Bijlage XV SFC2021: Elektronisch systeem voor gegevensuitwisseling tussen de lidstaten en de Commissie — artikel 69, lid 9

Zorgen voor de werking van een systeem voor elektronische gegevensuitwisseling (hierna het ‘SFC2021’ genoemd) voor alle officiële uitwisselingen van informatie tussen de lidstaten en de Commissie. Het SFC2021 bevat ten minste de informatie die is gespecificeerd in de overeenkomstig deze verordening vastgestelde modellen.

Ervoor zorgen dat het SFC2021 over de volgende kenmerken beschikt:

Zorgen voor een beveiligingsbeleid inzake informatietechnologie voor het SFC2021 dat van toepassing is op het personeel dat het systeem gebruikt overeenkomstig de desbetreffende voorschriften van de Unie, met name Besluit (EU, Euratom) 2017/46 van de Commissie (1) en de uitvoeringsbepalingen daarvan.

Aanwijzen van een persoon of personen belast met het vaststellen, handhaven en waarborgen van de correcte toepassing van het veiligheidsbeleid op het SFC2021.

Ervoor zorgen dat de overeenkomstig artikel 71, lid 1, aangewezen programma-autoriteiten van de betrokken lidstaat evenals de organen die zijn aangewezen om bepaalde taken uit te voeren die vallen onder de verantwoordelijkheid van de beheerautoriteit of de auditautoriteit in overeenstemming met artikel 71, leden 2 en 3, in het SFC2021 de gegevens indienen waarvoor zij verantwoordelijk zijn, alsook eventuele aanvullingen daarop.

Toezien op de verificatie van informatie die wordt ingevoerd door een andere persoon dan degene die de gegevens voor die indiening heeft ingevoerd.

Regelingen treffen voor de scheiding van de hierboven beschreven taken via de beheers- en controlesystemen van de lidstaat die in automatische verbinding staan met het SFC2021.

Benoemen van een persoon of personen belast met het beheer van de toegangsrechten om de volgende taken uit te voeren:

Regelingen treffen voor de eerbiediging van de bescherming van de persoonlijke levenssfeer en de persoonsgegevens van natuurlijke personen, en van bedrijfsvertrouwelijkheid voor rechtspersonen overeenkomstig Richtlijn 2002/58/EG, Verordening (EU) 2016/679 en Verordening (EU) 2018/1725.

Op basis van een risicobeoordeling nationaal, regionaal of lokaal beleid inzake toegang tot SFC2021 vaststellen dat van toepassing is op alle instanties die het SFC2021 gebruiken, met aandacht voor de volgende aspecten:

Het in punt 2.6 bedoelde document op verzoek ter beschikking stellen aan de Commissie.

Benoemen van een persoon of personen belast met de handhaving en waarborging van de toepassing van het nationale, regionale of lokale beleid inzake IT-beveiliging en fungeren als contactpunt voor de door de Commissie aangewezen persoon of personen naar wie wordt verwezen in punt 1.4.

Zorgen voor toegankelijkheid, hetzij rechtstreeks via een interactieve gebruikersinterface (d.w.z. een webtoepassing), hetzij via een technische interface met vooraf vastgestelde protocollen (d.w.z. webdiensten) waardoor de gegevens automatisch kunnen worden gesynchroniseerd en doorgegeven tussen informatiesystemen van de lidstaten en het SFC2021.

Vaststellen van de datum van doorgifte, via elektronische gegevensuitwisseling, van de informatie door de lidstaat aan de Commissie en vice versa, die geldt als datum van indiening van het desbetreffende document.

Ervoor zorgen dat officiële gegevens uitsluitend worden uitgewisseld via het SFC2021, behalve in geval van overmacht, en dat de informatie die in de in het SFC2021 ingebedde elektronische formulieren wordt verstrekt (hierna ‘gestructureerde gegevens’ genoemd) niet door niet-gestructureerde gegevens worden vervangen en dat, in het geval van inconsistenties, gestructureerde gegevens voorrang genieten op niet-gestructureerde gegevens.

In geval van overmacht, een storing in het SFC2021 of het ontbreken van een verbinding met het SFC2021 die langer duurt dan één werkdag in de laatste week vóór een voorgeschreven termijn voor de indiening van informatie of in de periode van 18 tot en met 26 december, of vijf werkdagen in andere omstandigheden, kan de uitwisseling van informatie tussen de lidstaat en de Commissie in papieren vorm plaatsvinden met gebruikmaking van de in deze verordening vastgestelde modellen; de datum van indiening van het document is in dat geval de datum van het poststempel. Zodra er niet langer sprake is van overmacht, voert de betrokken partij zo snel mogelijk de reeds in papieren vorm verstrekte informatie in het SFC2021 in.

Ervoor zorgen dat de in het SFC2021-portaal gepubliceerde voorwaarden inzake IT-beveiliging worden nageleefd, alsook de maatregelen die door de Commissie in het SFC2021 worden genomen om de indiening van gegevens te beveiligen, met name wat betreft het gebruik van de in punt 2.3 bedoelde technische interface.

Uitvoering geven aan de beveiligingsmaatregelen ter bescherming van de opgeslagen en via het SFC2021 ingediende gegevens, en de doeltreffendheid van deze maatregelen verzekeren.

Jaarlijks het IT-veiligheidsbeleid van het SFC2021 en het desbetreffende nationale, regionale en lokale IT-veiligheidsbeleid bijwerken en herzien in geval van technologische veranderingen, de vaststelling van nieuwe bedreigingen of andere relevante ontwikkelingen.