Artikelen bij COM(2022)729 - Verzameling en de doorgifte van vooraf te verstrekken passagiersgegevens (API) met het oog op het versterken en vergemakkelijken van de controles aan de buitengrenzen

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

dossier COM(2022)729 - Verzameling en de doorgifte van vooraf te verstrekken passagiersgegevens (API) met het oog op het versterken en ...
document COM(2022)729 NLEN
datum 13 december 2022


HOOFDSTUK 1

ALGEMENE BEPALINGEN

Inhoudsopgave

Artikel 1 - Onderwerp

Om de doeltreffendheid en de efficiëntie van de grenscontroles aan de buitengrenzen te versterken en te vergemakkelijken en om illegale immigratie te bestrijden, worden in deze verordening de regels vastgesteld inzake:

a) de verzameling, door de luchtvaartmaatschappijen, van vooraf te verstrekken passagiersgegevens (“API-gegevens”) over vluchten naar de Unie;

b) de doorgifte, door de luchtvaartmaatschappijen, van de API-gegevens aan de router;

c) de doorzending van de API-gegevens via de router naar de bevoegde grensautoriteiten.

Artikel 2 - Toepassingsgebied

Deze verordening is van toepassing op luchtvaartmaatschappijen die geregelde of niet-geregelde vluchten naar de Unie uitvoeren.

Artikel 3 - Definities

Voor de toepassing van deze verordening wordt verstaan onder:

a) “luchtvaartmaatschappij”: een luchtvervoersonderneming zoals gedefinieerd in artikel 3, punt 1, van Richtlijn (EU) 2016/681;

b) “grenscontroles”: de controles zoals gedefinieerd in artikel 2, punt 11, van Verordening (EU) 2016/399;

c) “vluchten naar de Unie”: vluchten die vanaf het grondgebied van een derde land of van een lidstaat die niet aan deze verordening deelneemt, zullen vertrekken en volgens plan zullen aankomen op het grondgebied van een lidstaat die aan deze verordening deelneemt;

d) “grensdoorlaatpost”: een doorlaatpost zoals gedefinieerd in artikel 2, punt 8, van Verordening (EU) 2016/399;

e) “geregelde vlucht”: een vlucht die volgens een vaste dienstregeling wordt uitgevoerd en waarvoor het grote publiek tickets kan kopen;

f) “niet-geregelde vlucht”: een vlucht die niet volgens een vaste dienstregeling wordt uitgevoerd en die niet noodzakelijk deel uitmaakt van een regelmatige of geregelde route;

g) “bevoegde grensautoriteit”: de autoriteit die door een lidstaat is belast met het uitvoeren van grenscontroles en die door die lidstaat is aangewezen en aangemeld overeenkomstig artikel 11, lid 2;

h) “passagier”: een persoon, met uitsluiting van de bemanningsleden, die met toestemming van de luchtvaartmaatschappij in een luchtvaartuig wordt vervoerd of zal worden vervoerd, waarbij die toestemming blijkt uit de vermelding van die persoon op de passagierslijst;

i) “bemanning”: alle personen, met uitsluiting van de passagiers, die zich tijdens de vlucht aan boord van een luchtvaartuig bevinden en die in het luchtvaartuig werkzaamheden uitvoeren of het luchtvaartuig besturen, met inbegrip van cockpit- en cabinepersoneel;

j) “reiziger”: een passagier of een bemanningslid;

k) “vooraf te verstrekken passagiersgegevens” of “API-gegevens”: de in artikel 4, lid 2, bedoelde reizigersgegevens en de in artikel 4, lid 3, bedoelde vluchtinformatie;

l) “passagiersinformatie-eenheid” of “PIE”: de in artikel 3, punt i), van Verordening (EU) [API-gegevens voor rechtshandhaving] bedoelde bevoegde autoriteit;

m) “de router”: de in artikel 9 bedoelde router;

n) “persoonsgegevens”: gegevens zoals gedefinieerd in artikel 4, punt 1, van Verordening (EU) 2016/679.

HOOFDSTUK 2

VERZAMELING EN DOORGIFTE VAN API-GEGEVENS

Artikel 4 - Door de luchtvaartmaatschappijen te verzamelen API-gegevens

1. De luchtvaartmaatschappijen verzamelen met betrekking tot de in artikel 2 bedoelde vluchten API-gegevens van reizigers, bestaande uit de in de leden 2 en 3 van dit artikel gespecificeerde reizigersgegevens en vluchtinformatie, teneinde deze API-gegevens overeenkomstig artikel 6 door te geven aan de router.

2. De API-gegevens omvatten de volgende reizigersgegevens over elke reiziger op de vlucht:

a) achternaam (familienaam), voornaam of voornamen;

b) geboortedatum, geslacht en nationaliteit;

c) het type en het nummer van het reisdocument en de drielettercode van het land dat het reisdocument heeft afgegeven;

d) de datum waarop de geldigheidstermijn van het reisdocument verstrijkt;

e) de status van de reiziger (passagier of bemanningslid);

f) het identificatienummer van de PNR (“Passenger Name Record”) dat door de luchtvaartmaatschappij wordt gebruikt om de passagier in haar informatiesysteem te lokaliseren (PNR-bestandslocatie);

g) informatie over de zitplaats, zoals het nummer van de stoel in het luchtvaartuig die aan de passagier is toegewezen, indien de luchtvaartmaatschappij deze informatie verzamelt;

h) informatie over de bagage, zoals het aantal ingecheckte koffers, indien de luchtvaartmaatschappij deze informatie verzamelt.

3. De API-gegevens omvatten ook de volgende vluchtinformatie over de vlucht van elke reiziger:

a) het vluchtidentificatienummer of, indien een dergelijk nummer niet bestaat, een andere duidelijke en geschikte indicator om de vlucht te identificeren;

b) in voorkomend geval, de grensdoorlaatpost van binnenkomst op het grondgebied van de lidstaat;

c) de code van de luchthaven van binnenkomst op het grondgebied van de lidstaat;

d) het eerste instappunt;

e) lokale datum en geschat lokaal tijdstip van vertrek;

f) lokale datum en geschat lokaal tijdstip van aankomst. 

Artikel 5 - Procedés voor de verzameling van API-gegevens

1. De luchtvaartmaatschappijen verzamelen de API-gegevens overeenkomstig artikel 4 op zodanige wijze dat de API-gegevens die zij overeenkomstig lid 6 doorgeven, juist, volledig en actueel zijn.

2. De luchtvaartmaatschappijen verzamelen de in artikel 4, lid 2, punten a) tot en met d), bedoelde API-gegevens met behulp van geautomatiseerde procedés voor de verzameling van de machineleesbare gegevens van het reisdocument van de betrokken reiziger. Zij doen dit overeenkomstig de in lid 4 bedoelde gedetailleerde technische voorschriften en operationele regels, indien dergelijke regels zijn vastgesteld en van toepassing zijn.

Als het reisdocument geen machineleesbare gegevens bevat en er daarom geen gebruik kan worden gemaakt van een dergelijk geautomatiseerd procedé, verzamelen de luchtvaartmaatschappijen die gegevens handmatig en op zulke wijze dat lid 1 in acht wordt genomen.

