Verordening 2025/12 - Verzameling en de doorgifte van advance passenger information met het oog op het versterken en vergemakkelijken van de controles aan de buitengrenzen - Hoofdinhoud

NL

L-serie

HPublicatieblad

van de Europese Unie

2025/12

8.1.2025

VERORDENING (EU) 2025/12 VAN HET EUROPEES PARLEMENT EN DE RAAD van 19 december 2024

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 77, lid 2, punten b) en d), en artikel 79, lid 2, punt c),

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comite (¹),

Handelend volgens de gewone wetgevingsprocedure (²),

Overwegende hetgeen volgt:

• (1) 

  De uitvoering van personencontroles aan de buitengrenzen draagt in aanzienlijke mate bij tot het garanderen van de

  op lange termijn van de Unie en haar lidstaten en burgers en blijft daarom een belangrijke waarborg, met name in de ruimte zonder binnengrenstoezicht. Grenscontroles moeten worden uitgevoerd in overeenstemming met Verordening (EU) 2016/399 van het Europees Parlement en de Raad (³), om te helpen illegale immigratie te bestrijden en bedreigingen voor de binnenlandse veiligheid, de openbare orde, de volksgezondheid en de internationale betrekkingen van de lidstaten te voorkomen. Dergelijke grenscontroles moeten zodanig worden uitgevoerd dat de menselijke waardigheid ten volle wordt geeerbiedigd en het desbetreffende Unierecht, met inbegrip van het Handvest van de grondrechten van de Europese Unie (“het Handvest”), volledig wordt nageleefd.

• (2) 

  Het gebruik van voorafgaand aan de aankomst van passagiers doorgegeven passagiersgegevens en vluchtin-formatie — de zogenaamde API-gegevens of “advance passenger information” — draagt bij tot een snellere uitvoering van de vereiste grenscontroles bij het overschrijden van de grens. Voor de toepassing van dit proces in het kader van deze verordening wordt met het overschrijden van grenzen meer bepaald bedoeld het overschrijden van grenzen tussen een derde land of een lidstaat waarop deze verordening niet van toepassing is en een lidstaat waarop deze verordening van toepassing is. Het gebruik van API-gegevens versterkt de grenscontroles aan die buitengrenzen doordat er dan voldoende tijd vrijkomt om alle passagiers grondig en uitgebreid te controleren zonder dat dit onevenredige negatieve gevolgen heeft voor bonafide passagiers. Daarom moet, ter wille van de doeltreffendheid en efficientie van de grenscontroles aan de buitengrenzen, een passend rechtskader worden vastgesteld om ervoor te zorgen dat de bevoegde grensautoriteiten van de lidstaten bij dergelijke grensdoorlaatposten aan de buitengrenzen toegang hebben tot API-gegevens voordat de passagiers aankomen.

• (3) 

  Het bestaande rechtskader inzake API-gegevens, dat bestaat uit Richtlijn 2004/82/EG (⁴) van de Raad en het nationale recht tot omzetting van die richtlijn, is belangrijk gebleken voor de verbetering van de grenscontroles, met name doordat het voorziet in een raamwerk waarbinnen lidstaten luchtvaartmaatschappijen kunnen verplichten API-gegevens over naar hun grondgebied vervoerde passagiers door te geven. Niettemin worden er nog steeds verschillende praktijken gehanteerd op nationaal niveau. Meer bepaald worden er niet systematisch API-gegevens bij luchtvaartmaatschappijen opgevraagd en krijgen de luchtvaartmaatschappijen te maken met verschillende vereisten met betrekking tot het soort informatie dat moet worden verzameld en de voorwaarden waaronder de API-gegevens aan de bevoegde grensautoriteiten moeten worden doorgegeven. Die verschillen leiden niet alleen tot onnodige kosten en complicaties voor luchtvaartmaatschappijen, maar doen ook afbreuk aan de doeltreffendheid en de efficientie van de voorafgaande controles van bij de buitengrenzen aankomende personen.

• (¹) 

  PB C 228 van 29.6.2023, blz. 97.

• (²) 

  Standpunt van het Europees Parlement van 25 april 2024 (nog niet bekendgemaakt in het Publicatieblad) en Besluit van de Raad van 12 december 2024.

• (³) 

  Verordening (EU) 2016/399 van het Europees Parlement en de Raad van 9 maart 2016 betreffende een Uniecode voor de overschrijding van de grenzen door personen (Schengengrenscode) (PB L 77 van 23.3.2016, blz. 1).

• (⁴) 

  Richtlijn 2004/82/EG van de Raad van 29 april 2004 betreffende de verplichting voor vervoerders om passagiersgegevens door te geven (PB L 261 van 6.8.2004, blz. 24).

• (4) 

  Het bestaande rechtskader moet worden geactualiseerd en vervangen, zodat wordt gezorgd voor duidelijke, geharmoniseerde en doeltreffende regels over het verzamelen en doorgeven van API-gegevens met het oog op het verbeteren en vergemakkelijken van de doeltreffendheid en efficientie van de grenscontroles aan de buitengrenzen en met het oog op de bestrijding van illegale immigratie, overeenkomstig de in Verordening (EU) 2016/399 uiteengezette voorschriften voor de lidstaten waarop die verordening van toepassing is, en overeenkomstig het nationale recht indien die verordening niet van toepassing is.

• (5) 

  Ten behoeve van een zo consistent mogelijke aanpak op zowel Unie- als internationaal niveau en in het licht van de op internationaal niveau geldende regels over de verzameling van API-gegevens, moet in het bij deze verordening vastgestelde geactualiseerde rechtskader rekening worden gehouden met de relevante praktijken die internationaal zijn overeengekomen met de luchtvaartsector, zoals in het kader van richtsnoeren over API-gegevens van de Werelddouaneorganisatie, de Internationale Luchtvaartorganisatie en de Internationale Burgerluchtvaartorganisatie (ICAO).

• (6) 

  De verzameling en de doorgifte van API-gegevens raken aan de privacy van natuurlijke personen en gaan gepaard met de verwerking van hun persoonsgegevens. Met het oog op de volledige eerbiediging van hun grondrechten, met name het recht op eerbiediging van het priveleven en het recht op bescherming van persoonsgegevens, overeenkomstig het Handvest, moeten passende beperkingen en waarborgen worden vastgesteld. Bijvoorbeeld, de verwerking van API-gegevens, en in het bijzonder van API-gegevens die persoonsgegevens zijn, moet strikt beperkt blijven tot wat noodzakelijk is voor en evenredig is aan de verwezenlijking van de doelstellingen van deze verordening. Daarnaast moet ervoor worden gezorgd dat de verwerking van uit hoofde van deze verordening verzamelde en doorgegeven API-gegevens niet leidt tot op grond van het Handvest verboden discriminatie.

• (7) 

  Om de doelstellingen van deze verordening te verwezenlijken, moet deze verordening van toepassing zijn op alle luchtvaartmaatschappijen die vluchten naar de Unie, zoals gedefinieerd in deze verordening, uitvoeren, ongeacht de plaats van vestiging van de luchtvaartmaatschappijen die die vluchten uitvoeren, waarbij het zowel kan gaan om geregelde als om niet-geregelde vluchten. Het verzamelen van gegevens in verband met andere burgerluchtvaart-activiteiten, zoals vluchten van vliegscholen, medische vluchten en noodvluchten, alsook in verband met militaire vluchten, valt niet binnen het toepassingsgebied van deze verordening. Deze verordening staat niet in de weg aan het verzamelen van gegevens over dergelijke vluchten uit hoofde van nationaal recht dat in overeenstemming is met het Unierecht. De Commissie moet de haalbaarheid beoordelen van een Unieregeling die exploitanten van particuliere vluchten ertoe verplicht gegevens van luchtpassagiers te verzamelen en door te geven.

• (8) 

  De verplichtingen van luchtvaartmaatschappijen om API-gegevens te verzamelen en door te geven uit hoofde van deze verordening moeten betrekking hebben op alle passagiers op vluchten naar de Unie, transitpassagiers van wie de eindbestemming buiten de Unie ligt en alle bemanningsleden die geen dienst hebben en die in verband met hun taken meevliegen op een vlucht van hun luchtvaartmaatschappij.

• (9) 

  Omwille van de doeltreffendheid en de rechtszekerheid moeten de gegevenselementen die samen de uit hoofde van deze verordening te verzamelen en vervolgens door te geven API-gegevens vormen, duidelijk en volledig worden opgesomd, en zowel informatie over elke passagier en informatie over de vlucht van die passagier omvatten. Uit hoofde van deze verordening en overeenkomstig internationale normen moet dergelijke vluchtinformatie informatie omvatten over de zitplaats en over de bagage, mits dergelijke informatie beschikbaar is, en informatie over de grensdoorlaatpost van binnenkomst op het grondgebied van de betrokken lidstaat in alle onder deze verordening vallende gevallen. Wanneer informatie over de bagage of de zitplaats beschikbaar is in andere IT-systemen waarover de luchtvaartmaatschappij, haar grondafhandelaar, haar systeemaanbieder of de luchthavenautoriteit beschikt, moeten luchtvaartmaatschappijen die informatie opnemen in de API-gegevens die aan de bevoegde grensautoriteiten moeten worden doorgegeven. API-gegevens als omschreven en gereguleerd bij deze verordening omvatten geen biometrische gegevens.

• (10) 

  Om flexibiliteit en innovatie mogelijk te maken, moet het in beginsel aan elke luchtvaartmaatschappij worden overgelaten om te bepalen hoe zij voldoet aan haar in deze verordening uiteengezette verplichtingen met betrekking tot het verzamelen van API-gegevens, rekening houdend met de verschillende soorten luchtvaartmaatschappijen zoals gedefinieerd in deze verordening en hun respectieve bedrijfsmodellen, onder meer wat betreft inchecktijden en samenwerking met luchthavens. Aangezien geschikte technologische oplossingen voorhanden zijn die het mogelijk maken dat bepaalde API-gegevens automatisch worden verzameld, waarbij wordt gewaarborgd dat de betrokken API-gegevens juist, volledig en actueel zijn, en aangezien het gebruik van dergelijke technologie voordelen biedt op het vlak van doeltreffendheid en efficientie, moeten luchtvaartmaatschappijen worden verplicht dergelijke API-gegevens met behulp van geautomatiseerde middelen te verzamelen door informatie uit de machineleesbare gegevens van het reisdocument te halen. Wanneer het in uitzonderlijke omstandigheden technisch onmogelijk is om gebruik te maken van een dergelijk geautomatiseerd middel, moeten luchtvaartmaatschappijen de API-gegevens bij wijze van uitzondering handmatig verzamelen, hetzij in het kader van de online incheckprocedure, hetzij als onderdeel van de incheckprocedure op de luchthaven, en op zodanige wijze dat hun verplichtingen uit hoofde van deze verordening worden nageleefd.

• (11) 

  De verzameling van API-gegevens met geautomatiseerde middelen moet strikt beperkt blijven tot de verzameling van de alfanumerieke gegevens in het reisdocument en mag niet leiden tot het verzamelen van biometrische gegevens in het reisdocument. Aangezien de verzameling van API-gegevens onderdeel vormt van het incheckproces, hetzij online of op de luchthaven, vereist deze verordening niet van luchtvaartmaatschappijen dat zij een reisdocument van de passagier bij het instappen controleren. Naleving van deze verordening legt passagiers geen verplichting op om

het instappen een reisdocument bij zich te hebben. Dit mag geen afbreuk doen aan verplichtingen die voortvloeien uit andere rechtshandelingen van de Unie of uit nationaal recht dat in overeenstemming is met het Unierecht.

• (12) 

  De verzameling van API-gegevens van reisdocumenten moet ook in overeenstemming zijn met de ICAO-normen inzake machineleesbare reisdocumenten, die in het Unierecht zijn opgenomen door middel van Verordening (EU) 2019/1157 van het Europees Parlement en de Raad (⁵), Verordening (EG) nr. 2252/2004 van de Raad (⁶) en Richtlijn (EU) 2019/997 van de Raad (⁷).

• (13) 

  De voorschriften van deze verordening en de bijbehorende gedelegeerde handelingen en uitvoeringshandelingen moeten leiden tot de uniforme uitvoering van deze verordening door de luchtvaartmaatschappijen, zodat de kosten van de koppeling van hun systemen zo beperkt mogelijk blijven. Om de geharmoniseerde uitvoering van die voorschriften door de luchtvaartmaatschappijen te bevorderen, met name wat de structuur, het formaat en het protocol voor de doorzending van gegevens betreft, moet de Commissie ervoor zorgen dat de praktische handleiding die zij moet opstellen alle noodzakelijke instructies en toelichtingen bevat, waarbij zij zich moet baseren op haar samenwerking met de bevoegde grensautoriteiten, andere relevante autoriteiten van de lidstaten, de luchtvaart-maatschappijen en de relevante agentschappen van de Unie.

• (14) 

  Om de kwaliteit van de API-gegevens te verbeteren, moet de krachtens deze verordening in te stellen router een functie bevatten waarmee wordt geverifieerd of de door luchtvaartmaatschappijen aan de router doorgegeven API-gegevens zowel qua inhoud als qua structuur in overeenstemming zijn met de ondersteunde gegevensformaten, waaronder gestandaardiseerde gegevensvelden of -codes. Wanneer uit de verificatie blijkt dat de gegevens niet in overeenstemming zijn met die gegevensformaten, moet de router de betrokken luchtvaartmaatschappij onmiddellijk en op geautomatiseerde wijze in kennis stellen.

