Besluit van de Minister van Economische Zaken van 29 juni 2016, nr. WJZ / 16094083, tot tijdelijke aanwijzing van een toezichthoudend orgaan, een nationaal orgaan voor informatieveiligheid en een gegevensbeschermingsautoriteit in de zin van verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PbEU 2014, L 257)

TOELICHTING

1. Algemeen

Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PbEU 2014, L 257) (hierna: de verordening) regelt het grensoverschrijdend gebruik van elektronische identificatiemiddelen en vertrouwensdiensten tussen de lidstaten van de Europese Unie. Vertrouwensdiensten zijn samengevat elektronische handtekeningen, elektronische zegels, elektronische tijdstempels, diensten voor aangetekende elektronische bezorging en elektronische certificaten voor authenticatie van websites. De verordening is voor vertrouwensdiensten vanaf 1 juli 2016 met rechtstreekse werking van toepassing. Ten aanzien van vertrouwensdiensten stelt de verordening onder meer eisen aan vertrouwensdienstverleners en hun diensten en is toezicht op de naleving daarvan vereist. Ook dient een vertrouwenslijst te worden opgesteld. De verordening bepaalt dat lidstaten een toezichthoudend orgaan aanwijzen dat over de noodzakelijke bevoegdheden en toereikende middelen beschikt ter uitvoering van zijn in de verordening omschreven toezichthoudende taken (artikel 17, eerste lid). Ook dienen de lidstaten voorschriften vast te stellen inzake de sancties die van toepassing zijn op inbreuken op de verordening (artikel 16). En lidstaten dienen aan de Europese Commissie het orgaan mede te delen dat de vertrouwenslijst opstelt, bijhoudt en publiceert (artikel 22, eerste lid, juncto derde lid). Tot uitvoering van de verordening strekt het wetsvoorstel tot wijziging van de Telecommunicatiewet, de Boeken 3 en 6 van het Burgerlijk Wetboek, de Algemene wet bestuursrecht alsmede daarmee samenhangende wijzigingen van andere wetten in verband met de uitvoering van EU-verordening elektronische identiteiten en vertrouwensdiensten (uitvoering EU-verordening elektronische identiteiten en vertrouwensdiensten) (34 413). Dit wetsvoorstel zal zeer waarschijnlijk niet tijdig, dat wil zeggen voor of op 1 juli 2016, tot wet worden verheven en in werking treden.

Nederland is op grond van het in het in artikel 4, derde lid, van het Verdrag betreffende de Europese Unie, vastgelegde beginsel van loyale samenwerking verplicht de nakoming van verplichtingen die voortkomen uit bindende handelingen, zoals een verordening, te verzekeren. Het beginsel van loyale samenwerking richt zich tot alle organen van een betrokken lidstaat, en daarmee ook tot de voor vertrouwensdiensten beleidsverantwoordelijke Minister van Economische Zaken. Om tijdig aan de verplichtingen uit de verordening te kunnen voldoen, bepaalt de Minister in dit besluit dat vanaf 1 juli 2016 tot het tijdstip waarop het wetsvoorstel tot uitvoering van de verordening tot wet is verheven en in werking is getreden de Autoriteit Consument en Markt (hierna verder: ACM) voor Nederland het toezichthoudend orgaan in de zin van de verordening is. Tevens bepaalt het besluit dat de verantwoordelijkheid voor een vertrouwenslijst bij ACM berust. Deze keuze sluit aan bij de huidige in de Telecommunicatiewet geregelde situatie waarin ACM toezichthouder is op aanbieders van gekwalificeerde certificaten voor elektronische handtekeningen en de registratie daarvan bijhoudt.

Voor de duur van de tijdelijke situatie waarin ACM toezichthoudend orgaan is, is tussen ACM en Agentschap Telecom (hierna verder: AT) afgesproken dat zij werkafspraken sluiten waarin AT gelet op aldaar beschikbare expertise ondersteuning biedt aan ACM bij de te verrichten werkzaamheden op het gebied van vertrouwensdiensten. In het wetsvoorstel wordt AT aangewezen als toezichthoudend orgaan in de zin van de verordening en worden daarin de noodzakelijke bevoegdheden toegewezen voor het uitvoeren van toezichthoudende taken. In de tijdelijke situatie berust het toezicht en bijbehorende besluitvorming bij ACM en in de definitieve situatie bij AT.

Een specifieke situatie waarin de verordening voorziet, heeft betrekking op de verplichting in de verordening voor verleners van vertrouwensdiensten een veiligheidsinbreuk of integriteitsverlies met aanzienlijke gevolgen voor de verleende vertrouwensdienst of voor de persoonsgegevens die daarmee worden beheerd te melden niet enkel aan het toezichthoudend orgaan, maar waar passend ook aan andere relevante organen zoals het nationale orgaan voor informatieveiligheid of de gegevensbeschermingsautoriteit. In het besluit wordt de Minister van Veiligheid en Justitie als het nationale orgaan voor informatieveiligheid en het College bescherming persoonsgegevens (hierna verder: Cbp) als gegevensbeschermingsautoriteit aangewezen, zodat bij de toepassing van de verordening eenduidig is bepaald welke de organen hiervoor zijn. De aanwijzing van de Minister van Veiligheid en Justitie ziet op melding van incidenten bij het Nationaal Cyber Security Centrum (NCSC). Zodra het wetsvoorstel tot wet wordt verheven en in werking is getreden, vindt aanwijzing van de Minister van Veiligheid en Justitie respectievelijk het Cbp ten behoeve van de meldplicht op grond van die wet plaats.

