Verordening 2025/13 - Verzameling en de doorgifte van advance passenger information met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit - Hoofdinhoud

VERORDENING (EU) 2025/13 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 19 december 2024

betreffende de verzameling en de doorgifte van advance passenger information met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, en tot wijziging van Verordening (EU) 2019/818

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 82, lid 1, punt d), en artikel 87, lid 2, punt a),

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité (1),

Handelend volgens de gewone wetgevingsprocedure (2),

Overwegende hetgeen volgt

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK 1

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp

Met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit worden bij deze verordening regels vastgesteld over:

Deze verordening laat Verordening (EU) 2016/679, Verordening (EU) 2018/1725 en Richtlijn (EU) 2016/680 onverlet.

Artikel 2

Toepassingsgebied

Deze verordening is van toepassing op luchtvaartmaatschappijen die de volgende vluchten uitvoeren:

Artikel 3

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

HOOFDSTUK 2

VERZAMELING, DOORGIFTE, OPSLAG EN WISSING VAN API-GEGEVENS

Artikel 4

Verzameling van API-gegevens door luchtvaartmaatschappijen

• 1. 

  Luchtvaartmaatschappijen verzamelen de API-gegevens van elke passagier en elk bemanningslid over de in artikel 2 bedoelde vluchten, die overeenkomstig artikel 5 aan de router moeten worden doorgegeven. Bij een code-sharingvlucht tussen luchtvaartmaatschappijen rust de verplichting om de API-gegevens door te geven op de luchtvaartmaatschappij die de vlucht uitvoert.

• 2. 

  De API-gegevens omvatten uitsluitend de volgende gegevens met betrekking tot elke passagier en elk bemanningslid op de vlucht:

• 3. 

  De API-gegevens omvatten daarnaast uitsluitend de volgende vluchtinformatie over de vlucht van elke passagier en elk bemanningslid:

• 4. 

  Luchtvaartmaatschappijen verzamelen de API-gegevens op zodanige wijze dat gewaarborgd wordt dat de API-gegevens die zij overeenkomstig artikel 5 doorgeven, juist, volledig en actueel zijn. Luchtvaartmaatschappijen zijn op grond van deze verplichting niet gehouden het reisdocument te controleren op het moment dat passagiers instappen in het luchtvaartuig, onverminderd bepalingen van nationaal recht die verenigbaar zijn met het Unierecht.

• 5. 

  Passagiers zijn op grond van deze verordening niet verplicht bij het reizen een reisdocument bij zich te hebben, onverminderd andere rechtshandelingen van de Unie of bepalingen van nationaal recht die verenigbaar zijn met het Unierecht.

• 6. 

  Lidstaten kunnen luchtvaartmaatschappijen verplichten passagiers de mogelijkheid te bieden vrijwillig de in artikel 4, lid 2, punten a) tot en met d), van Verordening (EU) 2025/12 bedoelde gegevens op geautomatiseerde wijze te uploaden en deze gegevens door de luchtvaartmaatschappij te laten opslaan met het oog op de doorgifte van de gegevens voor toekomstige vluchten, overeenkomstig artikel 5 van deze verordening en op een wijze die in overeenstemming is met de vereisten van de leden 4, 7 en 8 van dit artikel. Een lidstaat die een dergelijke verplichting oplegt, stelt de regels en waarborgen betreffende gegevensbescherming overeenkomstig Verordening (EU) 2016/679 vast, waaronder regels inzake opslagtermijnen. De gegevens worden echter gewist wanneer de passagier niet langer instemt met de opslag van de gegevens, doch ten laatste op de datum waarop het reisdocument verstrijkt.

• 7. 

  Luchtvaartmaatschappijen verzamelen de in lid 2, punten a) tot en met d), bedoelde API-gegevens met behulp van geautomatiseerde middelen voor de verzameling van de machineleesbare gegevens van het reisdocument van de betrokken passagier. Zij doen dit overeenkomstig de in lid 12 bedoelde gedetailleerde technische voorschriften en operationele regels, zodra dergelijke regels zijn vastgesteld en van toepassing zijn.

Wanneer luchtvaartmaatschappijen voorzien in de mogelijkheid om online in te checken, bieden zij de passagiers de gelegenheid de in lid 2, punten a) tot en met d), bedoelde API-gegevens tijdens dat online inchecken via geautomatiseerde middelen te verstrekken. Luchtvaartmaatschappijen bieden passagiers die niet online inchecken de mogelijkheid om die API-gegevens tijdens het inchecken op de luchthaven via geautomatiseerde middelen te verstrekken, via een self-servicekiosk of met de hulp van personeel van de luchtvaartmaatschappij aan de balie.

Als het technisch niet mogelijk is om gebruik te maken van geautomatiseerde middelen, verzamelen luchtvaartmaatschappijen de in lid 2, punten a) tot en met d), bedoelde API-gegevens bij wijze van uitzondering handmatig, hetzij in het kader van de online-incheckprocedure, hetzij als onderdeel van de incheckprocedure op de luchthaven, en op zodanige wijze dat de naleving van lid 4 wordt gewaarborgd.

• 8. 

  De geautomatiseerde middelen die luchtvaartmaatschappijen voor de verzameling van API-gegevens op grond van deze verordening gebruiken, zijn betrouwbaar, beveiligd en actueel. Luchtvaartmaatschappijen zorgen ervoor dat API-gegevens tijdens de doorgifte van dergelijke gegevens van de passagier aan de luchtvaartmaatschappijen versleuteld zijn.

• 9. 

  Tijdens een overgangsperiode, en in aanvulling op de in lid 7 bedoelde geautomatiseerde middelen, bieden luchtvaartmaatschappijen passagiers de mogelijkheid om API-gegevens handmatig te verstrekken in het kader van de online-incheckprocedure. In dergelijke gevallen maken luchtvaartmaatschappijen gebruik van gegevensverificatietechnieken om de naleving van lid 4 te waarborgen.

• 10. 

  De in lid 9 bedoelde overgangsperiode doet geen afbreuk aan het recht van luchtvaartmaatschappijen om, overeenkomstig het toepasselijke Unierecht, API-gegevens die in het kader van de online-incheckprocedure zijn verzameld om de naleving lid 4 te waarborgen, op de luchthaven te verifiëren voordat de passagiers instappen in het luchtvaartuig.

• 11. 

  De Commissie is bevoegd, vanaf vier jaar na ingebruikneming van de router met betrekking tot de in artikel 34 bedoelde API-gegevens en op basis van een evaluatie van de beschikbaarheid en toegankelijkheid van geautomatiseerde middelen voor de verzameling van API-gegevens, overeenkomstig artikel 43 een gedelegeerde handeling vast te stellen ter beëindiging van de in lid 9 van dit artikel bedoelde overgangsperiode.

• 12. 

  De Commissie is bevoegd overeenkomstig artikel 43 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met gedetailleerde technische voorschriften en operationele regels voor het verzamelen van de in lid 2, punten a) tot en met d), van dit artikel bedoelde API-gegevens met behulp van geautomatiseerde middelen overeenkomstig de leden 7 en 8 van dit artikel, en voor de handmatige verzameling van API-gegevens in uitzonderlijke omstandigheden overeenkomstig lid 7 van dit artikel en tijdens de in lid 9 van dit artikel bedoelde overgangsperiode. Die technische voorschriften en operationele regels omvatten vereisten voor gegevensbeveiliging en voor het gebruik van de meest betrouwbare geautomatiseerde middelen die beschikbaar zijn voor de verzameling van de machineleesbare gegevens van een reisdocument.

Artikel 5

Verplichtingen voor luchtvaartmaatschappijen met betrekking tot de doorgifte van API-gegevens en andere PNR-gegevens

• 1. 

  Luchtvaartmaatschappijen geven de versleutelde API-gegevens langs elektronische weg door aan de router ten behoeve van het doorzenden ervan naar de bevoegde grensautoriteiten overeenkomstig artikel 12. Luchtvaartmaatschappijen geven de API-gegevens door overeenkomstig de in lid 4 van dit artikel bedoelde gedetailleerde regels, zodra dergelijke regels zijn vastgesteld en van toepassing zijn.

• 2. 

  Bij de vaststelling van maatregelen overeenkomstig artikel 8, lid 1, van Richtlijn (EU) 2016/681 verplichten de lidstaten luchtvaartmaatschappijen om alle andere PNR-gegevens die zij in het kader van hun normale bedrijfsvoering verzamelen, uitsluitend aan de router door te geven, in overeenstemming met de gemeenschappelijke protocollen en dataformaten die zijn opgesteld op grond van artikel 16 van die richtlijn.

• 3. 

  Luchtvaartmaatschappijen geven de API-gegevens door:

• 4. 

  De Commissie is bevoegd overeenkomstig artikel 43 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde regels inzake de gemeenschappelijke protocollen en ondersteunde dataformaten voor de versleutelde doorgifte van API-gegevens aan de router als bedoeld in lid 1 van dit artikel, met inbegrip van de doorgifte van API-gegevens bij het inchecken, en met voorschriften inzake gegevensbeveiliging. Dergelijke gedetailleerde regels waarborgen dat luchtvaartmaatschappijen bij de doorgifte van API-gegevens gebruikmaken van dezelfde structuur en inhoud.

Artikel 6

Opslagtermijn en wissing van API-gegevens

Luchtvaartmaatschappijen slaan de door hen op grond van artikel 4 verzamelde API-gegevens met betrekking tot alle passagiers en bemanningsleden op gedurende een termijn van 48 uur vanaf het tijdstip waarop de router de overeenkomstig artikel 5, lid 3, punt a), ii), en artikel 5, lid 3, punt b), doorgegeven API-gegevens heeft ontvangen. Onverminderd de mogelijkheid voor luchtvaartmaatschappijen om dergelijke API-gegevens te bewaren en te gebruiken wanneer dat voor de normale bedrijfsvoering overeenkomstig het toepasselijke recht nodig is en onverminderd artikel 16, leden 1 en 3, wissen luchtvaartmaatschappijen dergelijke gegevens onmiddellijk en definitief als die termijn is verstreken.

Artikel 7

Correctie, aanvulling en bijwerking van API-gegevens

• 1. 