• (15) 

  Het is belangrijk dat de systemen voor geautomatiseerde gegevensverzameling en andere processen, zoals ingevoerd bij deze verordening, geen negatieve gevolgen hebben voor de werknemers in de luchtvaartsector, die bij- en omscholing moeten kunnen volgen, met als doel de doeltreffendheid en betrouwbaarheid van gegevensverzameling en -doorgifte te vergroten en de arbeidsomstandigheden in de sector te verbeteren.

• (16) 

  Passagiers moeten de mogelijkheid krijgen om tijdens het online inchecken zelf, via geautomatiseerde middelen, bepaalde API-gegevens te verstrekken, bijvoorbeeld via een beveiligde app op hun smartphone, een computer of een webcam die de machineleesbare gegevens van het reisdocument kan lezen. Passagiers die niet online inchecken, moeten van de luchtvaartmaatschappijen de mogelijkheid krijgen om de vereiste machineleesbare API-gegevens tijdens het inchecken op de luchthaven te verstrekken via een self-servicekiosk of met de hulp van het personeel van de luchtvaartmaatschappij aan de incheckbalie. Onverminderd de vrijheid van luchtvaartmaatschappijen om passagierstarieven vast te stellen en hun commercieel beleid te bepalen, is het belangrijk dat de verplichtingen uit hoofde van deze verordening niet leiden tot onevenredige belemmeringen voor passagiers die niet in staat zijn om via onlinemiddelen API-gegevens te verstrekken, zoals het aanrekenen van bijkomende kosten voor het verstrekken van API-gegevens op de luchthaven. Voorts moet deze verordening voorzien in een overgangsperiode waarin passagiers de mogelijkheid wordt geboden API-gegevens handmatig te verstrekken tijdens het online inchecken. In dergelijke gevallen moeten luchtvaartmaatschappijen gebruikmaken van gegevensverificatietechnieken.

• (17) 

  Om te waarborgen dat de in het Handvest verankerde rechten worden geeerbiedigd en om te zorgen voor toegankelijke en inclusieve reismogelijkheden, met name ten behoeve van kwetsbare groepen en personen met een handicap, en in overeenstemming met de rechten van gehandicapten en personen met beperkte mobiliteit die per luchtvervoer reizen, zoals neergelegd in Verordening (EG) nr. 1107/2006 van het Europees Parlement en de Raad (⁸), moeten luchtvaartmaatschappijen, bijgestaan door de lidstaten, ervoor zorgen dat passagiers te allen tijde de mogelijkheid hebben om op de luchthaven de nodige gegevens te verstrekken.

• (18) 

  Gezien de voordelen van het gebruik van geautomatiseerde middelen voor het verzamelen van machineleesbare API-gegevens en gezien de duidelijkheid die de uit hoofde van deze verordening vast te stellen technische voorschriften bieden, moeten luchtvaartmaatschappijen die besluiten de uit hoofde van Richtlijn 2004/82/EG door te geven gegevens te verzamelen aan de hand van geautomatiseerde middelen, de mogelijkheid maar niet de verplichting krijgen om die voorschriften toe te passen zodra deze zijn vastgesteld, voor zover die richtlijn van

• (⁵) 

  Verordening (EU) 2019/1157 van het Europees Parlement en de Raad van 20 juni 2019 betreffende de versterking van de beveiliging van identiteitskaarten van burgers van de Unie en van verblijfsdocumenten afgegeven aan burgers van de Unie en hun familieleden die hun recht van vrij verkeer uitoefenen (PB L 188 van 12.7.2019, blz. 67).

• (⁶) 

  Verordening (EG) nr. 2252/2004 van de Raad van 13 december 2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten (PB L 385 van 29.12.2004, blz. 1).

• (⁷) 

  Richtlijn (EU) 2019/997 van de Raad van 18 juni 2019 tot vaststelling van een EU-noodreisdocument en tot intrekking van Besluit 96/409/GBVB (PB L 163 van 20.6.2019, blz. 1).

• (⁸) 

  Verordening (EG) nr. 1107/2006 van het Europees Parlement en de Raad van 5 juli 2006 inzake de rechten van gehandicapten en personen met beperkte mobiliteit die per luchtvervoer reizen (PB L 204 van 26.7.2006, blz. 1).

toepassing is en dit toestaat. Vrijwillige toepassing van die specificaties in het kader van de toepassing van Richtlijn 2004/82/EG mag op geen enkele wijze afbreuk doen aan de verplichtingen waaraan de luchtvaartmaatschappijen en de lidstaten uit hoofde van die richtlijn moeten voldoen.

• (19) 

  Om ervoor te zorgen dat de vooraf door de bevoegde grensautoriteiten uitgevoerde controles doeltreffend en efficient zijn, moeten de API-gegevens die aan die autoriteiten worden doorgegeven, de gegevens bevatten van passagiers die daadwerkelijk de buitengrenzen zullen overschrijden, dat wil zeggen passagiers die daadwerkelijk aan boord van het luchtvaartuig zijn, ongeacht of de eindbestemming van de passagier binnen of buiten de Unie ligt. Daarom moeten luchtvaartmaatschappijen de API-gegevens onmiddellijk na het sluiten van de vlucht doorgeven. Bovendien helpen de API-gegevens de bevoegde grensautoriteiten om een onderscheid te maken tussen bonafide passagiers en passagiers die wellicht extra aandacht en extra verificatie vereisen en voor wie bij aankomst follow-upmaatregelen zouden moeten worden genomen waarvoor voorafgaande voorbereiding en coordinatie vereist is. Dat kan zich bijvoorbeeld voordoen wanneer het aantal passagiers die extra aandacht vereisen, onverwacht groot is en het fysiek controleren van deze passagiers aan de grenzen negatieve gevolgen heeft voor de grenscontroles en de wachttijden van de bonafide passagiers aan de grenzen. Om de bevoegde grensautoriteiten in de gelegenheid te stellen passende en evenredige maatregelen aan de grens voor te bereiden, zoals het tijdelijk versterken of elders inzetten van personeel, met name wanneer zij tussen het sluiten van de vlucht en de aankomst van de betrokken passagiers aan de buitengrenzen onvoldoende tijd hebben om de meest passende respons voor te bereiden, moet worden bepaald dat de API-gegevens ook moeten worden doorgegeven bij het inchecken, en dus voor het instappen, van elke passagier.

• (20) 

  Om elk risico op misbruik te voorkomen en de inachtneming van het beginsel van doelbinding te waarborgen, moet het de bevoegde grensautoriteiten uitdrukkelijk verboden worden de API-gegevens die zij uit hoofde van deze verordening ontvangen, voor andere doeleinden te verwerken dan de doeleinden waarin expliciet is voorzien in deze verordening, met inachtneming van de voorschriften van Verordening (EU) 2016/399 voor de lidstaten waarop die verordening van toepassing is, of, waar die verordening niet van toepassing is, met inachtneming van de relevante voorschriften van het nationale recht.

• (21) 

  Teneinde ervoor te zorgen dat de bevoegde grensautoriteiten voldoende tijd hebben om alle passagiers, ook op langeafstandsvluchten en op aansluitende vluchten, doeltreffend te controleren en om na te gaan of de door luchtvaartmaatschappijen verzamelde en doorgegeven API-gegevens juist, volledig en actueel zijn, en om zo nodig de luchtvaartmaatschappijen om aanvullende verduidelijkingen, correcties of aanvullingen te verzoeken, teneinde ervoor te zorgen dat de API-gegevens beschikbaar blijven tot alle passagiers zich daadwerkelijk bij de grensdoorlaatpost hebben gemeld, moeten de bevoegde grensautoriteiten de API-gegevens die zij uit hoofde van deze verordening hebben ontvangen, opslaan gedurende een vaste periode die niet langer mag zijn dan wat strikt noodzakelijk is voor die doeleinden. In uitzonderlijke omstandigheden waarin individuele passagiers zich na de landing niet binnen een dergelijke vastgestelde termijn bij een grensdoorlaatpost melden, moeten de lidstaten de mogelijkheid hebben hun bevoegde grensautoriteiten in staat te stellen de API-gegevens van dergelijke individuele passagiers op te slaan totdat zij zich bij een grensdoorlaatpost melden of maximaal gedurende een aanvullende vaste periode. Wanneer lidstaten van een dergelijke mogelijkheid gebruik willen maken, moeten zij gehouden zijn passende middelen in te voeren om dergelijke individuele passagiers te identificeren, zodat de langere bewaring van hun specifieke API-gegevens beperkt blijft tot wat strikt noodzakelijk is.

• (22) 

  Om te kunnen reageren op verzoeken van de bevoegde grensautoriteiten om aanvullende verduidelijkingen, correcties of aanvullingen, moeten de luchtvaartmaatschappijen de API-gegevens die zij uit hoofde van deze verordening hebben doorgegeven, gedurende een vaste en strikt noodzakelijke periode opslaan. Daarnaast, en om de reiservaring van bonafide passagiers te verbeteren, moeten luchtvaartmaatschappijen de API-gegevens kunnen bewaren en gebruiken wanneer dat nodig is voor de normale bedrijfsvoering, met name voor het vergemakkelijken van reizen, overeenkomstig het toepasselijke recht en met name Verordening (EU) 2016/679 van het Europees Parlement en de Raad (⁹).

• (23) 

  Om te voorkomen dat er een situatie ontstaat waarin luchtvaartmaatschappijen voor de doorgifte van de uit hoofde van deze verordening verzamelde API-gegevens meerdere verbindingen met de bevoegde grensautoriteiten van de lidstaten tot stand moeten brengen en onderhouden en om te voorkomen dat als gevolg daarvan inefficienties en veiligheidsrisico’s ontstaan, moet worden voorzien in een enkele router die overeenkomstig deze verordening en Verordening (EU) 2025/13 van het Europees Parlement en de Raad (¹⁰) op Unieniveau wordt opgezet en geexploiteerd en die dient als verbindings- en distributiepunt voor die doorgiften. Met het oog op efficientie en

• (⁹) 

  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

• (¹⁰) 

  Verordening (EU) 2025/13 van het Europees Parlement en de Raad van 19 december 2024 betreffende de verzameling en de doorgifte van advance passenger information met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, en tot wijziging van Verordening (EU) 2019/818 (PB L, 2025/13, ELI: http://data.europa.eu/eli/ reg/2025/13/oj.

kosteneffectiviteit moet voor de router, voor zover dat technisch mogelijk is en mits de regels van deze verordening en Verordening (EU) 2025/13 daarbij volledig in acht worden genomen, gebruik worden gemaakt van technische componenten van andere relevante systemen die in het kader van het Unierecht zijn opgezet, met name de in Verordening (EU) 2017/2226 van het Europees Parlement en de Raad (¹¹) bedoelde webdienst, het in Verordening (EU) 2018/1240 van het Europees Parlement en de Raad (¹²) bedoelde toegangsportaal voor vervoerders en het in Verordening (EG) nr. 767/2008 van het Europees Parlement en de Raad (¹³) bedoelde toegangsportaal voor vervoerders. Om de gevolgen voor luchtvaartmaatschappijen te beperken en te zorgen voor een geharmoniseerde aanpak ten aanzien van luchtvaartmaatschappijen, moet het bij Verordening (EU) 2018/1726 van het Europees Parlement en de Raad (¹⁴) opgerichte Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) de router, voor zover dat technisch en operationeel mogelijk is, zodanig ontwerpen dat deze coherent en consistent is met de verplichtingen die aan luchtvaartmaatschappijen zijn opgelegd bij Verordeningen (EG) nr. 767/2008, (EU) 2017/2226 en(EU) 2018/1240.

• (24) 

  Om de doorzending van luchtverkeersgegevens efficienter te maken en de monitoring van de aan de bevoegde grensautoriteiten doorgezonden API-gegevens te ondersteunen, moet de router realtime luchtverkeersinformatie ontvangen die is verzameld door andere organisaties, zoals de Europese Organisatie voor de Veiligheid van de Luchtvaart (Eurocontrol).

• (25) 

  Uit hoofde van deze verordening moet de router de API-gegevens op geautomatiseerde wijze doorzenden aan de betrokken bevoegde grensautoriteiten; welke autoriteiten dat zijn, moet worden bepaald op basis van de in de betrokken API-gegevens vermelde grensdoorlaatpost van binnenkomst op het grondgebied van de lidstaat. Om het distributieproces te vergemakkelijken, moet elke lidstaat aangeven welke grensautoriteiten bevoegd zijn om de van de router doorgezonden API-gegevens te ontvangen. De lidstaten moeten de mogelijkheid hebben een centraal punt voor gegevensontvangst aan te wijzen waar de API-gegevens van de router binnenkomen, en dat die gegevens onmiddellijk en op geautomatiseerde wijze doorzendt naar de bevoegde grensautoriteiten van de betrokken lidstaat. Met het oog op de goede werking van deze verordening en in het belang van de transparantie moet de informatie over de bevoegde grensautoriteiten openbaar worden gemaakt.

