Verordening (EU) nr. 910/2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG:artikel 5BIS

Verordening (EU) nr. 910/2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG

Artikel 5 bis Europese portemonnees voor digitale identiteit

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

Opdat alle natuurlijke personen en rechtspersonen in de Unie veilige, betrouwbare en naadloze grensoverschrijdende toegang tot publieke en private diensten krijgen, met volledige controle over hun gegevens, verstrekken alle lidstaten ten minste één Europese portemonnee voor digitale identiteit binnen 24 maanden na de datum van inwerkingtreding van de in lid 23 van dit artikel en in artikel 5 quater, lid 6, bedoelde uitvoeringshandelingen.

2.

Europese portemonnees voor digitale identiteit worden op een of meer van de volgende manieren verstrekt:

a)

rechtstreeks door een lidstaat;

b)

krachtens een mandaat van een lidstaat;

c)

onafhankelijk van een lidstaat, maar erkend door die lidstaat.

3.

De broncode van de applicatiesoftwarecomponenten van Europese portemonnees voor digitale identiteit wordt onder een opensourcelicentie geplaatst. De lidstaten kunnen bepalen dat de broncode van andere specifieke componenten dan die welke op apparaten van gebruikers zijn geïnstalleerd, om terdege gemotiveerde redenen niet openbaar wordt gemaakt.

4.

Met een Europese portemonnee voor digitale identiteit kunnen gebruikers op […] gebruiksvriendelijke, transparante en voor hen traceerbare wijze:

a)

veilig, met volledige controle door de gebruiker, persoonsidentificatiegegevens aanvragen, verkrijgen, selecteren, combineren, opslaan, verwijderen, delen en aanbieden, en, indien van toepassing, in combinatie met elektronische attesteringen van attributen, zich online en, indien passend, in offlinemodus authenticeren bij vertrouwende partijen, om toegang te krijgen tot publieke en private diensten, waarbij ervoor wordt gezorgd dat een selectieve verstrekking van gegevens mogelijk is;

b)

pseudoniemen genereren en versleuteld en lokaal opslaan in de Europese portemonnee voor digitale identiteit;

c)

veilig de Europese portemonnee voor digitale identiteit van een andere persoon authenticeren en persoonsidentificatiegegevens en elektronische attesteringen van attributen op beveiligde wijze tussen de twee Europese portemonnees voor digitale identiteit ontvangen en delen;

d)

toegang krijgen tot een log van alle transacties die met de Europese portemonnee voor digitale identiteit worden uitgevoerd via een gemeenschappelijk dashboard waarmee de gebruiker:

i)

een actuele lijst van vertrouwende partijen waarmee de gebruiker een verbinding tot stand heeft gebracht en, indien van toepassing, alle uitgewisselde gegevens kan bekijken;

ii)

gemakkelijk kan verzoeken om het wissen door een vertrouwende partij van persoonsgegevens overeenkomstig artikel 17 van Verordening (EU) 2016/679;

iii)

gemakkelijk aan de bevoegde nationale gegevensbeschermingsautoriteit een vertrouwende partij kan aangeven, wanneer een vermeend onrechtmatig of verdacht verzoek om gegevens is ontvangen;

e)

ondertekenen middels gekwalificeerde elektronische handtekeningen of verzegelen middels gekwalificeerde elektronische zegels;

f)

voor zover technisch haalbaar, de gegevens van de gebruiker, de elektronische attestering van attributen en configuraties downloaden;

g)

de rechten van de gebruiker op gegevensoverdraagbaarheid uitoefenen.

5.