3. De geautomatiseerde procedés die de luchtvaartmaatschappijen voor de verzameling van API-gegevens op grond van deze verordening gebruiken, moeten betrouwbaar, beveiligd en actueel zijn.

4. De Commissie is bevoegd overeenkomstig artikel 37 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met gedetailleerde technische voorschriften en operationele regels voor het verzamelen van de in artikel 4, lid 2, punten a) tot en met d), bedoelde API-gegevens met behulp van geautomatiseerde procedés overeenkomstig de leden 2 en 3 van het onderhavige artikel.

5. Luchtvaartmaatschappijen die geautomatiseerde procedés gebruiken om de in artikel 3, lid 1, van Richtlijn 2004/82/EG bedoelde informatie te verzamelen, hebben het recht om dat te doen aan de hand van de in lid 4 bedoelde technische voorschriften betreffende dat gebruik, overeenkomstig die richtlijn.

Artikel 6 - Verplichtingen van de luchtvaartmaatschappijen betreffende de doorgifte van API-gegevens

1. De luchtvaartmaatschappijen geven de API-gegevens elektronisch door aan de router. Zij doen dit overeenkomstig de in lid 3 bedoelde gedetailleerde regels, indien dergelijke regels zijn vastgesteld en van toepassing zijn.

2. De luchtvaartmaatschappijen geven de API-gegevens door zowel bij het inchecken als onmiddellijk na beëindiging van het inchecken, dat wil zeggen wanneer de passagiers aan boord zijn gegaan van het vliegtuig dat klaar staat voor vertrek en er geen passagiers meer aan of van boord kunnen gaan.

3. De Commissie is bevoegd overeenkomstig artikel 37 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde regels inzake de gemeenschappelijke protocollen en ondersteunde dataformaten voor de doorgifte van API-gegevens aan de router als bedoeld in lid 1.

4. Wanneer een luchtvaartmaatschappij, na de gegevens aan de router te hebben doorgegeven, merkt dat de API-gegevens onjuist, onvolledig of niet meer actueel zijn of onrechtmatig zijn verwerkt, of dat de gegevens geen API-gegevens zijn, stelt zij het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) daarvan onmiddellijk in kennis. Bij ontvangst van deze informatie stelt eu-LISA de bevoegde grensautoriteit die de via de router doorgezonden API-gegevens heeft ontvangen, onmiddellijk van die informatie in kennis.

Artikel 7 - Verwerking van de ontvangen API-gegevens

De bevoegde grensautoriteiten verwerken de API-gegevens die overeenkomstig deze verordening aan hen zijn doorgegeven, uitsluitend voor de in artikel 1 genoemde doeleinden.

Artikel 8 - Opslag en wissing van API-gegevens

1. De luchtvaartmaatschappijen slaan de passagiersgerelateerde API-gegevens die zij krachtens artikel 4 hebben verzameld, op gedurende een periode van 48 uur vanaf het tijdstip van vertrek van de vlucht. Zij wissen die API-gegevens onmiddellijk en definitief zodra deze termijn verstrijkt.

2. De bevoegde grensautoriteiten slaan de passagiersgerelateerde API-gegevens die zij krachtens artikel 11 via de router hebben ontvangen, op gedurende een periode van 48 uur vanaf het tijdstip van vertrek van de vlucht. Zij wissen die API-gegevens onmiddellijk en definitief zodra deze termijn verstrijkt.

3. Wanneer een luchtvaartmaatschappij of bevoegde grensautoriteit merkt dat de gegevens die zij uit hoofde van deze verordening heeft verzameld, doorgegeven of ontvangen, onjuist, onvolledig of niet meer actueel zijn of onrechtmatig zijn verwerkt, of dat de gegevens geen API-gegevens zijn, zorgt zij ervoor dat die API-gegevens onmiddellijk worden gecorrigeerd, aangevuld of bijgewerkt of definitief worden gewist. Dit doet geen afbreuk aan de mogelijkheid die luchtvaartmaatschappijen hebben om de gegevens te bewaren en te gebruiken wanneer dat voor de normale bedrijfsvoering overeenkomstig de toepasselijke wetgeving nodig is.

HOOFDSTUK 3

BEPALINGEN BETREFFENDE DE ROUTER

Artikel 9 - De router

1. Teneinde het voor de luchtvaartmaatschappijen gemakkelijker te maken API-gegevens aan de bevoegde grensautoriteiten en aan de PIE’s door te geven overeenkomstig deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving], wordt door eu-LISA overeenkomstig de artikelen 22 en 23 een router ontworpen, ontwikkeld, gehost en technisch beheerd.

2. De router bestaat uit:

a) een centrale infrastructuur, met inbegrip van een reeks technische componenten voor de doorzending van de API-gegevens;

b) een beveiligd communicatiekanaal tussen de centrale infrastructuur en de bevoegde grensautoriteiten en de PIE’s, en een beveiligd communicatiekanaal tussen de centrale infrastructuur en de luchtvaartmaatschappijen, bestemd voor de doorgifte van de API-gegevens en voor alle daarmee verband houdende communicatie.

3. Onverminderd artikel 10 van deze verordening worden voor de router, voor zover dat technisch mogelijk is, de technische componenten, met inbegrip van hardware- en softwarecomponenten, gebruikt en hergebruikt van de in artikel 13 van Verordening (EU) 2017/2226 van het Europees Parlement en de Raad 48 bedoelde webdienst, het in artikel 6, lid 2, punt k), van Verordening (EU) 2018/1240 bedoelde toegangsportaal voor vervoerders en het in artikel 2 bis, punt h), van Verordening (EG) nr. 767/2008 van het Europees Parlement en de Raad 49 bedoelde toegangsportaal voor vervoerders.

Artikel 10 - Exclusief gebruik van de router

De router wordt alleen gebruikt door luchtvaartmaatschappijen, voor het doorgeven van de API-gegevens, en door bevoegde grensautoriteiten en PIE’s, voor het ontvangen van de API-gegevens, overeenkomstig respectievelijk deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving]. 

Artikel 11 - Doorzending van API-gegevens via de router naar de bevoegde grensautoriteiten

1. De router zendt de API-gegevens die krachtens artikel 6 aan de router zijn doorgegeven, onmiddellijk en op geautomatiseerde wijze door naar de bevoegde grensautoriteiten van de lidstaat als bedoeld in artikel 4, lid 3, punt c). De router doet dit overeenkomstig de in lid 4 van dit artikel bedoelde gedetailleerde regels, indien dergelijke regels zijn vastgesteld en van toepassing zijn.

Met het oog op deze doorzending wordt door eu-LISA een concordantietabel van de verschillende luchthavens van herkomst en bestemming en de landen waartoe deze luchthavens behoren, opgesteld en bijgehouden.