• (26) 

  De router moet alleen dienen om het voor de luchtvaartmaatschappijen gemakkelijker te maken API-gegevens overeenkomstig deze verordening aan de bevoegde grensautoriteiten door te geven, en mag niet dienen voor de opslag van API-gegevens. Om daarmee rekening te houden, alsook om het risico op ongeoorloofde toegang of ander misbruik tot een minimum te beperken en om het beginsel van minimale gegevensverwerking in acht te nemen, mogen API-gegevens niet worden opgeslagen tenzij dit strikt noodzakelijk is voor technische doeleinden in verband met de doorzending, en moeten de API-gegevens onmiddellijk, definitief en op geautomatiseerde wijze van de router worden gewist zodra de doorzending is voltooid.

• (27) 

  Om ervoor te zorgen dat de luchtvaartmaatschappijen zo snel mogelijk kunnen profiteren van de voordelen van het gebruik van de door eu-LISA overeenkomstig deze verordening en Verordening (EU) 2025/13 ontwikkelde router en ervaring kunnen opdoen met het gebruik van de router, moeten zij de mogelijkheid maar niet de verplichting krijgen om tijdens een overgangsperiode de router te gebruiken voor het doorgeven van de krachtens Richtlijn 2004/82/EG vereiste gegevens. Die overgangsperiode moet beginnen wanneer de router in gebruik wordt genomen en moet aflopen wanneer de verplichtingen uit hoofde van die richtlijn vervallen. Om ervoor te zorgen dat een dergelijk vrijwillig gebruik van de router op een verantwoorde manier plaatsvindt, moet de voorafgaande schriftelijke toestemming van de lidstaat die de informatie moet ontvangen, vereist zijn, op verzoek van de luchtvaartmaat-schappij en nadat die lidstaat de nodige verificaties heeft verricht en waarborgen heeft verkregen. Om te voorkomen dat luchtvaartmaatschappijen herhaaldelijk beginnen en stoppen met het gebruik van de router, moeten luchtvaartmaatschappijen die de router vrijwillig in gebruik hebben genomen, worden verplicht deze te blijven gebruiken, tenzij er objectieve redenen zijn om het gebruik van de router voor de doorgifte van de informatie aan de bevoegde autoriteiten van de betrokken lidstaat stop te zetten, bijvoorbeeld omdat is gebleken dat de informatie niet op een rechtmatige, beveiligde, doeltreffende en snelle manier wordt doorgegeven. Om ervoor te zorgen dat de mogelijkheid om de router op vrijwillige basis te gebruiken, correct wordt toegepast, met inachtneming van de rechten en belangen van alle betrokken partijen, moeten in deze verordening de nodige regels inzake raadpleging en informatieverstrekking worden vastgesteld. Een dergelijk vrijwillig gebruik van de router in het kader van de

• (¹¹) 

  Verordening (EU) 2017/2226 van het Europees Parlement en de Raad van 30 november 2017 tot instelling van een inreis-uitreissysteem (EES) voor de registratie van inreis- en uitreisgegevens en van gegevens over weigering van toegang ten aanzien van onderdanen van derde landen die de buitengrenzen van de lidstaten overschrijden en tot vaststelling van de voorwaarden voor toegang tot het EES voor rechtshandhavingsdoeleinden en tot wijziging van de overeenkomst ter uitvoering van het akkoord van Schengen en Verordeningen (EG) nr. 767/2008 en (EU) nr. 1077/2011 (PB L 327 van 9.12.2017, blz. 20).

• (¹²) 

  Verordening (EU) 2018/1240 van het Europees Parlement en de Raad van 12 september 2018 tot oprichting van een Europees reisinformatie en -autorisatiesysteem (Etias) en tot wijziging van de Verordeningen (EU) nr. 1077/2011, (EU) nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 en (EU) 2017/2226 (PB L 236 van 19.9.2018, blz. 1).

• (¹³) 

  Verordening (EG) nr. 767/2008 van het Europees Parlement en de Raad van 9 juli 2008 betreffende het Visuminformatiesysteem (VIS) en de uitwisseling tussen de lidstaten van informatie op het gebied van visa voor kort verblijf, visa voor verblijf van langere duur en verblijfsvergunningen (VIS-verordening) (PB L 218 van 13.8.2008, blz. 60).

• (¹⁴) 

  Verordening (EU) 2018/1726 van het Europees Parlement en de Raad van 14 november 2018 betreffende het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), tot wijziging van Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EU) nr. 1077/2011 (PB L 295 van 21.11.2018, blz. 99).

toepassing van Richtlijn 2004/82/EG overeenkomstig deze verordening mag op geen enkele wijze afbreuk doen aan de verplichtingen van luchtvaartmaatschappijen en lidstaten uit hoofde van die richtlijn.

• (28) 

  De technische verbindingen die nodig zijn voor de doorgifte van de API-gegevens uit hoofde van deze verordening moeten door de op grond van deze verordening en Verordening (EU) 2025/13 opgezette en geexploiteerde router worden verminderd in aantal, vereenvoudigd en beperkt tot een verbinding per luchtvaartmaatschappij en per bevoegde grensautoriteit. Daarom moet deze verordening de bevoegde grensautoriteiten en de luchtvaartmaat-schappijen verplichten om elk een dergelijke verbinding op te zetten, en de vereiste integratie te verwezenlijken, met de router, zodat het bij deze verordening ingestelde systeem voor de doorgifte van API-gegevens naar behoren kan functioneren. Bij het ontwerpen en ontwikkelen van de router moet eu-LISA ervoor zorgen dat de systemen en infrastructuren van luchtvaartmaatschappijen op effectieve en efficiente wijze kunnen worden aangesloten op en geintegreerd met de router door alle relevante normen en technische vereisten in acht te nemen. Met het oog op de goede werking van het bij deze verordening ingestelde systeem moeten gedetailleerde regels worden vastgesteld. Bij het ontwerpen en ontwikkelen van de router moet eu-LISA erop toezien dat de API-gegevens die door luchtvaartmaatschappijen worden doorgegeven en naar de bevoegde grensautoriteiten worden doorgezonden, tijdens de overdracht versleuteld zijn.

• (29) 

  Gezien de belangen van de Unie die op het spel staan, moeten alle kosten die door eu-LISA in verband met de uitvoering van zijn taken uit hoofde van deze verordening met betrekking tot de router worden gemaakt, ten laste komen van de begroting van de Unie, met inbegrip van de kosten in verband met het ontwerpen en ontwikkelen van de router, het hosten en het technische beheer van de router, en de governancestructuur bij eu-LISA ter ondersteuning van het ontwerpen, ontwikkelen, hosten en het technische beheer van de router. Hetzelfde kan gelden voor de kosten die de lidstaten maken voor de door deze verordening voorgeschreven verbindingen en integratie met de router en het onderhoud daarvan, overeenkomstig het toepasselijke Unierecht. Het is belangrijk dat op de begroting van de Unie wordt voorzien in passende financiele steun voor de lidstaten ter dekking van die kosten. Daartoe moeten de financiele behoeften van de lidstaten worden ondersteund door de algemene begroting van de Unie, met inachtneming van de regels inzake subsidiabiliteit en de medefinancieringspercentages zoals vastgesteld in de relevante rechtshandelingen van de Unie. De jaarlijkse aan eu-LISA toegewezen bijdrage van de Unie moet voorzien in de behoeften in verband met het hosten en het technische beheer van de router, gebaseerd op een door eu-LISA uitgevoerde beoordeling. De begroting van de Unie moet ook de ondersteuning dekken, zoals opleidingen, van eu-LISA aan luchtvaartmaatschappijen en bevoegde grensautoriteiten om de doeltreffende doorgifte en doorzending van API-gegevens via de router mogelijk te maken. De kosten die door de onafhankelijke nationale toezichthoudende autoriteiten worden gemaakt in verband met de hun uit hoofde van deze verordening opgedragen taken, worden gedragen door de respectieve lidstaten.

• (30) 

  Het kan niet worden uitgesloten dat in uitzonderlijke omstandigheden en ondanks alle redelijke maatregelen die overeenkomstig deze verordening zijn getroffen, de centrale infrastructuur of een van de technische componenten van de router of de communicatie-infrastructuur waarmee de bevoegde grensautoriteiten en de luchtvaartmaat-schappijen met de router verbonden zijn, niet naar behoren functioneert, waardoor het technisch onmogelijk wordt voor de luchtvaartmaatschappijen om API-gegevens door te geven of voor bevoegde grensautoriteiten om API-gegevens te ontvangen. Als de router niet beschikbaar is en het normaal gezien voor de luchtvaartmaatschap-pijen redelijkerwijs niet mogelijk is de API-gegevens die hinder ondervinden van de storing, op een rechtmatige, veilige, doeltreffende en snelle wijze via alternatieve middelen door te geven, moet de verplichting voor de luchtvaartmaatschappijen om dergelijke API-gegevens aan de router door te geven, vervallen zolang die technische storing blijft duren. Om echter de beschikbaarheid van API-gegevens die nodig zijn voor het verbeteren en bevorderen van de doeltreffendheid en efficientie van grenscontroles aan de buitengrenzen en voor het bestrijden van illegale immigratie te waarborgen, moeten luchtvaartmaatschappijen doorgaan met het verzamelen en opslaan van API-gegevens, zodat deze kunnen worden doorgegeven zodra de technische storing is verholpen. Om de duur en de negatieve gevolgen van dergelijke technische storingen tot een minimum te beperken, moeten de betrokken partijen elkaar in een dergelijk geval onmiddellijk op de hoogte brengen en onmiddellijk alle maatregelen nemen die nodig zijn om de technische storing te verhelpen. Deze regeling mag geen afbreuk doen aan de uit deze verordening voortvloeiende verplichtingen op grond waarvan alle betrokken partijen ervoor moeten zorgen dat de router en hun respectieve systemen en infrastructuur naar behoren functioneren, noch aan het feit dat aan luchtvaartmaatschap-pijen sancties worden opgelegd indien zij deze verplichtingen niet nakomen, ook in gevallen waarin zij ten onrechte gebruik willen maken van deze regeling. Om dergelijk misbruik tegen te gaan en het toezicht en, waar nodig, het opleggen van sancties te vergemakkelijken, moeten luchtvaartmaatschappijen die vanwege een storing in hun eigen systeem en infrastructuur gebruikmaken van deze regeling, hierover verslag uitbrengen aan de bevoegde toezichthoudende autoriteit.

• (31) 

  Wanneer luchtvaartmaatschappijen rechtstreekse verbindingen onderhouden met bevoegde grensautoriteiten voor de doorgifte van API-gegevens, kunnen die verbindingen, als zij het vereiste niveau van gegevensbeveiliging waarborgen, een passend middel zijn om API-gegevens rechtstreeks aan de bevoegde grensautoriteiten door te geven indien het technisch onmogelijk is om dat via de router te doen. De bevoegde grensautoriteiten moeten, in het uitzonderlijke geval dat het technisch onmogelijk is om gebruik te maken van de router, luchtvaartmaatschappijen kunnen verzoeken API-gegevens op dergelijke wijze door te geven, wat evenwel voor luchtvaartmaatschappijen niet de verplichting mag inhouden om dergelijke rechtstreekse verbindingen te onderhouden of te voorzien in andere passende middelen die het noodzakelijke niveau van gegevensbeveiliging waarborgen voor de rechtstreekse doorgifte van API-gegevens aan de bevoegde grensautoriteiten. Bij de uitzonderlijke doorgifte van API-gegevens via andere passende middelen, zoals versleutelde e-mailberichten of een beveiligd webportaal, met uitsluiting van het gebruik van niet-gestandaardiseerde elektronische formaten, moet het noodzakelijke niveau van gegevensbeveiliging, gegevenskwaliteit en gegevensbescherming worden gewaarborgd. Verdere verwerking van API-gegevens die door de bevoegde grensautoriteiten via dergelijke andere passende middelen worden ontvangen, moet plaatsvinden overeenkomstig de regels en waarborgen inzake gegevensbescherming van Verordening (EU) 2016/399 en het toepasselijke nationale recht. Nadat eu-LISA heeft meegedeeld dat de technische storing is verholpen en als bevestigd is dat de doorzending van de respectieve API-gegevens via de router aan de bevoegde grensautoriteit is voltooid, moet de bevoegde grensautoriteit de eerder via andere passende middelen ontvangen API-gegevens onmiddellijk wissen. Dat wissen van gegevens mag niet de specifieke gevallen omvatten waarin door bevoegde grensautoriteiten via andere passende middelen ontvangen API-gegevens inmiddels overeenkomstig Verordening (EU) 2016/679 zijn verwerkt met het oog op het vergroten van de doeltreffendheid en de efficientie van de grenscontroles aan de buitengrenzen en het ondersteunen van de bestrijding van illegale immigratie.

• (32) 

  Met het oog op de naleving van het grondrecht op bescherming van persoonsgegevens moet deze verordening bepalen wie de verwerkingsverantwoordelijke en de verwerker zijn en voorzien in regels inzake audits. Met het oog op doeltreffende monitoring, adequate bescherming van persoonsgegevens en optimale beperking van de beveiligingsrisico’s moeten ook regels worden vastgesteld over het aanleggen van logbestanden, de beveiliging van de verwerking en zelfmonitoring. Wanneer die regels betrekking hebben op de verwerking van persoonsgegevens, moeten zij in overeenstemming zijn met de algemeen toepasselijke rechtshandelingen van de Unie inzake de bescherming van persoonsgegevens, met name Verordening (EU) 2016/679 en Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (¹⁵).