  Wanneer een luchtvaartmaatschappij constateert dat gegevens die zij uit hoofde van deze verordening opslaat, onrechtmatig zijn verwerkt of geen API-gegevens zijn, wist zij die gegevens onmiddellijk en definitief. Indien die gegevens zijn doorgegeven aan de router, stelt de luchtvaartmaatschappij het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) daarvan onmiddellijk in kennis. Bij ontvangst van dergelijke informatie stelt eu-LISA de PIE’s die de via de router doorgezonden gegevens hebben ontvangen, onmiddellijk daarvan in kennis.

• 2. 

  Wanneer een luchtvaartmaatschappij constateert dat de gegevens die zij uit hoofde van deze verordening opslaat, onjuist, onvolledig of niet meer actueel zijn, zorgt zij ervoor dat die gegevens onmiddellijk worden gecorrigeerd, aangevuld of bijgewerkt. Dit doet geen afbreuk aan de mogelijkheid van luchtvaartmaatschappijen om de gegevens te bewaren en te gebruiken wanneer dat nodig is voor de normale bedrijfsvoering overeenkomstig het toepasselijke recht.

• 3. 

  Wanneer een luchtvaartmaatschappij na de doorgifte van API-gegevens uit hoofde van artikel 5, lid 3, punt a), i), maar vóór de doorgifte uit hoofde van artikel 5, lid 3, punt a), ii), constateert dat de door haar doorgegeven gegevens onjuist zijn, geeft zij de gecorrigeerde API-gegevens onmiddellijk door aan de router.

• 4. 

  Wanneer een luchtvaartmaatschappij na de doorgifte van API-gegevens uit hoofde van artikel 5, lid 3, punt a), ii), of artikel 5, lid 3, punt b), constateert dat de door haar doorgegeven gegevens onjuist, onvolledig of niet meer actueel zijn, geeft zij de gecorrigeerde, aangevulde of bijgewerkte API-gegevens onmiddellijk door aan de router.

• 5. 

  De Commissie is bevoegd overeenkomstig artikel 43 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde regels inzake het corrigeren, aanvullen en bijwerken van API-gegevens in de zin van dit artikel.

Artikel 8

Grondrechten

• 1. 

  De verzameling en verwerking van persoonsgegevens overeenkomstig deze verordening en Verordening (EU) 2025/12 door luchtvaartmaatschappijen en bevoegde autoriteiten leidt niet tot discriminatie van personen op de in artikel 21 van het Handvest van de grondrechten van de Europese Unie (het “Handvest”) genoemde gronden.

• 2. 

  In deze verordening worden de menselijke waardigheid en de grondrechten en beginselen die zijn erkend in het Handvest ten volle geëerbiedigd, met inbegrip van het recht op eerbiediging van de persoonlijke levenssfeer, op asiel, op bescherming van persoonsgegevens, op vrijheid van verplaatsing en op een doeltreffende voorziening in rechte.

• 3. 

  Bijzondere aandacht wordt geschonken aan kinderen, ouderen, personen met een handicap en kwetsbare personen. Bij de tenuitvoerlegging van deze verordening staat het belang van het kind voorop.

HOOFDSTUK 3

BEPALINGEN BETREFFENDE DE ROUTER

Artikel 9

De router

• 1. 

  Teneinde het voor luchtvaartmaatschappijen gemakkelijker te maken versleutelde API-gegevens en andere PNR-gegevens aan de PIE’s door te geven overeenkomstig deze verordening, wordt door eu-LISA overeenkomstig de artikelen 25 en 26 een router ontworpen, ontwikkeld, gehost en technisch beheerd.

• 2. 

  De router bestaat uit:

• 3. 

  Onverminderd artikel 10 van deze verordening worden voor de router, in voorkomend geval en voor zover dat technisch mogelijk is, de technische componenten, met inbegrip van hardware- en softwarecomponenten, gebruikt en hergebruikt van de in artikel 13 van Verordening (EU) 2017/2226 bedoelde webdienst, het in artikel 6, lid 2, punt k), van Verordening (EU) 2018/1240 bedoelde toegangsportaal voor vervoerders en het in artikel 45 quater van Verordening (EG) nr. 767/2008 bedoelde toegangsportaal voor vervoerders.

eu-LISA ontwerpt de router, voor zover dat technisch en operationeel mogelijk is, zodanig dat deze coherent en consistent is met de verplichtingen voor luchtvaartmaatschappijen die zijn uiteengezet in Verordeningen (EG) nr. 767/2008, (EU) 2017/2226 en (EU) 2018/1240.

• 4. 

  De router extraheert de gegevens automatisch en stelt die overeenkomstig artikel 39 van deze verordening automatisch ter beschikking van het centraal register voor rapportage en statistieken (CRRS) dat is ingesteld bij artikel 39 van Verordening (EU) 2019/818.

• 5. 

  eu-LISA ontwerpt en ontwikkelt de router op zodanige wijze dat de API-gegevens en andere PNR-gegevens bij doorgifte ervan door de luchtvaartmaatschappijen aan de router overeenkomstig artikel 5 en bij doorzending ervan door de router naar de PIE’s overeenkomstig artikel 12 en naar het CRRS overeenkomstig artikel 39, lid 2, tijdens de overdracht van begin tot eind versleuteld zijn.

Artikel 10

Exclusief gebruik van de router

Voor de toepassing van deze verordening wordt de router uitsluitend gebruikt:

Dit artikel laat artikel 12 van Verordening (EU) 2025/12 onverlet.

Artikel 11

Verificatie van het gegevensformaat en van de doorgifte

• 1. 

  De router verifieert op geautomatiseerde wijze en op basis van realtime luchtverkeersgegevens of de luchtvaartmaatschappij de API-gegevens heeft doorgegeven overeenkomstig artikel 5, lid 1, of andere PNR-gegevens heeft doorgegeven overeenkomstig artikel 5, lid 2.

• 2. 

  De router verifieert onmiddellijk en op geautomatiseerde wijze of de overeenkomstig artikel 5, lid 1, aan de router doorgegeven API-gegevens voldoen aan de in artikel 5, lid 4, bedoelde gedetailleerde regels inzake de ondersteunde gegevensformaten.

• 3. 

  De router verifieert onmiddellijk en op geautomatiseerde wijze of de overeenkomstig artikel 5, lid 2, aan de router doorgegeven andere PNR-gegevens voldoen aan de in artikel 16 van Richtlijn (EU) 2016/681 bedoelde regels inzake de ondersteunde gegevensformaten.

• 4. 

  Indien de in lid 1 bedoelde verificatie uitwijst dat de gegevens door de luchtvaartmaatschappij niet werden doorgegeven of indien de in lid 2 of lid 3 bedoelde verificatie uitwijst dat gegevens niet voldoen aan de gedetailleerde regels inzake de ondersteunde gegevensformaten, stelt de router de betrokken luchtvaartmaatschappij en de PIE’s van de lidstaten waaraan de gegevens overeenkomstig artikel 12, lid 1, moesten worden doorgezonden hiervan onmiddellijk en op geautomatiseerde wijze in kennis. In dergelijke gevallen geeft de luchtvaartmaatschappij de API-gegevens en andere PNR-gegevens onmiddellijk door overeenkomstig artikel 5.

• 5. 

  De Commissie stelt uitvoeringshandelingen vast waarin de nodige gedetailleerde technische en procedurele regels inzake de in de leden 1 tot en met 4 van dit artikel bedoelde verificaties en de kennisgevingen worden gespecificeerd. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 42, lid 2, bedoelde onderzoeksprocedure.

Artikel 12

Doorzending van API-gegevens en andere PNR-gegevens van de router naar de PIE’s

• 1. 

  Direct na de in artikel 11 bedoelde verificatie van het gegevensformaat en van de doorgifte zendt de router de versleutelde API-gegevens en andere PNR-gegevens die de luchtvaartmaatschappijen op grond van artikel 5, leden 1 en 2, en in voorkomend geval artikel 7, leden 3 en 4, aan de router hebben doorgegeven, door naar de PIE van de lidstaat op wiens grondgebied de vlucht zal landen of van wiens grondgebied de vlucht zal vertrekken, of naar beide PIE’s wanneer het vluchten binnen de EU betreft. De router zendt die gegevens onmiddellijk en op geautomatiseerde wijze door, zonder de inhoud ervan op enigerlei wijze te wijzigen. Wanneer een vlucht een of meer tussenlandingen heeft op het grondgebied van andere lidstaten dan de lidstaat waar zij is vertrokken, zendt de router de API-gegevens en andere PNR-gegevens door naar de PIE’s van alle betrokken lidstaten.

Met het oog op een dergelijke doorzending stelt eu-LISA een lijst op van de verschillende luchthavens van vertrek en aankomst en de bijbehorende landen, en houdt het deze lijst actueel.

Voor vluchten binnen de EU zendt de router echter alleen API-gegevens en andere PNR-gegevens die betrekking hebben op de vluchten die zijn opgenomen in de in lid 4 bedoelde lijst door naar de relevante PIE’s.

• 2. 

  De router zendt de API-gegevens en andere PNR-gegevens door overeenkomstig de in lid 6 bedoelde gedetailleerde regels, zodra dergelijke regels zijn vastgesteld en van toepassing zijn.

• 3. 

  Elke lidstaat zorgt ervoor dat zijn PIE na ontvangst van API-gegevens en andere PNR-gegevens overeenkomstig lid 1 de ontvangst van dergelijke gegevens onmiddellijk en op geautomatiseerde wijze bevestigt aan de router.

• 4. 

  De lidstaten die besluiten Richtlijn (EU) 2016/681 toe te passen op vluchten binnen de EU overeenkomstig artikel 2 van die richtlijn, stellen elk een lijst op van de geselecteerde vluchten of routes binnen de EU. De lidstaten kunnen de code van de luchthaven van vertrek en de luchthaven van aankomst gebruiken om de geselecteerde vluchten of routes aan te geven. De betrokken lidstaten zorgen voor een regelmatige evaluatie en, waar nodig, bijwerking van die lijsten overeenkomstig artikel 2 van die richtlijn en artikel 13 van deze verordening. Een lidstaat kan alle vluchten of routes binnen de EU selecteren, mits naar behoren gemotiveerd, overeenkomstig Richtlijn (EU) 2016/681 en artikel 13 van deze verordening.

