Artikelen bij COM(2021)784 - Geautomatiseerde gegevensuitwisseling ten behoeve van politiële samenwerking (“Prüm II”)

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.


Inhoudsopgave

HOOFDSTUK 1 - ALGEMENE BEPALINGEN

Artikel 1 - Voorwerp

Bij deze verordening wordt een kader vastgesteld voor de uitwisseling van informatie tussen de instanties die belast zijn met het voorkomen, opsporen en onderzoeken van strafbare feiten (Prüm II).

Bij deze verordening worden de voorwaarden en procedures vastgesteld voor de geautomatiseerde bevraging van DNA-profielen, dactyloscopische gegevens, gezichtsopnamen, politiegegevens en bepaalde voertuigregistratiegegevens, alsmede de regels voor de uitwisseling van kerngegevens na een match.

Artikel 2 - Doel

Het doel van Prüm II is de intensivering van grensoverschrijdende samenwerking met betrekking tot aangelegenheden die vallen onder deel III, titel V, hoofdstuk 5, van het Verdrag betreffende de werking van de Europese Unie, en met name de uitwisseling van informatie tussen de instanties die belast zijn met het voorkomen, opsporen en onderzoeken van strafbare feiten.

Prüm II heeft ook tot doel de opsporing van vermiste personen en niet-geïdentificeerde stoffelijke resten mogelijk te maken voor de instanties die belast zijn met het voorkomen, opsporen en onderzoeken van strafbare feiten.

Artikel 3 - Toepassingsgebied

Deze verordening is van toepassing op de nationale databanken die worden gebruikt voor de geautomatiseerde overdracht van categorieën van DNA-profielen, dactyloscopische gegevens, gezichtsopnamen, politiegegevens en bepaalde voertuigregistratiegegevens.

Artikel 4 - Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1) “loci”: de specifieke moleculaire structuur op de verschillende DNA-locaties;

2) “DNA-profiel”: een letter- of cijfercode die een set identificatiekenmerken van het niet-coderende gedeelte van een geanalyseerd menselijk DNA-monster vertegenwoordigt, dat wil zeggen de specifieke moleculaire structuur op de verschillende DNA-locaties;

3) “niet-coderend gedeelte van DNA”: chromosoomgebieden die geen genetische uitdrukking bevatten, d.w.z. waarvan niet bekend is dat zij voorzien in functionele eigenschappen van een organisme;

4) “DNA-referentiegegevens”: een DNA-profiel en het in artikel 9 bedoelde referentienummer;

5) “DNA-persoonsprofiel”: het DNA-profiel van een geïdentificeerde persoon;

6) “niet-geïdentificeerd DNA-profiel”: een DNA-profiel dat is verkregen uit tijdens het opsporingsonderzoek verzamelde sporen en toebehoort aan een nog niet geïdentificeerde persoon;

7) “dactyloscopische gegevens”: beelden van vingerafdrukken, van latente vingerafdrukken, van handpalmafdrukken en van latente handpalmafdrukken, alsook de sjablonen (templates) van die beelden (gecodeerde minutiae), die zijn opgeslagen en verwerkt in een geautomatiseerde databank;

8) “dactyloscopische referentiegegevens”: dactyloscopische gegevens en het in artikel 14 bedoelde referentienummer;

9) “individueel geval”: één onderzoeksdossier;

10) “gezichtsopname”: een digitale afbeelding van het gezicht;

11) “biometrische gegevens”: DNA-profielen, dactyloscopische gegevens of gezichtsopnamen;

12) “match”: het bestaan van een overeenkomst die aan het licht wordt gebracht door een automatische vergelijking tussen persoonsgegevens die in een informatiesysteem of databank zijn of worden geregistreerd;

13) “kandidaat”: gegevens waarmee een match heeft plaatsgevonden;

14) “verzoekende lidstaat”: de lidstaat die via Prüm II een zoekopdracht uitvoert;

15) “aangezochte lidstaat”: de lidstaat in de databanken waarvan de zoekopdracht van de verzoekende lidstaat wordt uitgevoerd via Prüm II;

16) “politiegegevens”: elk gegeven dat beschikbaar is in het nationale register of de nationale registers waarin gegevens van bevoegde autoriteiten worden opgeslagen, met het oog op het voorkomen, opsporen en onderzoeken van strafbare feiten;

17) “pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer tot een specifieke betrokkene te herleiden zijn zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om te waarborgen dat de persoonsgegevens niet naar een geïdentificeerde of identificeerbare natuurlijke persoon te herleiden zijn;

18) “Europolgegevens”: persoonsgegevens die door Europol worden verwerkt overeenkomstig Verordening (EU) 2016/794;

19) “toezichthoudende autoriteit”: een door een lidstaat op grond van artikel 41 van Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad 40 ingestelde onafhankelijke overheidsinstantie;

20) “Siena”: de beveiligde netwerkapplicatie voor informatie-uitwisseling, beheerd door Europol, die tot doel heeft de uitwisseling van informatie tussen de lidstaten en Europol te faciliteren;

21) “significant incident”: elk incident, tenzij het een beperkte impact heeft en het waarschijnlijk al goed in kaart is gebracht in termen van methode of technologie;

22) “significante cyberdreiging”: een cyberdreiging met de bedoeling, de gelegenheid en het vermogen om een significant incident te veroorzaken;

23) “significante kwetsbaarheid”: een kwetsbaarheid die bij exploitatie waarschijnlijk tot een significant incident zal leiden;

24) “incident”: een incident in de zin van artikel 4, lid 5, van Richtlijn (EU)…/… van het Europees Parlement en de Raad 41 [NIS 2-voorstel].

HOOFDSTUK 2 - UITWISSELING VAN GEGEVENS

AFDELING 1 - DNA-profielen


Artikel 5 - Aanmaken van nationale DNA-analysebestanden

1. De lidstaten maken ter opsporing van strafbare feiten nationale DNA-analysebestanden aan en houden deze bij.

De verwerking van de uit hoofde van deze verordening in deze bestanden opgeslagen gegevens geschiedt behoudens de overige bepalingen van deze verordening, met inachtneming van het voor de verwerking geldende nationale recht.

2. De lidstaten dragen er zorg voor dat DNA-referentiegegevens uit hun nationale DNA-analysebestanden als bedoeld in lid 1 beschikbaar zijn.

DNA-referentiegegevens mogen geen gegevens bevatten waarmee de betrokkene rechtstreeks kan worden geïdentificeerd.

DNA-referentiegegevens die niet op een persoon zijn teruggevoerd (ongeïdentificeerde DNA-profielen), worden als zodanig herkenbaar gemaakt.

Artikel 6 - Geautomatiseerde bevraging van DNA-profielen

1. De lidstaten verlenen de in artikel 29 bedoelde nationale contactpunten en Europol toegang tot de DNA-referentiegegevens in hun DNA-analysebestanden met het oog op geautomatiseerde bevraging door vergelijking van DNA-profielen ten behoeve van het onderzoek naar strafbare feiten.

De bevraging mag slechts worden uitgevoerd in individuele gevallen en met inachtneming van het nationale recht van de verzoekende lidstaat.

2. Indien bij een geautomatiseerde bevraging wordt vastgesteld dat een verstrekt DNA-profiel een match vertoont met een in het bestand van de aangezochte lidstaat opgeslagen DNA-profiel, dan ontvangt het nationale contactpunt van de verzoekende lidstaat op geautomatiseerde wijze de DNA-referentiegegevens waarmee een match is vastgesteld.

Indien er geen match is, wordt de verzoekende lidstaat daarvan op geautomatiseerde wijze in kennis gesteld.

3. Het nationale contactpunt van de verzoekende lidstaat bevestigt een match van DNA-profielgegevens met de DNA-referentiegegevens die bij de aangezochte lidstaat berusten, nadat de DNA-referentiegegevens die vereist zijn om een match te bevestigen, automatisch zijn verstrekt.

Artikel 7 - Geautomatiseerde vergelijking van niet-geïdentificeerde DNA-profielen

1. Met het oog op het onderzoek van strafbare feiten kunnen de lidstaten via hun nationale contactpunten hun ongeïdentificeerde DNA-profielen vergelijken met alle DNA-profielen die voorkomen in andere nationale DNA-analysebestanden. De profielen worden op geautomatiseerde wijze verstrekt en vergeleken.

2. Indien een aangezochte lidstaat bij de vergelijking als bedoeld in lid 1 vaststelt dat er een match is tussen een verstrekt DNA-profiel en een DNA-profiel in zijn DNA-analysebestand, verstrekt hij onverwijld aan het nationale contactpunt van de andere lidstaat de referentiegegevens waarmee een match is vastgesteld.

3. De bevestiging dat er een match is van een DNA-profiel met DNA-referentiegegevens die bij de aangezochte lidstaat berusten, wordt door het nationale contactpunt van de verzoekende lidstaat gegeven nadat de voor de bevestiging van de match benodigde DNA-referentiegegevens op geautomatiseerde wijze zijn verstrekt.

Artikel 8 - Kennisgevingen over DNA-analysebestanden

Elke lidstaat stelt de Commissie en eu-LISA overeenkomstig artikel 72 in kennis van de nationale DNA-analysebestanden waarop de artikelen 5 tot en met 7 van toepassing zijn.

Artikel 9 - Referentienummers voor DNA-profielen

De referentienummers voor DNA-profielen zijn een combinatie van:

a) een referentienummer aan de hand waarvan de lidstaten bij een match nadere gegevens en overige informatie uit hun in artikel 5 bedoelde databanken kunnen opvragen en overeenkomstig de artikelen 47 en 48 aan een of meer andere lidstaten verstrekken;

b) een code ter aanduiding van de lidstaat waarbij het DNA-profiel berust;

c) een code ter aanduiding van het soort DNA-profiel (DNA-persoonsprofiel of niet-geïdentificeerd DNA-profiel).

Artikel 10 - Beginselen voor de uitwisseling van DNA-referentiegegevens

1. De vertrouwelijkheid en de integriteit van naar andere lidstaten gezonden DNA-referentiegegevens worden gegarandeerd door middel van passende maatregelen, waaronder versleuteling.

2. De lidstaten nemen de nodige maatregelen om de integriteit van beschikbaar gestelde of voor vergelijking aan de andere lidstaten toegezonden DNA-profielen te waarborgen en ervoor te zorgen dat de genomen maatregelen voldoen aan de relevante internationale normen voor de uitwisseling van DNA-gegevens.

3. De Commissie stelt uitvoeringshandelingen vast ter bepaling van de relevante internationale normen die de lidstaten moeten gebruiken voor de uitwisseling van DNA-referentiegegevens. Die uitvoeringshandelingen worden vastgesteld volgens de procedure van artikel 75, lid 2.

Artikel 11 - Voorschriften voor verzoeken en antwoorden betreffende DNA-profielen

1. In verzoeken om geautomatiseerde bevraging of vergelijking wordt uitsluitend de volgende informatie opgenomen:

a) de code van de verzoekende lidstaat;

b) de datum, de tijd en het verwijsnummer van het verzoek;

c) DNA-profielen en de bijbehorende referentienummers als bedoeld in artikel 9;

d) het soort DNA-profiel dat wordt overgedragen (niet-geïdentificeerde DNA-profielen of DNA-persoonsprofielen).