• (33) 

  Onverminderd in deze verordening vastgestelde specifiekere voorschriften inzake de verwerking van persoonsgegevens, moet Verordening (EU) 2016/679 van toepassing zijn op de verwerking van persoonsgegevens door de lidstaten en door luchtvaartmaatschappijen overeenkomstig deze verordening. Verordening (EU) 2018/1725 moet van toepassing zijn op de verwerking van persoonsgegevens door eu-LISA bij de uitvoering van zijn verantwoordelijkheden uit hoofde van deze verordening.

• (34) 

  Rekening houdend met het recht van passagiers om te worden geinformeerd over de verwerking van hun persoonsgegevens, moeten de lidstaten ervoor zorgen dat passagiers op het moment van boeking en bij het inchecken nauwkeurige informatie krijgen over de verzameling van API-gegevens, de doorgifte van dergelijke gegevens aan de bevoegde grensautoriteiten en hun rechten als betrokkenen en dat die informatie gemakkelijk toegankelijk en begrijpelijk is.

• (35) 

  De audits inzake de bescherming van persoonsgegevens waarvoor de lidstaten verantwoordelijk zijn, moeten worden uitgevoerd door de onafhankelijke toezichthoudende autoriteiten zoals bedoeld in artikel 51 van Verordening (EU) 2016/679 of een controlerende instantie die hiermee door de toezichthoudende autoriteit is belast.

• (36) 

  De verwerkingsactiviteiten in het kader van deze verordening, met name de doorzending van de door de luchtvaartmaatschappijen doorgeven API-gegevens via de router naar de bevoegde grensautoriteiten van de lidstaten, hebben tot doel die autoriteiten beter in staat te stellen hun verplichtingen op het gebied van grensbeheer na te komen en hun taken op het gebied van de bestrijding van illegale immigratie uit te voeren. Daarom moeten de lidstaten autoriteiten aanwijzen als verwerkingsverantwoordelijken voor de verwerking van de gegevens in de router, de doorzending van de gegevens van de router naar de bevoegde grensautoriteiten en de daaropvolgende verwerking van die gegevens om de grenscontroles aan de buitengrenzen te versterken en te vergemakkelijken. De lidstaten moeten aan de Commissie en eu-LISA meedelen welke autoriteiten dit zijn. Voor de verwerking van persoonsgegevens in de router moeten de lidstaten gezamenlijke verwerkingsverantwoordelijken zijn overeenkom-stig artikel 26 van Verordening (EU) 2016/679. De luchtvaartmaatschappijen moeten op hun beurt afzonderlijke verwerkingsverantwoordelijken zijn voor de verwerking van API-gegevens die persoonsgegevens zijn uit hoofde van deze verordening. De luchtvaartmaatschappijen en de bevoegde grensautoriteiten moeten dus afzonderlijke verwerkingsverantwoordelijken zijn voor de verwerkingsactiviteiten met betrekking tot API-gegevens uit hoofde van deze verordening. Aangezien eu-LISA verantwoordelijk is voor het ontwerpen, ontwikkelen, hosten en het technische beheer van de router, moet eu-LISA de verwerker zijn voor de verwerking van API-gegevens die persoonsgegevens zijn met gebruikmaking van de router, met inbegrip van de doorzending van de gegevens van de router naar de bevoegde grensautoriteiten en de opslag van die gegevens op de router, voor zover een dergelijke opslag noodzakelijk is voor technische doeleinden.

• (37) 

  Om ervoor te zorgen dat de luchtvaartmaatschappijen de regels van deze verordening daadwerkelijk toepassen, moet worden voorzien in de aanwijzing en machtiging van nationale autoriteiten als nationale autoriteiten voor toezicht inzake API die belast zijn met het monitoren van de toepassing van die regels. De lidstaten kunnen hun bevoegde grensautoriteiten aanwijzen als nationale autoriteiten voor toezicht inzake API. De in deze verordening vastgestelde regels over dat monitoren, ook met betrekking tot het opleggen van eventuele sancties, mogen geen afbreuk doen

• (¹⁵) 

  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van

natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

aan de taken en bevoegdheden van de overeenkomstig Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten, onder meer op het gebied van de verwerking van persoonsgegevens in het kader van deze verordening.

• (38) 

  Ten aanzien van luchtvaartmaatschappijen die hun verplichtingen uit hoofde van deze verordening, waaronder de verplichtingen inzake de geautomatiseerde verzameling van API-gegevens en inzake de doorgifte van gegevens in overeenstemming met de vereiste termijnen, formaten en protocollen, niet nakomen, moeten de lidstaten voorzien in doeltreffende, evenredige en afschrikkende sancties, waaronder zowel financiele als niet-financiele sancties. Meer bepaald moeten de lidstaten ervoor zorgen dat herhaalde niet-naleving door luchtvaartmaatschappijen in hun hoedanigheid van rechtspersoon van de krachtens deze verordening op hen rustende verplichting om API-gegevens aan de router door te geven, bestraft wordt met evenredige financiele sancties van maximaal 2 % van de wereldwijde omzet van de luchtvaartmaatschappij in het voorgaande boekjaar. Daarnaast moeten de lidstaten luchtvaartmaat-schappijen sancties kunnen opleggen, waaronder financiele sancties, voor andere vormen van niet-naleving van de verplichtingen uit hoofde van deze verordening.

• (39) 

  Bij het vaststellen van regels inzake de sancties die krachtens deze verordening op luchtvaartmaatschappijen van toepassing zijn, kunnen de lidstaten rekening houden met de vraag in hoeverre volledige nauwkeurigheid van gegevens technisch en operationeel haalbaar is. Bovendien moet bij het opleggen van sancties, de toepassing en de hoogte ervan worden bepaald. Nationale autoriteiten voor toezicht inzake API kunnen rekening houden met de maatregelen die de luchtvaartmaatschappij heeft genomen om het probleem te beperken en in hoeverre zij de nationale autoriteiten medewerking verleent.

• (40) 

  Er moet voorzien worden in een gemeenschappelijke governancestructuur voor de toepassing van deze verordening en Verordening (EU) 2025/13. Om de communicatie tussen de vertegenwoordigers van luchtvaartmaatschappijen en de vertegenwoordigers van de autoriteiten van de lidstaten die op grond van deze verordening en Verordening (EU) 2025/13 bevoegd zijn om API-gegevens van de router te ontvangen, mogelijk te maken en te bevorderen, moeten uiterlijk twee jaar na de ingebruikneming van de router twee specifieke organen worden opgericht. Technische kwesties in verband met het gebruik en de werking van de router moeten worden besproken in de API-PNR-contactgroep, waarbij ook vertegenwoordigers van eu-LISA aanwezig moeten zijn. Beleidskwesties, zoals in verband met sancties, moeten in de API-deskundigengroep worden besproken.

• (41) 

  Aangezien deze verordening voorziet in nieuwe regels betreffende de verzameling en de doorgifte van API-gegevens met het oog op het versterken en vergemakkelijken van de doeltreffendheid en efficientie van de grenscontroles aan de buitengrenzen, moet Richtlijn 2004/82/EG worden ingetrokken.

• (42) 

  Aangezien de router moet worden ontworpen, ontwikkeld, gehost en technisch beheerd door eu-LISA, moet Verordening (EU) 2018/1726 aldus worden gewijzigd dat die taak aan het takenpakket van eu-LISA wordt toegevoegd. Met het oog op de opslag van verslagen en statistieken van de router in het bij Verordening (EU) 2019/817 van het Europees Parlement en de Raad (¹⁶) ingestelde centraal register voor rapportage en statistieken (CRRS), moet die verordening worden gewijzigd. Ter ondersteuning van de handhaving van deze verordening door de nationale autoriteit voor toezicht inzake API, is het nodig dat de wijzigingen aan Verordening (EU) 2019/817 bepalingen bevatten inzake statistieken betreffende de juistheid en volledigheid van de API-gegevens, waarbij bijvoorbeeld wordt aangegeven of de gegevens op geautomatiseerde wijze werden verzameld. Het is tevens van belang dat er met betrekking tot de tenuitvoerlegging van deze verordening betrouwbare en bruikbare statistieken worden verzameld, ter ondersteuning van de doelstellingen van de verordening en ter onderbouwing van de evaluaties uit hoofde van deze verordening. Dergelijke statistieken mogen geen persoonsgegevens bevatten. Daarom mag het CRRS alleen statistieken gebaseerd op API-gegevens verstrekken met het oog op de uitvoering en doeltreffende monitoring van de toepassing van deze verordening. De gegevens die de router daartoe automatisch doorzendt aan het CRRS mogen de identificatie van de betrokken passagiers niet mogelijk maken.

• (43) 

  Teneinde de duidelijkheid en de rechtszekerheid te vergroten, om bij te dragen tot het waarborgen van een goede gegevenskwaliteit, het waarborgen van een verantwoord gebruik van de geautomatiseerde middelen voor het verzamelen van machineleesbare API-gegevens uit hoofde van deze verordening en het waarborgen van het handmatig verzamelen van API-gegevens in uitzonderlijke omstandigheden en tijdens de overgangsperiode, en om duidelijkheid te verschaffen over de technische voorschriften die van toepassing zijn op luchtvaartmaatschappijen en die ervoor moeten zorgen dat de API-gegevens die zij uit hoofde van deze verordening verzamelen, op een beveiligde, doeltreffende en snelle manier aan de router worden doorgegeven, alsook om ervoor te zorgen dat gegevens die onjuist, onvolledig of niet meer actueel zijn, worden gecorrigeerd, aangevuld of bijgewerkt, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie (VWEU) handelingen vast te stellen ter beeindiging van de overgangsperiode voor de handmatige verzameling van API-gegevens; tot vaststelling van maatregelen inzake de technische voorschriften en operationele regels die luchtvaartmaatschappijen moeten naleven met betrekking tot het gebruik van geauto-matiseerde middelen voor het verzamelen van machineleesbare API-gegevens uit hoofde van deze verordening, voor het handmatig verzamelen van API-gegevens in uitzonderlijke omstandigheden en voor het verzamelen van

• (¹⁶) 

  Verordening (EU) 2019/817 van het Europees Parlement en de Raad van 20 mei 2019 tot vaststelling van een kader voor

interoperabiliteit tussen de Unie-informatiesystemen op het gebied van grenzen en visa en tot wijziging van Verordeningen (EG) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 en (EU) 2018/1861 van het Europees Parlement en de Raad, Beschikking 2004/512/EG van de Raad en Besluit 2008/633/JBZ van de Raad (PB L 135 van 22.5.2019, blz. 27).

API-gegevens tijdens de overgangsperiode, waaronder voorschriften inzake gegevensbeveiliging; tot vaststelling van gedetailleerde regels inzake de gemeenschappelijke protocollen en ondersteunde dataformaten voor de versleutelde doorgifte van API-gegevens door luchtvaartmaatschappijen, waaronder voorschriften inzake gegevensbeveiliging; en tot vaststelling van gedetailleerde regels voor het corrigeren, aanvullen en bijwerken van API-gegevens. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden overgaat tot passende raadplegingen met relevante belanghebbenden, waaronder luchtvaartmaatschappijen, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven (¹⁷). Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen. Rekening houdend met de stand van de techniek zouden die technische vereisten en operationele regels in de loop der tijd kunnen veranderen.

• (44) 

  Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening, met name wat betreft de ingebruikneming van de router; de technische en procedurele regels voor de gegevensverificaties en kennisgevingen; de technische en procedurele voorschriften voor de doorzending van API-gegevens van de router aan de bevoegde grensautoriteiten op een wijze die waarborgt dat de overdracht veilig, doeltreffend en snel is en geen grotere gevolgen dan nodig heeft voor de reizen van passagiers en voor luchtvaartmaatschappijen, en wat betreft de verbindingen en integratie van de bevoegde grensautoriteiten en de luchtvaartmaatschappijen met de router, en om de verantwoordelijkheden van de lidstaten als gezamenlijke verwerkingsverantwoordelijken, zoals met betrekking tot de identificatie en het beheer van beveiligingsincidenten, waaronder inbreuken in verband met persoonsgegevens, te specificeren, en om de verhouding te specificeren tussen de gezamenlijke verwerkingsverantwoordelijken en eu-LISA als verwerker, met inbegrip van de ondersteuning door eu-LISA van de verwerkingsverantwoordelijken door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, met oog op de naleving van de verplichting van de verwerkingsverantwoordelijke om te antwoorden op verzoeken tot uitoefening van de rechten van betrokkenen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (¹⁸).

• (45) 

  Alle belanghebbende partijen, en met name de luchtvaartmaatschappijen en de bevoegde grensautoriteiten, moeten voldoende tijd krijgen om de nodige voorbereidingen te treffen om aan hun respectieve verplichtingen uit hoofde van deze verordening te kunnen voldoen, rekening houdend met het feit dat sommige van die voorbereidingen, zoals die betreffende de verplichtingen inzake de verbinding en integratie met de router, pas kunnen worden voltooid nadat de router ontworpen en ontwikkeld is en in gebruik is genomen. Daarom mag de toepassing van deze verordening pas ingaan op een passende datum na de door de Commissie overeenkomstig deze verordening en Verordening (EU) 2025/13 gespecificeerde datum van ingebruikneming van de router. Niettemin moet de Commissie reeds vanaf een eerdere datum gedelegeerde handelingen en uitvoeringshandelingen in het kader van deze verordening kunnen vaststellen om ervoor te zorgen dat het bij deze verordening ingestelde systeem zo spoedig mogelijk operationeel is.