De lidstaten voeren uiterlijk op de relevante in artikel 45, tweede alinea, bedoelde datum van toepassing van deze verordening de geselecteerde vluchten of routes in de router in via geautomatiseerde middelen via het in artikel 9, lid 2, punt b), bedoelde beveiligde communicatiekanaal, en verstrekken de router daarna alle bijwerkingen daarvan.

• 5. 

  De door de lidstaten in de router ingevoerde informatie wordt vertrouwelijk behandeld en de personeelsleden van eu-LISA hebben slechts toegang tot die informatie indien dat strikt noodzakelijk is met het oog op het verhelpen van technische problemen. eu-LISA zorgt ervoor dat de router, na ontvangst door de router van die informatie of eventuele bijwerkingen daarvan van een lidstaat, de API-gegevens en andere PNR-gegevens met betrekking tot de geselecteerde vluchten of routes onmiddellijk doorzendt naar de PIE van die lidstaat overeenkomstig lid 1.

• 6. 

  De Commissie stelt uitvoeringshandelingen vast waarin de gedetailleerde technische en procedurele regels inzake de in lid 1 van dit artikel bedoelde doorzending van API-gegevens en andere PNR-gegevens via de router en inzake het invoeren van informatie in de router als bedoeld in lid 4 van dit artikel, met inbegrip van voorschriften inzake gegevensbeveiliging, nader worden gespecificeerd. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 42, lid 2, bedoelde onderzoeksprocedure.

Artikel 13

Selectie van vluchten binnen de EU

• 1. 

  De lidstaten die overeenkomstig artikel 2 van Richtlijn (EU) 2016/681 besluiten die richtlijn en bijgevolg deze verordening toe te passen op vluchten binnen de EU, selecteren dergelijke vluchten binnen de EU overeenkomstig dit artikel.

• 2. 

  De lidstaten kunnen Richtlijn (EU) 2016/681 en bijgevolg deze verordening alleen toepassen op alle vluchten binnen de EU die aankomen op of vertrekken vanaf hun grondgebied in situaties waarin sprake is van een werkelijke en actuele of voorzienbare terroristische dreiging en op basis van een besluit dat berust op een dreigingsbeoordeling en dat niet langer van kracht is dan strikt noodzakelijk en dat effectief kan worden getoetst door een rechterlijke instantie of door een onafhankelijk bestuursorgaan waarvan de beslissing bindend is.

• 3. 

  Indien er geen sprake is van een werkelijke en actuele of voorzienbare terroristische dreiging, selecteren de lidstaten die Richtlijn (EU) 2016/681 en bijgevolg deze verordening toepassen op vluchten binnen de EU, dergelijke vluchten binnen de EU op basis van de resultaten van een beoordeling die is uitgevoerd op basis van de vereisten van de leden 4 tot en met 7 van dit artikel.

• 4. 

  De in lid 3 bedoelde beoordeling:

• 5. 

  Op basis van de in lid 3 bedoelde beoordeling selecteren de lidstaten alleen vluchten binnen de EU in verband met specifieke routes, reispatronen of luchthavens met betrekking waartoe er aanwijzingen zijn voor terroristische misdrijven en ernstige criminaliteit op grond waarvan verwerking van API-gegevens en andere PNR-gegevens gerechtvaardigd is. De selectie van vluchten binnen de EU gaat niet verder dan strikt noodzakelijk is om de doelstellingen van Richtlijn (EU) 2016/681 en deze verordening te verwezenlijken.

• 6. 

  De lidstaten bewaren alle documentatie die verband houdt met de in lid 3 bedoelde beoordeling en, in voorkomend geval, evaluaties daarvan en stellen deze overeenkomstig Richtlijn (EU) 2016/680 desgevraagd ter beschikking van hun onafhankelijke toezichthoudende autoriteiten en hun nationale toezichthoudende autoriteiten.

• 7. 

  De lidstaten evalueren, overeenkomstig artikel 2 van Richtlijn (EU) 2016/681, hun in lid 3 bedoelde beoordeling regelmatig en ten minste om de twaalf maanden, om rekening te houden met veranderingen in de omstandigheden waarop de selectie van vluchten binnen de EU werd gebaseerd en om ervoor te zorgen dat de selectie van vluchten binnen de EU niet verder gaat dan strikt noodzakelijk is.

• 8. 

  De Commissie faciliteert een regelmatige gedachtewisseling over de selectiecriteria in verband met de in lid 3 bedoelde beoordeling, met inbegrip van het uitwisselen van beste praktijken, alsook, op vrijwillige basis, de uitwisseling van informatie over geselecteerde vluchten.

Artikel 14

Wissing van API-gegevens en andere PNR-gegevens van de router

API-gegevens en andere PNR-gegevens die op grond van deze verordening aan de router worden doorgegeven, worden alleen op de router opgeslagen voor zover dat noodzakelijk is om de doorzending ervan naar de relevante PIE’s overeenkomstig deze verordening te voltooien, en worden in de twee volgende situaties onmiddellijk, definitief en op geautomatiseerde wijze van de router gewist:

De router informeert eu-LISA en de PIE’s automatisch over de onmiddellijke wissing van de in punt b) bedoelde vluchten binnen de EU.

Artikel 15

Verwerking van API-gegevens en andere PNR-gegevens door PIE’s

API-gegevens en andere PNR-gegevens die overeenkomstig deze verordening aan PIE’s worden doorgezonden, worden vervolgens door de PIE’s verwerkt overeenkomstig Richtlijn (EU) 2016/681, met name de voorschriften inzake de verwerking van API-gegevens en andere PNR-gegevens door PIE’s, onder meer in de artikelen 6, 10, 12 en 13 van die richtlijn, en uitsluitend met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit.

De PIE’s of andere bevoegde autoriteiten verwerken in geen geval API-gegevens en andere PNR-gegevens met het oog op profilering, als bedoeld in artikel 11, lid 3, van Richtlijn (EU) 2016/680.

Artikel 16

Maatregelen ingeval het gebruik van de router technisch onmogelijk is

• 1. 

  Wanneer het vanwege een storing van de router technisch onmogelijk is de router te gebruiken om API-gegevens of andere PNR-gegevens door te zenden, stelt eu-LISA de luchtvaartmaatschappijen en de PIE’s daarvan onmiddellijk op geautomatiseerde wijze in kennis. In dat geval neemt eu-LISA onmiddellijk maatregelen om de technische storing die het gebruik van de router belet, te verhelpen en stelt het, wanneer de storing verholpen is, de luchtvaartmaatschappijen en PIE’s daarvan onmiddellijk in kennis.

In de periode tussen die kennisgevingen is artikel 5, lid 1, niet van toepassing, voor zover de technische storing de doorgifte van API-gegevens of andere PNR-gegevens aan de router belet. De luchtvaartmaatschappijen slaan de API-gegevens of andere PNR-gegevens op totdat de technische storing is verholpen. Zodra de technische storing is verholpen, geven de luchtvaartmaatschappijen de gegevens door aan de router overeenkomstig artikel 5, lid 1.

Indien het technisch onmogelijk is om de router te gebruiken en in uitzonderlijke gevallen die verband houden met de doelstellingen van deze verordening die het voor PIE’s noodzakelijk maken onmiddellijk API-gegevens of andere PNR-gegevens te ontvangen tijdens de technische storing die het gebruik van de router belet, kunnen PIE’s luchtvaartmaatschappijen verzoeken gebruik te maken van andere passende middelen, die het nodige niveau van gegevensbeveiliging, gegevenskwaliteit en gegevensbescherming waarborgen, om de API-gegevens of andere PNR-gegevens rechtstreeks aan de PIE’s door te geven. De PIE’s verwerken de API-gegevens of andere PNR-gegevens die zij via andere passende middelen hebben ontvangen overeenkomstig de regels en waarborgen van Richtlijn (EU) 2016/681.

Nadat eu-LISA heeft meegedeeld dat de technische storing is verholpen en indien overeenkomstig artikel 12, lid 3, is bevestigd dat de doorzending van de API-gegevens of andere PNR-gegevens via de router naar de betreffende PIE is voltooid, wist de PIE de via andere passende middelen ontvangen API-gegevens of andere PNR-gegevens onmiddellijk.

• 2. 

  Wanneer het vanwege een storing van de in artikel 23 bedoelde systemen of infrastructuur van een lidstaat technisch onmogelijk is de router te gebruiken om API-gegevens of andere PNR-gegevens door te zenden, stelt de PIE van die lidstaat de andere PIE’s, eu-LISA en de Commissie daarvan onmiddellijk op geautomatiseerde wijze in kennis. In dat geval neemt die lidstaat onmiddellijk maatregelen om de technische storing die het gebruik van de router belet, te verhelpen en stelt hij, wanneer de storing verholpen is, de andere PIE’s, eu-LISA en de Commissie daarvan onmiddellijk in kennis. De router slaat de API-gegevens of andere PNR-gegevens op totdat de technische storing is verholpen. Zodra de technische storing is verholpen, zendt de router de gegevens door overeenkomstig artikel 12, lid 1.

Als het technisch onmogelijk is om de router te gebruiken en in uitzonderlijke gevallen die verband houden met de doelstellingen van deze verordening die het voor PIE’s noodzakelijk maken onmiddellijk API-gegevens of andere PNR-gegevens te ontvangen tijdens de technische storing die het gebruik van de router belet, kunnen PIE’s luchtvaartmaatschappijen verzoeken gebruik te maken van andere passende middelen, die het nodige niveau van gegevensbeveiliging, gegevenskwaliteit en gegevensbescherming waarborgen, om de API-gegevens of andere PNR-gegevens rechtstreeks aan de PIE’s door te geven. De PIE’s verwerken de API-gegevens of andere PNR-gegevens die zij via andere passende middelen hebben ontvangen overeenkomstig de regels en waarborgen van Richtlijn (EU) 2016/681.

Nadat eu-LISA heeft meegedeeld dat de technische storing is verholpen en indien overeenkomstig artikel 12, lid 3, is bevestigd dat de doorzending van de API-gegevens of andere PNR-gegevens via de router aan de betreffende PIE is voltooid, wist de PIE de via andere passende middelen ontvangen API-gegevens of andere PNR-gegevens onmiddellijk.

• 3. 