Europese portemonnees voor digitale identiteit moeten in het bijzonder:

a)

gemeenschappelijke protocollen en interfaces ondersteunen:

i)

voor het uitgeven van persoonsidentificatiegegevens, gekwalificeerde en niet-gekwalificeerde elektronische attesteringen van attributen of gekwalificeerde en niet-gekwalificeerde certificaten aan de Europese portemonnee voor digitale identiteit;

ii)

voor vertrouwende partijen om persoonsidentificatiegegevens en elektronische attesteringen van attributen aan te vragen en te valideren;

iii)

om online en, indien passend, ook in offlinemodus persoonsidentificatiegegevens, elektronische attestering van attributen of van selectief verstrekte gegevens met […] vertrouwende partijen te delen en hun aan te bieden;

iv)

opdat de gebruiker met de Europese portemonnee voor digitale identiteit kan communiceren en om een EU-betrouwbaarheidskeurmerk van de portemonnee voor digitale identiteit te kunnen weergeven;

v)

om de gebruiker een veilige instap te garanderen door gebruik van een elektronisch identificatiemiddel overeenkomstig artikel 5 bis, lid 24;

vi)

om tussen de Europese portemonnees voor digitale identiteit van twee personen te communiceren teneinde op beveiligde wijze persoonsidentificatiesgegevens en elektronische attesteringen van attributen te ontvangen, te valideren en te delen;

vii)

om vertrouwende partijen te authenticeren en identificeren door de toepassing van authenticatiemechanismen overeenkomstig artikel 5 ter;

viii)

opdat vertrouwende partijen de authenticiteit en geldigheid van Europese portemonnees voor digitale identiteit kunnen verifiëren;

ix)

om een vertrouwende partij te kunnen verzoeken om het wissen van persoonsgegevens overeenkomstig artikel 17 van Verordening (EU) 2016/679;

x)

om het aan de bevoegde nationale gegevensbeschermingsautoriteit te melden wanneer van een vertrouwende partij een vermeend onrechtmatig of verdacht verzoek om gegevens is ontvangen;

xi)

voor het aanmaken van gekwalificeerde elektronische handtekeningen of elektronische zegels door middel van middelen voor het aanmaken van gekwalificeerde elektronische handtekeningen of elektronische zegels;

b)

verleners van vertrouwensdiensten van elektronische attesteringen van attributen geen informatie verstrekken over het gebruik van die elektronische attesteringen;

c)

ervoor zorgen dat vertrouwende partijen kunnen worden geauthenticeerd en geïdentificeerd door toepassing van authenticatiemechanismen overeenkomstig artikel 5 ter;

d)

aan de voorwaarden van artikel 8 voldoen wat het betrouwbaarheidsniveau ‘hoog’ betreft, met name betreffende de vereisten voor het bewijzen en verifiëren van identiteit, en het beheer en de authenticatie van elektronische identificatiemiddelen;

e)

bij elektronische attestering van attributen met een ingebed openbaarmakingsbeleid, het passende mechanisme toepassen om de gebruiker ervan in kennis te stellen dat de vertrouwende partij of de gebruiker van de Europese portemonnee voor digitale identiteit die om die elektronische attestering van attributen verzoekt tot die attestering toegang heeft;

f)

waarborgen dat de persoonsidentificatiegegevens die beschikbaar zijn uit het stelsel voor elektronische identificatie in het kader waarvan de Europese portemonnee voor digitale identiteit wordt verstrekt, op unieke wijze de natuurlijke of rechtspersoon, dan wel de natuurlijke persoon die de natuurlijke of rechtspersoon vertegenwoordigt, vertegenwoordigen en verbonden zijn met die Europese portemonnee voor digitale identiteit;

g)

alle natuurlijke personen de mogelijkheid bieden om standaard en kosteloos met een gekwalificeerde elektronische handtekening te ondertekenen.

Niettegenstaande punt g) van de eerste alinea kunnen de lidstaten voorzien in evenredige maatregelen om ervoor te zorgen dat het gratis gebruik van gekwalificeerde elektronische handtekeningen door natuurlijke personen beperkt blijft tot niet-professionele doeleinden.

6.

De lidstaten stellen de gebruikers onverwijld in kennis van inbreuken op de beveiliging die hun Europese portemonnee voor digitale identiteit of de inhoud ervan volledig of gedeeltelijk zouden kunnen hebben aangetast, met name indien hun Europese portemonnee voor digitale identiteit overeenkomstig artikel 5 sexies is opgeschort of ingetrokken.

7.