• (46) 

  De ontwerp- en de ontwikkelingsfase van de router, zoals opgezet krachtens deze verordening en Verordening (EU) 2025/13, moeten zo spoedig mogelijk van start gaan en worden voltooid, zodat de router zo spoedig mogelijk in gebruik kan worden genomen, wat ook vereist dat de relevante gedelegeerde en uitvoeringshandelingen worden vastgesteld waarin deze verordening voorziet. Met het oog op een vlot en doeltreffend verloop van die fasen moet een specifieke programmabestuursraad worden opgericht, die tot taak heeft toezicht te houden op de uitvoering door eu-LISA van zijn taken tijdens deze fasen. Twee jaar nadat de router in gebruik is genomen moet de programmabestuursraad ophouden te bestaan. Voorts moet overeenkomstig Verordening (EU) 2018/1726 een specifiek adviesorgaan, de API-PNR-adviesgroep, worden opgericht, met als doel eu-LISA en de programmabe-stuursraad te ondersteunen met deskundigheid tijdens de ontwerp- en de ontwikkelingsfase van de router, alsook eu-LISA te ondersteunen met deskundigheid inzake het hosten en het beheer van de router. De programmabe-stuursraad en de API-PNR-adviesgroep moeten worden opgericht en beheerd naar het model van bestaande programmabestuursraden en adviesgroepen.

• (47) 

  De verordening moet regelmatig worden geevalueerd om de monitoring van de doeltreffende toepassing ervan te waarborgen. Meer bepaald mag het verzamelen van API-gegevens niet ten koste gaan van de reiservaring van bonafide passagiers. Daarom moet de Commissie in haar periodieke evaluatieverslagen over de toepassing van deze verordening een beoordeling opnemen van het effect van deze verordening op de reiservaring van bonafide passagiers. De evaluatie moet ook een beoordeling omvatten van de kwaliteit van de door de router verzonden gegevens en de werking van de router vanuit het oogpunt van de bevoegde grensautoriteiten.

• (¹⁷) 

  PB L 123 van 12.5.2016, blz. 1.

• (¹⁸) 

  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

• (48) 

  De in deze verordening bedoelde verduidelijking over de toepassing van specificaties betreffende het gebruik van geautomatiseerde middelen overeenkomstig Richtlijn 2004/82/EG moet eveneens onverwijld worden verstrekt. Daarom moeten de bepalingen over die aangelegenheden van toepassing zijn met ingang van de datum van inwerkingtreding van deze verordening. Om ervoor te zorgen dat de router zo snel mogelijk op vrijwillige basis kan worden gebruikt, moeten de bepalingen over een dergelijk gebruik alsook bepaalde andere bepalingen die nodig zijn om ervoor te zorgen dat een dergelijk vrijwillig gebruik op een verantwoorde manier plaatsvindt, zo snel mogelijk van toepassing worden, dat wil zeggen zodra de router in gebruik wordt genomen.

• (49) 

  Aangezien deze verordening leidt tot extra kosten in verband met aanpassingen en extra administratieve kosten voor luchtvaartmaatschappijen, moet de totale regeldruk voor de luchtvaartsector nauwlettend in het oog worden gehouden. In het licht daarvan moet in het evaluatieverslag over de werking van deze verordening worden beoordeeld in hoeverre de doelstellingen van deze verordening zijn verwezenlijkt en in hoeverre zij van invloed is geweest op het concurrentievermogen van de sector.

• (50) 

  Deze verordening doet geen afbreuk aan de bevoegdheden van de lidstaten met betrekking tot het nationale recht inzake nationale veiligheid, mits dat recht in overeenstemming is met het Unierecht.

• (51) 

  Deze verordening doet geen afbreuk aan de bevoegdheid van de lidstaten om overeenkomstig hun nationale recht passagiersgegevens te verzamelen van andere dan de in deze verordening genoemde vervoerders, mits dat nationale recht in overeenstemming is met het Unierecht.

• (52) 

  Daar de doelstellingen van deze verordening, namelijk het versterken en vergemakkelijken van de doeltreffendheid en efficientie van de grenscontroles aan de buitengrenzen en het bestrijden van illegale immigratie, betrekking hebben op aangelegenheden die inherent grensoverschrijdend zijn, kunnen zij niet voldoende door de lidstaten afzonderlijk, maar beter door de Unie worden verwezenlijkt. Daarom kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie (VEU) neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkom-stig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstellingen te verwezenlijken.

• (53) 

  Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 betreffende de positie van Denemarken, gehecht aan het VEU en het VWEU, neemt Denemarken niet deel aan de vaststelling van deze verordening; deze is derhalve niet bindend voor, noch van toepassing is op Denemarken. Aangezien deze verordening voortbouwt op het Schengenacquis, beslist Denemarken overeenkomstig artikel 4 van het bovengenoemde protocol binnen een termijn van zes maanden nadat de Raad heeft beslist over deze verordening of het deze in zijn interne recht zal omzetten.

• (54) 

  Ierland neemt aan deze verordening deel overeenkomstig artikel 5, lid 1, van Protocol nr. 19 betreffende het Schengenacquis dat is opgenomen in het kader van de Europese Unie, gehecht aan het VEU en het VWEU, en overeenkomstig artikel 6, lid 2, van Besluit 2002/192/EG van de Raad (¹⁹).

• (55) 

  Wat IJsland en Noorwegen betreft, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie en de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (²⁰) die vallen onder het gebied bedoeld in artikel 1, punt A, van Besluit 1999/437/EG van de Raad (²¹).

• (56) 

  Wat Zwitserland betreft, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (²²) die vallen onder het gebied bedoeld in artikel 1, punt A, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2008/146/EG van de Raad (²³).

• (57) 

  Wat Liechtenstein betreft, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt

• (¹⁹) 

  Besluit 2002/192/EG van de Raad van 28 februari 2002 betreffende het verzoek van Ierland deel te mogen nemen aan bepalingen van het Schengenacquis (PB L 64 van 7.3.2002, blz. 20).

• (²⁰) 

  PB L 176 van 10.7.1999, blz. 36.

• (²¹) 

  Besluit 1999/437/EG van de Raad van 17 mei 1999 inzake bepaalde toepassingsbepalingen van de door de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen gesloten overeenkomst inzake de wijze waarop deze twee staten worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (PB L 176 van 10.7.1999, blz. 31).

• (²²) 

  PB L 53 van 27.2.2008, blz. 52.

• (²³) 

  Besluit 2008/146/EG van de Raad van 28 januari 2008 betreffende de sluiting namens de Europese Gemeenschap van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (PB L 53 van 27.2.2008, blz. 1).

betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (²⁴) die vallen onder het gebied bedoeld in artikel 1, punt A, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2011/350/EU van de Raad (²⁵).

• (58) 

  Wat Cyprus betreft, vormt deze verordening een handeling die voortbouwt op of op andere wijze gerelateerd is aan het Schengenacquis in de zin van artikel 3, lid 1, van de Toetredingsakte van 2003.

• (59) 

  Overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 8 februari 2023 heeft hij een advies uitgebracht (²⁶),

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK 1

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp

Om de doeltreffendheid en efficientie van grenscontroles aan de buitengrenzen te versterken en te vergemakkelijken en om illegale immigratie te bestrijden, voorziet deze verordening in regels inzake:

• a) 

  de verzameling, door de luchtvaartmaatschappijen, van advance passenger information (API);

• b) 

  de doorgifte, door luchtvaartmaatschappijen, van API-gegevens aan de router;

• c) 

  de doorzending van API-gegevens via de router naar de bevoegde grensautoriteiten.

Deze verordening laat de Verordeningen (EU) 2016/679 en (EU) 2018/1725 onverlet.

Artikel 2

Toepassingsgebied

Deze verordening is van toepassing op luchtvaartmaatschappijen die vluchten naar de Unie uitvoeren.

Artikel 3

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

• 1) 

  “luchtvaartmaatschappij”: een luchtvaartmaatschappij zoals gedefinieerd in artikel 3, punt 1, van Richtlijn (EU) 2016/681 van het Europees Parlement en de Raad (²⁷);

• 2) 

  “grenscontroles”: grenscontroles zoals gedefinieerd in artikel 2, punt 11, van Verordening (EU) 2016/399;

• (²⁴) 

  PB L 160 van 18.6.2011, blz. 21.

• (²⁵) 

  Besluit 2011/350/EU van de Raad van 7 maart 2011 betreffende de sluiting namens de Europese Unie van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis betreffende de afschaffing van controles aan de binnengrenzen en het verkeer van personen (PB L 160 van 18.6.2011, blz. 19).

• (²⁶) 

  PB C 84 van 7.3.2023, blz. 2.

• (²⁷) 

  Richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit (PB L 119 van 4.5.2016, blz. 132).

• 3) 

  “vluchten naar de Unie”: vluchten die vanaf het grondgebied van een derde land of van een lidstaat waarop deze verordening niet van toepassing is, zullen vertrekken en volgens plan zullen aankomen op het grondgebied van een lidstaat of lidstaten waarop deze verordening van toepassing is;

• 4) 

  “grensdoorlaatpost”: een grensdoorlaatpost zoals gedefinieerd in artikel 2, punt 8, van Verordening (EU) 2016/399;

• 5) 

  “geregelde vlucht”: een vlucht die volgens een vaste dienstregeling wordt uitgevoerd en waarvoor het grote publiek tickets kan kopen;

• 6) 

  “niet-geregelde vlucht”: een vlucht die niet volgens een vaste dienstregeling wordt uitgevoerd en die niet noodzakelijk deel uitmaakt van een regelmatige of geregelde route;

• 7) 

  “bevoegde grensautoriteit”: de autoriteit die door een lidstaat is gemachtigd met het uitvoeren van grenscontroles en die door die lidstaat is aangewezen en aangemeld overeenkomstig artikel 14, lid 2;

• 8) 

  “passagier”: iedere persoon, met uitsluiting van de dienstdoende bemanningsleden, die met toestemming van de luchtvaartmaatschappij in een luchtvaartuig wordt vervoerd of zal worden vervoerd, waarbij die toestemming blijkt uit de vermelding van die persoon op de passagierslijst;

• 9) 

  “advance passenger information” of “API-gegevens”: de in artikel 4, lid 2, bedoelde passagiersgegevens en de in artikel 4, lid 3, bedoelde vluchtinformatie;

• 10) 

  “de router”: de router zoals bedoeld in artikel 11 van deze verordening en artikel 9 van Verordening (EU) 2025/13;

• 11) 

  “persoonsgegevens”: persoonsgegevens zoals gedefinieerd in artikel 4, punt 1, van Verordening (EU) 2016/679;

• 12) 

  “realtime luchtverkeersgegevens”: informatie over de inkomende en uitgaande vluchten op een onder deze verordening vallende luchthaven.

HOOFDSTUK 2

VERZAMELING, DOORGIFTE, OPSLAG EN WISSING VAN API-GEGEVENS

Artikel 4

Verzameling van API-gegevens door luchtvaartmaatschappijen

• 1. 

  Luchtvaartmaatschappijen verzamelen de API-gegevens van elke passagier over vluchten naar de Unie, die overeenkomstig artikel 6 aan de router moeten worden doorgegeven. Bij een code-sharingvlucht tussen luchtvaartmaat-schappijen rust de verplichting om de API-gegevens door te geven op de luchtvaartmaatschappij die de vlucht uitvoert.

• 2. 

  De API-gegevens omvatten uitsluitend de volgende gegevens over elke passagier op de vlucht:

• a) 

  de achternaam, de voornaam of voornamen;

• b) 

  de geboortedatum, het geslacht en de nationaliteit;

• c) 

  het type en het nummer van het reisdocument en de drielettercode van het land dat het reisdocument heeft afgegeven;

• d) 

  de datum waarop de geldigheidstermijn van het reisdocument verstrijkt;

• e) 

  het identificatienummer van de PNR (“Passenger Name Record”) dat door de luchtvaartmaatschappij wordt gebruikt om de passagier in haar informatiesysteem te lokaliseren (PNR-bestandslocatie);

• f) 

  informatie over de zitplaats die in het luchtvaartuig aan de passagier is toegewezen, indien dergelijke informatie beschikbaar is;

• g) 

  het bagagelabelnummer of -nummers en het aantal ingecheckte koffers en tassen en het gewicht daarvan, indien dergelijke informatie beschikbaar is;

• h) 

  een code die aangeeft welke methode is gebruikt om de in de punten a) tot en met d) bedoelde gegevens vast te leggen en te valideren.

• 3. 

  De API-gegevens omvatten daarnaast uitsluitend de volgende vluchtinformatie over de vlucht van elke passagier:

• a) 

  het vluchtidentificatienummer of, bij een code-sharingvlucht tussen luchtvaartmaatschappijen, de vluchtidentificatie-nummers of, indien een dergelijk nummer niet bestaat, andere duidelijke en geschikte middelen om de vlucht te identificeren;

• b) 

  in voorkomend geval, de grensdoorlaatpost van binnenkomst op het grondgebied van de lidstaat;

• c) 

  de code van de luchthaven van aankomst of, indien volgens planning geland zal worden op een of meer luchthavens op het grondgebied van een of meer lidstaten waarop deze verordening van toepassing is, de codes van de luchthavens die worden aangedaan op het grondgebied van de betrokken lidstaten;

• d) 

  de code van de luchthaven van vertrek van de vlucht;

• e) 

  de code van de luchthaven die het eerste instappunt is, indien beschikbaar;

• f) 

  de lokale datum en het tijdstip van vertrek;

• g) 

  de lokale datum en het tijdstip van aankomst;

• h) 

  de contactgegevens van de luchtvaartmaatschappij;

• i) 

  het voor de doorgifte van API-gegevens gebruikte formaat.