  Wanneer het vanwege een storing van de in artikel 24 bedoelde systemen of infrastructuur van een luchtvaartmaatschappij technisch onmogelijk is de router te gebruiken om API-gegevens of andere PNR-gegevens door te geven, stelt die luchtvaartmaatschappij de PIE’s, eu-LISA en de Commissie daarvan onmiddellijk op geautomatiseerde wijze in kennis. In dat geval neemt die luchtvaartmaatschappij onmiddellijk maatregelen om de technische storing die het gebruik van de router belet, te verhelpen en stelt zij, wanneer de storing verholpen is, de PIE’s, eu-LISA en de Commissie daarvan onmiddellijk in kennis.

In de periode tussen die kennisgevingen is artikel 5, lid 1, niet van toepassing, voor zover de technische storing de doorgifte van API-gegevens of andere PNR-gegevens aan de router belet. De luchtvaartmaatschappijen slaan de API-gegevens of andere PNR-gegevens op totdat de technische storing is verholpen. Zodra de technische storing is verholpen, geven de luchtvaartmaatschappijen de gegevens door aan de router overeenkomstig artikel 5, lid 1.

Als het technisch onmogelijk is om de router te gebruiken en in uitzonderlijke gevallen die verband houden met de doelstellingen van deze verordening die het voor PIE’s noodzakelijk maken onmiddellijk API-gegevens of andere PNR-gegevens te ontvangen tijdens de technische storing die het gebruik van de router belet, kunnen PIE’s luchtvaartmaatschappijen verzoeken gebruik te maken van andere passende middelen, die het nodige niveau van gegevensbeveiliging, gegevenskwaliteit en gegevensbescherming waarborgen, om de API-gegevens of andere PNR-gegevens rechtstreeks aan de PIE’s door te geven. De PIE’s verwerken de API-gegevens of andere PNR-gegevens die zij via andere passende middelen hebben ontvangen overeenkomstig de regels en waarborgen van Richtlijn (EU) 2016/681.

Nadat eu-LISA heeft meegedeeld dat de technische storing is verholpen en als overeenkomstig artikel 12, lid 3, is bevestigd dat de doorzending van de API-gegevens of andere PNR-gegevens via de router aan de betreffende PIE is voltooid, wist de PIE de via andere passende middelen ontvangen API-gegevens of andere PNR-gegevens onmiddellijk.

Wanneer de technische storing die het gebruik van de router belet, is verholpen, dient de betrokken luchtvaartmaatschappij bij de in artikel 37 bedoelde nationale autoriteit voor toezicht inzake API onverwijld een verslag in met alle nodige details over de technische storing, met inbegrip van de redenen voor de storing, de omvang en de gevolgen van de storing en de maatregelen die zijn genomen om de storing te verhelpen.

HOOFDSTUK 4

SPECIFIEKE BEPALINGEN INZAKE DE BESCHERMING VAN PERSOONSGEGEVENS EN BEVEILIGING

Artikel 17

Bijhouden van logbestanden

• 1. 

  Luchtvaartmaatschappijen leggen logbestanden aan van alle met API-gegevens verband houdende verwerkingsactiviteiten die uit hoofde van deze verordening met behulp van de in artikel 4, lid 7, bedoelde geautomatiseerde middelen worden uitgevoerd. Die logbestanden bevatten de datum, het tijdstip en de plaats van doorgifte van de API-gegevens. Die logbestanden bevatten geen andere persoonsgegevens dan de informatie die nodig is om het betrokken personeelslid van de luchtvaartmaatschappij te identificeren.

• 2. 

  eu-LISA houdt logbestanden bij van alle verwerkingsactiviteiten die verband houden met de doorgifte en doorzending van API-gegevens en andere PNR-gegevens via de router uit hoofde van deze verordening. In die logbestanden wordt het volgende vermeld:

Die logbestanden bevatten geen andere persoonsgegevens dan de informatie ter identificatie van het in de eerste alinea, punt f), bedoelde betrokken personeelslid van eu-LISA.

• 3. 

  De in de leden 1 en 2 van dit artikel bedoelde logbestanden worden uitsluitend gebruikt om de beveiliging en de integriteit van de API-gegevens en andere PNR-gegevens en de rechtmatigheid van de verwerking te waarborgen, met name wat betreft de naleving van de voorschriften van deze verordening, met inbegrip van sanctieprocedures voor inbreuken op die voorschriften overeenkomstig de artikelen 37 en 38.

• 4. 

  De luchtvaartmaatschappijen en eu-LISA nemen passende maatregelen om de logbestanden die zij op grond van de leden 1 en 2, respectievelijk, hebben aangelegd, te beschermen tegen ongeoorloofde toegang en andere beveiligingsrisico’s.

• 5. 

  De in artikel 37 bedoelde nationale autoriteit voor toezicht inzake API en de PIE’s hebben toegang tot de in lid 1 van dit artikel bedoelde logbestanden indien dat noodzakelijk is voor de in lid 3 van dit artikel bedoelde doeleinden.

• 6. 

  De luchtvaartmaatschappijen en eu-LISA bewaren de logbestanden die zij op grond van de leden 1 en 2, respectievelijk, hebben aangelegd, gedurende één jaar vanaf het moment waarop die bestanden zijn aangelegd. Zij wissen de logbestanden onmiddellijk en definitief zodra die termijn verstrijkt.

Indien de logbestanden echter nodig zijn voor procedures met het oog op het monitoren of waarborgen van de beveiliging en de integriteit van de API-gegevens of de rechtmatigheid van de verwerkingsactiviteiten, als bedoeld in lid 3, en die procedures reeds zijn gestart voor het verstrijken van de in de eerste alinea van dit lid genoemde termijn, bewaren luchtvaartmaatschappijen en eu-LISA de logbestanden zo lang als nodig is voor die procedures. In dat geval wissen zij de logbestanden zodra deze niet langer nodig zijn voor die procedures.

Artikel 18

Verantwoordelijkheden inzake gegevensbescherming

• 1. 

  De luchtvaartmaatschappijen zijn verwerkingsverantwoordelijken in de zin van artikel 4, punt 7), van Verordening (EU) 2016/679 voor de verwerking van API-gegevens en andere PNR-gegevens die persoonsgegevens zijn, met betrekking tot de verzameling van dergelijke gegevens en de doorgifte ervan aan de router uit hoofde van deze verordening.

• 2. 

  Elke lidstaat wijst een bevoegde autoriteit aan als verwerkingsverantwoordelijke overeenkomstig dit artikel. De lidstaten delen aan de Commissie, eu-LISA en de andere lidstaten mee welke autoriteiten dit zijn.

Voor de verwerking van persoonsgegevens in de router zijn alle door de lidstaten aangewezen bevoegde autoriteiten gezamenlijke verwerkingsverantwoordelijken overeenkomstig artikel 21 van Richtlijn (EU) 2016/680.

• 3. 

  eu-LISA is een verwerker in de zin van artikel 3, punt 12, van Verordening (EU) 2018/1725 voor de verwerking, met gebruikmaking van de router, uit hoofde van deze verordening van API-gegevens en andere PNR-gegevens die persoonsgegevens zijn, waaronder de doorzending van de gegevens van de router naar de PIE’s en de opslag om technische redenen van die gegevens op de router. eu-LISA zorgt ervoor dat de router wordt beheerd in overeenstemming met deze verordening.

• 4. 

  De Commissie stelt uitvoeringshandelingen vast tot vaststelling van de respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken en de respectieve verplichtingen van de gezamenlijke verwerkingsverantwoordelijken en de verwerker. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 42, lid 2, bedoelde onderzoeksprocedure.

Artikel 19

Informatie voor passagiers

Overeenkomstig artikel 13 van Verordening (EU) 2016/679 verstrekken luchtvaartmaatschappijen passagiers op onder deze verordening vallende vluchten informatie over het doel waarvoor hun persoonsgegevens worden verzameld, het soort persoonsgegevens dat wordt verzameld, wie de persoonsgegevens ontvangt en de wijze waarop zij hun rechten als betrokkenen kunnen uitoefenen.

Die informatie wordt passagiers schriftelijk in een gemakkelijk toegankelijk formaat meegedeeld bij het boeken en het inchecken, ongeacht de middelen die tijdens het inchecken worden gebruikt om de persoonsgegevens te verzamelen, overeenkomstig artikel 4.

Artikel 20

Beveiliging

• 1. 

  eu-LISA zorgt voor de beveiliging en versleuteling van de API-gegevens en andere PNR-gegevens, in het bijzonder gegevens die persoonsgegevens zijn, die het krachtens deze verordening verwerkt. De PIE’s en de luchtvaartmaatschappijen zorgen voor de beveiliging van de API-gegevens, in het bijzonder API-gegevens die persoonsgegevens zijn, die zij op grond van deze verordening verwerken. eu-LISA, de PIE’s en de luchtvaartmaatschappijen werken, overeenkomstig hun respectieve verantwoordelijkheden en met inachtneming van het Unierecht, met elkaar samen om dergelijke beveiliging te waarborgen.

• 2. 

  eu-LISA zorgt voor de beveiliging en vertrouwelijkheid van de gegevens met betrekking tot vluchten en routes die door de lidstaten zijn geselecteerd overeenkomstig artikel 12, lid 4. De PIE’s en de luchtvaartmaatschappijen zorgen voor de beveiliging van de API-gegevens, in het bijzonder API-gegevens die persoonsgegevens zijn, die zij op grond van deze verordening verwerken. eu-LISA, de PIE’s en de luchtvaartmaatschappijen werken, overeenkomstig hun respectieve verantwoordelijkheden en met inachtneming van het Unierecht, met elkaar samen om die beveiliging te waarborgen.

• 3. 

  eu-LISA neemt de maatregelen die nodig zijn om de beveiliging van de router en de via de router doorgezonden API-gegevens en andere PNR-gegevens, met name gegevens die persoonsgegevens zijn, te waarborgen, onder meer door een beveiligingsplan, een bedrijfscontinuïteitsplan en een uitwijkplan op te stellen en uit te voeren en deze regelmatig bij te werken, teneinde:

De in de eerste alinea van dit lid bedoelde maatregelen laten artikel 32 van Verordening (EU) 2016/679, artikel 33 van Verordening (EU) 2018/1725 en artikel 29 van Richtlijn (EU) 2016/680 onverlet.

Artikel 21

Zelfmonitoring

De luchtvaartmaatschappijen en de PIE’s monitoren of zij uit hoofde van deze verordening de op hen rustende verplichtingen nakomen, met name wat betreft de verwerking van API-gegevens die persoonsgegevens zijn. Voor luchtvaartmaatschappijen omvat de monitoring frequente verificatie van de in artikel 17 bedoelde logbestanden.