2. In antwoorden op verzoeken als bedoeld in lid 1 wordt uitsluitend de volgende informatie opgenomen:

a) de indicatie of er sprake is van één of meer matches of niet;

b) de datum, de tijd en het verwijsnummer van het verzoek;

c) de datum, de tijd en het verwijsnummer van het antwoord;

d) de codes van de verzoekende en de aangezochte lidstaat;

e) de referentienummers van de DNA-profielen van de verzoekende en de aangezochte lidstaat;

f) het soort DNA-profielen die zijn overgedragen (niet-geïdentificeerde DNA-profielen of DNA-persoonsprofielen);

g) de DNA-profielen die een match vertonen.

3. Er wordt slechts geautomatiseerd melding gemaakt van een match als de geautomatiseerde bevraging of vergelijking een match heeft opgeleverd voor een minimumaantal loci. Ter bepaling van dit minimumaantal loci stelt de Commissie uitvoeringshandelingen vast volgens de procedure van artikel 75, lid 2.

4. Indien een bevraging of vergelijking met niet-geïdentificeerde DNA-profielen tot een match leidt, kan elke aangezochte lidstaat met gegevens die een match vertonen een markering in zijn nationale databank opnemen waaruit blijkt dat er na de bevraging of vergelijking van een andere lidstaat een match is geweest voor dat DNA-profiel.

5. De lidstaten zorgen ervoor dat verzoeken in overeenstemming zijn met de overeenkomstig artikel 8 ingediende kennisgevingen. Deze kennisgevingen worden opgenomen in de handleiding als bedoeld in artikel 77.

AFDELING 2 - Dactyloscopische gegevens


Artikel 12 - Dactyloscopische referentiegegevens

1. De lidstaten zien erop toe dat dactyloscopische referentiegegevens uit het bestand van de voor het voorkomen, opsporen en onderzoeken van strafbare feiten opgezette nationale geautomatiseerde dactyloscopische identificatiesystemen beschikbaar zijn.

2. Dactyloscopische referentiegegevens mogen geen gegevens bevatten waarmee de betrokkene rechtstreeks kan worden geïdentificeerd.

3. Dactyloscopische referentiegegevens die niet op een persoon zijn teruggevoerd (ongeïdentificeerde dactyloscopische gegevens) worden als zodanig herkenbaar gemaakt.

Artikel 13 - Geautomatiseerde bevraging van dactyloscopische gegevens

1. Met het oog op het voorkomen, opsporen en onderzoeken van strafbare feiten verlenen de lidstaten de nationale contactpunten van de andere lidstaten en Europol toegang tot de dactyloscopische referentiegegevens van de geautomatiseerde dactyloscopische identificatiesystemen die zij daartoe hebben opgezet, zulks met het oog op geautomatiseerde bevraging door middel van een vergelijking met dactyloscopische referentiegegevens.

De bevraging mag slechts worden uitgevoerd in individuele gevallen en met inachtneming van het nationale recht van de verzoekende lidstaat.

2. Het nationale contactpunt van de verzoekende lidstaat bevestigt een match van dactyloscopische gegevens met de dactyloscopische referentiegegevens die bij de aangezochte lidstaat berusten, nadat de dactyloscopische referentiegegevens die vereist zijn om een match te bevestigen, automatisch zijn verstrekt.

Artikel 14 - Referentienummers voor dactyloscopische gegevens

De referentienummers voor dactyloscopische gegevens zijn een combinatie van:

a) een referentienummer aan de hand waarvan de lidstaten bij een match nadere gegevens en overige informatie uit hun in artikel 12 bedoelde databanken kunnen opvragen en overeenkomstig de artikelen 47 en 48 aan een of meer andere lidstaten kunnen verstrekken;

b) een code ter aanduiding van de lidstaat waarbij de dactyloscopische gegevens berusten.

Artikel 15 - Beginselen voor de uitwisseling van dactyloscopische gegevens

1. Dactyloscopische gegevens worden gedigitaliseerd en aan de andere lidstaten verstrekt conform een uniform gegevensformaat. Ter bepaling van het uniforme gegevensformaat stelt de Commissie uitvoeringshandelingen vast volgens de procedure van artikel 75, lid 2.

2. Elke lidstaat ziet erop toe dat de dactyloscopische gegevens die hij verstrekt van voldoende kwaliteit zijn voor een vergelijking door middel van het geautomatiseerde vingerafdrukidentificatiesysteem.

3. De lidstaten treffen passende maatregelen, waaronder versleuteling, om de vertrouwelijkheid en de integriteit van de verzonden dactyloscopische gegevens te waarborgen.

4. Ter bepaling van de relevante door de lidstaten te gebruiken bestaande normen voor de uitwisseling van dactyloscopische gegevens stelt de Commissie uitvoeringshandelingen vast. Die uitvoeringshandelingen worden vastgesteld volgens de procedure van artikel 75, lid 2.

Artikel 16 - Bevragingscapaciteit voor dactyloscopische gegevens

1. Elke lidstaat zorgt ervoor dat zijn bevragingsverzoeken de door de aangezochte lidstaat bepaalde bevragingscapaciteit niet overtreffen.

De lidstaten doen de Commissie en eu-LISA overeenkomstig artikel 78, leden 8 en 10, mededeling van hun maximale capaciteit per dag voor dactyloscopische gegevens van geïdentificeerde personen en voor dactyloscopische gegevens van nog niet geïdentificeerde personen.

2. Ter bepaling van het maximumaantal te vergelijken kandidaten dat per bevraging wordt geaccepteerd, stelt de Commissie uitvoeringshandelingen vast volgens de procedure van artikel 75, lid 2.

Artikel 17 - Voorschriften voor verzoeken en antwoorden in verband met dactyloscopische gegevens

1. In verzoeken om geautomatiseerde bevraging wordt uitsluitend de volgende informatie opgenomen:

a) de code van de verzoekende lidstaat;

b) de datum, de tijd en het verwijsnummer van het verzoek;

c) de dactyloscopische gegevens en de bijbehorende referentienummers als bedoeld in artikel 14.

2. In antwoorden op verzoeken als bedoeld in lid 1 wordt uitsluitend de volgende informatie opgenomen:

a) de indicatie of er sprake is van één of meer matches of niet;

b) de datum, de tijd en het verwijsnummer van het verzoek;

c) de datum, de tijd en het verwijsnummer van het antwoord;

d) de codes van de verzoekende en de aangezochte lidstaat;

e) de referentienummers van de dactyloscopische gegevens van de verzoekende en de aangezochte lidstaat;

f) de dactyloscopische gegevens die een match vertonen.

AFDELING 3 - Voertuigregistratiegegevens


Artikel 18 - Geautomatiseerde bevraging van voertuigregistratiegegevens

1. Met het oog op het voorkomen, opsporen en onderzoeken van strafbare feiten verlenen de lidstaten de nationale contactpunten van andere lidstaten en Europol toegang tot de volgende nationale voertuigregistratiegegevens om in individuele gevallen geautomatiseerde bevragingen uit te voeren:

a) gegevens met betrekking tot eigenaars of exploitanten;

b) gegevens met betrekking tot voertuigen.

2. De bevraging mag uitsluitend met gebruikmaking van een volledig chassisnummer of een volledig registratienummer worden verricht.

3. De bevraging mag slechts worden uitgevoerd met inachtneming van het nationale recht van de verzoekende lidstaat.

Artikel 19 - Beginselen inzake geautomatiseerde bevraging van voertuigregistratiegegevens

1. Voor de geautomatiseerde bevraging van voertuigregistratiegegevens maken de lidstaten gebruik van het Europees voertuig- en rijbewijsinformatiesysteem (Eucaris).

2. De via Eucaris uitgewisselde informatie wordt in versleutelde vorm overgedragen.

3. Ter bepaling van de uit te wisselen gegevenselementen van de voertuigregistratiegegevens stelt de Commissie uitvoeringshandelingen vast. Die uitvoeringshandelingen worden vastgesteld volgens de procedure van artikel 75, lid 2.

Artikel 20 - Bijhouden van logbestanden

1. Elke lidstaat houdt logbestanden bij van de zoekopdrachten die zijn verricht door de naar behoren tot het uitwisselen van voertuigregistratiegegevens gemachtigde personeelsleden van zijn autoriteiten en houdt tevens logbestanden bij van door andere lidstaten gevraagde zoekopdrachten. Europol houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

Alle lidstaten en Europol houden logbestanden bij van alle gegevensverwerkingsverrichtingen met betrekking tot voertuigregistratiegegevens. In deze logbestanden worden de volgende gegevens opgenomen:

a) de lidstaat die of het agentschap van de Unie dat het verzoek tot uitvoering van een zoekopdracht heeft ingediend;

b) de datum en het tijdstip van het verzoek;

c) de datum en het tijdstip van het antwoord;

d) de nationale databanken waarnaar een verzoek tot uitvoering van een zoekopdracht is verzonden;

e) de nationale databanken die een positief antwoord hebben verstrekt.

2. De in lid 1 bedoelde logbestanden mogen uitsluitend worden gebruikt voor het verzamelen van statistieken en het toezicht op de gegevensbescherming, alsmede het verifiëren van de toelaatbaarheid van een verzoek en de rechtmatigheid van de gegevensverwerking, en voor het waarborgen van de beveiliging en de integriteit van de gegevens.

Deze logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanmaken ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen monitoringprocedures, worden zij gewist wanneer de logbestanden niet langer nodig zijn voor de monitoringprocedures.

3. Met het oog op het toezicht op de gegevensbescherming, waaronder het verifiëren van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, hebben de verwerkingsverantwoordelijken toegang tot de logbestanden voor interne monitoring als bedoeld in artikel 56.

AFDELING 4 - Gezichtsopnamen


Artikel 21 - Gezichtsopnamen

1. De lidstaten zien erop toe dat gezichtsopnamen uit hun voor het voorkomen, opsporen en onderzoeken van strafbare feiten opgezette nationale databanken beschikbaar zijn. De relevante gegevens omvatten uitsluitend gezichtsopnamen en het in artikel 23 bedoelde referentienummer, en vermelden of de gezichtsopnamen tot een bepaalde persoon zijn herleid.

De lidstaten stellen in dit verband geen gegevens beschikbaar aan de hand waarvan een persoon rechtstreeks kan worden geïdentificeerd.

2. Gezichtsopnamen die niet op een persoon terug te voeren zijn (ongeïdentificeerde gezichtsopnamen) moeten als zodanig herkenbaar zijn.

Artikel 22 - Geautomatiseerde bevraging van gezichtsopnamen

1. Met het oog op het voorkomen, opsporen en onderzoeken van strafbare feiten verlenen de lidstaten de nationale contactpunten van andere lidstaten en Europol toegang tot de in hun nationale databanken opgeslagen gezichtsopnamen om geautomatiseerde bevragingen uit te voeren.

De bevraging mag slechts worden uitgevoerd in individuele gevallen en met inachtneming van het nationale recht van de verzoekende lidstaat.

2. De verzoekende lidstaat ontvangt een lijst met matches voor de vermoedelijke kandidaten. Die lidstaat beoordeelt de lijst om vast te stellen of een match kan worden bevestigd.

