Bij deze verordening worden de regels en procedures vastgesteld voor de werking en het beheer van een informatieregister. Deze regels en procedures zijn nodig om te garanderen dat het Agentschap en de nationale bevoegde autoriteiten op doeltreffende wijze samenwerken bij de uitoefening van hun certificerings-, toezichts- en handhavingstaken uit hoofde van Verordening (EU) 2018/1139.
Uitvoeringsverordening (EU) 2023/2117 van de Commissie van 12 oktober 2023 tot vaststelling van de nodige regels en gedetailleerde vereisten voor de werking en het beheer van een informatieregister overeenkomstig Verordening (EU) 2018/1139 van het Europees Parlement en de Raad
Uitvoeringsverordening (EU) 2023/2117 van de Commissie van 12 oktober 2023 tot vaststelling van de nodige regels en gedetailleerde vereisten voor de werking en het beheer van een informatieregister overeenkomstig Verordening (EU) 2018/1139 van het Europees Parlement en de Raad
DE EUROPESE COMMISSIE,
Gezien het Verdrag betreffende de werking van de Europese Unie,
Gezien Verordening (EU) 2018/1139 van het Europees Parlement en de Raad van 4 juli 2018 inzake gemeenschappelijke regels op het gebied van burgerluchtvaart en tot oprichting van een Agentschap van de Europese Unie voor de veiligheid van de luchtvaart, en tot wijziging van de Verordeningen (EG) nr. 2111/2005, (EG) nr. 1008/2008, (EU) nr. 996/2010, (EU) nr. 376/2014 en de Richtlijnen 2014/30/EU en 2014/53/EU van het Europees Parlement en de Raad, en tot intrekking van de Verordeningen (EG) nr. 552/2004 en (EG) nr. 216/2008 van het Europees Parlement en de Raad en Verordening (EEG) nr. 3922/91 van de Raad(1), en met name artikel 74, lid 8,
Overwegende hetgeen volgt:
(1) Overeenkomstig artikel 74 van Verordening (EU) 2018/1139 moet burgerluchtvaartgerelateerde informatie worden opgeslagen in een elektronisch informatieregister dat wordt opgezet en beheerd door het Agentschap van de Europese Unie voor de veiligheid van de luchtvaart (“het Agentschap”). Dit is nodig om te zorgen voor een doeltreffende samenwerking tussen het Agentschap en de nationale bevoegde autoriteiten bij de uitoefening van hun certificerings-, toezichts- en handhavingstaken uit hoofde van die verordening.
(2) Het is belangrijk dat de Commissie en de nationale bevoegde autoriteiten worden betrokken bij de ontwikkeling en het beheer van het register door het Agentschap en daarom moet deze verordening voorzien in een passend raadplegingsmechanisme om ervoor te zorgen dat het Agentschap de lidstaten en de Commissie raadpleegt alvorens besluiten over het register te nemen.
(3) Met het oog op een doeltreffend gebruik van het register moet het bestaan uit een centrale gegevensbank, communicatie-infrastructuur en een noodzakelijke interface voor afgifte van, zoekopdrachten in en toegang tot de in het register opgeslagen informatie. Om de samenwerking tussen de entiteiten die het register gebruiken, te vergemakkelijken, moet er één interface zijn voor directe zoekopdrachten van gebruikers in het register en één interface voor de nationale bevoegde autoriteiten.
(4) Het register moet de integratie van de bevoegde autoriteiten in het register en de communicatie met het register vergemakkelijken door middel van passende functionele specificaties voor de interface, de beveiliging, het netwerk en de applicatieconfiguratie-informatie.
(5) Het Agentschap moet ervoor zorgen dat het register goed blijft werken, om technische storingen te voorkomen en de continuïteit van de werking van het register en het beheer van de gegevens ervan te waarborgen.
(6) De informatie moet worden doorgegeven aan en uitgewisseld via het register op basis van door het Agentschap voorgestelde gezamenlijk overeengekomen informatieformaten, zodat de uitgewisselde informatie door de communicerende entiteiten op dezelfde manier wordt begrepen.
(7) Regelmatige actualiseringen van de in het register opgeslagen informatie moeten een betere uitwisseling van informatie mogelijk maken. In dat verband moeten het Agentschap en de nationale bevoegde autoriteiten een methode ontwikkelen om de in het register opgeslagen informatie regelmatig bij te werken.
(8) In deze verordening moeten ook de vereisten voor de rubricering van informatie worden vastgesteld, zodat de in het register opgeslagen informatie wordt behandeld volgens de privacy-, vertrouwelijkheids-, integriteits- en beschikbaarheidsparameters. Deze rubricering moet opnieuw worden geëvalueerd wanneer er een wijziging in het gebruik van de gegevens plaatsvindt, om te garanderen dat de rubricering actueel is.