Artikel 22

Audits inzake de bescherming van persoonsgegevens

• 1. 

  De in artikel 41 van Richtlijn (EU) 2016/680 bedoelde toezichthoudende autoriteiten voeren ten minste om de vier jaar een audit uit van de door de PIE’s met het oog op deze verordening uitgevoerde verwerkingsactiviteiten met betrekking tot API-gegevens die persoonsgegevens zijn. De lidstaten zorgen ervoor dat hun onafhankelijke toezichthoudende autoriteiten over voldoende middelen en deskundigheid beschikken om hun taken uit hoofde van deze verordening te kunnen vervullen.

• 2. 

  De Europese Toezichthouder voor gegevensbescherming voert ten minste eenmaal per jaar overeenkomstig de relevante internationale auditnormen een audit uit van de door eu-LISA met het oog op deze verordening uitgevoerde verwerkingsactiviteiten met betrekking tot API-gegevens en andere PNR-gegevens die persoonsgegevens zijn. Een verslag van die audit wordt toegezonden aan het Europees Parlement, de Raad, de Commissie, de lidstaten en eu-LISA. Voordat de verslagen worden goedgekeurd, wordt eu-LISA in de gelegenheid gesteld opmerkingen te maken.

• 3. 

  Met betrekking tot de in lid 2 bedoelde verwerkingsactiviteiten verstrekt eu-LISA op verzoek de door de Europese Toezichthouder voor gegevensbescherming gevraagde informatie, verleent eu-LISA de Europese Toezichthouder voor gegevensbescherming toegang tot alle documenten waarom deze verzoekt en tot de in artikel 17, lid 2, bedoelde logbestanden, en verleent eu-LISA de Europese Toezichthouder voor gegevensbescherming te allen tijde toegang tot alle gebouwen en terreinen van eu-LISA.

HOOFDSTUK 5

DE ROUTER

Artikel 23

Verbindingen van de PIE’s met de router

• 1. 

  De lidstaten zorgen ervoor dat hun PIE’s verbonden zijn met de router. Zij zorgen ervoor dat hun nationale systemen en infrastructuur voor de ontvangst en verdere verwerking van op grond van deze verordening doorgegeven API-gegevens en andere PNR-gegevens met de router worden geïntegreerd.

De lidstaten zorgen ervoor dat de verbinding en de integratie met de router van dien aard zijn dat de PIE’s die API-gegevens en andere PNR-gegevens kunnen ontvangen en verder kunnen verwerken en alle daarmee verband houdende communicatie op een rechtmatige, beveiligde, doeltreffende en snelle wijze kunnen uitwisselen.

• 2. 

  De Commissie stelt uitvoeringshandelingen vast waarin de nodige gedetailleerde regels inzake de verbinding en integratie met de router als bedoeld in lid 1 van dit artikel worden gespecificeerd, waaronder voorschriften inzake gegevensbeveiliging. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 42, lid 2, bedoelde onderzoeksprocedure.

Artikel 24

Verbindingen van luchtvaartmaatschappijen met de router

• 1. 

  luchtvaartmaatschappijen zorgen ervoor dat zij verbonden zijn met de router. Zij zorgen ervoor dat hun systemen en infrastructuur voor de doorgifte van API-gegevens en andere PNR-gegevens aan de router op grond van deze verordening, worden geïntegreerd met de router.

Luchtvaartmaatschappijen zorgen ervoor dat de verbinding en de integratie met de router van dien aard zijn dat zij die API-gegevens en andere PNR-gegevens kunnen doorgeven en alle daarmee verband houdende communicatie op een rechtmatige, beveiligde, doeltreffende en snelle wijze kunnen uitwisselen. Daartoe voeren luchtvaartmaatschappijen in samenwerking met eu-LISA tests uit met betrekking tot de doorgifte van API-gegevens en andere PNR-gegevens aan de router, overeenkomstig artikel 27, lid 3.

• 2. 

  De Commissie stelt uitvoeringshandelingen vast waarin de nodige gedetailleerde regels inzake de verbinding en integratie met de router als bedoeld in lid 1 van dit artikel worden gespecificeerd, waaronder voorschriften inzake gegevensbeveiliging. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 42, lid 2, bedoelde onderzoeksprocedure.

Artikel 25

Taken van eu-LISA met betrekking tot het ontwerp en de ontwikkeling van de router

• 1. 

  eu-LISA is verantwoordelijk voor het ontwerp van de fysieke architectuur van de router, waaronder het vaststellen van de technische specificaties ervan.

• 2. 

  eu-LISA is verantwoordelijk voor de ontwikkeling van de router, met inbegrip van alle technische aanpassingen die nodig zijn voor de werking van de router.

De ontwikkeling van de router omvat de uitwerking en implementatie van de technische specificaties, het testen, het algemeen projectbeheer en het coördineren van de ontwikkelingsfase.

• 3. 

  eu-LISA zorgt ervoor dat de router zodanig wordt ontworpen en ontwikkeld dat de router de in deze verordening gespecificeerde functionaliteiten heeft en dat de router in gebruik wordt genomen zo spoedig mogelijk nadat de Commissie de gedelegeerde handelingen als bedoeld in artikel 4, lid 12, artikel 5, lid 3, artikel 7, lid 2, de uitvoeringshandelingen als bedoeld in artikel 11, lid 5, artikel 12, lid 4, artikel 23, lid 2, en artikel 24, lid 2, van deze verordening en de uitvoeringshandelingen als bedoeld in artikel 16, lid 3, van Richtlijn (EU) 2016/681 heeft vastgesteld, en nadat een gegevensbeschermingseffectbeoordeling is uitgevoerd overeenkomstig artikel 35 van Verordening (EU) 2016/679.

• 4. 

  eu-LISA verstrekt de PIE’s, andere relevante autoriteiten van de lidstaten en luchtvaartmaatschappijen een conformiteitstestpakket. Het conformiteitstestpakket bestaat uit een testomgeving, een simulator, testgegevensreeksen en een testplan. Het conformiteitstestpakket maakt het mogelijk om de in de leden 5 en 6 bedoelde uitgebreide tests van de router uit te voeren, en blijft beschikbaar na voltooiing van die tests.

• 5. 

  Wanneer eu-LISA van oordeel is dat de ontwikkelingsfase met betrekking tot API-gegevens is voltooid, voert het, in samenwerking met de PIE’s, de andere relevante autoriteiten van de lidstaten en de luchtvaartmaatschappijen, onverwijld een uitgebreide test van de router uit en stelt het de Commissie in kennis van het resultaat van die test.

• 6. 

  Wanneer eu-LISA van oordeel is dat de ontwikkelingsfase met betrekking tot andere PNR-gegevens is voltooid, voert het onverwijld uitgebreide tests van de router uit om de betrouwbaarheid van de verbindingen van de router met luchtvaartmaatschappijen en PIE’s, de noodzakelijke gestandaardiseerde doorgifte van andere PNR-gegevens door luchtvaartmaatschappijen en de doorgifte en doorzending van andere PNR-gegevens overeenkomstig artikel 16 van Richtlijn (EU) 2016/681 te waarborgen, met inbegrip van het gebruik van de gemeenschappelijke protocollen en ondersteunde gestandaardiseerde gegevensformaten als bedoeld in artikel 16, leden 2 en 3, van die richtlijn om de leesbaarheid van de andere PNR-gegevens te waarborgen. Dergelijke tests worden uitgevoerd in samenwerking met de PIE’s en andere relevante autoriteiten van de lidstaten en luchtvaartmaatschappijen. eu-LISA stelt de Commissie in kennis van het resultaat van die tests.

Artikel 26

Taken van eu-LISA met betrekking tot het hosten en het technische beheer van de router

• 1. 

  eu-LISA host de router op zijn technische locaties.

• 2. 

  eu-LISA is verantwoordelijk voor het technische beheer van de router, met inbegrip van het onderhoud en de technische ontwikkeling ervan, en zorgt er daarbij voor dat de API-gegevens en andere PNR-gegevens beveiligd, doeltreffend en snel via de router worden doorgezonden, in overeenstemming met deze verordening.

Het technische beheer van de router bestaat uit de uitvoering van alle taken en technische oplossingen die nodig zijn om de router zeven dagen per week en 24 uur per dag ononderbroken naar behoren te laten functioneren overeenkomstig deze verordening. Het omvat de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een toereikende technische kwaliteit van de werking van de router, in het bijzonder wat betreft de beschikbaarheid, juistheid en betrouwbaarheid van de doorzending van de API-gegevens en andere PNR-gegevens, in overeenstemming met de technische specificaties en, voor zover mogelijk, met de operationele behoeften van de PIE’s en de luchtvaartmaatschappijen.

• 3. 

  Personeelsleden van eu-LISA hebben geen toegang tot de API-gegevens of andere PNR-gegevens die via de router worden doorgezonden. Strikt voor het onderhoud en het technische beheer van de router vereiste toegang door personeelsleden van eu-LISA valt evenwel niet onder dit verbod.

• 4. 

  Onverminderd lid 3 van dit artikel en artikel 17 van het Statuut van de ambtenaren van de Europese Unie, zoals vastgesteld in Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (22), past eu-LISA passende voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op zijn personeelsleden die moeten werken met de via de router doorgezonden API-gegevens en andere PNR-gegevens. Deze verplichting blijft ook gelden nadat dergelijke personeelsleden hun functie of dienstverband hebben beëindigd of hun werkzaamheden hebben stopgezet.

Artikel 27

Ondersteunende taken van eu-LISA met betrekking tot de router

• 1. 

  eu-LISA biedt PIE’s, andere relevante autoriteiten van de lidstaten en luchtvaartmaatschappijen op hun verzoek opleiding over het technische gebruik van de router en over hun verbinding en integratie met de router.

• 2. 

  eu-LISA biedt PIE’s ondersteuning met betrekking tot de ontvangst van API-gegevens en andere PNR-gegevens via de router op grond van deze verordening, met name in verband met de toepassing van de artikelen 12 en 23.

• 3. 

  Overeenkomstig artikel 24, lid 1, en met gebruikmaking van het in artikel 25, lid 4, bedoelde conformiteitstestpakket voert eu-LISA tests uit inzake de doorgifte van API-gegevens en andere PNR-gegevens aan de router in samenwerking met de luchtvaartmaatschappijen.