2. De lidstaten wijzen de bevoegde grensautoriteiten aan die gemachtigd zijn om de API-gegevens te ontvangen die overeenkomstig deze verordening via de router naar hen worden doorgezonden. Zij stellen eu-LISA en de Commissie uiterlijk op de in artikel 39, tweede alinea, bedoelde datum van toepassing van deze verordening in kennis van de naam en de contactgegevens van deze bevoegde grensautoriteiten en werken de meegedeelde informatie zo nodig bij.

De Commissie stelt op basis van die kennisgevingen en bijwerkingen een lijst van de aangemelde bevoegde grensautoriteiten, met inbegrip van hun contactgegevens, op en maakt deze lijst openbaar.

3. De lidstaten zorgen ervoor dat alleen de naar behoren gemachtigde personeelsleden van de bevoegde grensautoriteiten toegang hebben tot de API-gegevens die via de router naar hen worden doorgezonden. Zij stellen de daartoe vereiste regels vast. Die regels omvatten regels over het opstellen en regelmatig bijwerken van een lijst van deze personeelsleden en hun profielen.

4. De Commissie is bevoegd overeenkomstig artikel 37 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde technische en procedurele regels inzake de doorzending van API-gegevens via de router als bedoeld in lid 1.

Artikel 12 - Wissing van API-gegevens van de router

De API-gegevens die op grond van deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving] aan de router worden doorgegeven, worden alleen op de router opgeslagen voor zover dat nodig is om de doorzending naar de betrokken bevoegde grensautoriteiten of PIE’s, naargelang het geval, overeenkomstig die verordeningen te voltooien, en worden in de twee volgende situaties onmiddellijk, definitief en op geautomatiseerde wijze van de router gewist:

a) als de doorzending van de API-gegevens naar de betrokken bevoegde grensautoriteiten of PIE’s, naargelang het geval, is voltooid;

b) met betrekking tot Verordening (EU) [API-gegevens voor rechtshandhaving], als de API-gegevens betrekking hebben op andere vluchten binnen de EU dan die welke zijn opgenomen in de in artikel 5, lid 2, van die verordening bedoelde lijsten.

Artikel 13 - Bijhouden van logbestanden

1. eu-LISA houdt logbestanden bij van alle verwerkingsactiviteiten die verband houden met de doorgifte van API-gegevens via de router uit hoofde van deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving]. In deze logbestanden wordt het volgende vermeld:

a) de luchtvaartmaatschappij die de API-gegevens aan de router heeft doorgegeven;

b) de bevoegde grensautoriteiten en PIE’s waarnaar de API-gegevens via de router zijn doorgezonden;

c) de datum, het tijdstip en de plaats van de in de punten a) en b) bedoelde doorgifte;

d) voor het onderhoud van de router vereiste toegang van eu-LISA-personeel, als bedoeld in artikel 23, lid 3;

e) alle andere gegevens met betrekking tot de verwerkingsactiviteiten die nodig zijn om de beveiliging en de integriteit van de API-gegevens en de rechtmatigheid van die verwerkingsactiviteiten te monitoren.

Deze logbestanden bevatten geen andere persoonsgegevens dan de in de eerste alinea, punt d), bedoelde informatie ter identificatie van het betrokken personeelslid van eu-LISA.

2. De luchtvaartmaatschappijen leggen logbestanden aan van alle verwerkingsactiviteiten die in het kader van deze verordening met behulp van de in artikel 5, lid 2, bedoelde geautomatiseerde procedés worden uitgevoerd. Deze logbestanden bevatten de datum, het tijdstip en de plaats van doorgifte van de API-gegevens.

3. De in de leden 1 en 2 bedoelde logbestanden worden uitsluitend gebruikt om de beveiliging en de integriteit van de API-gegevens en de rechtmatigheid van de verwerking te waarborgen, met name wat betreft de naleving van de voorschriften van deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving], met inbegrip van sanctieprocedures voor inbreuken op die voorschriften overeenkomstig de artikelen 29 en 30 van deze verordening.

4. eu-LISA en de luchtvaartmaatschappijen nemen passende maatregelen om de logbestanden die zij op grond van de leden 1 en 2 hebben aangelegd, te beschermen tegen ongeoorloofde toegang en andere beveiligingsrisico’s.

5. eu-LISA en de luchtvaartmaatschappijen bewaren de logbestanden die zij op grond van de leden 1 en 2 hebben aangelegd, gedurende één jaar vanaf het moment waarop de bestanden zijn aangelegd. Zij wissen de logbestanden onmiddellijk en definitief zodra deze termijn verstrijkt.

Indien de logbestanden echter nodig zijn voor procedures met het oog op het monitoren of waarborgen van de beveiliging en de integriteit van de API-gegevens of de rechtmatigheid van de verwerkingsactiviteiten overeenkomstig lid 2, en die procedures reeds zijn gestart voor het verstrijken van de in de eerste alinea genoemde termijn, mogen eu-LISA en de luchtvaartmaatschappijen de logbestanden zo lang bewaren als nodig is voor die procedures. In dat geval wissen zij de logbestanden zodra deze niet langer nodig zijn voor die procedures.

Artikel 14 - Maatregelen ingeval het gebruik van de router technisch onmogelijk is

1. Wanneer het vanwege een storing van de router technisch onmogelijk is de router te gebruiken om API-gegevens door te zenden, stelt eu-LISA de luchtvaartmaatschappijen en de bevoegde grensautoriteiten daarvan onmiddellijk op geautomatiseerde wijze in kennis. In dat geval neemt eu-LISA onmiddellijk maatregelen om de technische storing die het gebruik van de router belet, te verhelpen en stelt het, wanneer de storing verholpen is, de betrokken partijen daarvan onmiddellijk in kennis.

Artikel 6, lid 1, is gedurende de tijd tussen deze kennisgevingen niet van toepassing, voor zover de technische storing de doorgifte van API-gegevens aan de router belet. Voor zover dat het geval is, zijn gedurende die tijd artikel 4, lid 1, en artikel 8, lid 1, evenmin van toepassing op de betrokken API-gegevens.

2. Wanneer het vanwege een storing van de in artikel 20 bedoelde systemen of infrastructuur van een lidstaat technisch onmogelijk is de router te gebruiken om API-gegevens door te zenden, stellen de bevoegde grensautoriteiten van die lidstaat de luchtvaartmaatschappijen, de bevoegde autoriteiten van de andere lidstaten, eu-LISA en de Commissie daarvan onmiddellijk op geautomatiseerde wijze in kennis. In dat geval neemt die lidstaat onmiddellijk maatregelen om de technische storing die het gebruik van de router belet, te verhelpen en stelt hij, wanneer de storing verholpen is, de betrokken partijen daarvan onmiddellijk in kennis.

Artikel 6, lid 1, is gedurende de tijd tussen deze kennisgevingen niet van toepassing, voor zover de technische storing de doorgifte van API-gegevens aan de router belet. Voor zover dat het geval is, zijn gedurende die tijd artikel 4, lid 1, en artikel 8, lid 1, evenmin van toepassing op de betrokken API-gegevens.