(9) Het is belangrijk te bepalen welke belanghebbenden informatie kunnen ontvangen die in het register is opgeslagen, en gedetailleerde regels vast te stellen voor de behandeling van hun verzoeken om toegang. Daartoe moeten in deze verordening de noodzakelijke voorwaarden worden vastgesteld voor de verspreiding van informatie onder de belanghebbende partijen. Voorts moet worden gegarandeerd dat de door de belanghebbenden ontvangen informatie vertrouwelijk wordt beheerd.
(10) Een systeem voor de traceerbaarheid van de in het register opgeslagen informatie moet bescherming bieden tegen ongeoorloofde toegang tot het register en moet het mogelijk maken toezicht te houden op activiteiten waarbij informatie, met inbegrip van persoonsgegevens, wordt verwerkt, teneinde de integriteit van de gegevens en de informatiebeveiliging te waarborgen.
(11) Personeelsleden van gemachtigde gebruikers die toegang moeten krijgen tot het register, moeten door hun organisaties worden gemachtigd volgens gedocumenteerde procedures. Personeelsleden van luchtvaartgeneeskundige centra moeten worden erkend door hun respectieve nationale bevoegde autoriteiten.
(12) De eisen voor de bescherming van de relevante infrastructuur en gegevens moeten worden ontwikkeld in het kader van het beveiligingsbeleid. Er moeten met name maatregelen voor veiligheidsbeheer, bedrijfscontinuïteit en noodherstelplannen worden opgesteld. De gemachtigde gebruikers moeten ervoor zorgen dat de nodige beveiligingsmaatregelen worden getroffen en dat zij in dat verband samenwerken.
(13) Persoonsgegevens mogen alleen worden verwerkt met het oog op een doeltreffende samenwerking tussen het Agentschap en de nationale bevoegde autoriteiten bij de uitoefening van hun certificerings-, toezichts- en handhavingstaken. Deze verordening moet gedetailleerde regelingen bevatten voor de bescherming van persoonsgegevens die in het register zijn opgeslagen en via dat register worden uitgewisseld. Deze verwerking moet in overeenstemming zijn met de Verordeningen (EU) 2016/679(2) en (EU) 2018/1725(3) van het Europees Parlement en de Raad en moet de verantwoordelijkheden van de aangewezen relevante entiteiten verduidelijken om ervoor te zorgen dat gegevensbescherming wordt gewaarborgd.
(14) Het is noodzakelijk de respectieve verantwoordelijkheden vast te stellen en toe te wijzen van de entiteiten die persoonsgegevens in het register verwerken, met inbegrip van het invoeren persoonsgegevens in het register en het opvragen van deze gegevens uit het register. In Verordening (EU) 2018/1139 is bepaald dat het Agentschap, in samenwerking met de Commissie en de nationale bevoegde autoriteiten, een informatieregister opstelt en beheert dat nodig is voor een doeltreffende samenwerking tussen het Agentschap en de nationale bevoegde autoriteiten. De samenwerking is er met name op gericht het veiligheidsbeheer van het register te garanderen. Zij moeten dan ook samen verantwoordelijk zijn voor de verwerking van persoonsgegevens met het oog op het beheer van het register. Daarom moeten de verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken en hun specifieke verplichtingen ten aanzien van de betrokkenen worden vastgesteld.
(15) Elke nationale bevoegde autoriteit, het Agentschap en de Commissie moeten als enige verantwoordelijke zijn voor de gegevensverwerking die binnen hun eigen systemen door gemachtigde gebruikers wordt uitgevoerd. De gegevensverwerking moet worden uitgevoerd in overeenstemming met de Verordeningen (EU) 2016/679 en (EU) 2018/1725. Aangezien de in het register uitgewisselde gegevens afkomstig zijn van elke verwerkingsverantwoordelijke, moeten de verwerkingsverantwoordelijken het Agentschap in kennis stellen van lekken van persoonsgegevens in hun systeem die de veiligheid, vertrouwelijkheid, beschikbaarheid of integriteit van de in het register verwerkte persoonsgegevens in gevaar kunnen brengen.
(16) De verplichting om elkaar in kennis te stellen van inbreuken op de beveiliging, met inbegrip van lekken van persoonsgegevens, moet worden gespecificeerd om gezamenlijke verwerkingsverantwoordelijken in staat te stellen beveiligingsincidenten en gegevenslekken zo spoedig mogelijk te identificeren. Elke verwerkingsverantwoordelijke moet ervoor zorgen dat deze gegevenslekken dienovereenkomstig worden gemeld.