Artikel 5

Middelen voor de verzameling van API-gegevens

• 1. 

  Luchtvaartmaatschappijen verzamelen de in artikel 4 bedoelde API-gegevens op zodanige wijze dat wordt gewaarborgd dat de API-gegevens die zij overeenkomstig artikel 6 doorgeven, juist, volledig en actueel zijn.

• 2. 

  Luchtvaartmaatschappijen verzamelen de in artikel 4, lid 2, punten a) tot en met d), bedoelde API-gegevens met behulp van geautomatiseerde middelen voor de verzameling van de machineleesbare gegevens van het reisdocument van de betrokken passagier. Zij doen dit overeenkomstig de in lid 7 van dit artikel bedoelde gedetailleerde technische voorschriften en operationele regels, zodra dergelijke regels zijn vastgesteld en van toepassing zijn.

Wanneer luchtvaartmaatschappijen voorzien in de mogelijkheid om online in te checken, bieden zij de passagiers de gelegenheid de in artikel 4, lid 2, punten a) tot en met d), bedoelde API-gegevens tijdens dat online inchecken via geautomatiseerde middelen te verstrekken. Luchtvaartmaatschappijen bieden passagiers die niet online inchecken de mogelijkheid om die API-gegevens tijdens het inchecken op de luchthaven via geautomatiseerde middelen te verstrekken, via een self-servicekiosk of met de hulp van personeel van de luchtvaartmaatschappij aan de balie.

Als het technisch niet mogelijk is om gebruik te maken van geautomatiseerde middelen, verzamelen luchtvaartmaat-schappijen de in artikel 4, lid 2, punten a) tot en met d), bedoelde API-gegevens bij wijze van uitzondering handmatig, hetzij in het kader van de online incheckprocedure, hetzij als onderdeel van de incheckprocedure op de luchthaven, en op zodanige wijze dat de naleving van lid 1 van dit artikel wordt gewaarborgd.

• 3. 

  De geautomatiseerde middelen die luchtvaartmaatschappijen voor de verzameling van API-gegevens op grond van deze verordening gebruiken, zijn betrouwbaar, beveiligd en actueel. Luchtvaartmaatschappijen zorgen ervoor dat API-gegevens tijdens de doorgifte van dergelijke gegevens van de passagier aan de luchtvaartmaatschappijen versleuteld zijn.

• 4. 

  Tijdens een overgangsperiode, en in aanvulling op de in lid 3 bedoelde geautomatiseerde middelen, bieden luchtvaartmaatschappijen passagiers de mogelijkheid om API-gegevens handmatig te verstrekken in het kader van de online-incheckprocedure. In dergelijke gevallen maken luchtvaartmaatschappijen gebruik van gegevensverificatietechnieken om de naleving van lid 1 te waarborgen.

• 5. 

  De in lid 4 bedoelde overgangsperiode doet geen afbreuk aan het recht van luchtvaartmaatschappijen om, overeenkomstig het toepasselijke Unierecht, API-gegevens die in het kader van de online-incheckprocedure zijn verzameld om de naleving van lid 1 te waarborgen, op de luchthaven te verifieren voordat de passagiers instappen in het luchtvaartuig.

• 6. 

  De Commissie is bevoegd om vier jaar na ingebruikneming van de in artikel 34 bedoelde router en op basis van een evaluatie van de beschikbaarheid en toegankelijkheid van geautomatiseerde middelen voor de verzameling van API-gegevens overeenkomstig artikel 44 een gedelegeerde handeling vast te stellen ter beeindiging van de in lid 4 van dit artikel bedoelde overgangsperiode.

• 7. 

  De Commissie is bevoegd om overeenkomstig artikel 44 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met gedetailleerde technische voorschriften en operationele regels voor het verzamelen van de in artikel 4, lid 2, punten a) tot en met d), bedoelde API-gegevens met behulp van geautomatiseerde middelen overeenkomstig de leden 2 en 3 van dit artikel, en voor de handmatige verzameling van API-gegevens in uitzonderlijke omstandigheden overeenkomstig lid 2 van dit artikel en tijdens de in lid 4 van dit artikel bedoelde overgangsperiode. Die technische voorschriften en operationele regels omvatten vereisten voor gegevensbeveiliging en voor het gebruik van de meest betrouwbare geautomatiseerde middelen die beschikbaar zijn voor de verzameling van de machineleesbare gegevens van een reisdocument.

• 8. 

  Luchtvaartmaatschappijen die geautomatiseerde middelen gebruiken om de in artikel 3, leden 1 en 2, van Richtlijn 2004/82/EG bedoelde informatie te verzamelen, hebben het recht om dat te doen aan de hand van de in lid 7 van dit artikel bedoelde technische voorschriften betreffende een dergelijk gebruik, overeenkomstig die richtlijn.

Artikel 6

Verplichtingen voor luchtvaartmaatschappijen betreffende de doorgifte van API-gegevens

• 1. 

  Luchtvaartmaatschappijen geven de versleutelde API-gegevens langs elektronische weg door aan de router ten behoeve van het doorzenden ervan naar de bevoegde grensautoriteiten overeenkomstig artikel 14. Luchtvaartmaatschap-pijen geven de API-gegevens door overeenkomstig de in lid 3 van dit artikel bedoelde gedetailleerde regels, zodra dergelijke regels zijn vastgesteld en van toepassing zijn.

• 2. 

  Luchtvaartmaatschappijen geven de API-gegevens door:

• a) 

  van elke passagier, op het moment van inchecken, maar niet eerder dan 48 uur voor de geplande vertrektijd van de vlucht, en

• b) 

  van alle passagiers die in het luchtvaartuig zijn ingestapt onmiddellijk na het sluiten van de vlucht, d.i. zodra de passagiers zijn ingestapt in het luchtvaartuig dat gereedstaat voor vertrek en er geen passagiers meer aan of van boord kunnen gaan.

• 3. 

  De Commissie is bevoegd om overeenkomstig artikel 44 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde regels inzake de gemeenschappelijke protocollen en ondersteunde dataformaten voor de versleutelde doorgifte van API-gegevens aan de router zoals bedoeld in lid 1 van dit artikel, met inbegrip van de doorgifte van API-gegevens bij het inchecken, en met gegevensbeveiligingsvoorschriften. Dergelijke gedetailleerde regels waarborgen dat luchtvaartmaatschappijen bij de doorgifte van API-gegevens gebruikmaken van dezelfde structuur en inhoud.

Artikel 7

Verwerking van de API-gegevens door bevoegde grensautoriteiten

De bevoegde grensautoriteiten verwerken de API-gegevens die zij overeenkomstig deze verordening verkrijgen, uitsluitend om de doeltreffendheid en de efficientie van de grenscontroles aan de buitengrenzen te versterken en te vergemakkelijken en om illegale immigratie te bestrijden.

De bevoegde grensautoriteiten verwerken de API-gegevens niet op een wijze die leidt tot de profilering van personen zoals bedoeld in artikel 22 van Verordening (EU) 2016/679, of tot discriminatie van personen op de in artikel 21 van het Handvest genoemde gronden.

Artikel 8

Opslagtermijn en wissing van API-gegevens

• 1. 

  Luchtvaartmaatschappijen slaan de door hen op grond van artikel 4 verzamelde API-gegevens op gedurende een termijn van 48 uur vanaf het tijdstip waarop de router de overeenkomstig artikel 6, lid 2, punten a) en b), doorgegeven API-gegevens heeft ontvangen. Zij wissen dergelijke API-gegevens onmiddellijk en definitief zodra die termijn verstrijkt, onverminderd de mogelijkheid voor luchtvaartmaatschappijen om de gegevens te bewaren en te gebruiken wanneer dat voor de normale bedrijfsvoering overeenkomstig het toepasselijke recht nodig is en onverminderd artikel 16, leden 1 en 3.

• 2. 

  De bevoegde grensautoriteiten slaan de API-gegevens die na de doorgifte op grond van artikel 6, lid 2, punten a) en b), aan hen zijn doorgezonden overeenkomstig artikel 14, op gedurende een periode van 48 uur vanaf het tijdstip waarop zij de API-gegevens hebben ontvangen. Zij wissen dergelijke API-gegevens onmiddellijk en definitief zodra die termijn verstrijkt.

In uitzonderlijke gevallen kunnen de bevoegde grensautoriteiten API-gegevens gedurende een extra termijn van maximaal 48 uur bewaren, mits dergelijke API-gegevens betrekking hebben op passagiers die zich niet binnen de in de eerste alinea bedoelde termijn bij een grensdoorlaatpost hebben gemeld.

Artikel 9

Correctie, aanvulling en bijwerking van API-gegevens

• 1. 

  Wanneer een luchtvaartmaatschappij constateert dat gegevens die zij uit hoofde van deze verordening opslaat, onrechtmatig zijn verwerkt of geen API-gegevens zijn, wist zij die gegevens onmiddellijk en definitief. Indien die gegevens zijn doorgegeven aan de router, stelt de luchtvaartmaatschappij het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) daarvan onmiddellijk in kennis. Bij ontvangst van dergelijke informatie stelt eu-LISA de bevoegde grensautoriteit die de via de router doorgezonden gegevens heeft ontvangen, onmiddellijk daarvan in kennis. Die bevoegde grensautoriteit wist die gegevens onmiddellijk en definitief.

• 2. 

  Wanneer een luchtvaartmaatschappij constateert dat de gegevens die zij uit hoofde van deze verordening opslaat, onjuist, onvolledig of niet meer actueel zijn, zorgt zij ervoor dat die gegevens onmiddellijk worden gecorrigeerd, aangevuld of bijgewerkt. Dit doet geen afbreuk aan de mogelijkheid van luchtvaartmaatschappijen om de gegevens te bewaren en te gebruiken wanneer dat noodzakelijk is voor de normale bedrijfsvoering overeenkomstig het toepasselijke recht.

• 3. 

  Wanneer een luchtvaartmaatschappij na de doorgifte van API-gegevens uit hoofde van artikel 6, lid 2, punt a), maar voor de doorgifte uit hoofde van artikel 6, lid 2, punt b), constateert dat de door haar doorgegeven gegevens onjuist zijn, geeft zij de gecorrigeerde API-gegevens onmiddellijk door aan de router.

• 4. 

  Wanneer een luchtvaartmaatschappij na de doorgifte van API-gegevens uit hoofde van artikel 6, lid 2, punt a) of punt b), constateert dat de door haar doorgegeven gegevens onjuist, onvolledig of niet meer actueel zijn, geeft zij de gecorrigeerde, aangevulde of bijgewerkte API-gegevens onmiddellijk door aan de router.

• 5. 

  Wanneer een bevoegde grensautoriteit na doorzending van API-gegevens overeenkomstig artikel 14 constateert dat de gegevens onjuist, onvolledig of niet meer actueel zijn, wist zij die gegevens onmiddellijk, tenzij die gegevens nodig zijn om de naleving van de in deze verordening vastgestelde verplichtingen te waarborgen.

• 6. 

  De Commissie is bevoegd om overeenkomstig artikel 44 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde regels inzake het corrigeren, aanvullen en bijwerken van API-gegevens in de zin van dit artikel.

Artikel 10

Grondrechten

• 1. 

  De verzameling en verwerking van persoonsgegevens overeenkomstig deze verordening en Verordening (EU) 2025/13 door luchtvaartmaatschappijen en bevoegde autoriteiten leidt niet tot discriminatie van personen op de in artikel 21 van het Handvest genoemde gronden.

• 2. 

  In deze verordening worden de menselijke waardigheid en de grondrechten en beginselen die zijn erkend in het Handvest van de grondrechten van de Europese Unie (het “Handvest”) ten volle geeerbiedigd, met inbegrip van het recht op eerbiediging van de persoonlijke levenssfeer, op asiel, op bescherming van persoonsgegevens, op vrijheid van verplaatsing en op een doeltreffende voorziening in rechte.

• 3. 

  Bijzondere aandacht wordt geschonken aan kinderen, ouderen, personen met een handicap en kwetsbare personen. Bij de tenuitvoerlegging van deze verordening staat het belang van het kind voorop.

HOOFDSTUK 3

BEPALINGEN BETREFFENDE DE ROUTER

Artikel 11

De router

• 1. 

  Teneinde het voor de luchtvaartmaatschappijen gemakkelijker te maken versleutelde API-gegevens aan de bevoegde grensautoriteiten door te geven overeenkomstig deze verordening, wordt door eu-LISA overeenkomstig de artikelen 25 en 26 een router ontworpen, ontwikkeld, gehost en technisch beheerd.

• 2. 

  De router bestaat uit:

• a) 

  een centrale infrastructuur, met inbegrip van een reeks technische componenten voor de ontvangst en doorzending van versleutelde API-gegevens;

• b) 

  een beveiligd communicatiekanaal tussen de centrale infrastructuur en de bevoegde grensautoriteiten, en een beveiligd communicatiekanaal tussen de centrale infrastructuur en de luchtvaartmaatschappijen, voor de doorgifte en doorzending van API-gegevens en voor alle daarmee verband houdende communicatie;

• c) 

  een beveiligd kanaal voor het ontvangen van realtime luchtverkeersgegevens.