3. Wanneer het vanwege een storing van de in artikel 21 bedoelde systemen of infrastructuur van een luchtvaartmaatschappij technisch onmogelijk is de router te gebruiken om API-gegevens door te zenden, stelt die luchtvaartmaatschappij de bevoegde grensautoriteiten, eu-LISA en de Commissie daarvan onmiddellijk op geautomatiseerde wijze in kennis. In dat geval neemt de luchtvaartmaatschappij onmiddellijk maatregelen om de technische storing die het gebruik van de router belet, te verhelpen en stelt zij, wanneer de storing verholpen is, de betrokken partijen daarvan onmiddellijk in kennis.

Artikel 6, lid 1, is gedurende de tijd tussen deze kennisgevingen niet van toepassing, voor zover de technische storing de doorgifte van API-gegevens aan de router belet. Voor zover dat het geval is, zijn gedurende die tijd artikel 4, lid 1, en artikel 8, lid 1, evenmin van toepassing op de betrokken API-gegevens.

Wanneer de technische storing die het gebruik van de router belet, is verholpen, dient de betrokken luchtvaartmaatschappij bij de in artikel 29 bedoelde bevoegde nationale toezichthoudende autoriteit onverwijld een verslag in met alle nodige details over de technische storing, met inbegrip van de redenen voor de storing, de omvang en de gevolgen van de storing en de maatregelen die zijn genomen om de storing te verhelpen.

HOOFDSTUK 4

SPECIFIEKE BEPALINGEN BETREFFENDE DE BESCHERMING VAN PERSOONSGEGEVENS

Artikel 15 - Verwerkingsverantwoordelijken voor persoonsgegevens

De bevoegde grensautoriteiten zijn verwerkingsverantwoordelijken in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 voor de verwerking, via de router, van API-gegevens die persoonsgegevens zijn, ook wat de doorzending van die gegevens via de router en de opslag om technische redenen van die gegevens op de router betreft, alsook voor de door hen uitgevoerde verwerking van API-gegevens die persoonsgegevens zijn, als bedoeld in artikel 7 van deze verordening.

De luchtvaartmaatschappijen zijn verwerkingsverantwoordelijken in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 voor de verwerking van API-gegevens die persoonsgegevens zijn, met betrekking tot de verzameling van die gegevens en de doorgifte ervan aan de router uit hoofde van deze verordening.

Artikel 16 - Verwerker voor persoonsgegevens

eu-LISA is de verwerker in de zin van artikel 3, punt 12, van Verordening (EU) 2018/1725 voor de verwerking, via de router, van API-gegevens die persoonsgegevens zijn, overeenkomstig deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving].

Artikel 17 - Beveiliging

1. eu-LISA zorgt voor de beveiliging van de API-gegevens die het op grond van deze verordening en Verordening (EU) [API-gegevens voorrechtshandhaving] verwerkt, in het bijzonder API-gegevens die persoonsgegevens zijn. De bevoegde grensautoriteiten en de luchtvaartmaatschappijen zorgen voor de beveiliging van de API-gegevens die ze op grond van deze verordening verwerken, in het bijzonder API-gegevens die persoonsgegevens zijn. eu-LISA, de bevoegde grensautoriteiten en de luchtvaartmaatschappijen werken, overeenkomstig hun respectieve verantwoordelijkheden en met inachtneming van het Unierecht, met elkaar samen om die beveiliging te waarborgen.

2. eu-LISA neemt met name de nodige maatregelen om de beveiliging van de router en de via de router doorgezonden API-gegevens, met name API-gegevens die persoonsgegevens zijn, te waarborgen, onder meer door een beveiligingsplan, een bedrijfscontinuïteitsplan en een uitwijkplan op te stellen, uit te voeren en regelmatig te actualiseren, teneinde:

a) de router fysiek te beschermen, onder meer met noodplannen voor de bescherming van kritieke componenten van de router;

b) onrechtmatige verwerking van de API-gegevens, met inbegrip van ongeoorloofde toegang tot deze gegevens en het kopiëren, wijzigen of verwijderen ervan, met name door middel van passende versleutelingstechnieken te voorkomen, zowel tijdens de doorgifte van de API-gegevens aan en via de router als tijdens de eventuele opslag van de API-gegevens op de router, indien die opslag nodig is om de doorzending te voltooien;

c) ervoor te zorgen dat kan worden geverifieerd en vastgesteld naar welke bevoegde grensautoriteiten of PIE’s de API-gegevens via de router worden doorgezonden;

d) eventuele functionele storingen in de router correct te signaleren bij de raad van bestuur van eu-LISA;

e) de doeltreffendheid van de op grond van dit artikel en Verordening (EU) 2018/1725 vereiste beveiligingsmaatregelen te monitoren en deze beveiligingsmaatregelen te beoordelen en te actualiseren wanneer dat in het licht van technologische of operationele ontwikkelingen nodig is.

De in de eerste alinea van dit lid bedoelde maatregelen laten artikel 33 van Verordening (EU) 2018/1725 en artikel 32 van Verordening (EU) 2016/679 onverlet.

Artikel 18 - Interne monitoring

De luchtvaartmaatschappijen en de bevoegde autoriteiten monitoren, onder meer door frequente verificatie van de in artikel 13 bedoelde logbestanden, of zij de op hen rustende verplichtingen van deze verordening nakomen, met name wat betreft de verwerking van API-gegevens die persoonsgegevens zijn.

Artikel 19 - Audits inzake de bescherming van persoonsgegevens

1. De in artikel 51 van Verordening (EU) 2016/679 bedoelde bevoegde nationale gegevensbeschermingsautoriteiten zorgen ervoor dat ten minste om de vier jaar overeenkomstig de desbetreffende internationale auditnormen een audit wordt uitgevoerd van de verwerkingsactiviteiten die de bevoegde grensautoriteiten met het oog op de toepassing van deze verordening verrichten met betrekking tot API-gegevens die persoonsgegevens zijn.

2. De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat ten minste eenmaal per jaar overeenkomstig de desbetreffende internationale auditnormen een audit wordt uitgevoerd van de verwerkingsactiviteiten die eu-LISA met het oog op de toepassing van deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving] verricht met betrekking tot API-gegevens die persoonsgegevens zijn. Een verslag over deze audit wordt toegezonden aan het Europees Parlement, de Raad, de Commissie, de lidstaten en eu-LISA. Voordat de verslagen worden aangenomen, wordt eu-LISA in de gelegenheid gesteld opmerkingen te maken.

3. Met betrekking tot de in lid 2 bedoelde verwerkingsactiviteiten krijgt de Europese Toezichthouder voor gegevensbescherming van eu-LISA, op verzoek, informatie, alsook toegang tot alle documenten waarom hij verzoekt, toegang tot de in artikel 13, lid 1, bedoelde logbestanden, en te allen tijde toegang tot alle gebouwen en terreinen van eu-LISA.