Onverminderd artikel 5 septies kunnen de lidstaten overeenkomstig het nationaal recht in extra functies van de Europese portemonnees voor digitale identiteit voorzien, waaronder interoperabiliteit met bestaande nationale elektronische identificatiemiddelen. Die extra functies voldoen aan dit artikel.

8.

De lidstaten voorzien in gratis valideringsmechanismen om:

a)

ervoor te zorgen dat de authenticiteit en de geldigheid van Europese portemonnees voor digitale identiteit kunnen worden geverifieerd;

b)

gebruikers in staat te stellen de authenticiteit en de geldigheid van de identiteit van vertrouwende partijen die zijn geregistreerd overeenkomstig artikel 5 ter, te verifiëren.

9.

De lidstaten zien erop toe dat de geldigheid van de Europese portemonnee voor digitale identiteit kan worden ingetrokken in de volgende omstandigheden:

a)

op uitdrukkelijk verzoek van de gebruiker;

b)

wanneer de beveiliging van de Europese portemonnee voor digitale identiteit is aangetast;

c)

wanneer de gebruiker sterft of de rechtspersoon haar activiteiten beëindigt.

10.

Aanbieders van Europese portemonnees voor digitale identiteit zorgen ervoor dat gebruikers gemakkelijk om technische ondersteuning kunnen verzoeken en technische problemen of andere incidenten die negatieve gevolgen hebben voor het gebruik van Europese portemonnees voor digitale identiteit kunnen melden.

11.

Europese portemonnees voor digitale identiteit worden verstrekt op grond van een stelsel voor elektronische identificatie op betrouwbaarheidsniveau ‘hoog’.

12.

De Europese portemonnees voor digitale identiteit waarborgen security-by-design.

13.

De uitgifte, het gebruik en de intrekking van Europese portemonnees voor digitale identiteit zijn kosteloos voor alle natuurlijke personen.

14.

Gebruikers hebben volledige controle over het gebruik van en de gegevens in hun Europese portemonnee voor digitale identiteit. De aanbieder van de Europese portemonnee voor digitale identiteit verzamelt geen informatie over het gebruik van de Europese portemonnee voor digitale identiteit die niet noodzakelijk is voor de verlening van de diensten in verband met Europese portemonnees voor digitale identiteit, noch combineert hij of zij persoonsidentificatiegegevens of enige andere persoonsgegevens die zijn opgeslagen of betrekking hebben op het gebruik van de Europese portemonnee voor digitale identiteit met persoonsgegevens van andere door die aanbieder of derden aangeboden diensten als die niet noodzakelijk zijn voor de verlening van de diensten in verband met Europese portemonnees voor digitale identiteit, tenzij de gebruiker uitdrukkelijk anders heeft gevraagd. Persoonsgegevens met betrekking tot de verstrekking van de Europese portemonnee voor digitale identiteit worden logisch gescheiden van andere door de aanbieder van de Europese portemonnee voor digitale identiteit opgeslagen gegevens. Indien de Europese portemonnee voor digitale identiteit wordt verstrekt door private partijen overeenkomstig lid 2, punten b) en c), is artikel 45 nonies, lid 3, van overeenkomstige toepassing.

15.

Het gebruik van Europese portemonnees voor digitale identiteit is vrijwillig. De toegang tot publieke en private diensten, de arbeidsmarkt en vrij ondernemerschap van natuurlijke of rechtspersonen die de Europese portemonnees voor digitale identiteit niet gebruiken, wordt niet beperkt of belemmerd. Het blijft mogelijk om via andere bestaande identificatie- en authenticatiemiddelen toegang te krijgen tot publieke en private diensten.

16.

Het technische kader van de Europese portemonnee voor digitale identiteit:

a)

mag het aanbieders van elektronische attesteringen van attributen of andere partijen na de afgifte van de attestering van attributen, niet mogelijk maken gegevens te verkrijgen waarmee kan worden gevolgd, gekoppeld of gecorreleerd of waarmee kennis van transacties of gebruikersgedrag anderszins kan worden verkregen, tenzij de gebruiker daar uitdrukkelijk toestemming voor heeft gegeven;

b)

moet technieken voor privacybescherming mogelijk maken die onkoppelbaarheid waarborgen, waarbij de attestering van attributen geen identificatie van de gebruiker vereist.