2. Bevoegdheden

Om als gekwalificeerde verlener van vertrouwensdiensten een gekwalificeerde vertrouwensdienst te mogen aanbieden, dient een daarvoor in de verordening opgenomen procedure te worden doorlopen bij het toezichthoudend orgaan. In de tijdelijke situatie is ACM dat toezichthoudend orgaan. De inhoud van die procedure is in de verordening vastgelegd en heeft daarmee rechtstreekse werking (artikel 21 van de verordening). Eerst na het succesvol bij ACM doorlopen van de procedure voor het verkrijgen van de status gekwalificeerd en registratie op de vertrouwenslijst, is toezicht door ACM op deze geregistreerde vertrouwensdienstverleners en hun geregistreerde diensten aan de orde. Voor aanbieders van gekwalificeerde certificaten voor elektronische handtekeningen die onder de huidige Telecommunicatiewet door ACM op de vertrouwenslijst zijn geregistreerd, bevat de verordening overgangsrecht waarin deze aanbieders als gekwalificeerde vertrouwensdienstverleners worden aangemerkt. Zij hoeven niet eerst een procedure te doorlopen om de status gekwalificeerd te verkrijgen, zodat het toezicht van ACM zich vanaf 1 juli 2016 direct al tot deze bestaande gekwalificeerde verleners en hun geregistreerde vertrouwensdiensten uitstrekt. ACM is als tijdelijk aangewezen toezichthoudend orgaan op grond van de verordening bevoegd bij niet-naleving van de verordening onder voorwaarden de status van gekwalificeerde of de status van de betrokken dienst als gekwalificeerd in te trekken (artikel 20, derde lid, van de verordening). Andere bevoegdheden van ACM in het kader van het toezicht en handhaving op deze al geregistreerde aanbieders zijn in huidige wetgeving vastgelegd, waaronder in de Telecommunicatiewet. Handhaving zal zich vooral richten op herstel van naleving van voorschriften uit de verordening of in uiterste geval tot intrekking van de verleende status. Bij de toepassing van de huidige wet zal de volle werkzaamheid van de verordening gewaarborgd dienen te worden totdat het wetsvoorstel tot wet is verheven en in werking is getreden. De huidige Telecommunicatiewet zal in het licht van de bewoordingen en het doel van de verordening dienen te worden uitgelegd, waarbij ACM toezichthoudend orgaan in de zin van de verordening is. Voor zover de huidige wetgeving aan de toepassing van de verordening in de weg zou staan, dient daaraan geen toepassing te worden gegeven. Jurisprudentie van het Europese Hof van Justitie bevestigt deze uitgangspunten (zie onder meer arrest HvJEU van 8 november 2005, Leffler, C-443/03, Jurispr. blz. I-9611, overweging 51, maar bijvoorbeeld ook HvJEG van 16 december 1990, Humblet/Belgische Staat, 6/60, Jurispr. blz. 1146 en arrest van 10 oktober 2013, zaak C-306/12 Spedition Welter GmbH/Avanssur SA, dictum 2, arrest van 16 juni 2005, zaak C-105/03 ‘Pupino’, r.o. 43, en arrest van 13 november 1990, zaak C-106/89 ‘Marleasing’, r.o. 13 en arrrest van 13 maart 2008, Nationaal Overlegorgaan Sociale Werkvoorziening, zaak C-385/06). Voor niet-gekwalificeerde vertrouwensdiensten vereist de verordening een beperkte, reactieve, vorm van toezicht. ACM zal als tijdelijk toezichthoudend orgaan meldingen van aanbieders van (niet-)gekwalificeerde vertrouwensdiensten over veiligheidsinbreuken en integriteitsverlies met aanzienlijke gevolgen voor de vertrouwensdienst als bedoeld in de verordening in ontvangst moeten kunnen nemen. ACM kan op grond van de verordening het publiek over een incident informeren, indien dit in het algemeen belang is (artikel 19, tweede lid).

Bij een melding op grond van de verordening aan het Cbp als aangewezen gegevensbeschermingsautoriteit, dient voor de duur dat dit besluit van toepassing is het bepaalde in artikel 34a, eerste lid, van de Wet bescherming persoonsgegevens omtrent het doen van een melding, en het toezicht daarop, te worden toegepast en uitgelegd met inachtneming van hetgeen in de verordening is bepaald ten aanzien van een melding aan de gegevensbeschermingsautoriteit. De werkzaamheid van de verordening dient hierin gewaarborgd te blijven.

De Minister van Economische Zaken, H.G.J. Kamp