3. Er wordt een minimumkwaliteitsnorm vastgesteld voor het bevragen en vergelijken van gezichtsopnamen. Ter bepaling van die minimumkwaliteitsnorm stelt de Commissie uitvoeringshandelingen vast. Die uitvoeringshandelingen worden vastgesteld volgens de procedure van artikel 75, lid 2.

Artikel 23 - Referentienummers voor gezichtsopnamen

De referentienummers voor gezichtsopnamen zijn een combinatie van:

a) een referentienummer aan de hand waarvan de lidstaten bij een match nadere gegevens en overige informatie uit hun in artikel 21 bedoelde databanken kunnen opvragen en overeenkomstig de artikelen 47 en 48 aan een of meer andere lidstaten kunnen verstrekken;

b) een code ter aanduiding van de lidstaat waarbij de gezichtsopnamen berusten.

Artikel 24 - Voorschriften voor verzoeken en antwoorden in verband met gezichtsopnamen

1. In verzoeken om geautomatiseerde bevraging wordt uitsluitend de volgende informatie opgenomen:

a) de code van de verzoekende lidstaat;

b) de datum, de tijd en het verwijsnummer van het verzoek;

c) de gezichtsopnamen en de bijbehorende referentienummers als bedoeld in artikel 23.

2. In antwoorden op verzoeken als bedoeld in lid 1 wordt uitsluitend de volgende informatie opgenomen:

a) de indicatie of er sprake is van één of meer matches of niet;

b) de datum, de tijd en het verwijsnummer van het verzoek;

c) de datum, de tijd en het verwijsnummer van het antwoord;

d) de codes van de verzoekende en de aangezochte lidstaat;

e) de referentienummers van de gezichtsopnamen van de verzoekende en de aangezochte lidstaat;

f) de gezichtsopnamen die een match vertonen.

AFDELING 5 - Politiegegevens


Artikel 25 - Politiegegevens

1. De lidstaten kunnen beslissen deel te nemen aan de geautomatiseerde uitwisseling van politiegegevens. De lidstaten die deelnemen aan de geautomatiseerde uitwisseling van politiegegevens zorgen voor de beschikbaarheid van de biografische gegevens van verdachten en criminelen die zijn opgenomen in hun voor het onderzoek van strafbare feiten ingestelde politieregisters. Deze gegevensverzameling bevat, indien beschikbaar, de volgende gegevens:

a) voornaam of voornamen;

b) familienaam of familienamen;

c) alias of aliassen;

d) geboortedatum;

e) nationaliteit of nationaliteiten;

f) plaats en land van geboorte;

g) geslacht.

2. De in lid 1, punten a), b), c), e) en f), bedoelde gegevens worden gepseudonimiseerd.

Artikel 26 - Geautomatiseerde bevraging van politiegegevens

1. Ten behoeve van het onderzoek van strafbare feiten verlenen de lidstaten de nationale contactpunten van andere lidstaten en Europol toegang tot de in hun nationale politieregisters opgeslagen gegevens met het oog op geautomatiseerde bevraging.

De bevraging mag slechts worden uitgevoerd in individuele gevallen en met inachtneming van het nationale recht van de verzoekende lidstaat.

2. De verzoekende lidstaat ontvangt de lijst van matches met een indicatie van de kwaliteit ervan.

De verzoekende lidstaat wordt ook meegedeeld in de databank van welke lidstaat de gegevens die tot de match hebben geleid, zijn opgenomen.

Artikel 27 - Referentienummers voor politiegegevens

De referentienummers voor politiegegevens zijn een combinatie van:

a) een referentienummer aan de hand waarvan de lidstaten bij een match persoonsgegevens en overige informatie uit hun in artikel 25 bedoelde registers kunnen opvragen en overeenkomstig de artikelen 47 en 48 aan een of meer andere lidstaten kunnen verstrekken;

b) een code ter aanduiding van de lidstaat waarbij de politiegegevens berusten.

Artikel 28 - Voorschriften voor verzoeken en antwoorden in verband met politiegegevens

1. In verzoeken om geautomatiseerde bevraging wordt uitsluitend de volgende informatie opgenomen:

a) de code van de verzoekende lidstaat;

b) de datum, de tijd en het verwijsnummer van het verzoek;

c) de politiegegevens en de bijbehorende referentienummers als bedoeld in artikel 27.

2. In antwoorden op verzoeken als bedoeld in lid 1 wordt uitsluitend de volgende informatie opgenomen:

a) de indicatie of er sprake is van één of meer matches of niet;

b) de datum, de tijd en het verwijsnummer van het verzoek;

c) de datum, de tijd en het verwijsnummer van het antwoord;

d) de codes van de verzoekende en de aangezochte lidstaat;

e) de referentienummers van de politiegegevens van de aangezochte lidstaten;

AFDELING 6 - Gemeenschappelijke bepalingen


Artikel 29 - Nationale contactpunten

Elke lidstaat wijst een nationaal contactpunt aan.

De nationale contactpunten worden belast met het verstrekken van de in de artikelen 6, 7, 13, 18, 22 en 26 bedoelde gegevens.

Artikel 30 - Uitvoeringsmaatregelen

Ter bepaling van de technische regelingen voor de procedures van de artikelen 6, 7, 13, 18, 22 en 26 stelt de Commissie uitvoeringshandelingen vast. Die uitvoeringshandelingen worden vastgesteld volgens de procedure van artikel 75, lid 2.

Artikel 31 - Technische specificaties

De lidstaten en Europol nemen gemeenschappelijke technische specificaties in acht voor alle verzoeken en antwoorden met betrekking tot de bevraging en vergelijking van DNA-profielen, dactyloscopische gegevens, voertuigregistratiegegevens, gezichtsopnamen en politiegegevens. Ter bepaling van deze technische specificaties stelt de Commissie uitvoeringshandelingen vast volgens de procedure van artikel 75, lid 2.

Artikel 32 - Beschikbaarheid van geautomatiseerde gegevensuitwisseling op nationaal niveau

1. De lidstaten treffen alle nodige maatregelen om ervoor te zorgen dat de geautomatiseerde bevraging of vergelijking van DNA-profielen, dactyloscopische gegevens, voertuigregistratiegegevens, gezichtsopnamen en politiegegevens 24 uur per dag en zeven dagen per week mogelijk is.

2. De nationale contactpunten stellen de andere nationale contactpunten, de Commissie, Europol en eu-LISA er onmiddellijk van in kennis wanneer door een technisch probleem de geautomatiseerde gegevensuitwisseling niet beschikbaar is.

De nationale contactpunten komen overeenkomstig het toepasselijke Unierecht en de nationale wetgeving tijdelijke alternatieve informatie-uitwisselingsregelingen overeen.

3. De nationale contactpunten herstellen de geautomatiseerde gegevensuitwisseling zo snel mogelijk.

Artikel 33 - Redenen voor de gegevensverwerking

1. Elke lidstaat registreert de redenen waarom zijn bevoegde autoriteiten zoekopdrachten hebben uitgevoerd.

Europol registreert de redenen waarom het zoekopdrachten heeft uitgevoerd.

2. Bij de in lid 1 bedoelde registratie van de redenen voor de verwerking worden de volgende gegevens vermeld:

a) het doel van de zoekopdracht, onder verwijzing naar de specifieke zaak of het specifieke onderzoek;

b) of de zoekopdracht betrekking heeft op een verdachte of een dader van een strafbaar feit;

c) of de zoekopdracht bedoeld is om een onbekende persoon te identificeren of om meer gegevens over een bekende persoon te verkrijgen.

3. De in lid 2 bedoelde redenen voor de verwerking mogen uitsluitend worden gebruikt voor het toezicht op de gegevensbescherming, waaronder de verificatie van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, en voor het waarborgen van de beveiliging en de integriteit van de gegevens.

De redenen voor de gegevensverwerking worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanmaken ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen monitoringprocedures, worden zij gewist wanneer de opgave van redenen voor de gegevensverwerking niet langer nodig is voor de monitoringprocedures.

4. Met het oog op het toezicht op de gegevensbescherming, waaronder de verificatie van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, hebben de verwerkingsverantwoordelijken toegang tot de redenen voor de gegevensverwerking voor interne monitoring als bedoeld in artikel 56.

Artikel 34 - Gebruik van het Universal Message Format

1. Bij de ontwikkeling van de in artikel 35 bedoelde router en Epris wordt gebruikgemaakt van de norm inzake het Universal Message Format (UMF).

2. Bij elke geautomatiseerde uitwisseling van gegevens overeenkomstig deze verordening wordt gebruikgemaakt van de UMF-norm.

HOOFDSTUK 3 - ARCHITECTUUR

AFDELING 1 - Router


Artikel 35 - De router

1. Er wordt een router opgezet ter facilitering van de totstandbrenging overeenkomstig deze verordening van verbindingen tussen de lidstaten en met Europol met het oog op het doorzoeken met biometrische gegevens, het opvragen van die gegevens en het bepalen van het matchingpercentage van die gegevens.

2. De router bestaat uit:

a) een centrale infrastructuur, met inbegrip van een zoekinstrument waarmee de in de artikelen 5, 12 en 21 bedoelde databanken van de lidstaten en de gegevens van Europol gelijktijdig kunnen worden doorzocht;

b) een beveiligd communicatiekanaal tussen de centrale infrastructuur, de lidstaten en de agentschappen van de Unie die gebruik mogen maken van de router;

c) een beveiligde communicatie-infrastructuur tussen de centrale infrastructuur en het Europees zoekportaal voor de toepassing van artikel 39.

Artikel 36 - Gebruik van de router

Het gebruik van de router is voorbehouden aan de lidstatelijke instanties die bevoegd zijn voor de uitwisseling van DNA-profielen, dactyloscopische gegevens en gezichtsopnamen en aan Europol, overeenkomstig deze verordening en Verordening (EU) 2016/794.

Artikel 37 - Zoekopdrachten

1. De in artikel 36 bedoelde routergebruikers verzoeken om een zoekopdracht door biometrische gegevens door te geven aan de router. De router stuurt het verzoek om een zoekopdracht naar de databanken van de lidstaten en de Europolgegevens, gelijktijdig met de door de gebruiker doorgegeven gegevens en met inachtneming van diens toegangsrechten.

2. Nadat het verzoek om een zoekopdracht is ontvangen van de router, starten elke aangezochte lidstaat en Europol onverwijld en op geautomatiseerde wijze een zoekopdracht in hun databanken.

3. Alle matches die voortvloeien uit de zoekopdracht in de databanken van elke lidstaat en de Europolgegevens worden op geautomatiseerde wijze teruggezonden naar de router.

4. De router rangschikt de antwoorden op basis van een score die aangeeft in hoeverre de voor de bevraging gebruikte biometrische gegevens overeenstemmen met de in de databanken van de lidstaten opgeslagen biometrische gegevens en de Europolgegevens.

5. De lijst van biometrische gegevens die een match vertonen en de scores ervan wordt door de router naar de routergebruiker teruggezonden.