HOOFDSTUK 5

VERBINDINGEN EN AANVULLENDE BEPALINGEN BETREFFENDE DE ROUTER

Artikel 20 - Verbindingen van de bevoegde grensautoriteiten met de router

1. De lidstaten zorgen ervoor dat hun bevoegde grensautoriteiten verbonden zijn met de router. Zij zorgen ervoor dat de systemen en infrastructuur van de bevoegde grensautoriteiten die bestemd zijn voor de ontvangst van de op grond van deze verordening doorgegeven API-gegevens, worden geïntegreerd met de router.

De lidstaten zorgen ervoor dat de verbinding en de integratie met de router van dien aard zijn dat hun bevoegde grensautoriteiten de API-gegevens kunnen ontvangen en verder verwerken en alle daarmee verband houdende communicatie op een rechtmatige, beveiligde, doeltreffende en snelle wijze kunnen uitwisselen.

2. De Commissie is bevoegd overeenkomstig artikel 37 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde regels inzake de verbinding en integratie met de router als bedoeld in lid 1.

Artikel 21 - Verbindingen van de luchtvaartmaatschappijen met de router

1. De luchtvaartmaatschappijen zorgen ervoor dat zij verbonden zijn met de router. Zij zorgen ervoor dat hun systemen en infrastructuur voor de doorgifte van API-gegevens aan de router op grond van deze verordening, worden geïntegreerd met de router.

De luchtvaartmaatschappijen zorgen ervoor dat de verbinding en de integratie met de router van dien aard zijn dat zij de API-gegevens kunnen doorgeven en alle daarmee verband houdende communicatie op een rechtmatige, beveiligde, doeltreffende en snelle wijze kunnen uitwisselen.

2. De Commissie is bevoegd overeenkomstig artikel 37 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde regels inzake de verbinding en integratie met de router als bedoeld in lid 1.

Artikel 22 - Taken van eu-LISA met betrekking tot het ontwerp en de ontwikkeling van de router

1. eu-LISA is verantwoordelijk voor het ontwerp van de fysieke architectuur van de router, met inbegrip van het vaststellen van de technische specificaties.

2. eu-LISA is verantwoordelijk voor de ontwikkeling van de router , met inbegrip van alle technische aanpassingen die nodig zijn voor de werking van de router.

De ontwikkeling van de router omvat de uitwerking en implementatie van de technische specificaties, het testen, het algemeen projectbeheer en het coördineren van de ontwikkelingsfase.

3. eu-LISA zorgt ervoor dat de router zodanig wordt ontworpen en ontwikkeld dat de router de in deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving] gespecificeerde functionaliteiten heeft en dat deze in gebruik wordt genomen zo spoedig mogelijk nadat de Commissie de in artikel 5, lid 4, artikel 6, lid 3, artikel 11, lid 4, artikel 20, lid 2, en artikel 21, lid 2, bedoelde gedelegeerde handelingen heeft vastgesteld.

4. Als eu-LISA van oordeel is dat de ontwikkelingsfase is voltooid, voert het, in samenwerking met de bevoegde grensautoriteiten, de PIE’s, de andere relevante autoriteiten van de lidstaten en de luchtvaartmaatschappijen, zonder onnodige vertraging een uitgebreide test van de router uit en stelt het de Commissie in kennis van het resultaat van die test.

Artikel 23 - Taken van eu-LISA met betrekking tot het hosten en het technisch beheer van de router

1. eu-LISA host de router op zijn technische locaties.

2. eu-LISA is verantwoordelijk voor het technisch beheer van de router, met inbegrip van het onderhoud en de technische ontwikkeling ervan, en zorgt er daarbij voor dat de API-gegevens beveiligd, doeltreffend en snel via de router worden doorgezonden, in overeenstemming met deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving].

Het technisch beheer van de router bestaat uit de uitvoering van alle taken en technische oplossingen die nodig zijn om de router zeven dagen per week en 24 uur per dag ononderbroken naar behoren te laten functioneren overeenkomstig deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving]. Het omvat de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een toereikende technische kwaliteit van de werking van de router, in het bijzonder wat betreft de beschikbaarheid, juistheid en betrouwbaarheid van de doorzending van de API-gegevens, in overeenstemming met de technische specificaties en, voor zover mogelijk, met de operationele behoeften van de bevoegde grensautoriteiten, de PIE’s en de luchtvaartmaatschappijen.

3. eu-LISA heeft geen toegang tot de API-gegevens die via de router worden doorgezonden. Strikt voor het onderhoud van de router vereiste toegang door eu-LISA valt evenwel niet onder dit verbod.

4. Onverminderd artikel 3 van dit artikel en artikel 17 van Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad 50 past eu-LISA passende voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op zijn personeelsleden die moeten werken met de via de router doorgezonden API-gegevens. Deze geheimhoudingsplicht blijft ook gelden nadat deze personeelsleden hun functie of dienstverband hebben beëindigd of hun werkzaamheden hebben stopgezet.

Artikel 24 - Ondersteunende taken van eu-LISA met betrekking tot de router

1. eu-LISA geeft op verzoek opleiding over het technische gebruik van de router aan bevoegde grensautoriteiten, PIE’s, andere relevante autoriteiten van de lidstaten en luchtvaartmaatschappijen.

2. eu-LISA biedt ondersteuning aan de bevoegde grensautoriteiten en de PIE’s met betrekking tot de ontvangst van de API-gegevens via de router overeenkomstig deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving], met name wat betreft de toepassing van de artikelen 11 en 20 van deze verordening en de artikelen 5 en 10 van Verordening (EU) [API-gegevens voor rechtshandhaving].

Artikel 25 - Kosten van eu-LISA en van de lidstaten

1. De kosten die eu-LISA maakt in verband met het ontwerpen, ontwikkelen, hosten en technisch beheren van de router uit hoofde van deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving] komen ten laste van de algemene begroting van de Unie.

2. De kosten die de lidstaten maken in verband met de in artikel 20 bedoelde verbindingen en integratie met de router, komen ten laste van de algemene begroting van de Unie.

De volgende kosten vormen evenwel een uitzondering en worden gedragen door de lidstaten:

a) kosten voor de dienst voor projectbeheer, met inbegrip van kosten voor vergaderingen, dienstreizen en kantoren;

b) kosten voor het hosten van nationale informatietechnologiesystemen (IT-systemen), met inbegrip van kosten voor ruimte, implementatie, elektriciteit en koeling;

c) kosten voor de exploitatie van nationale IT-systemen, met inbegrip van kosten voor operatoren en contracten voor ondersteuning;

d) kosten voor het ontwerp, de ontwikkeling, de implementatie, de exploitatie en het onderhoud van nationale communicatienetwerken.

3. De lidstaten dragen ook de kosten in verband met de administratie, het gebruik en het onderhoud van hun verbindingen en de integratie met de router.

Artikel 26 - Aansprakelijkheid voor de router

Indien de router schade oploopt omdat een lidstaat of een luchtvaartmaatschappij de uit deze verordening voortvloeiende verplichtingen niet is nagekomen, is die lidstaat of die luchtvaartmaatschappij aansprakelijk voor die schade, tenzij en voor zover eu-LISA heeft nagelaten redelijke stappen te ondernemen om het optreden van de schade te voorkomen of de omvang ervan zo veel mogelijk te beperken.