HOOFDSTUK 6

GOVERNANCE

Artikel 28

Programmabestuursraad

• 1. 

  Uiterlijk op 28 januari 2025 richt de raad van bestuur van eu-LISA een programmabestuursraad op. De programmabestuursraad bestaat uit de volgende tien leden:

Wat punt a) betreft, worden de door de raad van bestuur van eu-LISA aangewezen leden uitsluitend gekozen uit de leden of plaatsvervangers afkomstig uit de lidstaten waarop deze verordening van toepassing is.

• 2. 

  De programmabestuursraad stelt zijn reglement van orde op, dat door de raad van bestuur van eu-LISA moet worden goedgekeurd.

Het voorzitterschap wordt bekleed door een lidstaat die lid is van de programmabestuursraad.

• 3. 

  De programmabestuursraad controleert of eu-LISA zijn taken in verband met het ontwerp en de ontwikkeling van de router overeenkomstig artikel 25 op doeltreffende wijze uitvoert.

eu-LISA verstrekt de programmabestuursraad op verzoek gedetailleerde en bijgewerkte informatie over het ontwerp en de ontwikkeling van de router, alsook over de door eu-LISA daartoe toegewezen middelen.

• 4. 

  De programmabestuursraad dient regelmatig, en ten minste driemaal per kwartaal, bij de raad van bestuur van eu-LISA schriftelijke verslagen in over de voortgang die wordt geboekt met betrekking tot het ontwerp en de ontwikkeling van de router.

• 5. 

  De programmabestuursraad heeft geen beslissingsbevoegdheid of mandaat om de raad van bestuur van eu-LISA of de leden daarvan te vertegenwoordigen.

• 6. 

  De programmabestuursraad houdt op te bestaan op de in artikel 45, tweede alinea, bedoelde datum van toepassing van deze verordening.

Artikel 29

API-PNR-adviesgroep

• 1. 

  Met ingang van 28 januari 2025 verstrekt de op grond van artikel 27, lid 1, punt de), van Verordening (EU) 2018/1726 opgerichte API-PNR-adviesgroep de raad van bestuur van eu-LISA de nodige expertise in verband met API-PNR, met name in de context van de opstelling van het jaarlijkse werkprogramma en het jaarlijkse activiteitenverslag van eu-LISA.

• 2. 

  eu-LISA verstrekt de API-PNR-adviesgroep de versies, ook de tussentijdse versies, van de technische specificaties en de conformiteitstestpakketten als bedoeld in artikel 25, leden 1, 2 en 4.

• 3. 

  De API-PNR-adviesgroep vervult de volgende taken:

• 4. 

  De API-PNR-adviesgroep heeft geen beslissingsbevoegdheid of mandaat om de raad van bestuur van eu-LISA of de leden daarvan te vertegenwoordigen.

Artikel 30

API-PNR-contactgroep

• 1. 

  Uiterlijk op de relevante in artikel 45, tweede alinea, bedoelde datum van toepassing van deze verordening richt de raad van bestuur van eu-LISA een API-PNR-contactgroep op.

• 2. 

  De API-PNR-contactgroep faciliteert de communicatie tussen de bevoegde autoriteiten van de lidstaten en luchtvaartmaatschappijen over technische aangelegenheden in verband met hun respectieve taken en verplichtingen uit hoofde van deze verordening.

• 3. 

  De API-PNR-contactgroep bestaat uit vertegenwoordigers van de relevante autoriteiten van de lidstaten en luchtvaartmaatschappijen, de voorzitter van de API-PNR-adviesgroep en deskundigen van eu-LISA.

• 4. 

  De raad van bestuur van eu-LISA stelt, na advies van de API-PNR-adviesgroep, het reglement van orde van de API-PNR-contactgroep vast.

• 5. 

  Wanneer dit nodig wordt geacht, kan de raad van bestuur van eu-LISA ook subgroepen van de API-PNR-contactgroep oprichten, die specifieke technische aangelegenheden in verband met de respectieve taken en verplichtingen van de relevante autoriteiten van de lidstaten en luchtvaartmaatschappijen uit hoofde van deze verordening bespreken.

• 6. 

  De API-PNR-adviesgroep en de subgroepen daarvan hebben geen beslissingsbevoegdheid of mandaat om de raad van bestuur van eu-LISA of de leden daarvan te vertegenwoordigen.

Artikel 31

API-deskundigengroep

• 1. 

  Uiterlijk op de in artikel 45, tweede alinea, punt a), bedoelde datum van toepassing van deze verordening richt de Commissie een API-deskundigengroep op overeenkomstig de horizontale regels voor de oprichting en het functioneren van deskundigengroepen van de Commissie.

• 2. 

  De API-deskundigengroep faciliteert de communicatie tussen de bevoegde autoriteiten van de lidstaten en tussen de bevoegde autoriteiten van de lidstaten en luchtvaartmaatschappijen over beleidskwesties in verband met hun respectieve taken en verplichtingen uit hoofde van deze verordening, waaronder met betrekking tot de in artikel 38 bedoelde sancties.

• 3. 

  De API-deskundigengroep wordt voorgezeten door de Commissie en wordt samengesteld overeenkomstig de horizontale regels voor de oprichting en het functioneren van deskundigengroepen van de Commissie. Zij bestaat uit vertegenwoordigers van de bevoegde autoriteiten van de lidstaten, vertegenwoordigers van luchtvaartmaatschappijen en deskundigen van eu-LISA. Indien dit voor de uitvoering van haar taken relevant is, kan de API-deskundigengroep relevante belanghebbenden, met name vertegenwoordigers van het Europees Parlement, van de Europese Toezichthouder voor gegevensbescherming en van de onafhankelijke nationale toezichthoudende autoriteiten, uitnodigen om aan haar werkzaamheden deel te nemen.

• 4. 

  De API-deskundigengroep voert haar taken uit in overeenstemming met het transparantiebeginsel. De Commissie publiceert de notulen van de vergaderingen van de API-deskundigengroep en andere relevante documenten op de website van de Commissie.

Artikel 32

Door eu-LISA, de Europese Toezichthouder voor gegevensbescherming, de nationale toezichthoudende autoriteiten en de lidstaten gemaakte kosten

• 1. 

  De kosten die eu-LISA maakt in verband met het opzetten en de werking van de router uit hoofde van deze verordening komen ten laste van de algemene begroting van de Unie.

• 2. 

  De kosten die de lidstaten maken in verband met de tenuitvoerlegging van deze verordening, met name in verband met hun verbinding en de integratie met de router als bedoeld in artikel 23, worden ondersteund met middelen uit de algemene begroting van de Unie, overeenkomstig de subsidiabiliteitsregels en medefinancieringspercentages zoals vastgesteld in de toepasselijke rechtshandelingen van de Unie.

• 3. 

  De kosten die de Europese Toezichthouder voor gegevensbescherming maakt in verband met de hem uit hoofde van deze verordening opgedragen taken, komen ten laste van de algemene begroting van de Unie.

• 4. 

  De kosten die de onafhankelijke nationale toezichthoudende autoriteiten maken in verband met de hun uit hoofde van deze verordening opgedragen taken, worden gedragen door de lidstaten.

Artikel 33

Aansprakelijkheid met betrekking tot de router

Indien de router schade oploopt omdat een lidstaat of een luchtvaartmaatschappij de uit deze verordening voortvloeiende verplichtingen niet is nagekomen, is die lidstaat of luchtvaartmaatschappij aansprakelijk voor dergelijke schade overeenkomstig het toepasselijke Unie- of nationale recht, tenzij en voor zover is aangetoond dat eu-LISA, een andere lidstaat of een andere luchtvaartmaatschappij heeft nagelaten redelijke stappen te ondernemen om het optreden van de schade te voorkomen of de omvang ervan zo veel mogelijk te beperken.

Artikel 34

Ingebruikneming van de router met betrekking tot API-gegevens

Zodra eu-LISA de Commissie heeft meegedeeld dat de in artikel 25, lid 5, bedoelde uitgebreide test van de router met succes is voltooid, stelt de Commissie onverwijld bij uitvoeringshandeling vast op welke datum de router met betrekking tot API-gegevens in gebruik wordt genomen. Die uitvoeringshandeling wordt vastgesteld volgens de in artikel 42, lid 2, bedoelde onderzoeksprocedure.

De Commissie stelt de in de eerste alinea bedoelde datum vast op uiterlijk dertig dagen na de datum van vaststelling van die uitvoeringshandeling.

Artikel 35

Ingebruikneming van de router met betrekking tot andere PNR-gegevens

Zodra eu-LISA de Commissie heeft meegedeeld dat de in artikel 25, lid 6, bedoelde uitgebreide tests van de router met succes zijn voltooid, waaronder de tests met betrekking tot de betrouwbaarheid van de verbindingen van de router met luchtvaartmaatschappijen en PIE’s en de leesbaarheid van andere PNR-gegevens die door luchtvaartmaatschappijen worden doorgegeven en door de router worden doorgezonden in het noodzakelijke gestandaardiseerde formaat, overeenkomstig artikel 16 van Richtlijn (EU) 2016/681, stelt de Commissie onverwijld bij uitvoeringshandeling vast op welke datum de router met betrekking tot andere PNR-gegevens in gebruik wordt genomen. Die uitvoeringshandeling wordt vastgesteld volgens de in artikel 42, lid 2, bedoelde onderzoeksprocedure.

De Commissie stelt de in de eerste alinea bedoelde datum vast op uiterlijk dertig dagen na de datum van vaststelling van die uitvoeringshandeling.

Artikel 36

Vrijwillig gebruik van de router

• 1. 

  Luchtvaartmaatschappijen hebben het recht de router te gebruiken om de in artikel 3, leden 1 en 2, van Richtlijn 2004/82/EG bedoelde informatie of op grond van artikel 8 van Richtlijn (EU) 2016/681 verzamelde andere PNR-gegevens overeenkomstig die richtlijnen door te geven aan een of meer verantwoordelijke PIE’s, op voorwaarde dat de betrokken lidstaat met een dergelijk gebruik heeft ingestemd en met ingang van een door die lidstaat vastgestelde passende datum. Die lidstaat geeft zijn toestemming pas nadat hij heeft vastgesteld dat de informatie, met name ten aanzien van de verbinding van zijn eigen PIE’s met de router en die van de betrokken luchtvaartmaatschappij, op een rechtmatige, beveiligde, doeltreffende en snelle wijze kan worden verstrekt.