6. De Commissie stelt uitvoeringshandelingen vast tot nadere bepaling van de technische procedure aan de hand waarvan de router de databanken van de lidstaten en de Europolgegevens doorzoekt, het formaat van de antwoorden van de router en de technische voorschriften voor het bepalen van de score die aangeeft in hoeverre de biometrische gegevens overeenstemmen. Die uitvoeringshandelingen worden vastgesteld volgens de procedure van artikel 75, lid 2.

Artikel 38 - Kwaliteitscontrole

De aangezochte lidstaat controleert de kwaliteit van de doorgezonden gegevens door middel van een volledig geautomatiseerde procedure.

Mochten de gegevens zich niet lenen voor geautomatiseerde vergelijking, dan stelt de aangezochte lidstaat de verzoekende lidstaat daarvan via de router onverwijld in kennis.

Artikel 39 - Interoperabiliteit tussen de router en het gemeenschappelijk identiteitsregister met het oog op de toegang voor rechtshandhavingsdoeleinden

1. De in artikel 36 bedoelde routergebruikers kunnen tegelijk met een zoekopdracht in de databanken van de lidstaten en de Europolgegevens een zoekopdracht in het gemeenschappelijk identiteitsregister starten indien aan de toepasselijke voorwaarden uit hoofde van het Unierecht is voldaan en in overeenstemming met hun toegangsrechten. Daartoe bevraagt de router het gemeenschappelijk identiteitsregister via het Europees zoekportaal.

2. Zoekopdrachten in het gemeenschappelijk identiteitsregister voor rechtshandhavingsdoeleinden worden uitgevoerd overeenkomstig artikel 22 van Verordening (EU) 2019/817 en artikel 22 van Verordening (EU) 2019/818. Het resultaat van de zoekopdrachten wordt doorgezonden via het Europees zoekportaal.

Slechts de aangewezen autoriteiten als bedoeld in artikel 4, punt 20, van Verordening (EU) 2019/817 en artikel 4, punt 20, van Verordening (EU) 2019/818 mogen deze gelijktijdige zoekopdrachten indienen.

Gelijktijdige zoekopdrachten in de databanken van de lidstaten en de Europolgegevens en het gemeenschappelijk identiteitsregister mogen slechts worden gestart indien het waarschijnlijk is dat gegevens over een verdachte, dader of slachtoffer van een terroristisch misdrijf of een ander ernstig strafbaar feit in de zin van respectievelijk artikel 4, punten 21 en 22, van Verordening (EU) 2019/817 en artikel 4, punten 21 en 22, van Verordening (EU) 2019/818 in het gemeenschappelijke identiteitsregister zijn opgeslagen.

Artikel 40 - Bijhouden van logbestanden

1. eu-LISA houdt logbestanden bij van alle gegevensverwerkingsverrichtingen in de router. In deze logbestanden worden de volgende gegevens opgenomen:

a) de lidstaat die of het agentschap van de Unie dat het verzoek tot uitvoering van een zoekopdracht heeft ingediend;

b) de datum en het tijdstip van het verzoek;

c) de datum en het tijdstip van het antwoord;

d) de nationale databanken of de Europolgegevens waarnaar een verzoek tot uitvoering van een zoekopdracht is verzonden;

e) de nationale databanken of Europolgegevens die een antwoord hebben opgeleverd;

f) indien van toepassing het feit dat er gelijktijdig een zoekopdracht in het gemeenschappelijk identiteitsregister is uitgevoerd.

2. Elke lidstaat houdt logbestanden bij van de zoekopdrachten die zijn verricht door zijn bevoegde instanties en de naar behoren tot het gebruik van de router gemachtigde personeelsleden van die instanties, en houdt tevens logbestanden bij van door andere lidstaten gevraagde zoekopdrachten.

Europol houdt logbestanden bij van de zoekopdrachten van zijn naar behoren gemachtigde personeelsleden.

3. De in de leden 1 en 2 bedoelde logbestanden mogen uitsluitend worden gebruikt voor het verzamelen van statistieken en het toezicht op de gegevensbescherming, alsmede het verifiëren van de toelaatbaarheid van een verzoek en de rechtmatigheid van de gegevensverwerking, en voor het waarborgen van de beveiliging en de integriteit van de gegevens.

Deze logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanmaken ervan gewist. Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist wanneer de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

4. Met het oog op het toezicht op de gegevensbescherming, waaronder het verifiëren van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, hebben de verwerkingsverantwoordelijken toegang tot de logbestanden voor interne monitoring als bedoeld in artikel 56.

Artikel 41 - Kennisgevingsprocedures wanneer de router door een technische storing niet kan worden gebruikt

1. Indien het wegens een storing van de router technisch onmogelijk is de router te gebruiken voor het bevragen van een of meer nationale databanken of Europolgegevens, stelt eu-LISA de routergebruikers daarvan op geautomatiseerde wijze in kennis. eu-LISA treft onverwijld maatregelen om de technische storing die het gebruik van de router verhindert, te verhelpen.

2. Indien het wegens een storing in de nationale infrastructuur van een lidstaat technisch onmogelijk is de router te gebruiken om een of meer nationale databanken of de Europolgegevens te doorzoeken, stelt die lidstaat eu-LISA en de Commissie daarvan op geautomatiseerde wijze in kennis. De lidstaten treffen onverwijld maatregelen om de technische storing die het gebruik van de router verhindert, te verhelpen.

3. Indien het wegens een storing in de infrastructuur van Europol technisch onmogelijk is de router te gebruiken om een of meer nationale databanken of de Europolgegevens te doorzoeken, stelt Europol de lidstaten, eu-LISA en de Commissie daarvan op geautomatiseerde wijze in kennis. Europol treft onverwijld maatregelen om de technische storing die het gebruik van de router verhindert, te verhelpen.

AFDELING 2 - Epris


Artikel 42 - Epris

1. Voor de in artikel 26 bedoelde geautomatiseerde bevraging van politiegegevens maken de lidstaten en Europol gebruik van het Europees Indexsysteem van politiegegevens (Epris).

2. Epris bestaat uit:

a) een centrale infrastructuur, met inbegrip van een zoekinstrument dat de gelijktijdige bevraging van de databanken van de lidstaten mogelijk maakt;

b) een beveiligd communicatiekanaal tussen de centrale Epris-infrastructuur, de lidstaten en Europol.

Artikel 43 - Gebruik van Epris

1. Voor de bevraging van politiegegevens via Epris worden de volgende reeksen gegevens gebruikt:

a) voornaam of voornamen;

b) familienaam of familienamen;

c) geboortedatum.

2. Indien beschikbaar, mogen ook de volgende reeksen gegevens worden gebruikt:

a) alias of aliassen;

b) nationaliteit of nationaliteiten;

c) plaats en land van geboorte;

d) geslacht.

3. De in lid 1, punten a) en b), en lid 2, punten a), b) en c), bedoelde gegevens die voor bevraging worden gebruikt, worden gepseudonimiseerd.

Artikel 44 - Zoekopdrachten

1. De lidstaten en Europol verzoeken om een zoekopdracht door de in artikel 43 bedoelde gegevens te versturen.

Epris zendt het verzoek om een zoekopdracht in overeenstemming met deze verordening door naar de databanken van de lidstaten, samen met de door de verzoekende lidstaat toegezonden gegevens.

2. Nadat het verzoek om een zoekopdracht is ontvangen van Epris, start elke aangezochte lidstaat onverwijld en op geautomatiseerde wijze een zoekopdracht in zijn nationale politiegegevens.

3. Alle matches die voortvloeien uit de zoekopdracht in de databank van elke lidstaat worden op geautomatiseerd wijze teruggezonden naar Epris.

4. De lijst van matches wordt door Epris aan de verzoekende lidstaat teruggezonden. In de lijst van matches wordt de kwaliteit van de match aangegeven, alsmede de lidstaat waarvan de databank de gegevens bevat die tot de match hebben geleid.

5. Na ontvangst van de lijst van matches beslist de verzoekende lidstaat voor welke matches een follow-up nodig is en zendt hij de aangezochte lidstaat of lidstaten via Siena een met redenen omkleed follow-upverzoek met eventuele relevante aanvullende informatie.

6. Door de aangezochte lidstaat of lidstaten worden deze verzoeken onverwijld behandeld om te beslissen of zij de in hun databank opgeslagen gegevens delen of niet.

Na bevestiging worden de in artikel 43 bedoelde gegevens, voor zover beschikbaar, door de aangezochte lidstaat of lidstaten gedeeld. Deze informatie-uitwisseling geschiedt via Siena.

7. De Commissie stelt uitvoeringshandelingen vast met specificaties voor de technische procedure die Epris toepast voor het bevragen van de databanken van de lidstaten, en voor het formaat van de antwoorden. Die uitvoeringshandelingen worden vastgesteld volgens de procedure van artikel 75, lid 2.

Artikel 45 - Bijhouden van logbestanden

1. Europol houdt logbestanden bij van alle gegevensverwerkingsverrichtingen in Epris. In deze logbestanden worden de volgende gegevens opgenomen:

a) de lidstaat die of het agentschap van de Unie dat het verzoek tot uitvoering van een zoekopdracht heeft ingediend;

b) de datum en het tijdstip van het verzoek;

c) de datum en het tijdstip van het antwoord;

d) de nationale databanken waarnaar een verzoek tot uitvoering van een zoekopdracht is verzonden;

e) de nationale databanken die een antwoord hebben opgeleverd.

2. Elke lidstaat houdt logbestanden bij van de verzoeken voor zoekopdrachten die zijn gedaan door zijn bevoegde instanties en de personeelsleden van die instanties die naar behoren gemachtigd zijn om Epris te gebruiken. Europol houdt logbestanden bij van de verzoeken om zoekopdrachten die zijn naar behoren gemachtigde personeelsleden hebben gedaan.

3. De in de leden 1 en 2 bedoelde logbestanden worden uitsluitend gebruikt voor het toezicht op de gegevensbescherming, onder meer door de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking te controleren, en voor het verzekeren van de gegevensbeveiliging en -integriteit.

Deze logbestanden worden met passende maatregelen tegen ongeoorloofde toegang beschermd en één jaar na het aanmaken ervan gewist.

Indien zij echter nodig zijn voor reeds aangevangen toezichtprocedures, worden zij gewist wanneer de logbestanden in het kader van de toezichtprocedures niet langer nodig zijn.

4. Met het oog op het toezicht op de gegevensbescherming, waaronder het verifiëren van de toelaatbaarheid van een zoekopdracht en de rechtmatigheid van de gegevensverwerking, hebben de verwerkingsverantwoordelijken toegang tot de logbestanden voor interne monitoring als bedoeld in artikel 56.

Artikel 46 - Kennisgevingsprocedures wanneer Epris door een technische storing niet kan worden gebruikt

1. Indien Epris wegens een technische storing in de infrastructuur van Europol niet kan worden gebruikt om een of meer nationale databanken te doorzoeken, stelt Europol de lidstaten daarvan op geautomatiseerde wijze in kennis. Europol treft onverwijld maatregelen om de technische storing die het gebruik van Epris verhindert, te verhelpen.

2. Indien Epris wegens een technische storing in de nationale infrastructuur van een lidstaat niet kan worden gebruikt om een of meer nationale databanken te doorzoeken, stelt die lidstaat Europol en de Commissie daarvan op geautomatiseerde wijze in kennis. De lidstaten treffen onverwijld maatregelen om de technische storing die het gebruik van Epris verhindert, te verhelpen.

