Artikel 24 Eisen aan gekwalificeerde verleners van vertrouwensdiensten

1.

1 bis.

a)

door middel van de Europese portemonnee voor digitale identiteit of een aangemeld elektronisch identificatiemiddel dat voldoet aan de vereisten van artikel 8 wat betreft het betrouwbaarheidsniveau ‘hoog’;

b)

door middel van een certificaat van een gekwalificeerde elektronische handtekening of van een gekwalificeerd elektronisch zegel, afgegeven overeenkomstig punt a), c) of d);

c)

door middel van andere identificatiemethoden ter waarborging van de identificatie van de persoon met een hoog niveau van vertrouwen, waarvan de overeenstemming wordt bevestigd door een conformiteitsbeoordelingsinstantie;

d)

door de fysieke aanwezigheid van de natuurlijke persoon of van een gemachtigde vertegenwoordiger van de rechtspersoon, volgens passende bewijzen en procedures, overeenkomstig nationaal recht.

1 ter.

a)

door middel van de Europese portemonnee voor digitale identiteit of een aangemeld elektronisch identificatiemiddel dat voldoet aan de vereisten van artikel 8 wat betreft het betrouwbaarheidsniveau ‘hoog’;

b)

door middel van een certificaat van een gekwalificeerde elektronische handtekening of van een gekwalificeerd elektronisch zegel, afgegeven overeenkomstig lid 1 bis, punt a), c) of d);

c)

door middel van een gekwalificeerde elektronische attestering van attributen;

d)

door middel van andere methoden ter waarborging van de verificatie van de attributen met een hoog niveau van vertrouwen, waarvan de overeenstemming wordt bevestigd door een conformiteitsbeoordelingsinstantie;

e)

door de fysieke aanwezigheid van de natuurlijke persoon of van een gemachtigde vertegenwoordiger van de rechtspersoon, volgens passende bewijzen en procedures, overeenkomstig nationaal recht.;

1 quater.

2.

a)

informeert het toezichthoudend orgaan ten minste één maand voor de doorvoering van een wijziging in de verlening van zijn gekwalificeerde vertrouwensdiensten of ten minste drie maanden in geval van een voornemen om die activiteiten te staken;

b)

neemt personeelsleden, en, waar van toepassing, onderaannemers in dienst die over de noodzakelijke deskundigheid, betrouwbaarheid, ervaring, en kwalificaties beschikken, en die een passende opleiding hebben genoten met betrekking tot regels inzake beveiliging en bescherming van persoonsgegevens, en past administratieve en managementprocedures toe die voldoen aan Europese of internationale normen;

c)

zorgt ervoor dat hij, in verband met het risico op de in artikel 13 bedoelde aansprakelijkheid voor schade, voldoende financiële middelen ter beschikking heeft en/of sluit, overeenkomstig het nationale recht, een toereikende aansprakelijkheidsverzekering af;

d)

verstrekt individueel aan personen die gebruik wensen te maken van een gekwalificeerde vertrouwensdienst duidelijke, volledige en gemakkelijk toegankelijke informatie in een voor het publiek toegankelijke plaats over de precieze voorwaarden betreffende het gebruik van die dienst, met inbegrip van eventuele beperkingen op het gebruik ervan, alvorens een contractuele verbintenis aan te gaan;

e)

maakt gebruik van betrouwbare systemen en producten die beschermd zijn tegen wijziging en die de technische veiligheid en betrouwbaarheid waarborgen van de processen die zij ondersteunen, onder meer door gebruik te maken van passende cryptografische technieken;

f)

maakt gebruik van betrouwbare systemen voor de opslag van aan hem verstrekte gegevens in verifieerbare vorm, zodat:

i)

de gegevens uitsluitend publiek beschikbaar zijn indien de persoon op wie de gegevens betrekking hebben, hiervoor toestemming heeft gegeven,

ii)

alleen bevoegde personen de opgeslagen gegevens kunnen invoeren en wijzigen,

iii)

de authenticiteit van de gegevens kan worden gecontroleerd;

f bis)

voert, niettegenstaande artikel 21 van Richtlijn (EU) 2022/2555, passend beleid en treft overeenkomstige maatregelen om juridische, zakelijke, operationele en andere directe of indirecte risico's met betrekking tot de verlening van de gekwalificeerde vertrouwensdienst te beheersen, waaronder ten minste maatregelen in verband met:

i)

de registratie en instapprocedures voor een dienst;

ii)

de procedurele of administratieve controles;

iii)

het beheer en de uitvoering van diensten;

f ter)

stelt het toezichthoudend orgaan, de identificeerbare getroffen personen, andere relevante bevoegde organen indien van toepassing en, op verzoek van het toezichthoudend orgaan, het publiek indien dit van algemeen belang is, onverwijld en in elk geval binnen 24 uur na het incident in kennis van beveiligingsinbreuken of verstoringen in de verlening van de dienst of de uitvoering van de maatregelen bedoeld in punt f bis, i), ii) of iii), die een aanzienlijk effect hebben op de verleende vertrouwensdienst of op de daarin bijgehouden persoonsgegevens;

g)

neemt passende maatregelen tegen vervalsing, diefstal of verduistering van gegevens, of het onrechtmatig wissen, wijzigen of ontoegankelijk maken van gegevens;

h)

legt zo lang als nodig, nadat de gekwalificeerde verlener van vertrouwensdiensten zijn activiteiten heeft gestaakt, alle relevante informatie vast met betrekking tot de gegevens die de gekwalificeerde verlener van vertrouwensdiensten heeft afgegeven en ontvangen, en houdt die informatie toegankelijk, om ten behoeve van gerechtelijke procedures bewijzen te kunnen leveren en om de continuïteit van de dienst te waarborgen. Dit vastleggen mag elektronisch plaatsvinden;

i)

heeft een geactualiseerd beëindigingsplan om de continuïteit van de dienst te verzekeren in overeenstemming met de door het toezichthoudend orgaan op grond van artikel 46 ter, lid 4, punt i), geverifieerde bepalingen;

j)

Vervallen

k)

legt, indien het gaat om gekwalificeerde verleners van vertrouwensdiensten die gekwalificeerde certificaten afgeven, een certificatendatabank aan en houdt deze actueel.

3.

4.

4 bis.

4 ter.

5.