17.

Elke verwerking van persoonsgegevens door de lidstaten of namens hen door organen of partijen die verantwoordelijk zijn voor het verstrekken van Europese portemonnees voor digitale identiteit als elektronisch identificatiemiddel, wordt uitgevoerd overeenkomstig passende en doeltreffende gegevensbeschermingsmaatregelen. Aangetoond wordt dat dergelijke verwerkingsactiviteiten in overeenstemming zijn met Verordening (EU) 2016/679. De lidstaten kunnen nationale bepalingen vaststellen om de toepassing van dergelijke maatregelen nader te specificeren.

18.

De lidstaten verstrekken de Commissie onverwijld informatie over:

a)

de instantie die verantwoordelijk is voor het opstellen en bijhouden van de lijst van geregistreerde vertrouwende partijen die Europese portemonnees voor digitale identiteit gebruiken, overeenkomstig artikel 5 ter, lid 5, alsmede de plaats waar die lijst zich bevindt;

b)

de instanties die verantwoordelijk zijn voor de verstrekking van Europese portemonnees voor digitale identiteit, overeenkomstig artikel 5 bis, lid 1;

c)

de instanties die ervoor moeten zorgen dat de persoonsidentificatiegegevens worden verbonden met de Europese portemonnee voor digitale identiteit, overeenkomstig artikel 5 bis, lid 5, punt f);

d)

het mechanisme voor de validering van de in artikel 5 bis, lid 5, punt f), bedoelde persoonsidentificatiegegevens en van de identiteit van de vertrouwende partijen;

e)

het mechanisme voor het valideren van de authenticiteit en de geldigheid van Europese portemonnees voor digitale identiteit.

De Commissie stelt de krachtens de eerste alinea verstrekte informatie aan het publiek beschikbaar via een beveiligd kanaal, in een elektronisch ondertekende of bezegelde vorm die geschikt is voor geautomatiseerde verwerking.

19.

Onverminderd lid 22 van onderhavig artikel, is artikel 11 van overeenkomstige toepassing op de Europese portemonnee voor digitale identiteit.

20.

Artikel 24, lid 2, punt b), en punten d) tot en met h), zijn van overeenkomstige toepassing op de aanbieders van Europese portemonnees voor digitale identiteit.

21.

Europese portemonnees voor digitale identiteit worden op voet van gelijkheid met andere gebruikers toegankelijk gemaakt voor gebruik door personen met een handicap, overeenkomstig Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad (1).

22.

Voor het verstrekken van Europese portemonnees voor digitale identiteit zijn de vereisten van de artikelen 7, 9, 10, 12 en 12 bis niet op Europese portemonnees voor digitale identiteit van toepassing, noch op de stelsels voor elektronische identificatie op grond waarvan zij worden verstrekt.

23.

Uiterlijk op 21 november 2024 stelt de Commissie door middel van uitvoeringshandelingen een lijst met referentienormen en, zo nodig, specificaties en procedures vast voor de in de leden 4, 5, 8 en 18 van dit artikel bedoelde vereisten betreffende de uitvoering van de Europese portemonnee voor digitale identiteit. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

24.

De Commissie stelt door middel van uitvoeringshandelingen een lijst van referentienormen en, zo nodig, technische specificaties en procedures vast met het oog op het faciliteren van de instap in de Europese portemonnee voor digitale identiteit voor gebruikers middels hetzij elektronische identificatiemiddelen van betrouwbaarheidsniveau ‘hoog’ hetzij elektronische identificatiemiddelen van betrouwbaarheidsniveau ‘substantieel’, in combinatie met extra instapprocedures op afstand die samen aan de eisen van het betrouwbaarheidsniveau ‘hoog’ voldoen. Die uitvoeringshandelingen worden volgens de in artikel 48, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Deze functie is alleen te gebruiken als je bent ingelogd.