HOOFDSTUK 4 - UITWISSELING VAN GEGEVENS NAAR AANLEIDING VAN EEN MATCH

Artikel 47 - Uitwisseling van kerngegevens

Indien de in artikel 6, 7, 13 of 22 bedoelde procedures een match opleveren tussen de voor de bevraging of vergelijking gebruikte gegevens en de gegevens in de databank van de aangezochte lidstaat of lidstaten, en na bevestiging van deze match door de verzoekende lidstaat, zendt de aangezochte lidstaat binnen 24 uur via de router een beperkte reeks kerngegevens terug. Deze reeks kerngegevens bevat, indien beschikbaar, de volgende gegevens:

a) voornaam of voornamen;

b) familienaam of familienamen;

c) geboortedatum;

d) nationaliteit of nationaliteiten;

e) plaats en land van geboorte;

f) geslacht.

Artikel 48 - Gebruik van Siena

Elke uitwisseling tussen de bevoegde autoriteiten van de lidstaten of met Europol, in enig stadium van een van de procedures van deze verordening, waarin deze verordening niet uitdrukkelijk voorziet, vindt plaats via Siena.

HOOFDSTUK 5 - Europol

Artikel 49 - Toegang van lidstaten tot bij Europol opgeslagen uit derde landen afkomstige biometrische gegevens

1. De lidstaten hebben overeenkomstig Verordening (EU) 2016/794 toegang tot biometrische gegevens die door derde landen aan Europol zijn verstrekt voor de toepassing van artikel 18, lid 2, punten a), b) en c), van Verordening (EU) 2016/794, en kunnen deze via de router bevragen.

2. Wanneer deze procedure leidt tot een match tussen de voor de bevraging gebruikte gegevens en de Europolgegevens, vindt de follow-up plaats overeenkomstig Verordening (EU) 2016/794.

Artikel 50 - Toegang van Europol tot in de databanken van de lidstaten opgeslagen gegevens

1. Europol heeft overeenkomstig Verordening (EU) 2016/794 toegang tot gegevens die de lidstaten overeenkomstig deze verordening in hun nationale databanken hebben opgeslagen.

2. Zoekopdrachten van Europol met biometrische gegevens als zoekcriterium worden uitgevoerd met behulp van de router.

3. Zoekopdrachten van Europol met voertuigregistratiegegevens als zoekcriterium worden uitgevoerd met behulp van Eucaris.

4. Zoekopdrachten van Europol met politiegegevens als zoekcriterium worden uitgevoerd met behulp van Epris.

5. Europol verricht zoekopdrachten overeenkomstig lid 1 uitsluitend bij de uitvoering van zijn taken als bedoeld in Verordening (EU) 2016/794.

6. Indien de in artikel 6, 7, 13 of 22 bedoelde procedures een match opleveren tussen de voor de bevraging of vergelijking gebruikte gegevens en de gegevens in de nationale databank van de aangezochte lidstaat of lidstaten, en na bevestiging van die match door Europol, beslist de aangezochte lidstaat binnen 24 uur of hij via de router een beperkte reeks kerngegevens terugzendt. Deze reeks kerngegevens bevat, indien beschikbaar, de volgende gegevens:

a) voornaam of voornamen;

b) familienaam of familienamen;

c) geboortedatum;

d) nationaliteit of nationaliteiten;

e) plaats en land van geboorte;

f) geslacht.

7. Het gebruik door Europol van informatie die is verkregen uit een zoekopdracht overeenkomstig lid 1 en de uitwisseling van kerngegevens overeenkomstig lid 6, is onderworpen aan de toestemming van de lidstaat in de databank waarvan de match zich heeft voorgedaan. Indien de lidstaat het gebruik van die informatie toestaat, wordt deze door Europol behandeld overeenkomstig Verordening (EU) 2016/794.

HOOFDSTUK 6 - GEGEVENSBESCHERMING

Artikel 51 - Doel van de gegevens

1. De verzoekende lidstaat, dan wel Europol, mag persoonsgegevens uitsluitend verwerken voor de doeleinden waarvoor deze door de aangezochte lidstaat uit hoofde van deze verordening zijn verstrekt. Verwerking voor andere doeleinden is slechts toegestaan met voorafgaande toestemming van de aangezochte lidstaat.

2. Verwerking van op grond van artikel 6, 7, 13, 18 of 22 verstrekte gegevens door de bevragende of vergelijkende lidstaat is slechts toegestaan om:

a) vast te stellen of de vergeleken DNA-profielen, dactyloscopische gegevens, voertuigregistratiegegevens, gezichtsopnamen en politiegegevens een match vertonen;

b) een politieel verzoek om rechtshulp op te stellen en in te dienen wanneer die gegevens een match vertonen;

c) logbestanden bij te houden als bedoeld in de artikelen 40 en 45.

3. De verzoekende lidstaat mag de hem overeenkomstig artikel 6, 7, 13 of 22 verstrekte gegevens slechts verwerken voor zover dit voor de doeleinden van deze verordening noodzakelijk is. Na de vergelijking van de gegevens of de geautomatiseerde antwoorden op de zoekopdrachten worden de verstrekte gegevens onverwijld gewist, tenzij verdere verwerking door de verzoekende lidstaat noodzakelijk is voor het voorkomen, opsporen of onderzoeken van een strafbaar feit.

4. De overeenkomstig artikel 18 verstrekte gegevens mogen door de verzoekende lidstaat slechts worden gebruikt voor zover dit voor de doeleinden van deze verordening noodzakelijk is. Na geautomatiseerde beantwoording van zoekopdrachten worden de verstrekte gegevens onverwijld gewist, tenzij verdere verwerking noodzakelijk is voor het bijhouden van logbestanden op grond van artikel 20. De verzoekende lidstaat mag de als antwoord verkregen gegevens uitsluitend gebruiken voor de procedure op grond waarvan de bevraging is geschied.

Artikel 52 - Juistheid, relevantie en bewaring van gegevens

1. De lidstaten zien toe op de juistheid en actualiteit van persoonsgegevens. Indien een aangezochte lidstaat bemerkt dat onjuiste gegevens of gegevens die niet hadden mogen worden verstrekt, toch verstrekt zijn, dan wordt dit onverwijld aan de ontvangende lidstaat of lidstaten meegedeeld. Alle betrokken verzoekende lidstaten zijn verplicht de gegevens dienovereenkomstig te corrigeren of te wissen. Voor het overige worden verstrekte persoonsgegevens gecorrigeerd als blijkt dat ze onjuist zijn. Als de verzoekende lidstaat reden heeft om aan te nemen dat de verstrekte gegevens onjuist zijn of gewist moeten worden, dan stelt hij de aangezochte lidstaat daarvan op de hoogte.

2. Wanneer een betrokkene de juistheid van gegevens die in het bezit zijn van een lidstaat betwist, wanneer de juistheid door de betrokken lidstaat niet op betrouwbare wijze kan worden vastgesteld en wanneer de betrokkene daarom verzoekt, worden de gegevens in kwestie voorzien van een markering. Indien er een markering is aangebracht, mag deze door een lidstaat slechts met toestemming van de betrokkene of op basis van een besluit van de bevoegde rechter of een onafhankelijke gegevensbeschermingsautoriteit worden verwijderd.

3. Verstrekte gegevens worden gewist als zij niet verstrekt of ontvangen hadden mogen worden. Rechtmatig verstrekte en ontvangen gegevens worden gewist:

a) als zij niet of niet meer noodzakelijk zijn voor het doel waarvoor zij zijn verstrekt;

b) na afloop van een uit hoofde van het nationale recht van de aangezochte lidstaat vastgestelde maximumtermijn voor het bewaren van gegevens, indien de aangezochte lidstaat de verzoekende lidstaat bij de verstrekking van de gegevens op die maximumtermijn heeft gewezen.

Als er reden bestaat om aan te nemen dat door het wissen van de gegevens de belangen van de betrokkene worden geschaad, worden de gegevens afgeschermd in plaats van gewist. Afgeschermde gegevens mogen alleen worden verstrekt of gebruikt voor het doel dat ertoe heeft geleid dat ze niet zijn gewist.

Artikel 53 - Verwerker

1. eu-LISA is de verwerker in de zin van artikel 3, punt 12, van Verordening (EU) 2018/1725 met betrekking tot de verwerking van persoonsgegevens via de router.

2. Europol is de verwerker met betrekking tot de verwerking van persoonsgegevens via Epris.

Artikel 54 - Beveiliging van de verwerking

1. Europol, eu-LISA en de lidstatelijke instanties waarborgen de beveiliging van de verwerking van persoonsgegevens die plaatsvindt uit hoofde van deze verordening. Europol, eu-LISA en de lidstatelijke instanties werken samen op het gebied van beveiligingsgerelateerde taken.

2. Onverminderd artikel 33 van Verordening (EU) 2018/1725 en artikel 32 van Verordening (EU) 2016/794 nemen eu-LISA en Europol de nodige maatregelen ter beveiliging van respectievelijk de router en Epris, alsmede de bijbehorende communicatie-infrastructuren.

3. Met name nemen eu-LISA en Europol passende maatregelen in verband met respectievelijk de router en Epris, waaronder de vaststelling van een veiligheidsplan, een bedrijfscontinuïteitsplan en een uitwijkplan, om:

a) de gegevens fysiek te beschermen, onder andere door middel van noodplannen voor de bescherming van kritieke infrastructuur;

b) te voorkomen dat onbevoegden toegang krijgen tot gegevensverwerkende apparatuur en installaties;

c) te voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen;

d) te voorkomen dat gegevens onrechtmatig worden ingevoerd en dat opgeslagen persoonsgegevens onrechtmatig worden ingezien, gewijzigd of verwijderd;

e) te voorkomen dat gegevens onrechtmatig worden verwerkt, gekopieerd, gewijzigd of gewist;

f) te voorkomen dat onbevoegden de systemen voor geautomatiseerde gegevensverwerking gebruiken met behulp van datatransmissieapparatuur;

g) te waarborgen dat personen die toestemming hebben voor toegang tot de router en tot Epris, uitsluitend toegang krijgen tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft, en uitsluitend door middel van persoonlijke gebruikersidentiteiten en vertrouwelijke toegangsprocedures;

h) te waarborgen dat kan worden nagegaan en vastgesteld aan welke instanties persoonsgegevens mogen worden doorgegeven door middel van datatransmissieapparatuur;

i) te waarborgen dat kan worden nagegaan en vastgesteld welke gegevens wanneer, door wie en met welk doel in de router en in Epris zijn verwerkt;

j) te voorkomen, in het bijzonder door middel van passende versleutelingstechnieken, dat bij de doorgifte van persoonsgegevens vanuit en naar de router of Epris, of gedurende het transport van gegevensdragers, de gegevens onrechtmatig worden gelezen, gekopieerd, gewijzigd of gewist;

k) ervoor te zorgen dat de normale werking van de geïnstalleerde systemen in geval van storing kan worden hersteld;

l) de betrouwbaarheid te verzekeren door ervoor te zorgen dat eventuele functionele storingen in de router en in Epris correct worden gesignaleerd;

m) de doelmatigheid van de in dit lid bedoelde beveiligingsmaatregelen te monitoren, met betrekking tot de interne monitoring de nodige organisatorische maatregelen te nemen om te waarborgen dat deze verordening wordt nageleefd en die beveiligingsmaatregelen te beoordelen in het licht van nieuwe technologische ontwikkelingen.