Artikel 27 - Ingebruikneming van de router

Zodra eu-LISA de Commissie heeft meegedeeld dat de in artikel 22, lid 4, bedoelde uitgebreide test van de router met succes is voltooid, stelt de Commissie zonder onnodige vertraging aan de hand van een uitvoeringshandeling vast op welke datum de router in gebruik wordt genomen. Die uitvoeringshandeling wordt volgens de in artikel 36, lid 2, bedoelde onderzoeksprocedure vastgesteld.

De Commissie stelt de in de eerste alinea bedoelde datum vast uiterlijk 30 dagen na de vaststelling van die uitvoeringshandeling.

Artikel 28 - Vrijwillig gebruik van de router overeenkomstig Richtlijn 2004/81/EG

1. Luchtvaartmaatschappijen hebben het recht de router te gebruiken om de in artikel 3, lid 1, van Richtlijn 2004/82/EG bedoelde informatie overeenkomstig die richtlijn te verstrekken aan een of meer van de in die bepaling bedoelde bevoegde autoriteiten, op voorwaarde dat de betrokken autoriteit met dat gebruik heeft ingestemd en met ingang van een door die bevoegde autoriteit vastgestelde passende datum. Deze autoriteit geeft haar toestemming pas nadat zij heeft vastgesteld dat, met name gezien haar eigen verbinding met de router en die van de betrokken luchtvaartmaatschappij, de informatie op een rechtmatige, beveiligde, doeltreffende en snelle wijze kan worden verstrekt.

2. Wanneer een luchtvaartmaatschappij de router overeenkomstig lid 1 in gebruik neemt, blijft zij de router gebruiken voor het verstrekken van deze informatie aan de betrokken bevoegde autoriteit, tot de in artikel 39, tweede alinea, bedoelde datum van toepassing van deze verordening. Dat gebruik wordt echter met ingang van een door die autoriteit bepaalde, passende datum stopgezet wanneer die autoriteit de stopzetting op objectieve gronden noodzakelijk acht en zij de luchtvaartmaatschappij daarvan in kennis heeft gesteld.

3. De betrokken bevoegde autoriteit:

a) raadpleegt eu-LISA alvorens in te stemmen met het vrijwillige gebruik van de router overeenkomstig lid 1;

b) biedt de betrokken luchtvaartmaatschappij, behalve in naar behoren gemotiveerde spoedeisende situaties, de kans om opmerkingen over het voornemen van de autoriteit tot stopzetting van dat gebruik overeenkomstig lid 2 te maken en, in voorkomend geval, om eu-LISA hierover te raadplegen;

c) stelt eu-LISA en de Commissie onmiddellijk in kennis van elk vrijwillig gebruik waarmee ze heeft ingestemd en van elke eventuele stopzetting van dat gebruik, en verstrekt daarbij alle nodige informatie, met inbegrip van, al naargelang het geval, de datum waarop het gebruik is begonnen, de datum van stopzetting en de redenen voor de stopzetting, in voorkomend geval.


HOOFDSTUK 6

TOEZICHT, SANCTIES, STATISTIEKEN EN HANDLEIDING

Artikel 29 - Nationale toezichthoudende autoriteit

1. De lidstaten wijzen een of meer nationale toezichthoudende autoriteiten aan die belast worden met de taak toezicht te houden op de wijze waarop de luchtvaartmaatschappijen de bepalingen van deze verordening toepassen op hun grondgebied, en de naleving van die bepalingen te waarborgen.

2. De lidstaten zorgen ervoor dat de nationale toezichthoudende autoriteiten over de nodige middelen en de nodige onderzoeks- en handhavingsbevoegdheden beschikken om hun taken uit hoofde van deze verordening uit te voeren en om in dat verband, in voorkomend geval, ook de in artikel 30 bedoelde sancties op te leggen. Zij stellen gedetailleerde regels over de uitvoering van die taken en de uitoefening van die bevoegdheden vast en zorgen ervoor dat de uitvoering en de uitoefening doeltreffend, evenredig en afschrikkend zijn en onderworpen zijn aan waarborgen die in overeenstemming zijn met de door het Unierecht beschermde grondrechten.

3. Uiterlijk op de in artikel 21, tweede alinea, bedoelde datum van toepassing van deze verordening stellen de lidstaten de Commissie in kennis van de naam en de contactgegevens van de autoriteiten die zij op grond van lid 1 hebben aangewezen, alsook van de gedetailleerde regels die zij op grond van lid 2 hebben vastgesteld. Zij stellen de Commissie onverwijld in kennis van latere veranderingen of wijzigingen in dat verband.

4. Dit artikel doet geen afbreuk aan de bevoegdheden van de toezichthoudende autoriteiten als bedoeld in artikel 51 van Verordening (EU) 2016/679.

Artikel 30 - Sancties

De lidstaten stellen voorschriften vast ten aanzien van de sancties die van toepassing zijn op inbreuken op deze verordening en nemen alle nodige maatregelen om ervoor te zorgen dat deze sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.

De lidstaten stellen de Commissie uiterlijk op de in artikel 39, tweede alinea, bedoelde datum van toepassing van deze verordening in kennis van deze voorschriften en maatregelen en stellen haar onverwijld in kennis van latere wijzigingen.

Artikel 31 - Statistieken

1. eu-LISA publiceert elk kwartaal statistieken over de werking van de router, met name over het aantal reizigers, hun nationaliteit en hun land van vertrek, en meer bepaald over reizigers die aan boord van het luchtvaartuig zijn gegaan met onjuiste, onvolledige of niet bijgewerkte API-gegevens, met een niet erkend reisdocument, zonder geldig visum of zonder geldige reisautorisatie, of die als verblijfsduuroverschrijder gemeld staan.

2. eu-LISA slaat de dagelijkse statistieken op in het bij artikel 39 van Verordening (EU) 2019/817 ingestelde centrale register voor rapportage en statistieken.

3. Aan het eind van ieder jaar verzamelt eu-LISA de statistische gegevens in een jaarverslag voor dat jaar. eu-LISA publiceert dat jaarverslag en zendt het toe aan het Europees Parlement, de Raad, de Commissie, de Europese Toezichthouder voor gegevensbescherming, het Europees Grens- en kustwachtagentschap en de in artikel 29 bedoelde nationale toezichthoudende autoriteiten.

4. Op verzoek van de Commissie verstrekt eu-LISA de Commissie statistieken over specifieke aspecten in verband met de uitvoering van deze verordening en Verordening (EU) [API-gegevens voor rechtshandhaving], alsook de in lid 3 bedoelde statistieken.