(17) Indien nodig kan de uitoefening van de rechten van de betrokkene onder bepaalde gespecificeerde voorwaarden worden beperkt. Deze beperkingen moeten evenredig zijn en beperkt zijn qua reikwijdte en duur. De betrokkene moet zijn recht op een doeltreffende verdediging en een doeltreffende voorziening in rechte kunnen uitoefenen.
(18) Om de veiligheid van de luchtvaart te waarborgen, kan toegang tot eerder geregistreerde gegevens, met inbegrip van persoonsgegevens, noodzakelijk zijn voor de bevoegde autoriteit, met name toegang tot medische gegevens die eerdere ongeschiktheidsperioden of het opleggen van beperkingen rechtvaardigen. Daarom, en onverminderd kortere termijnen waarin het nationale recht voorziet, moet een maximale bewaartermijn van tien jaar vanaf de vervaldatum van het document (bv. gezondheidscertificaten, medische rapporten, vergunningen), met inbegrip van alle documenten die nodig zijn voor de in Verordening (EU) 2018/1139 bedoelde procedures, ervoor zorgen dat deze gegevens nog steeds beschikbaar zijn voor de gemachtigde gebruikers.
(19) Persoonsgegevens in het register zijn essentiële informatie die moet worden bewaard voor archiveringsdoeleinden met het oog op de veiligheid van de luchtvaart en historisch onderzoek. Na het verstrijken van de bewaartermijn of een eventueel in nationale wetgeving vastgelegde kortere periode, moeten persoonsgegevens onmiddellijk uit het register worden verwijderd. Persoonsgegevens mogen buiten het register worden bewaard met het oog op archivering in het algemeen belang van de luchtvaartveiligheid en historisch onderzoek.
(20) Om te garanderen dat deze verordening correct wordt toegepast, moeten de lidstaten en de betrokken entiteiten voldoende tijd krijgen om hun procedures aan te passen aan het nieuwe regelgevingskader alvorens deze verordening van toepassing wordt. Daarom moeten bepaalde voorschriften van bijlage I op latere data van toepassing zijn, afhankelijk van de categorie van het informatieobject en de datum van afgifte.
(21) Het Agentschap heeft overeenkomstig artikel 75, lid 2, punt b), en artikel 76, lid 1, van Verordening (EU) 2018/1139 een ontwerpuitvoeringshandeling voor de werking en het beheer van een gegevensregister overeenkomstig Verordening (EU) 2018/1139 opgesteld en bij de Commissie ingediend als Advies nr. 04/2022(4).
(22) Overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 29 maart 2023 heeft hij een advies uitgebracht.
(23) De in deze verordening vervatte maatregelen zijn in overeenstemming met het advies van het Comité voor de toepassing van gemeenschappelijke veiligheidsvoorschriften op het gebied van de burgerluchtvaart,
HEEFT DE VOLGENDE VERORDENING VASTGESTELD:
HOOFDSTUK I ALGEMENE BEPALINGEN
Artikel 1 Voorwerp
Artikel 2 Definities
1.
2.
Voorts wordt verstaan onder:
-
“gemachtigde gebruikers”: de Commissie, het Agentschap, de nationale bevoegde autoriteiten en de bevoegde autoriteiten van de lidstaat die belast zijn met het onderzoek van ongevallen en incidenten in de burgerluchtvaart, zoals bepaald in artikel 74, lid 6, eerste zin, van Verordening (EU) 2018/1139;
-
“interface”: het punt waarop onafhankelijke systemen, die vaak niet met elkaar in verband staan, verbinding maken en op elkaar reageren of met elkaar communiceren;
-
“bevoegd personeel”: het personeel van de gemachtigde gebruikers dat toegang heeft gekregen tot het register;
-
“categorie informatieobjecten”: het soort informatie dat binnen het toepassingsgebied van artikel 74, lid 1, van Verordening (EU) 2018/1139 valt en door de bevoegde gebruikers moet worden uitgewisseld en geraadpleegd;
-
“informatie-object”: een afzonderlijk uitgewisseld stuk informatie dat altijd overeenkomt met de categorie informatieobjecten en compatibel is met het informatieformaat ervan;
-
“informatieformaat”: een vooraf bepaalde structuur van de categorie informatieobjecten die bestaat uit een reeks velden die overeenstemmen met gedetailleerde soorten inhoud binnen elke categorie informatieobjecten en woordenlijsten die zijn samengesteld uit beperkte reeksen toelaatbare waarden voor elk veld;
-
“belanghebbende”: overheidsinstanties van de instellingen, agentschappen en organen van de Europese Unie en overheidsinstanties van de lidstaten, natuurlijke personen en rechtspersonen die onderworpen zijn aan een informatieobject als omschreven in bijlage I bij deze verordening en gekwalificeerde entiteiten die zijn geaccrediteerd overeenkomstig artikel 69 van Verordening (EU) 2018/1139.