Artikel 55 - Beveiligingsincidenten

1. Elke gebeurtenis die gevolgen heeft of kan hebben voor de beveiliging van de router of van Epris, of kan leiden tot beschadiging of verlies van gegevens die daarin zijn opgeslagen, wordt beschouwd als een beveiligingsincident, met name wanneer onrechtmatige toegang tot gegevens kan zijn verkregen of wanneer de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens in gevaar is gekomen of kan zijn gekomen.

2. Het beheer van beveiligingsincidenten is gericht op een snelle, doeltreffende en passende respons.

3. De lidstaten stellen hun bevoegde toezichthoudende autoriteiten onverwijld in kennis van beveiligingsincidenten.

Onverminderd artikel 34 van Verordening (EU) 2016/794 stelt Europol CERT-EU onverwijld, maar in ieder geval uiterlijk 24 uur nadat Europol ervan kennis heeft genomen, op de hoogte van significante cyberdreigingen, significante kwetsbaarheden en significante incidenten. Aan CERT-EU wordt inzake cyberdreigingen, cyberkwetsbaarheden en cyberincidenten onverwijld melding gemaakt van nuttige en passende technische details die proactieve opsporing, een respons op incidenten of beperkende maatregelen mogelijk maken.

Bij beveiligingsincidenten die verband houden met de centrale infrastructuur van de router stelt eu-LISA CERT-EU onverwijld, maar in ieder geval uiterlijk 24 uur nadat eu-LISA ervan kennis heeft genomen, op de hoogte van significante cyberdreigingen, significante kwetsbaarheden en significante incidenten. Aan CERT-EU wordt inzake cyberdreigingen, cyberkwetsbaarheden en cyberincidenten onverwijld melding gemaakt van nuttige en passende technische details die proactieve opsporing, een respons op incidenten of beperkende maatregelen mogelijk maken.

4. Informatie betreffende beveiligingsincidenten die gevolgen hebben of kunnen hebben voor de werking van de router of voor de beschikbaarheid, integriteit of vertrouwelijkheid van de gegevens, wordt door de betrokken lidstaten en agentschappen van de Unie onverwijld verstrekt aan de lidstaten en Europol en gerapporteerd in overeenstemming met het door eu-LISA te verstrekken incidentenbeheerplan.

5. Informatie betreffende beveiligingsincidenten die gevolgen hebben of kunnen hebben voor de werking van Epris of voor de beschikbaarheid, integriteit of vertrouwelijkheid van de gegevens, wordt door de betrokken lidstaten en agentschappen van de Unie onverwijld verstrekt aan de lidstaten en gerapporteerd in overeenstemming met het door Europol te verstrekken incidentenbeheerplan.

Artikel 56 - Interne monitoring

1. De lidstaten en de betrokken agentschappen van de Unie zorgen ervoor dat elke instantie met recht op toegang tot Prüm II de nodige maatregelen treft om haar naleving van deze verordening te monitoren en, indien nodig, samenwerkt met de toezichthoudende autoriteit.

2. De verwerkingsverantwoordelijken nemen de nodige maatregelen, waaronder frequente verificatie van de in de artikelen 40 en 45 bedoelde logbestanden, om na te gaan of de gegevens in overeenstemming met deze verordening worden verwerkt, en werken indien nodig samen met de toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming.

Artikel 57 - Sancties

De lidstaten zorgen ervoor dat misbruik, verwerking of uitwisseling van gegevens in strijd met deze verordening strafbaar wordt gesteld volgens het nationale recht. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.

Artikel 58 - Aansprakelijkheid

Indien schade aan de router of aan Epris ontstaat doordat een lidstaat zijn verplichtingen uit hoofde van deze verordening niet is nagekomen, is deze lidstaat daarvoor aansprakelijk, tenzij en voor zover eu-LISA, Europol of een andere door deze verordening gebonden lidstaat heeft nagelaten redelijke stappen te ondernemen om het optreden van de schade te voorkomen of de omvang ervan zo veel mogelijk te beperken.

Artikel 59 - Audits door de Europese Toezichthouder voor gegevensbescherming

1. De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat voor de doeleinden van deze verordening ten minste om de vier jaar een audit van de verrichtingen van eu-LISA en Europol op het gebied van de verwerking van persoonsgegevens wordt uitgevoerd overeenkomstig de toepasselijke internationale auditnormen. Een verslag van die audit wordt toegezonden aan het Europees Parlement, de Raad, de Commissie, de lidstaten en het betrokken agentschap van de Unie. Voordat de verslagen worden aangenomen, worden Europol en eu-LISA in de gelegenheid gesteld opmerkingen te maken.

2. eu-LISA en Europol verstrekken de door de Europese Toezichthouder voor gegevensbescherming gevraagde informatie, verlenen de Europese Toezichthouder voor gegevensbescherming toegang tot alle documenten waarom hij verzoekt en tot hun in de artikelen 40 en 45 bedoelde logbestanden en verlenen de Europese toezichthouder voor gegevensbescherming te allen tijde toegang tot al hun gebouwen en terreinen.

Artikel 60 - Samenwerking tussen de toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming

1. De toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming werken, elk binnen hun respectieve bevoegdheidsgebieden en binnen het kader van hun respectieve verantwoordelijkheden, actief met elkaar samen en zorgen voor gecoördineerd toezicht op de toepassing van deze verordening, met name wanneer de Europese Toezichthouder voor gegevensbescherming of een toezichthoudende autoriteit grote verschillen tussen praktijken van de lidstaten of potentieel onrechtmatige gegevensdoorgiften via de communicatiekanalen van Prüm II constateert.

2. In de in lid 1 van dit artikel bedoelde gevallen wordt gezorgd voor gecoördineerd toezicht in overeenstemming met artikel 62 van Verordening (EU) 2018/1725.

3. Uiterlijk op [twee jaar na de ingebruikneming van de router en Epris] en vervolgens om de twee jaar zendt het Europees Comité voor gegevensbescherming een gezamenlijk verslag van zijn activiteiten uit hoofde van dit artikel toe aan het Europees Parlement, de Raad, de Commissie, Europol en eu-LISA. Het verslag bevat voor elke lidstaat een hoofdstuk dat door de toezichthoudende autoriteit van de betrokken lidstaat wordt opgesteld.

Artikel 61 - Verstrekking van persoonsgegevens aan derde landen en internationale organisaties

Voor de doorgifte naar een derde land of een internationale organisatie van gegevens die een verzoekende lidstaat overeenkomstig deze verordening heeft verkregen, is de toestemming van de aangezochte lidstaat vereist.

HOOFDSTUK 7 - VERANTWOORDELIJKHEDEN

Artikel 62 - Verantwoordelijkheden van de lidstaten

1. Elke lidstaat is verantwoordelijk voor:

a) de aansluiting op de infrastructuur van de router;

b) de integratie van de bestaande nationale systemen en infrastructuur met de router;

c) de organisatie, het beheer, de werking en het onderhoud van de bestaande nationale infrastructuur en de aansluiting daarvan op de router;

d) de aansluiting op de infrastructuur van Epris;

e) de integratie van de bestaande nationale systemen en infrastructuur met Epris;

f) de organisatie, het beheer, de werking en het onderhoud van de bestaande nationale infrastructuur en de aansluiting daarvan op Epris;

g) het beheer en de regelingen op grond waarvan de naar behoren gemachtigde personeelsleden van de bevoegde nationale instanties overeenkomstig deze verordening toegang hebben tot de router en de opstelling en regelmatige bijwerking van een lijst van de betrokken personeelsleden en hun profielen;

h) het beheer en de regelingen op grond waarvan de naar behoren gemachtigde personeelsleden van de bevoegde nationale instanties overeenkomstig deze verordening toegang hebben tot Epris en de opstelling en regelmatige bijwerking van een lijst van de betrokken personeelsleden en hun profielen;

i) het beheer en de regelingen op grond waarvan de naar behoren gemachtigde personeelsleden van de bevoegde nationale instanties overeenkomstig deze verordening toegang hebben tot Eucaris en de opstelling en regelmatige bijwerking van een lijst van de betrokken personeelsleden en hun profielen;

j) de manuele bevestiging van een match als bedoeld in artikel 6, lid 3, artikel 7, lid 3, artikel 13, lid 2, artikel 22, lid 2, en artikel 26, lid 2;

k) het verzekeren van de beschikbaarheid van de gegevens die nodig zijn voor de uitwisseling van gegevens overeenkomstig artikel 6, artikel 7, artikel 13, artikel 18, artikel 22 en artikel 26;

l) de uitwisseling van informatie overeenkomstig artikel 6, artikel 7, artikel 13, artikel 18, artikel 22 en artikel 26;

m) het wissen van gegevens die van een aangezochte lidstaat zijn ontvangen, binnen 48 uur nadat de aangezochte lidstaat heeft gemeld dat de verstrekte persoonsgegevens onjuist, niet meer actueel of onrechtmatig doorgegeven zijn;

n) de naleving van de bij deze verordening vastgestelde vereisten inzake gegevenskwaliteit.

2. Elke lidstaat is verantwoordelijk voor het aansluiten van zijn bevoegde nationale autoriteiten op de router, Epris en Eucaris.

Artikel 63 - Verantwoordelijkheden van Europol

1. Europol is verantwoordelijk voor het beheer van de toegang van zijn naar behoren gemachtigde personeelsleden tot de router, Epris en Eucaris overeenkomstig deze verordening, en voor de daarvoor geldende regelingen.

2. Europol is ook verantwoordelijk voor de verwerking van bevragingen van Europolgegevens door de router. Europol past zijn informatiesystemen dienovereenkomstig aan.

3. Europol is verantwoordelijk voor alle technische aanpassingen van de infrastructuur van Europol die vereist zijn om de verbinding met de router en met Eucaris tot stand te brengen.

4. Europol is verantwoordelijk voor de ontwikkeling van Epris in samenwerking met de lidstaten. Epris voorziet in de in de artikelen 42 tot en met 46 vastgestelde functionaliteiten.

Europol zorgt voor het technisch beheer van Epris. Het technisch beheer van Epris omvat alle taken en technische oplossingen die nodig zijn om de centrale infrastructuur van Epris 24 uur per dag en zeven dagen per week overeenkomstig deze verordening te laten functioneren en ononderbroken diensten te laten verlenen aan de lidstaten. Het omvat ook de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een toereikende technische kwaliteit van de werking van Epris, in het bijzonder wat betreft de tijd die nodig is voor het raadplegen van de nationale databanken overeenkomstig de technische specificaties.

5. Europol verzorgt opleidingen voor het technisch gebruik van Epris.

6. Europol is verantwoordelijk voor de in de artikelen 49 en 50 bedoelde procedures.

Artikel 64 - Verantwoordelijkheden van eu-LISA gedurende de ontwerp- en ontwikkelingsfase van de router

1. eu-LISA zorgt ervoor dat de centrale infrastructuur van de router wordt beheerd in overeenstemming met deze verordening.