5. eu-LISA heeft, uitsluitend met het oog op de in artikel 38 bedoelde rapportage en met het oog op het genereren van statistieken overeenkomstig dit artikel, recht op toegang tot de volgende, via de router doorgezonden API-gegevens, mits deze toegang het niet mogelijk maakt de betrokken reizigers te identificeren:

a) de status van de reiziger (passagier of bemanningslid);

b) nationaliteit, geslacht en geboortejaar van de reiziger;

c) de instapdatum, het eerste instappunt en de datum en luchthaven van binnenkomst op het grondgebied van een lidstaat;

d) het type reisdocument, de drielettercode van het land dat het reisdocument heeft afgegeven, en de datum waarop de geldigheidstermijn van het reisdocument verstrijkt;

e) het aantal op de vlucht ingecheckte reizigers;

f) de status van de vlucht (geregeld of niet-geregeld);

g) de status van de persoonsgegevens van de reiziger (juist, volledig en actueel).

6. Met het oog op de in artikel 38 bedoelde rapportage en met het oog het genereren van statistieken overeenkomstig dit artikel slaat eu-LISA de in lid 5 van dit artikel bedoelde gegevens op in het bij artikel 39 van Verordening (EU) 2019/817 ingestelde centrale register voor rapportage en statistieken. Aan de hand van de in artikel 39, lid 1, van die verordening bedoelde systeemoverschrijdende statistische gegevens en analytische verslagen kunnen de bevoegde grensautoriteiten en andere relevante autoriteiten van de lidstaten op maat gesneden verslagen en statistieken krijgen voor de in artikel 1 van deze verordening bedoelde doeleinden.

7. De door eu-LISA ingevoerde procedures voor het monitoren van de ontwikkeling en de werking van de router als bedoeld in artikel 39, lid 1, van Verordening (EU) 2019/817 omvatten de mogelijkheid om regelmatig statistieken op te stellen voor het waarborgen van die monitoring.

Artikel 32 - Praktische handleiding

De Commissie stelt in nauwe samenwerking met de bevoegde grensautoriteiten, andere relevante autoriteiten van de lidstaten, de luchtvaartmaatschappijen en de relevante agentschappen van de Unie een praktische handleiding met richtsnoeren, aanbevelingen en beste praktijken voor de uitvoering van deze verordening op en maakt deze openbaar beschikbaar.

In de praktische handleiding wordt rekening gehouden met de bestaande handleidingen ter zake.

De Commissie stelt de praktische handleiding vast in de vorm van een aanbeveling.


HOOFDSTUK 7

VERBAND MET ANDERE BESTAANDE INSTRUMENTEN

Artikel 33 - Intrekking van Richtlijn 2004/82/EG

Richtlijn 2004/82/EG wordt ingetrokken met ingang van de in artikel 39, tweede alinea, bedoelde datum van toepassing van deze verordening.

Artikel 34 - Wijzigingen van Verordening (EU) 2018/1726

Verordening (EU) 2018/1726 wordt als volgt gewijzigd:

(1) Het volgende artikel 13 ter wordt ingevoegd:

“Artikel 13 ter

Taken in verband met de router 


Met betrekking tot Verordening (EU) …/… van het Europees Parlement en de Raad* [deze verordening] en Verordening (EU) [API-gegevens voor rechtshandhaving] voert het Agentschap de hem bij die verordeningen opgedragen taken uit die verband houden met de router.

___________

* Verordening (EU) [nummer] van het Europees Parlement en de Raad van xy betreffende [officieel vastgestelde titel] (PB L …).”.


(1) Artikel 17, lid 3, wordt vervangen door:


“3. De zetel van het Agentschap is in Tallinn, Estland.


De in artikel 1, leden 4 en 5, de artikelen 3 tot en met 9 en de artikelen 11, [13 bis] en 13 ter bedoelde taken in verband met ontwikkeling en operationeel beheer worden verricht in de technische locatie in Straatsburg, Frankrijk.


In Sankt Johann im Pongau, Oostenrijk, wordt een back-uplocatie gevestigd die kan zorgen voor het operationeel blijven van een grootschalig IT-systeem in geval van falen van een dergelijk systeem.”.

(2) Artikel 19, lid 1, wordt als volgt gewijzigd:

a) het volgende punt ee ter) wordt ingevoegd:

“ee ter) verslagen vast te stellen over de stand van zaken met betrekking tot de ontwikkeling van de router overeenkomstig artikel 38, lid 2, van Verordening (EU).../... van het Europees Parlement en de Raad* [deze verordening];

___________

* Verordening (EU) [nummer] van het Europees Parlement en de Raad van xy betreffende [officieel vastgestelde titel] (PB L …).”.

b) punt ff) wordt vervangen door:

“ff) verslagen vast te stellen over de technische werking van:

(1) het SIS overeenkomstig artikel 60, lid 7, van Verordening (EU) 2018/1861 van het Europees Parlement en de Raad* en artikel 74, lid 8, van Verordening (EU) 2018/1862 van het Europees Parlement en de Raad**;

(2) het VIS overeenkomstig artikel 50, lid 3, van Verordening (EG) nr. 767/2008 en artikel 17, lid 3, van Besluit 2008/633/JBZ;

(3) het EES overeenkomstig artikel 72, lid 4, van Verordening (EU) 2017/2226;

(4) het Etias overeenkomstig artikel 92, lid 4, van Verordening (EU) 2018/1240;

(5) het Ecris-TCN en de Ecris-referentie-implementatie overeenkomstig artikel 36, lid 8, van Verordening (EU) 2019/816;

(6) de interoperabiliteitscomponenten overeenkomstig artikel 78, lid 3, van Verordening (EU) 2019/817, artikel 74, lid 3, van Verordening (EU) 2019/818 en de router overeenkomstig artikel 79, lid 5, van Verordening (EU).../... van het Europees Parlement en de Raad* [Prüm II-verordening] en artikel 38, lid 5, van Verordening (EU).../... van het Europees Parlement en de Raad* [deze verordening];

(3) e-Codex overeenkomstig artikel 16, lid 1, van Verordening (EU) 2022/850.

___________

*Verordening (EU) 2018/1861 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van grenscontroles, tot wijziging van de Overeenkomst ter uitvoering van het Akkoord van Schengen en tot wijziging en intrekking van Verordening (EG) nr. 1987/2006 (PB L 312 van 7.12.2018, blz. 14).


**Verordening (EU) 2018/1862 van het Europees Parlement en de Raad van 28 november 2018 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem (SIS) op het gebied van politiële en justitiële samenwerking in strafzaken, tot wijziging en intrekking van Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EG) nr. 1986/2006 van het Europees Parlement en de Raad en Besluit 2010/261/EU van de Commissie ( PB L 312 van 7.12.2018, blz. 56 ).”.


c) punt hh) wordt vervangen door:

“hh) formeel opmerkingen vast te stellen over de verslagen van de Europese Toezichthouder voor gegevensbescherming betreffende zijn audits op grond van artikel 56, lid 2, van Verordening (EU) 2018/1861, artikel 42, lid 2, van Verordening (EG) nr. 767/2008, artikel 31, lid 2, van Verordening (EU) nr. 603/2013, artikel 56, lid 2, van Verordening (EU) 2017/2226, artikel 67 van Verordening (EU) 2018/1240, artikel 29, lid 2, van Verordening (EU) 2019/816, artikel 52 van de Verordeningen (EU) 2019/817 en (EU) 2019/818, artikel 60, lid 1, van Verordening (EU).../... van het Europees Parlement en de Raad* [Prüm II-verordening] en artikel 19, lid 3, van Verordening (EU).../... van het Europees Parlement en de Raad* [deze verordening] en ervoor te zorgen dat aan die audits het passende gevolg wordt gegeven;

___________

(4) * Verordening (EU) [nummer] van het Europees Parlement en de Raad van xy betreffende [officieel vastgestelde titel] (PB L …)”.