• 3. 

  Onverminderd artikel 12 van deze verordening worden voor de router, in voorkomend geval en voor zover dat technisch mogelijk is, de technische componenten, met inbegrip van hardware- en softwarecomponenten, gebruikt en hergebruikt van de in artikel 13 van Verordening (EU) 2017/2226 bedoelde webdienst, het in artikel 6, lid 2, punt k), van Verordening (EU) 2018/1240 bedoelde toegangsportaal voor vervoerders en het in artikel 45 quater van Verordening (EG) nr. 767/2008 bedoelde toegangsportaal voor vervoerders.

eu-LISA ontwerpt de router, voor zover dat technisch en operationeel mogelijk is, zodanig dat deze coherent en consistent is met de in Verordeningen (EG) nr. 767/2008, (EU) 2017/2226 en (EU) 2018/1240 uiteengezette verplichtingen voor luchtvaartmaatschappijen.

• 4. 

  De router extraheert de gegevens automatisch en stelt die overeenkomstig artikel 38 van deze verordening automatisch ter beschikking van het bij artikel 39 van Verordening (EU) 2019/817 ingestelde centraal register voor rapportage en statistieken (CRRS).

• 5. 

  eu-LISA ontwerpt en ontwikkelt de router op zodanige wijze dat API-gegevens bij doorgifte ervan door de luchtvaartmaatschappijen aan de router overeenkomstig artikel 6, en bij doorzending ervan door de router naar de bevoegde grensautoriteiten overeenkomstig artikel 14 en naar het CRRS overeenkomstig artikel 38, lid 2, bij de overdracht van eind-tot-eindversleuteling voorzien zijn.

Artikel 12

Exclusief gebruik van de router

Voor de toepassing van deze verordening wordt de router uitsluitend gebruikt door:

• a) 

  luchtvaartmaatschappijen om versleutelde API-gegevens door te geven overeenkomstig deze verordening;

• b) 

  de bevoegde grensautoriteiten om versleutelde API-gegevens te ontvangen overeenkomstig deze verordening.

Dit artikel laat artikel 10 van Verordening (EU) 2025/13 onverlet.

Artikel 13

Verificatie van het gegevensformaat en van de doorgifte

• 1. 

  De router verifieert op geautomatiseerde wijze en op basis van realtime luchtverkeersgegevens of de luchtvaart-maatschappij de API-gegevens heeft doorgegeven overeenkomstig artikel 6, lid 1.

• 2. 

  De router verifieert onmiddellijk en op geautomatiseerde wijze of de overeenkomstig artikel 6, lid 1, aan de router doorgegeven API-gegevens voldoen aan de in artikel 6, lid 3, bedoelde gedetailleerde regels inzake de ondersteunde gegevensformaten.

• 3. 

  Indien de in lid 1 van dit artikel bedoelde verificatie uitwijst dat de gegevens door de luchtvaartmaatschappij niet werden doorgegeven of indien de in lid 2 van dit artikel bedoelde verificatie uitwijst dat de gegevens niet voldoen aan de gedetailleerde regels inzake ondersteunde gegevensformaten, stelt de router de betrokken luchtvaartmaatschappij en de bevoegde grensautoriteiten van de lidstaten waaraan de gegevens overeenkomstig artikel 14, lid 1, moesten worden doorgezonden hiervan onmiddellijk en op geautomatiseerde wijze in kennis. In dergelijke gevallen geeft de luchtvaartmaatschappij de API-gegevens onmiddellijk door overeenkomstig artikel 6.

• 4. 

  De Commissie stelt uitvoeringshandelingen vast waarin de gedetailleerde technische en procedurele regels die nodig zijn voor de verificaties en de kennisgevingen als bedoeld in de leden 1, 2 en 3 van dit artikel worden gespecificeerd. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 43, lid 2, bedoelde onderzoeksprocedure.

Artikel 14

Doorzending van API-gegevens via de router naar de bevoegde grensautoriteiten

• 1. 

  Direct na de in artikel 13 bedoelde verificatie van het gegevensformaat en van de doorgifte zendt de router de versleutelde API-gegevens die op grond van artikel 6 of artikel 9, leden 3 en 4, aan de router zijn doorgegeven, door naar de bevoegde grensautoriteiten van de lidstaat, of, indien volgens planning geland zal worden op een of meer luchthavens op het grondgebied van een of meer lidstaten waarop deze verordening van toepassing is, naar de bevoegde grensautoriteiten van de lidstaten, zoals bedoeld in artikel 4, lid 3, punt c). De router zendt die gegevens onmiddellijk en op geautomatiseerde wijze door, zonder de inhoud ervan op enigerlei wijze te wijzigen, en overeenkomstig de in lid 5 van dit artikel bedoelde gedetailleerde regels, zodra dergelijke regels zijn vastgesteld en van toepassing zijn.

Met het oog op een dergelijke doorzending stelt eu-LISA een lijst op van de verschillende luchthavens van vertrek en aankomst en de bijbehorende landen, en houdt het deze lijst actueel.

• 2. 

  De lidstaten wijzen de bevoegde grensautoriteiten aan die gemachtigd zijn om de API-gegevens te ontvangen die overeenkomstig deze verordening van de router naar hen worden doorgezonden. Zij stellen eu-LISA en de Commissie uiterlijk op de in artikel 46, tweede alinea, bedoelde datum van toepassing van deze verordening in kennis van de naam en de contactgegevens van de bevoegde grensautoriteiten en stellen eu-LISA en de Commissie in kennis van eventuele bijwerkingen van die informatie.

De Commissie stelt op basis van die kennisgevingen en bijwerkingen een lijst op van de aangemelde bevoegde grensautoriteiten, met inbegrip van hun contactgegevens, en maakt deze lijst openbaar.

• 3. 

  De lidstaten zorgen ervoor dat hun bevoegde grensautoriteiten die overeenkomstig lid 1 API-gegevens ontvangen, onmiddellijk en op geautomatiseerde wijze de ontvangst van dergelijke gegevens bevestigen aan de router.

• 4. 

  De lidstaten zorgen ervoor dat alleen de naar behoren gemachtigde en opgeleide personeelsleden van hun overeenkomstig lid 2 aangewezen bevoegde grensautoriteiten toegang hebben tot de API-gegevens die van de router naar hen worden doorgezonden. Zij stellen de daartoe vereiste regels vast. Die regels omvatten regels over het opstellen en regelmatig bijwerken van een lijst van die personeelsleden en hun profielen.

• 5. 

  De Commissie stelt uitvoeringshandelingen vast waarin de gedetailleerde technische en procedurele regels die noodzakelijk zijn voor de doorzending van API-gegevens van de router zoals bedoeld in lid 1 van dit artikel, worden gespecificeerd, met inbegrip van voorschriften inzake gegevensbeveiliging. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 43, lid 2, bedoelde onderzoeksprocedure.

Artikel 15

Wissing van API-gegevens van de router

API-gegevens die op grond van deze verordening aan de router worden doorgegeven, worden alleen op de router opgeslagen voor zover dat noodzakelijk is om de doorzending ervan naar de relevante bevoegde grensautoriteiten overeenkomstig deze verordening te voltooien, en worden onmiddellijk, definitief en op geautomatiseerde wijze van de router gewist wanneer overeenkomstig artikel 14, lid 3, is bevestigd dat de doorzending van de API-gegevens naar de betrokken bevoegde grensautoriteiten is voltooid.

Artikel 16

Maatregelen ingeval het gebruik van de router technisch onmogelijk is

• 1. 

  Wanneer het vanwege een storing van de router technisch onmogelijk is de router te gebruiken om API-gegevens door te zenden, stelt eu-LISA de luchtvaartmaatschappijen en de bevoegde grensautoriteiten daarvan onmiddellijk op geautomatiseerde wijze in kennis. In dat geval neemt eu-LISA onmiddellijk maatregelen ter verhelping van de technische storing die het gebruik van de router belet en stelt het, wanneer de storing verholpen is, de luchtvaartmaatschappijen en de bevoegde grensautoriteiten daarvan onmiddellijk in kennis.

In de tijdsperiode tussen die kennisgevingen zijn artikel 6, lid 1, en artikel 8, lid 1, niet van toepassing, voor zover de technische storing de doorgifte van API-gegevens aan de router belet. De luchtvaartmaatschappijen slaan de API-gegevens op totdat de technische storing is verholpen. Zodra de technische storing is verholpen, geven de luchtvaartmaatschappijen de gegevens door aan de router overeenkomstig artikel 6, lid 1.

Indien de API-gegevens meer dan 96 uur na het tijdstip van vertrek zoals bedoeld in artikel 4, lid 3, punt f), worden ontvangen, zendt de router de API-gegevens niet door aan de bevoegde grensautoriteiten, maar wist de router die gegevens.

Indien het technisch onmogelijk is om de router te gebruiken en in uitzonderlijke gevallen die verband houden met de doelstellingen van deze verordening die het voor bevoegde grensautoriteiten noodzakelijk maken onmiddellijk API-gegevens te ontvangen tijdens de technische storing die het gebruik van de router belet, kunnen de bevoegde grensautoriteiten luchtvaartmaatschappijen verzoeken gebruik te maken van andere passende middelen die het niveau van gegevensbeveiliging, gegevenskwaliteit en gegevensbescherming waarborgen dat nodig is om de API-gegevens rechtstreeks aan de bevoegde grensautoriteiten door te geven. De bevoegde grensautoriteiten verwerken de via andere passende middelen ontvangen API-gegevens overeenkomstig de regels en waarborgen van Verordening (EU) 2016/399 en het toepasselijke nationale recht.

Nadat eu-LISA heeft meegedeeld dat de technische storing is verholpen en indien overeenkomstig artikel 14, lid 3, bevestigd is dat de doorzending van de API-gegevens via de router aan de bevoegde grensautoriteit is voltooid, wist de bevoegde grensautoriteit de via andere passende middelen ontvangen API-gegevens onmiddellijk.

• 2. 

  Wanneer het vanwege een storing van de in artikel 23 bedoelde systemen of infrastructuur van een lidstaat technisch onmogelijk is de router te gebruiken om API-gegevens door te zenden, stellen de bevoegde grensautoriteiten van die lidstaat de luchtvaartmaatschappijen, de bevoegde autoriteiten van de andere lidstaten, eu-LISA en de Commissie daarvan onmiddellijk op geautomatiseerde wijze in kennis. In dat geval neemt die lidstaat onmiddellijk maatregelen ter verhelping van de technische storing die het gebruik van de router belet en stelt hij, wanneer de storing verholpen is, de luchtvaartmaatschappijen, de bevoegde autoriteiten van de andere lidstaten, eu-LISA en de Commissie daarvan onmiddellijk in kennis. De router slaat de API-gegevens op totdat de technische storing is verholpen. Zodra de technische storing is verholpen, zendt de router de gegevens door overeenkomstig artikel 14, lid 1.

In de periode tussen die kennisgevingen zijn artikel 6, lid 1, en artikel 8, lid 1, niet van toepassing, voor zover de technische storing de doorgifte van API-gegevens aan de router belet. De luchtvaartmaatschappijen slaan de API-gegevens op totdat de technische storing is verholpen. Zodra de technische storing is verholpen, geven de luchtvaartmaatschappijen de gegevens door aan de router overeenkomstig artikel 6, lid 1.

Indien de API-gegevens meer dan 96 uur na het tijdstip van vertrek zoals bedoeld in artikel 4, lid 3, punt f), worden ontvangen, zendt de router de API-gegevens niet door aan de bevoegde grensautoriteiten, maar wist de router die gegevens.

Als het technisch onmogelijk is om de router te gebruiken en in uitzonderlijke gevallen die verband houden met de doelstellingen van deze verordening die het voor bevoegde grensautoriteiten noodzakelijk maken onmiddellijk API-gegevens te ontvangen tijdens de technische storing die het gebruik van de router belet, kunnen de bevoegde grensautoriteiten luchtvaartmaatschappijen verzoeken gebruik te maken van andere passende middelen die het niveau van gegevensbeveiliging, gegevenskwaliteit en gegevensbescherming waarborgen dat nodig is om de API-gegevens rechtstreeks aan de bevoegde grensautoriteiten door te geven. De bevoegde grensautoriteiten verwerken de via andere passende middelen ontvangen API-gegevens overeenkomstig de in Verordening (EU) 2016/399 uiteengezette regels en waarborgen en het toepasselijke nationale recht.

Nadat eu-LISA heeft meegedeeld dat de technische storing is verholpen en indien overeenkomstig artikel 14, lid 3, bevestigd is dat de doorgifte van de API-gegevens via de router aan de bevoegde grensautoriteit is voltooid, wist de bevoegde grensautoriteit de via andere passende middelen ontvangen API-gegevens onmiddellijk.

• 3. 

  Wanneer het vanwege een storing van de in artikel 24 bedoelde systemen of infrastructuur van een luchtvaartmaatschappij technisch onmogelijk is de router te gebruiken om API-gegevens door te geven, stelt die luchtvaartmaatschappij de bevoegde grensautoriteiten, eu-LISA en de Commissie daarvan onmiddellijk op geautomatiseerde wijze in kennis. In dat geval neemt die luchtvaartmaatschappij onmiddellijk maatregelen ter verhelping van de technische storing die het gebruik van de router belet en stelt zij, wanneer de storing verholpen is, eu-LISA en de Commissie daarvan onmiddellijk in kennis.