2. De router wordt door eu-LISA gehost op zijn technische locaties en voorziet in de in deze verordening beschreven functies overeenkomstig de voorwaarden inzake beveiliging, beschikbaarheid, kwaliteit en prestaties bedoeld in artikel 65, lid 1.

3. eu-LISA is verantwoordelijk voor de ontwikkeling van de router en voor alle technische aanpassingen die nodig zijn voor de werking van de router.

eu-LISA heeft geen toegang tot persoonsgegevens die via de router worden verwerkt.

eu-LISA bepaalt het ontwerp van de fysieke architectuur van de router, met inbegrip van de communicatie-infrastructuur en de technische specificaties alsmede de evolutie daarvan met betrekking tot de centrale infrastructuur en de beveiligde communicatie-infrastructuur. Dit ontwerp wordt vastgesteld door de raad van bestuur, na een gunstig advies van de Commissie. eu-LISA voert ook alle noodzakelijke aanpassingen aan de interoperabiliteitscomponenten uit die voortvloeien uit de instelling van de router overeenkomstig deze verordening.

eu-LISA ontwikkelt en implementeert de router zo spoedig mogelijk nadat de Commissie de in artikel 37, lid 6, bedoelde maatregelen heeft vastgesteld.

De ontwikkeling omvat de uitwerking en implementatie van de technische specificaties, het testen en het algemeen projectbeheer en de algehele projectcoördinatie.

4. Tijdens de ontwerp- en ontwikkelingsfase komt de in artikel 54 van Verordening (EU) 2019/817 en artikel 54 van Verordening (EU) 2019/818 bedoelde programmabestuursraad inzake interoperabiliteit regelmatig bijeen. De programmabestuursraad zorgt voor passend beheer van de ontwerp- en ontwikkelingsfase van de router.

Maandelijks brengt de programmabestuursraad schriftelijk verslag uit over de voortgang van het project aan de raad van bestuur van eu-LISA. De programmabestuursraad heeft geen beslissingsbevoegdheid, noch een mandaat om de leden van de raad van bestuur van eu-LISA te vertegenwoordigen.

Tot de ingebruikneming van de router komt de in artikel 76 bedoelde adviesgroep op gezette tijden bijeen. Zij brengt na elke bijeenkomst verslag uit aan de programmabestuursraad. Zij ondersteunt de programmabestuursraad met technische deskundigheid en houdt de voortgang van de voorbereidingen van de lidstaten bij.

Artikel 65 - Verantwoordelijkheden van eu-LISA na de ingebruikneming van de router

1. Na de ingebruikneming van de router is eu-LISA verantwoordelijk voor het technisch beheer van de centrale infrastructuur van de router, met inbegrip van het onderhoud en de technische ontwikkelingen ervan. eu-LISA zorgt er in samenwerking met de lidstaten voor dat de beste beschikbare technologie wordt gebruikt, onder voorbehoud van een kosten-batenanalyse. eu-LISA is ook verantwoordelijk voor het technisch beheer van de noodzakelijke communicatie-infrastructuur.

Het technisch beheer van de router omvat alle taken en technische oplossingen die nodig zijn om de router 24 uur per dag en zeven dagen per week overeenkomstig deze verordening te laten functioneren en ononderbroken diensten te laten verlenen aan de lidstaten en aan Europol. Het omvat ook de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een toereikende technische kwaliteit van de werking van de router, in het bijzonder wat betreft de beschikbaarheid en de tijd die nodig is voor het indienen van verzoeken bij de nationale databanken en de Europolgegevens overeenkomstig de technische specificaties.

De router wordt zodanig ontwikkeld en beheerd dat snelle, efficiënte en gecontroleerde toegang, volledige en ononderbroken beschikbaarheid van de router en een responstijd overeenkomstig de operationele behoeften van de bevoegde instanties van de lidstaten en Europol worden gewaarborgd.

2. Onverminderd artikel 17 van het Statuut van de ambtenaren van de Europese Unie, zoals vastgesteld bij Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad 42 , past eu-LISA passende voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op zijn personeelsleden die moeten werken met gegevens die zijn opgeslagen in de interoperabiliteitscomponenten. Deze geheimhoudingsplicht blijft ook gelden nadat deze personeelsleden hun functie of dienstverband hebben beëindigd of hun werkzaamheden hebben stopgezet.

eu-LISA heeft geen toegang tot persoonsgegevens die via de router worden verwerkt.

3. eu-LISA verricht ook taken met betrekking tot het aanbieden van opleiding in het technische gebruik van de router.

HOOFDSTUK 8 - WIJZIGINGEN VAN ANDERE BESTAANDE INSTRUMENTEN

Artikel 66 - Wijzigingen van Besluit 2008/615/JBZ en Besluit 2008/616/JBZ

1. Wat de door deze verordening gebonden lidstaten betreft, worden de artikelen 2 tot en met 6 en de afdelingen 2 en 3 van hoofdstuk 2 van Besluit 2008/615/JBZ vervangen vanaf de datum waarop de bepalingen van deze verordening met betrekking tot de router van toepassing worden zoals bepaald in artikel 73.

Derhalve worden de artikelen 2 tot en met 6 en de afdelingen 2 en 3 van hoofdstuk 2 van Besluit 2008/615/JBZ geschrapt vanaf de datum waarop de bepalingen van deze verordening met betrekking tot de router van toepassing worden zoals bepaald in artikel 73.

2. Wat de door deze verordening gebonden lidstaten betreft, worden de hoofdstukken 2 tot en met 5 en de artikelen 18, 20 en 21 van Besluit 2008/616/JBZ vervangen vanaf de datum waarop de bepalingen van deze verordening met betrekking tot de router van toepassing worden zoals bepaald in artikel 73.

Derhalve worden de hoofdstukken 2 tot en met 5 en de artikelen 18, 20 en 21 van Besluit 2008/616/JBZ geschrapt vanaf de datum waarop de bepalingen van deze verordening met betrekking tot de router van toepassing worden zoals bepaald in artikel 73.

Artikel 67 - Wijzigingen van Verordening (EU) 2018/1726

Verordening (EU) 2018/1726 wordt als volgt gewijzigd:

(1) Het volgende artikel 13 bis wordt ingevoegd:

“Artikel 13 bis

Taken in verband met de router 


Met betrekking tot Verordening (EU) …/… van het Europees Parlement en de Raad* [deze verordening] voert het Agentschap de hem bij die verordening opgedragen taken uit die verband houden met de router.

___________

* Verordening (EU) [nummer] van het Europees Parlement en de Raad van xy betreffende [officieel vastgestelde benaming] (PB L …)”


In artikel 17 wordt lid 3 vervangen door:

“3. De zetel van het Agentschap is in Tallinn, Estland.

De in artikel 1, leden 4 en 5, de artikelen 3 tot en met 8 en de artikelen 9, 11 en 13 bis bedoelde taken in verband met ontwikkeling en operationeel beheer worden verricht in de technische locatie in Straatsburg, Frankrijk.

In Sankt Johann im Pongau, Oostenrijk, wordt een back-uplocatie gevestigd die kan zorgen voor het operationeel blijven van een grootschalig IT-systeem in geval van falen van een dergelijk systeem.”

Artikel 68 - Wijzigingen van Verordening (EU) 2019/817

Aan artikel 6, lid 2, van Verordening (EU) 2019/817 wordt het volgende punt d) toegevoegd:

“d) een beveiligde communicatie-infrastructuur tussen het ESP en de router die is opgezet bij Verordening (EU) …/… van het Europees Parlement en de Raad* [deze verordening].

___________

* Verordening (EU) [nummer] van het Europees Parlement en de Raad van xy betreffende [officieel vastgestelde benaming] (PB L …)”

Artikel 69 - Wijzigingen van Verordening (EU) 2019/818

Verordening (EU) 2019/818 wordt als volgt gewijzigd:

(1) Aan artikel 6, lid 2, wordt het volgende punt d) toegevoegd:

“d) een beveiligde communicatie-infrastructuur tussen het ESP en de router die is opgezet bij Verordening (EU) …/… van het Europees Parlement en de Raad* [deze verordening].

___________

* Verordening (EU) [nummer] van het Europees Parlement en de Raad van xy betreffende [officieel vastgestelde benaming] (PB L …)”


(2) In artikel 39 worden de leden 1 en 2 vervangen door:


“1. Er wordt een centraal register voor rapportage en statistieken (CRRS) ingesteld om de doelstellingen van Eurodac, SIS en Ecris-TCN in overeenstemming met de voor die systemen respectievelijk geldende rechtsinstrumenten te ondersteunen en om te voorzien in systeemoverschrijdende statistische gegevens en analytische verslagen voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit. Het CRRS ondersteunt tevens de doelstellingen van Prüm II.

2. eu-LISA zorgt op zijn technische locaties voor het opstellen, implementeren en hosten van het CRRS, met daarin de logisch per Unie-informatiesysteem gescheiden gegevens en statistieken als bedoeld in artikel 74 van Verordening (EU) 2018/1862 en artikel 32 van Verordening (EU) 2019/816. eu-LISA verzamelt tevens de gegevens en statistieken van de router als bedoeld in artikel 64, lid 1, van Verordening (EU) …/…* [deze verordening]. Toegang tot het CRRS wordt uitsluitend met het oog op het opstellen van rapporten en statistieken verleend aan de in artikel 74 van Verordening (EU) 2018/1862, artikel 32 van Verordening (EU) 2019/816 en artikel 64, lid 1, van Verordening (EU) …/…* [deze verordening] bedoelde instanties door middel van gecontroleerde en beveiligde toegang en specifieke gebruikersprofielen.”

HOOFDSTUK 9 - SLOTBEPALINGEN

Artikel 70 - Verslagen en statistieken

1. De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke instanties, de Commissie, Europol en eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken, de volgende gegevens inzake de router raadplegen:

a) het aantal zoekopdrachten van elke lidstaat en van Europol;

b) het aantal zoekopdrachten voor elke categorie gegevens;

c) het aantal zoekopdrachten voor elke aangesloten databank;

d) het aantal matches met de databank van elke lidstaat per gegevenscategorie;

e) het aantal matches met Europolgegevens per gegevenscategorie;

f) het aantal bevestigde matches naar aanleiding waarvan kerngegevens werden uitgewisseld; en

g) het aantal zoekopdrachten via de router in het gemeenschappelijk identiteitsregister.

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

2. De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke instanties, Europol en de Commissie mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken, de volgende gegevens inzake Eucaris raadplegen:

a) het aantal zoekopdrachten van elke lidstaat en van Europol;

b) het aantal zoekopdrachten voor elke aangesloten databank; en

c) het aantal matches met de databank van elke lidstaat.

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

3. De naar behoren gemachtigde personeelsleden van de bevoegde lidstatelijke instanties, de Commissie en eu-LISA mogen, uitsluitend met het oog op het opstellen van verslagen en statistieken, de volgende gegevens inzake Epris raadplegen:

a) het aantal zoekopdrachten van elke lidstaat en van Europol;

b) het aantal zoekopdrachten voor elk aangesloten register; en

c) het aantal matches met de databank van elke lidstaat.