Artikel 35 - Wijzigingen van Verordening (EU) 2019/817 ___________

(1) In artikel 39 worden de leden 1 en 2 vervangen door:


“1. Er wordt een centraal register voor rapportage en statistieken (CRRS) ingesteld om de doelstellingen van het EES, VIS, ETIAS en SIS in overeenstemming met de voor die systemen respectievelijk geldende rechtsinstrumenten te ondersteunen en om te voorzien in systeemoverschrijdende statistische gegevens en analytische verslagen voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit. Het CRRS dient ook ter ondersteuning van de doelstellingen van Verordening (EU).../... van het Europees Parlement en de Raad* [deze verordening].


* Verordening (EU) [nummer] van het Europees Parlement en de Raad van xy betreffende [officieel vastgestelde titel] (PB L …).


 2. eu-LISA zorgt op zijn technische locaties voor het opstellen, implementeren en hosten van het CRRS met daarin de logisch per EU-informatiesysteem gescheiden gegevens en statistieken als bedoeld in artikel 63 van Verordening (EU) 2017/2226, artikel 17 van Verordening (EG) nr. 767/2008, artikel 84 van Verordening (EU) 2018/1240, artikel 60 van Verordening (EU) 2018/1861 en artikel 16 van Verordening (EU) 2018/1860. eu-LISA verzamelt ook de gegevens en statistieken van de router als bedoeld in artikel 31, lid 1, van Verordening (EU) .../... * [deze verordening]. Toegang tot het CRRS wordt uitsluitend met het oog op het opstellen van rapporten en statistieken verleend aan de in artikel 63 van Verordening (EU) 2017/2226, artikel 17 van Verordening (EG) nr. 767/2008, artikel 84 van Verordening (EU) 2018/1240, artikel 60 van Verordening (EU) 2018/1861 en artikel 38, lid 2, van Verordening (EU) .../... [deze verordening] bedoelde autoriteiten door middel van een gecontroleerde en beveiligde toegang en specifieke gebruikersprofielen.”.


HOOFDSTUK 8

SLOTBEPALINGEN

Artikel 36 - Comitéprocedure

1. De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2. Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing. Indien door het comité geen advies wordt uitgebracht, neemt de Commissie de ontwerpuitvoeringshandeling niet aan en is artikel 5, lid 4, derde alinea, van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 37 - Uitoefening van de bevoegdheidsdelegatie

1. De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2. De in artikel 5, lid 4, artikel 6, lid 3, artikel 11, lid 4, artikel 20, lid 2, en artikel 21, lid 2, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van [datum van vaststelling van deze verordening]. De Commissie stelt uiterlijk negen maanden voor het einde van de termijn van vijf jaar een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.

3. Het Europees Parlement of de Raad kan de in artikel 5, lid 4, artikel 6, lid 3, artikel 11, lid 4, artikel 20, lid 2, en artikel 21, lid 2, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4. Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5. Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

Artikel 38 - Monitoring en evaluatie

1. eu-LISA zorgt ervoor dat er procedures zijn om de ontwikkeling van de router te monitoren in het licht van de doelstellingen inzake planning en kosten, en om de werking van de router te monitoren in het licht van de doelstellingen inzake technische resultaten, kosteneffectiviteit, beveiliging en kwaliteit van de dienstverlening.

2. Uiterlijk [een jaar na de datum van inwerkingtreding van deze verordening], en vervolgens ieder jaar tijdens de ontwikkelingsfase van de router, stelt eu-LISA een verslag over de stand van zaken van de ontwikkeling van de router op en dient het dit verslag in bij het Europees Parlement en de Raad. In dat verslag wordt gedetailleerde informatie opgenomen over de gemaakte kosten en over eventuele risico’s die van invloed kunnen zijn op de totale kosten die overeenkomstig artikel 25 ten laste komen van de algemene begroting van de Unie.

3. Zodra de router in gebruik is genomen, stelt eu-LISA een verslag op waarin uitvoerig wordt uiteengezet hoe de doelstellingen, met name met betrekking tot planning en kosten, zijn bereikt en waarin eventuele afwijkingen worden gerechtvaardigd, en dient het dit verslag in bij het Europees Parlement en de Raad.

4. Uiterlijk [vier jaar na de datum van inwerkingtreding van deze verordening] en vervolgens om de vier jaar stelt de Commissie een verslag met een algemene evaluatie van deze verordening op, met daarin onder meer een beoordeling van:

a) de toepassing van deze verordening;

b) de mate waarin deze verordening haar doelstellingen heeft bereikt;

c) de gevolgen van deze verordening voor de betrokken, krachtens het Unierecht beschermde grondrechten.

5. De Commissie zendt het verslag van de evaluatie toe aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten. In voorkomend geval dient de Commissie in het licht van de evaluatie een wetgevingsvoorstel tot wijziging van deze verordening in bij het Europees Parlement en de Raad.

6. De lidstaten en de luchtvaartmaatschappijen verstrekken eu-LISA en de Commissie op verzoek de informatie die nodig is om de in de leden 2, 3 en 4 bedoelde verslagen op te stellen, met inbegrip van informatie die geen persoonsgegevens vormt en betrekking heeft op de resultaten van de voorafgaande controles die aan de buitengrenzen aan de hand van de informatiesystemen van de Unie en de nationale databanken met API-gegevens worden verricht. De lidstaten kunnen echter afzien van het verstrekken van dergelijke informatie indien, en voor zover, dat nodig is om te beletten dat vertrouwelijke werkmethoden openbaar worden of lopende, door de bevoegde grensautoriteiten uitgevoerde onderzoeken in het gedrang komen. De Commissie ziet erop toe dat alle verstrekte vertrouwelijke informatie adequaat wordt beschermd.

Artikel 39 - Inwerkingtreding en toepassing

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

De toepassing ervan gaat in twee jaar na de door de Commissie overeenkomstig artikel 27 gespecificeerde datum van ingebruikneming van de router.

Niettemin geldt het volgende:

a) artikel 5, leden 4 en 5, artikel 6, lid 3, artikel 11, lid 4, artikel 20, lid 2, artikel 21, lid 2, artikel 22, artikel 25, lid 1, artikel 27, artikel 36 en artikel 37 zijn echter van toepassing met ingang van [datum van inwerkingtreding van deze verordening];

b) artikel 10, artikel 13, leden 1, 3 en 4, artikel 15, artikel 16, artikel 17, artikel 23, artikel 24, artikel 26 en artikel 28 zijn van toepassing vanaf de datum van ingebruikneming van de router, zoals bepaald door de Commissie overeenkomstig artikel 27.


Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in de lidstaten overeenkomstig de Verdragen.