• 2. 

  Wanneer een luchtvaartmaatschappij de router overeenkomstig lid 1 van dit artikel in gebruik neemt, blijft zij de router gebruiken voor het verstrekken van dergelijke informatie aan de PIE van de betrokken lidstaat, tot de relevante in artikel 45, tweede alinea, bedoelde datum van toepassing van deze verordening. Dat gebruik wordt echter met ingang van een door die lidstaat bepaalde, passende datum stopgezet wanneer die lidstaat een dergelijke stopzetting op objectieve gronden noodzakelijk acht en hij de luchtvaartmaatschappij daarvan in kennis heeft gesteld.

• 3. 

  De betrokken lidstaat:

HOOFDSTUK 7

TOEZICHT, SANCTIES, STATISTIEKEN EN HANDLEIDING

Artikel 37

Nationale autoriteit voor toezicht inzake API

• 1. 

  De lidstaten wijzen een of meer nationale autoriteiten voor toezicht inzake API aan die de taak krijgen te monitoren hoe de luchtvaartmaatschappijen de bepalingen van deze verordening toepassen op hun grondgebied, en de naleving van die bepalingen te waarborgen.

• 2. 

  De lidstaten zorgen ervoor dat de nationale autoriteiten voor toezicht inzake API over de middelen en de onderzoeks- en handhavingsbevoegdheden beschikken die noodzakelijk zijn om hun taken uit hoofde van deze verordening uit te voeren en om, in voorkomend geval, ook de in artikel 38 bedoelde sancties op te leggen. De lidstaten zorgen ervoor dat de uitoefening van de aan de nationale autoriteit voor toezicht inzake API verleende bevoegdheden onderworpen is aan passende waarborgen, in overeenstemming met de door het Unierecht beschermde grondrechten.

• 3. 

  Uiterlijk op de relevante in artikel 45, tweede alinea, bedoelde datum van toepassing van deze verordening stellen de lidstaten de Commissie in kennis van de naam en de contactgegevens van de autoriteiten die zij op grond van lid 1 van dit artikel hebben aangewezen. Zij stellen de Commissie onverwijld in kennis van latere veranderingen of wijzigingen daarvan.

• 4. 

  Dit artikel doet geen afbreuk aan de in artikel 51 van Verordening (EU) 2016/679, artikel 41 van Richtlijn (EU) 2016/680 en artikel 15 van Richtlijn (EU) 2016/681 bedoelde bevoegdheden van de toezichthoudende autoriteiten.

Artikel 38

Sancties

• 1. 

  De lidstaten stellen voorschriften vast ten aanzien van de sancties die van toepassing zijn op inbreuken op deze verordening en nemen alle nodige maatregelen om ervoor te zorgen dat deze sancties worden uitgevoerd. De sancties zijn doeltreffend, evenredig en afschrikkend.

• 2. 

  De lidstaten stellen de Commissie uiterlijk op de relevante in artikel 45, tweede alinea, bedoelde datum van toepassing van deze verordening in kennis van deze voorschriften en maatregelen en stellen haar onverwijld in kennis van latere wijzigingen daarvan.

• 3. 

  De lidstaten zorgen ervoor dat de nationale autoriteiten voor toezicht inzake API, wanneer zij besluiten om al dan niet een sanctie op te leggen en wanneer zij het type en de omvang van de sanctie bepalen, rekening houden met alle relevante omstandigheden, waaronder:

• 4. 

  De lidstaten zorgen ervoor dat herhaalde niet-naleving van de verplichting om API-gegevens door te geven overeenkomstig artikel 5, lid 1, bestraft wordt met evenredige financiële sancties van ten hoogste 2 % van de wereldwijde omzet van de luchtvaartmaatschappij in het voorgaande boekjaar. De lidstaten zorgen ervoor dat bij niet-naleving van andere in deze verordening vastgestelde verplichtingen evenredige sancties, waaronder financiële sancties, worden opgelegd.

Artikel 39

Statistieken

• 1. 

  Ter ondersteuning van de tenuitvoerlegging en monitoring van de toepassing van deze verordening publiceert eu-LISA op basis van de in de leden 5 en 6 bedoelde statistische informatie elk kwartaal statistieken over de werking van de router en over de naleving door luchtvaartmaatschappijen van de in deze verordening vastgestelde verplichtingen. Aan de hand van die statistieken kunnen geen personen worden geïdentificeerd.

• 2. 

  Met het oog op de in lid 1 vermelde doelstellingen zendt de router de in de leden 5 en 6 vermelde gegevens automatisch door naar het CRRS.

• 3. 

  Ter ondersteuning van de tenuitvoerlegging en monitoring van de toepassing van deze verordening verzamelt eu-LISA elk jaar statistische gegevens in een jaarverslag voor het voorgaande jaar. eu-LISA publiceert dat jaarverslag en zendt het toe aan het Europees Parlement, de Raad, de Commissie, de Europese Toezichthouder voor gegevensbescherming, het Europees Grens- en kustwachtagentschap en de in artikel 37 bedoelde nationale autoriteiten voor toezicht inzake API. Het jaarverslag onthult geen vertrouwelijke werkmethoden en schaadt geen lopende onderzoeken die worden uitgevoerd door bevoegde autoriteiten van de lidstaten.

• 4. 

  Op verzoek van de Commissie verstrekt eu-LISA de Commissie statistieken over specifieke aspecten van de tenuitvoerlegging van deze verordening, alsmede de in lid 3 bedoelde statistieken.

• 5. 

  Het CRRS verstrekt eu-LISA de volgende statistische informatie die nodig is voor de in artikel 44 bedoelde rapportage en met het oog op het genereren van statistieken overeenkomstig dit artikel, zonder dat aan de hand van dergelijke statistieken over API-gegevens de betrokken passagiers kunnen worden geïdentificeerd:

• 6. 

  Het CRRS verstrekt eu-LISA de volgende statistische informatie die nodig is voor de in artikel 44 bedoelde rapportage en met het oog op het genereren van statistieken overeenkomstig dit artikel, zonder dat aan de hand van deze statistieken over andere PNR-gegevens de betrokken passagiers kunnen worden geïdentificeerd:

• 7. 

  Met het oog op de in artikel 44 bedoelde rapportage en met het oog op het genereren van statistieken overeenkomstig dit artikel slaat eu-LISA de in de leden 5 en 6 van dit artikel bedoelde gegevens op in het CRRS. eu-LISA slaat dergelijke gegevens overeenkomstig lid 2 gedurende vijf jaar op en zorgt ervoor dat aan de hand van de gegevens de betrokken passagiers niet kunnen worden geïdentificeerd. Met het oog op de tenuitvoerlegging en monitoring van de toepassing van deze verordening verstrekt het CRRS het naar behoren gemachtigd personeel van de PIE’s en andere relevante autoriteiten van de lidstaten verslagen en statistieken op maat over API-gegevens, zoals bedoeld in lid 5 van dit artikel, en over PNR-gegevens, zoals bedoeld in lid 6 van dit artikel.

• 8. 

  Het gebruik van de in de leden 5 en 6 van dit artikel bedoelde gegevens mag niet resulteren in de profilering van personen zoals bedoeld in artikel 11, lid 3, van Richtlijn (EU) 2016/680 of in discriminatie van personen op de in artikel 21 van het Handvest genoemde gronden. De in de leden 5 en 6 van dit artikel bedoelde gegevens mogen niet worden gebruikt voor het maken van een vergelijking of het vinden van een match met persoonsgegevens of voor het combineren met persoonsgegevens.

• 9. 

  De door eu-LISA ingevoerde procedures voor het monitoren van de ontwikkeling en de werking van de router als bedoeld in artikel 39, lid 2, van Verordening (EU) 2019/818 voorzien in de mogelijkheid om regelmatig statistieken op te stellen voor het waarborgen van die monitoring.

Artikel 40

Praktische handleiding

De Commissie stelt in nauwe samenwerking met de PIE’s, andere relevante autoriteiten van de lidstaten, de luchtvaartmaatschappijen en de relevante organen en agentschappen van de Unie een praktische handleiding op met richtsnoeren, aanbevelingen en beste praktijken voor de tenuitvoerlegging van deze verordening, onder meer inzake de naleving van de grondrechten en inzake sancties overeenkomstig artikel 38, en maakt deze openbaar beschikbaar.

In de praktische handleiding wordt rekening gehouden met andere relevante handleidingen.

De Commissie stelt de praktische handleiding vast in de vorm van een aanbeveling.

HOOFDSTUK 8

VERHOUDING TOT ANDERE BESTAANDE INSTRUMENTEN

Artikel 41

Wijziging van Verordening (EU) 2019/818

In artikel 39 van Verordening (EU) 2019/818 worden de leden 1 en 2 vervangen door:

“1)   Er wordt een centraal register voor rapportage en statistieken (CRRS) ingesteld om de doelstellingen van Eurodac, SIS en ECRIS-TCN in overeenstemming met de voor die systemen respectievelijk geldende rechtsinstrumenten te ondersteunen en om te voorzien in systeemoverschrijdende statistische gegevens en analytische verslagen voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit. Het CRRS ondersteunt tevens de doelstellingen van Verordening (EU) 2025/13 van het Europees Parlement en de Raad (*1).

• 2) 

  eu-LISA zorgt op zijn technische locaties voor het instellen, implementeren en hosten van het CRRS, met daarin de logisch per EU-informatiesysteem gescheiden gegevens en statistieken als bedoeld in artikel 74 van Verordening (EU) 2018/1862 en artikel 32 van Verordening (EU) 2019/816. eu-LISA verzamelt ook de gegevens en statistieken van de router als bedoeld in artikel 39, lid 1, van Verordening (EU) 2025/13. Toegang tot het CRRS wordt door middel van een gecontroleerde en beveiligde toegang en specifieke gebruikersprofielen uitsluitend met het oog op het opstellen van rapporten en statistieken verleend aan de in artikel 74 van Verordening (EU) 2018/1862, artikel 32 van Verordening (EU) 2019/816 en artikel 13, lid 1, van Verordening (EU) 2025/13 bedoelde autoriteiten.