Het mag niet mogelijk zijn om personen te identificeren op basis van de gegevens.

4. eu-LISA slaat de in die leden bedoelde gegevens op.

De gegevens stellen de in lid 1 bedoelde autoriteiten in staat op maat gesneden verslagen en statistieken te verkrijgen om de doeltreffendheid van de samenwerking op het gebied van rechtshandhaving te verbeteren.

Artikel 71 - Kosten

1. De kosten in verband met de instelling en werking van de router en Epris komen ten laste van de algemene begroting van de Unie.

2. De kosten in verband met de integratie van de bestaande nationale infrastructuren en de verbinding daarvan met de router en met Epris, alsmede de kosten in verband met het opzetten van nationale databanken voor gezichtsopnamen en nationale politieregisters voor het voorkomen, opsporen en onderzoeken van strafbare feiten komen ten laste van de algemene begroting van de Unie.

De volgende kosten komen niet in aanmerking:

a) de dienst voor projectbeheer van de lidstaten (vergaderingen, missies, kantoren);

b) het hosten van nationale IT-systemen (ruimte, implementatie, elektriciteit, koeling);

c) de exploitatie van nationale IT-systemen (exploitanten en contracten voor ondersteuning);

d) het ontwerp, de ontwikkeling, de implementatie, de exploitatie en het onderhoud van nationale communicatienetwerken.

3. Elke lidstaat draagt de eigen kosten in verband met de administratie, het gebruik en het onderhoud van de in artikel 19, lid 1, vermelde softwaretoepassing Eucaris.

4. Elke lidstaat draagt de eigen kosten in verband met de administratie, het gebruik en het onderhoud van zijn verbindingen met de router en met Epris.

Artikel 72 - Kennisgevingen

1. De lidstaten stellen eu-LISA in kennis van de in artikel 36 bedoelde instanties die gebruik kunnen maken van of toegang hebben tot de router.

2. eu-LISA stelt de Commissie in kennis van de succesvolle afsluiting van de in artikel 73, lid 1, punt b), bedoelde test.

3. De lidstaten stellen de Commissie, Europol en eu-LISA in kennis van de nationale contactpunten.

Artikel 73 - Ingebruikneming

1. De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop de lidstaten en de agentschappen van de Unie de router in gebruik mogen nemen, zodra aan de volgende voorwaarden is voldaan:

a) de in artikel 37, lid 6, bedoelde maatregelen zijn goedgekeurd;

b) eu-LISA heeft verklaard dat een uitgebreide test van de router, die eu-LISA samen met de lidstatelijke instanties en Europol heeft uitgevoerd, met succes is afgesloten.

In die uitvoeringshandeling stelt de Commissie ook de datum vast waarop de lidstaten en de agentschappen van de Unie de router in gebruik moeten nemen. Die datum valt één jaar na de uit hoofde van de eerste alinea bepaalde datum.

De Commissie kan de datum waarop de lidstaten en de agentschappen van de Unie de router in gebruik moeten nemen, met ten hoogste één jaar uitstellen, indien uit een beoordeling van de implementatie van de router is gebleken dat een dergelijk uitstel noodzakelijk is. Die uitvoeringshandeling wordt vastgesteld volgens de procedure van artikel 75, lid 2.

2. De Commissie stelt door middel van een uitvoeringshandeling de datum vast waarop de lidstaten en de agentschappen van de Unie Epris in gebruik mogen nemen, zodra aan de volgende voorwaarden is voldaan:

a) de in artikel 44, lid 7, bedoelde maatregelen zijn goedgekeurd;

b) Europol heeft verklaard dat een uitgebreide test van Epris, die Europol samen met de lidstatelijke instanties heeft uitgevoerd, met succes is afgesloten.

3. De Commissie stelt door middel van een uitvoeringshandeling de datum vast vanaf welke Europol, overeenkomstig artikel 49, uit derde landen afkomstige biometrische gegevens ter beschikking van de lidstaten moet stellen, zodra aan de volgende voorwaarden is voldaan:

a) de router is in gebruik genomen;

b) Europol heeft verklaard dat een uitgebreide test van de verbinding, die Europol samen met de lidstatelijke instanties en eu-LISA heeft uitgevoerd, met succes is afgesloten.

4. De Commissie stelt door middel van een uitvoeringshandeling de datum vast vanaf welke Europol, overeenkomstig artikel 50, toegang moet krijgen tot in de databanken van de lidstaten opgeslagen gegevens, zodra aan de volgende voorwaarden is voldaan:

a) de router is in gebruik genomen;

b) Europol heeft verklaard dat een uitgebreide test van de verbinding, die Europol samen met de lidstatelijke instanties en eu-LISA heeft uitgevoerd, met succes is afgesloten.

Artikel 74 - Overgangsbepalingen en afwijkingen

1. De lidstaten en de agentschappen van de Unie passen de artikelen 21 tot en met 24, artikel 47 en artikel 50, lid 6, toe met ingang van de overeenkomstig artikel 73, lid 1, eerste alinea, bepaalde datum, met uitzondering van de lidstaten die de router niet in gebruik hebben genomen.

2. De lidstaten en de agentschappen van de Unie passen de artikelen 25 tot en met 28 en artikel 50, lid 4, toe met ingang van de overeenkomstig artikel 73, lid 2, bepaalde datum.

3. De lidstaten en de agentschappen van de Unie passen artikel 49 toe met ingang van de overeenkomstig artikel 73, lid 3, bepaalde datum.

4. De lidstaten en de agentschappen van de Unie passen artikel 50, leden 1, 2, 3, 5 en 7, toe met ingang van de overeenkomstig artikel 73, lid 4, bepaalde datum.

Artikel 75 - Comitéprocedure

1. De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2. Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing. Indien door het comité geen advies wordt uitgebracht, neemt de Commissie de ontwerpuitvoeringshandeling niet aan en is artikel 5, lid 4, derde alinea, van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 76 - Adviesgroep

De taken van de adviesgroep inzake interoperabiliteit van eu-LISA strekken zich uit tot de router. De adviesgroep inzake interoperabiliteit levert aan eu-LISA expertise met betrekking tot de router, in het bijzonder bij de opstelling van het jaarlijkse werkprogramma en het jaarlijkse activiteitenverslag.

Artikel 77 - Praktische handleiding

De Commissie stelt, in nauwe samenwerking met de lidstaten, eu-LISA en andere betrokken agentschappen, een praktische handleiding ter beschikking voor de uitvoering en het beheer van deze verordening. De praktische handleiding bevat technische en operationele richtsnoeren, aanbevelingen en beste praktijken. De praktische handleiding wordt door de Commissie vastgesteld in de vorm van een aanbeveling.

Artikel 78 - Monitoring en evaluatie

1. eu-LISA en Europol zorgen ervoor dat er procedures voorhanden zijn om respectievelijk de ontwikkeling van de router en van Epris te monitoren in het licht van de doelstellingen op het gebied van planning en kosten, en de werking van de router en van Epris te monitoren in het licht van de doelstellingen op het gebied van de technische resultaten, de kosteneffectiviteit, de beveiliging en de kwaliteit van de dienstverlening.

2. Uiterlijk [een jaar na de inwerkingtreding van deze verordening], en vervolgens ieder jaar tijdens de ontwikkelingsfase van de router, brengt eu-LISA respectievelijk aan het Europees Parlement en de Raad verslag uit over de stand van zaken van de ontwikkeling van de router. In dat verslag wordt gedetailleerde informatie opgenomen over de gemaakte kosten en informatie over eventuele risico’s die van invloed kunnen zijn op de totale kosten die overeenkomstig artikel 71 ten laste komen van de algemene begroting van de Unie.

Wanneer de ontwikkeling van de router is afgerond, dient eu-LISA bij het Europees Parlement en de Raad een verslag in waarin uitvoerig wordt uiteengezet hoe de doelstellingen, met name die welke betrekking hebben op planning en kosten, zijn bereikt en waarin eventuele afwijkingen worden gerechtvaardigd.

3. Uiterlijk [een jaar na de inwerkingtreding van deze verordening] en vervolgens ieder jaar tijdens de ontwikkelingsfase van Epris brengt Europol aan het Europees Parlement en de Raad verslag uit over de stand van de voorbereidingen voor de uitvoering van deze verordening en over de stand van zaken bij de ontwikkeling van Epris, met inbegrip van gedetailleerde informatie over de gemaakte kosten en informatie over eventuele risico’s die van invloed kunnen zijn op de totale kosten die overeenkomstig artikel 71 ten laste komen van de algemene begroting van de Unie.

Wanneer de ontwikkeling van Epris is afgerond, dient Europol bij het Europees Parlement en de Raad een verslag in waarin uitvoerig wordt uiteengezet hoe de doelstellingen, met name die welke betrekking hebben op planning en kosten, zijn bereikt en waarin eventuele afwijkingen worden gerechtvaardigd.

4. Met het oog op het technisch onderhoud hebben eu-LISA en Europol toegang tot de vereiste informatie over de in de router respectievelijk in Epris uitgevoerde gegevensverwerkingsverrichtingen.

5. Twee jaar na de ingebruikneming van de router, en vervolgens om de twee jaar, brengt eu-LISA aan het Europees Parlement, de Raad en de Commissie verslag uit over de technische werking en de beveiliging van de router.

6. Twee jaar na de ingebruikneming van Epris, en vervolgens om de twee jaar, brengt Europol aan het Europees Parlement, de Raad en de Commissie verslag uit over de technische werking en de beveiliging van Epris.

7. Drie jaar na de ingebruikneming van de router en Epris zoals bedoeld in artikel 73, en vervolgens om de vier jaar, verricht de Commissie een algemene evaluatie van Prüm II, met inbegrip van:

a) een beoordeling van de toepassing van deze verordening;

b) een toetsing van de bereikte resultaten aan de doelstellingen van deze verordening en een beoordeling van de gevolgen ervan voor de grondrechten;

c) het effect, de effectiviteit en de efficiëntie van de activiteiten en werkmethoden van Prüm II in het licht van zijn doelstellingen, mandaat en taken;

d) een beoordeling van de beveiliging van Prüm II.

De Commissie zendt het verslag van de evaluatie toe aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten.

8. De lidstaten en Europol verstrekken eu-LISA en de Commissie de informatie die nodig is om de in de leden 2 en 5 bedoelde verslagen op te stellen. Deze informatie brengt de werkmethoden niet in gevaar en bevat geen informatie waardoor bronnen, namen van personeelsleden of onderzoeken van de aangewezen autoriteiten worden onthuld.

9. De lidstaten verstrekken Europol en de Commissie de informatie die nodig is om de in de leden 3 en 6 bedoelde verslagen op te stellen. Deze informatie brengt de werkmethoden niet in gevaar en bevat geen informatie waardoor bronnen, namen van personeelsleden of onderzoeken van de aangewezen autoriteiten worden onthuld.

10. De lidstaten, eu-LISA en Europol verstrekken de Commissie de informatie die nodig is om de in lid 7 bedoelde evaluaties op te stellen. De lidstaten delen de Commissie ook het aantal bevestigde matches met de databank van elke lidstaat per gegevenscategorie mee.

Artikel 79 - Inwerkingtreding en toepasselijkheid

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat overeenkomstig de Verdragen.