zover zij betrekking heeft op SIS II en het VIS, het EES en het Etias, een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(34), die vallen onder het gebied bedoeld in artikel 1, punten A, B en G, van Besluit 1999/437/EG van de Raad (35). Met betrekking tot Eurodac en DubliNet is deze verordening een nieuwe maatregel in de zin van de overeenkomst tussen de Europese Gemeenschap, de Republiek IJsland en het Koninkrijk Noorwegen betreffende de criteria en de mechanismen voor de vaststelling van de staat die verantwoordelijk is voor de behandeling van een asielverzoek dat in een lidstaat, in IJsland of in Noorwegen wordt ingediend(36). Bijgevolg dienen delegaties van de Republiek IJsland en het Koninkrijk Noorwegen, indien zij besluiten deze verordening in hun interne rechtsorde toe te passen, vertegenwoordigd te zijn in de raad van bestuur van het Agentschap. De Unie moet met IJsland en met het Koninkrijk Noorwegen een nadere regeling overeenkomen betreffende uitgebreidere voorschriften voor de deelname van deze twee landen aan de werkzaamheden van het Agentschap.

Wat Zwitserland betreft, vormt deze verordening, voor zover zij betrekking heeft op SIS II en het VIS, het EES en het Etias, een ontwikkeling van de bepalingen van het Schengenacquis, in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(37), die vallen onder het gebied bedoeld in artikel 1, punten A, B en G, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2008/146/EG van de Raad (38). Met betrekking tot Eurodac en DubliNet is deze verordening een nieuwe maatregel in de zin van de overeenkomst tussen de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de criteria en mechanismen voor de vaststelling van de staat die verantwoordelijk is voor de behandeling van een asielverzoek dat in een lidstaat of in Zwitserland wordt ingediend(39). Bijgevolg dient de delegatie van de Zwitserse Bondsstaat, indien deze besluit deze verordening in zijn interne rechtsorde toe te passen, vertegenwoordigd te zijn in de raad van bestuur van het Agentschap. Tussen de Unie en de Zwitserse Bondsstaat moet een nadere regeling worden overeengekomen betreffende uitgebreidere voorschriften voor de deelname van de Zwitserse Bondsstaat aan de werkzaamheden van het Agentschap.

Wat Liechtenstein betreft, vormt deze verordening, voor zover zij betrekking heeft op SIS II en het VIS, het EES en het Etias, een ontwikkeling van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(40), die vallen onder het gebied bedoeld in artikel 1, punten A, B en G, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2011/350/EU van de Raad (41).

Wat betreft Eurodac en DubliNet vormt deze verordening een nieuwe maatregel in de zin van het Protocol tussen de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de criteria en mechanismen voor de vaststelling van de staat die verantwoordelijk is voor de behandeling van een asielverzoek dat in een lidstaat of in Zwitserland wordt ingediend(42). Bijgevolg dient de delegatie van het Vorstendom Liechtenstein, indien het besluit deze verordening in zijn interne rechtsorde toe te passen, vertegenwoordigd te zijn in de raad van bestuur van het Agentschap. Tussen de Unie en het Vorstendom Liechtenstein moet een nadere regeling worden overeengekomen betreffende uitgebreidere voorschriften voor de deelname van het Vorstendom Liechtenstein aan de werkzaamheden van het Agentschap,