HOOFDSTUK 9

SLOTBEPALINGEN

Artikel 42

Comitéprocedure

• 1. 

  De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

• 2. 

  Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing. Indien door het comité geen advies wordt uitgebracht, neemt de Commissie de ontwerpuitvoeringshandeling niet aan en is artikel 5, lid 4, derde alinea, van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 43

Uitoefening van de bevoegdheidsdelegatie

• 1. 

  De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

• 2. 

  De in artikel 4, leden 11 en 12, artikel 5, lid 4, en artikel 7, lid 5, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van 28 januari 2025. De Commissie stelt uiterlijk negen maanden voor het einde van de termijn van vijf jaar een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.

Met betrekking tot een op grond van artikel 4, lid 11, vastgestelde gedelegeerde handeling geldt dat indien het Europees Parlement of de Raad op grond van lid 6 van dit artikel bezwaar heeft gemaakt, noch het Europees Parlement noch de Raad bezwaar kan maken tegen de in de eerste alinea van dit lid bedoelde stilzwijgende verlenging.

• 3. 

  Het Europees Parlement of de Raad kan de in artikel 4, lid 12, artikel 5, lid 4, en artikel 7, lid 5, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

• 4. 

  Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

• 5. 

  Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

• 6. 

  Een op grond van artikel 4, lid 11 of lid 12, artikel 5, lid 4, of artikel 7, lid 5, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad daartegen bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van de termijn van twee maanden de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

Artikel 44

Monitoring en evaluatie

• 1. 

  eu-LISA zorgt ervoor dat er procedures zijn om de ontwikkeling van de router te monitoren in het licht van de doelstellingen inzake planning en kosten, en om de werking van de router te monitoren in het licht van de doelstellingen inzake technische resultaten, kosteneffectiviteit, beveiliging en kwaliteit van de dienstverlening.

• 2. 

  Uiterlijk op 29 januari 2026, en vervolgens ieder jaar tijdens de ontwikkelingsfase van de router, stelt eu-LISA een verslag op over de stand van zaken met betrekking tot de ontwikkeling van de router en dient het dat verslag in bij het Europees Parlement en de Raad. Het verslag bevat gedetailleerde informatie over de gemaakte kosten en over eventuele risico’s die van invloed kunnen zijn op de totale kosten die overeenkomstig artikel 32 ten laste komen van de algemene begroting van de Unie.

• 3. 

  Zodra de router in gebruik is genomen, stelt eu-LISA een verslag op waarin uitvoerig wordt uiteengezet hoe de doelstellingen, met name met betrekking tot planning en kosten, zijn bereikt, met opgave van de redenen voor eventuele afwijkingen daarvan, en dient het dit verslag in bij het Europees Parlement en de Raad.

• 4. 

  Uiterlijk op 29 januari 2029 en vervolgens om de vier jaar stelt de Commissie een verslag op met een algemene evaluatie van deze verordening, met inbegrip van een evaluatie van de noodzaak en de toegevoegde waarde van het verzamelen van API-gegevens, met daarin onder meer een beoordeling van:

Voor de toepassing van punt e) van de eerste alinea wordt in het verslag van de Commissie ook ingegaan op de interactie van deze verordening met andere relevante wetgevingshandelingen van de Unie, met name de Verordeningen (EG) nr. 767/2008, (EU) 2017/2226 en (EU) 2018/1240, en worden, teneinde de algemene impact van de daaruit voortvloeiende rapportageverplichtingen voor luchtvaartmaatschappijen te beoordelen, bepalingen in kaart gebracht die in voorkomend geval kunnen worden bijgewerkt en vereenvoudigd om de lasten voor luchtvaartmaatschappijen te verlichten, en eventueel te nemen acties en maatregelen besproken om de totale kostendruk op luchtvaartmaatschappijen te verminderen.

• 5. 

  De in lid 4 bedoelde evaluatie omvat ook een beoordeling van de noodzaak, de evenredigheid en de doeltreffendheid van het opnemen van de verplichte verzameling en doorgifte van API-gegevens met betrekking tot vluchten binnen de EU binnen het toepassingsgebied van deze verordening.

• 6. 

  De Commissie zendt het evaluatieverslag toe aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten. In voorkomend geval dient de Commissie in het licht van de evaluatie een wetgevingsvoorstel tot wijziging van deze verordening in bij het Europees Parlement en de Raad.

• 7. 

  De lidstaten en luchtvaartmaatschappijen verstrekken eu-LISA en de Commissie op verzoek de informatie die nodig is om de in de leden 2, 3 en 4 bedoelde verslagen op te stellen. De lidstaten verstrekken met name kwantitatieve en kwalitatieve informatie over de verzameling van API-gegevens vanuit operationeel perspectief. De verstrekte informatie bevat geen persoonsgegevens. De lidstaten kunnen afzien van het verstrekken van dergelijke informatie indien en voor zover dat nodig is om te beletten dat vertrouwelijke werkmethoden openbaar worden of lopende, door hun PIE’s of andere bevoegde autoriteiten uitgevoerde onderzoeken in het gedrang komen. De Commissie ziet erop toe dat alle verstrekte vertrouwelijke informatie adequaat wordt beschermd.

Artikel 45

Inwerkingtreding en toepassing

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Zij is van toepassing:

Daarbij geldt evenwel het volgende:

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in de lidstaten overeenkomstig de Verdragen.

Gedaan te Brussel, 19 december 2024.

Voor het Europees Parlement

De voorzitter

• R. 

  METSOLA

Voor de Raad

De voorzitter

BÓKA J.

• (1) 

  PB C 228 van 29.6.2023, blz. 97.

• (2) 

  Standpunt van het Europees Parlement van 25 april 2024 (nog niet bekendgemaakt in het Publicatieblad) en Besluit van de Raad van 12 december 2024.

• (3) 

  Richtlijn 2004/82/EG van de Raad van 29 april 2004 betreffende de verplichting voor vervoerders om passagiersgegevens door te geven (PB L 261 van 6.8.2004, blz. 24).

• (4) 

  Richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit (PB L 119 van 4.5.2016, blz. 132).

• (5) 

  Verordening (EU) 2025/12 van het Europees Parlement en de Raad van 19 december 2024 betreffende de verzameling en de doorgifte van advance passenger information met het oog op het versterken en vergemakkelijken van de controles aan de buitengrenzen, tot wijziging van Verordeningen (EU) 2018/1726 en (EU) 2019/817, en tot intrekking van Richtlijn 2004/82/EG van de Raad (PB L, 2025/12, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/12/oj).

• (6) 

  Verordening (EU) 2019/1157 van het Europees Parlement en de Raad van 20 juni 2019 betreffende de versterking van de beveiliging van identiteitskaarten van burgers van de Unie en van verblijfsdocumenten afgegeven aan burgers van de Unie en hun familieleden die hun recht van vrij verkeer uitoefenen (PB L 188 van 12.7.2019, blz. 67).

• (7) 

  Verordening (EG) nr. 2252/2004 van de Raad van 13 december 2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten (PB L 385 van 29.12.2004, blz. 1).

• (8) 

  Richtlijn (EU) 2019/997 van de Raad van 18 juni 2019 tot vaststelling van een EU-noodreisdocument en tot intrekking van Besluit 96/409/GBVB (PB L 163 van 20.6.2019, blz. 1).

• (9) 

  Verordening (EU) 2017/2226 van het Europees Parlement en de Raad van 30 november 2017 tot instelling van een inreis-uitreissysteem (EES) voor de registratie van inreis- en uitreisgegevens en van gegevens over weigering van toegang ten aanzien van onderdanen van derde landen die de buitengrenzen overschrijden en tot vaststelling van de voorwaarden voor toegang tot het EES voor rechtshandhavingsdoeleinden en tot wijziging van de overeenkomst ter uitvoering van het te Schengen gesloten akkoord en Verordeningen (EG) nr. 767/2008 en (EU) nr. 1077/2011 (PB L 327 van 9.12.2017, blz. 20).

• (10) 

  Verordening (EU) 2018/1240 van het Europees Parlement en de Raad van 12 september 2018 tot oprichting van een Europees reisinformatie en -autorisatiesysteem (ETIAS) en tot wijziging van de Verordeningen (EU) nr. 1077/2011, (EU) nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 en (EU) 2017/2226 (PB L 236 van 19.9.2018, blz. 1).

• (11) 

  Verordening (EG) nr. 767/2008 van het Europees Parlement en de Raad van 9 juli 2008 betreffende het Visuminformatiesysteem (VIS) en de uitwisseling tussen de lidstaten van gegevens op het gebied van visa voor kort verblijf (VIS-verordening) (PB L 218 van 13.8.2008, blz. 60).

• (12) 

  Verordening (EU) 2018/1726 van het Europees Parlement en de Raad van 14 november 2018 betreffende het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), tot wijziging van Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EU) nr. 1077/2011 (PB L 295 van 21.11.2018, blz. 99).

• (13) 

  Verordening (EG) nr. 1107/2006 van het Europees Parlement en de Raad van 5 juli 2006 inzake de rechten van gehandicapten en personen met beperkte mobiliteit die per luchtvervoer reizen (PB L 204 van 26.7.2006, blz. 1).

• (14) 

  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

• (15) 

  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

• (16) 

  Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).

• (17) 

  Verordening (EU) 2019/818 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor interoperabiliteit tussen de Unie-informatiesystemen op het gebied van politiële en justitiële samenwerking, asiel en migratie en tot wijziging van Verordeningen (EU) 2018/1726, (EU) 2018/1862 en (EU) 2019/816 (PB L 135 van 22.5.2019, blz. 85).

• (18) 

  PB L 123 van 12.5.2016, blz. 1.

• (19) 

  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13, ELI: http://data.europa.eu/eli/reg/2011/182/oj).

• (20) 

  PB C 84 van 7.3.2023, blz. 2.

• (21) 

  Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad van 15 maart 2017 inzake terrorismebestrijding en ter vervanging van Kaderbesluit 2002/475/JBZ van de Raad en tot wijziging van Besluit 2005/671/JBZ van de Raad (PB L 88 van 31.3.2017, blz. 6).

• (22) 

  PB L 56 van 4.3.1968, blz. 1.

ELI: http://data.europa.eu/eli/reg/2025/13/oj

ISSN 1977-0758 (electronic edition)

Deze samenvatting is overgenomen van EUR-Lex.