In de tijdsperiode tussen die kennisgevingen zijn artikel 6, lid 1, en artikel 8, lid 1, niet van toepassing, voor zover de technische storing de doorgifte van API-gegevens aan de router belet. De luchtvaartmaatschappijen slaan de API-gegevens op totdat de technische storing is verholpen. Zodra de technische storing is verholpen, geven de luchtvaartmaatschappijen de gegevens door aan de router overeenkomstig artikel 6, lid 1. De router zendt de API-gegevens echter niet door naar de bevoegde grensautoriteiten, maar wist de gegevens, indien zij meer dan 96 uur na het tijdstip van vertrek zoals bedoeld in artikel 4, lid 3, punt f), zijn ontvangen.

Als het technisch onmogelijk is om de router te gebruiken en in uitzonderlijke gevallen die verband houden met de doelstellingen van deze verordening die het voor bevoegde grensautoriteiten noodzakelijk maken onmiddellijk API-gegevens te ontvangen tijdens de technische storing die het gebruik van de router belet, kunnen de bevoegde grensautoriteiten luchtvaartmaatschappijen verzoeken gebruik te maken van andere passende middelen die het niveau van gegevensbeveiliging, gegevenskwaliteit en gegevensbescherming waarborgen dat nodig is om de API-gegevens rechtstreeks aan de bevoegde grensautoriteiten door te geven. De bevoegde grensautoriteiten verwerken de API-gegevens die zij via andere passende middelen hebben ontvangen, met inachtneming van de regels en waarborgen van Verordening (EU) 2016/399 en het toepasselijke nationale recht.

Nadat eu-LISA heeft meegedeeld dat de technische storing is verholpen en als overeenkomstig artikel 14, lid 3, bevestigd is dat de doorzending van de API-gegevens via de router aan de bevoegde grensautoriteit is voltooid, wist de bevoegde grensautoriteit de via andere passende middelen ontvangen API-gegevens onmiddellijk.

Wanneer de technische storing die het gebruik van de router belet, is verholpen, dient de betrokken luchtvaartmaatschappij bij de in artikel 36 bedoelde bevoegde nationale autoriteit voor toezicht inzake API onverwijld een verslag in met alle nodige details over de technische storing, met inbegrip van de redenen voor de storing, de omvang en de gevolgen van de storing en de maatregelen die zijn genomen om de storing te verhelpen.

HOOFDSTUK 4

SPECIFIEKE BEPALINGEN INZAKE DE BESCHERMING VAN PERSOONSGEGEVENS EN BEVEILIGING

Artikel 17

Bijhouden van logbestanden

• 1. 

  Luchtvaartmaatschappijen leggen logbestanden aan van alle met API-gegevens verband houdende verwerkings-activiteiten die uit hoofde van deze verordening met behulp van de in artikel 5, lid 2, bedoelde geautomatiseerde middelen worden uitgevoerd. Die logbestanden bevatten de datum, het tijdstip en de plaats van doorgifte van de API-gegevens. Die logbestanden bevatten geen andere persoonsgegevens dan de informatie die nodig is om het betrokken personeelslid van de luchtvaartmaatschappij te identificeren.

• 2. 

  eu-LISA houdt logbestanden bij van alle verwerkingsactiviteiten die verband houden met de doorgifte en doorzending van API-gegevens via de router uit hoofde van deze verordening. In die logbestanden wordt het volgende vermeld:

• a) 

  de luchtvaartmaatschappij die de API-gegevens aan de router heeft doorgegeven;

• b) 

  de bevoegde grensautoriteiten waarnaar de API-gegevens via de router zijn doorgezonden;

• c) 

  de datum, het tijdstip en de plaats van de in de punten a) en b) bedoelde doorgifte of doorzending;

• d) 

  voor het onderhoud van de router vereiste toegang van personeelsleden van eu-LISA, zoals bedoeld in artikel 26, lid 3;

• e) 

  alle andere informatie met betrekking tot de verwerkingsactiviteiten die nodig is om de beveiliging en de integriteit van de API-gegevens en de rechtmatigheid van die verwerkingsactiviteiten te monitoren.

Die logbestanden bevatten geen andere persoonsgegevens dan de informatie ter identificatie van het in de eerste alinea, punt d), bedoelde betrokken personeelslid van eu-LISA.

• 3. 

  De in de leden 1 en 2 van dit artikel bedoelde logbestanden worden uitsluitend gebruikt om de beveiliging en de integriteit van de API-gegevens en de rechtmatigheid van de verwerking te waarborgen, met name wat betreft de naleving van de voorschriften van deze verordening, met inbegrip van sanctieprocedures voor inbreuken op die voorschriften overeenkomstig de artikelen 36 en 37.

• 4. 

  De luchtvaartmaatschappijen en eu-LISA nemen passende maatregelen om de logbestanden die zij op grond van de leden 1 en 2 hebben aangelegd, te beschermen tegen ongeoorloofde toegang en andere beveiligingsrisico’s.

• 5. 

  De in artikel 36 bedoelde nationale autoriteit voor toezicht inzake API en de bevoegde grensautoriteiten hebben toegang tot de in lid 1 van dit artikel bedoelde logbestanden indien dat noodzakelijk is voor de in lid 3 van dit artikel bedoelde doeleinden.

• 6. 

  De luchtvaartmaatschappijen en eu-LISA bewaren de logbestanden die zij op grond van de leden 1 en 2, respectievelijk, hebben aangelegd, gedurende een jaar vanaf het moment waarop die logbestanden zijn aangelegd. Zij wissen die logbestanden onmiddellijk en definitief zodra die termijn verstrijkt.

Indien de logbestanden echter nodig zijn voor procedures met het oog op het monitoren of waarborgen van de beveiliging en de integriteit van de API-gegevens of de rechtmatigheid van de verwerkingsactiviteiten, als bedoeld in lid 3, en die procedures reeds zijn gestart voor het verstrijken van de in de eerste alinea van dit lid genoemde periode, bewaren eu-LISA en de luchtvaartmaatschappijen die logbestanden zo lang als nodig is voor die procedures. In dat geval wissen zij die logbestanden zodra deze niet langer nodig zijn voor die procedures.

Artikel 18

Verantwoordelijkheden inzake gegevensbescherming

• 1. 

  De luchtvaartmaatschappijen zijn verwerkingsverantwoordelijken in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 voor de verwerking van API-gegevens die persoonsgegevens zijn, met betrekking tot de verzameling van dergelijke gegevens en de doorgifte ervan aan de router uit hoofde van deze verordening.

• 2. 

  Elke lidstaat wijst een bevoegde autoriteit aan als verwerkingsverantwoordelijke overeenkomstig dit artikel. De lidstaten delen aan de Commissie, eu-LISA en de andere lidstaten mee welke autoriteiten dit zijn.

Voor de verwerking van persoonsgegevens in de router zijn alle door de lidstaten aangewezen bevoegde autoriteiten gezamenlijke verwerkingsverantwoordelijken overeenkomstig artikel 26 van Verordening (EU) 2016/679.

• 3. 

  eu-LISA is een verwerker in de zin van artikel 3, punt 12, van Verordening (EU) 2018/1725 voor de verwerking, met gebruikmaking van de router, uit hoofde van deze verordening van API-gegevens die persoonsgegevens zijn, waaronder de doorzending van de gegevens van de router naar de bevoegde grensautoriteiten en de opslag om technische redenen van die gegevens op de router. eu-LISA zorgt ervoor dat de router wordt beheerd in overeenstemming met deze verordening.

• 4. 

  De Commissie stelt uitvoeringshandelingen vast tot vaststelling van de respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken en de respectieve verplichtingen van de gezamenlijke verwerkingsverant-woordelijken en de verwerker. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 43, lid 2, bedoelde onderzoeksprocedure.

Artikel 19

Informatie voor passagiers

Overeenkomstig artikel 13 van Verordening (EU) 2016/679 verstrekken luchtvaartmaatschappijen passagiers op onder deze verordening vallende vluchten informatie over het doel waarvoor hun persoonsgegevens worden verzameld, het soort persoonsgegevens dat wordt verzameld, wie de persoonsgegevens ontvangt en de wijze waarop zij hun rechten als betrokkenen kunnen uitoefenen.

Die informatie wordt passagiers schriftelijk in een gemakkelijk toegankelijk formaat meegedeeld bij het boeken en het inchecken, ongeacht de middelen die tijdens het inchecken worden gebruikt om de persoonsgegevens te verzamelen, overeenkomstig artikel 5.

Artikel 20

Beveiliging

• 1. 

  eu-LISA zorgt voor de beveiliging en versleuteling van de API-gegevens, in het bijzonder API-gegevens die persoonsgegevens zijn, die het op grond van deze verordening verwerkt. De bevoegde grensautoriteiten en de luchtvaartmaatschappijen zorgen voor de beveiliging van de API-gegevens, in het bijzonder API-gegevens die persoonsgegevens zijn, die zij op grond van deze verordening verwerken, eu-LISA, de bevoegde grensautoriteiten en de luchtvaartmaatschappijen werken, overeenkomstig hun respectieve verantwoordelijkheden en met inachtneming van het Unierecht, met elkaar samen om een dergelijke beveiliging te waarborgen.

• 2. 

  eu-LISA neemt de maatregelen die nodig zijn om de beveiliging van de router en de via de router doorgezonden API-gegevens, met name API-gegevens die persoonsgegevens zijn, te waarborgen, onder meer door een beveiligingsplan, een bedrijfscontinuiteitsplan en een uitwijkplan op te stellen en uit te voeren en deze regelmatig bij te werken, teneinde:

• a) 

  de router fysiek te beschermen, onder meer door middel van noodplannen voor de bescherming van kritieke componenten van de router;

• b) 

  onrechtmatige verwerking van de API-gegevens, met inbegrip van ongeoorloofde toegang tot deze gegevens en het kopieren, wijzigen of wissen ervan, met name door middel van passende versleutelingstechnieken te voorkomen, zowel tijdens de doorgifte van de API-gegevens aan en via de router als tijdens de eventuele opslag van de API-gegevens op de router, wanneer die opslag nodig is om de doorzending te voltooien;

• c) 

  ervoor te zorgen dat de personen die toegangsrechten hebben tot de router alleen toegang hebben tot de gegevens waarop hun toegangsrechten betrekking hebben;

• d) 

  ervoor te zorgen dat kan worden geverifieerd en vastgesteld naar welke bevoegde grensautoriteiten de API-gegevens via de router worden doorgezonden;

• e) 

  eventuele functionele storingen in de router correct te rapporteren bij de raad van bestuur van eu-LISA;

• f) 

  de doeltreffendheid van de uit hoofde van dit artikel en Verordening (EU) 2018/1725 vereiste beveiligingsmaatregelen te monitoren en die beveiligingsmaatregelen te beoordelen en bij te werken wanneer dat in het licht van technologische of operationele ontwikkelingen nodig is.

De in de eerste alinea van dit lid bedoelde maatregelen laten artikel 32 van Verordening (EU) 2016/679 en artikel 33 van Verordening (EU) 2018/1725 onverlet.

Artikel 21

Zelfmonitoring

De luchtvaartmaatschappijen en de bevoegde grensautoriteiten monitoren of zij de uit hoofde van deze verordening op hen rustende verplichtingen nakomen, met name wat betreft de verwerking van API-gegevens die persoonsgegevens zijn. Voor luchtvaartmaatschappijen omvat de monitoring frequente verificatie van de logbestanden overeenkomstig artikel 17, lid 1.

Artikel 22

Audits inzake de bescherming van persoonsgegevens

• 1. 

  De in artikel 51 van Verordening (EU) 2016/679 bedoelde onafhankelijke toezichthoudende autoriteiten voeren ten minste om de vier jaar een audit uit van de verwerkingsactiviteiten die de bevoegde grensautoriteiten met het oog op de toepassing van deze verordening verrichten met betrekking tot API-gegevens die persoonsgegevens zijn. De lidstaten zorgen ervoor dat hun onafhankelijke toezichthoudende autoriteiten over voldoende middelen en deskundigheid beschikken om hun taken uit hoofde van deze verordening te kunnen vervullen.

• 2. 

  De Europese Toezichthouder voor gegevensbescherming voert ten minste eenmaal per jaar overeenkomstig de relevante internationale auditnormen een audit uit van de door eu-LISA met het oog op deze verordening uitgevoerde verwerkingsactiviteiten met betrekking tot API-gegevens die persoonsgegevens zijn. Een verslag van die audit wordt toegezonden aan het Europees Parlement, de Raad, de Commissie, de lidstaten en eu-LISA. Voordat de verslagen worden goedgekeurd, wordt eu-LISA in de gelegenheid gesteld opmerkingen te maken.

• 3. 

  Met betrekking tot de in lid 2 van dit artikel bedoelde verwerkingsactiviteiten krijgt de Europese Toezichthouder voor gegevensbescherming van eu-LISA, op verzoek, informatie, alsook toegang tot alle documenten waarom hij verzoekt, toegang tot de in artikel 17, lid 2, bedoelde logbestanden, en te allen tijde toegang tot alle gebouwen en terreinen van eu-LISA.

HOOFDSTUK 5

DE ROUTER

Artikel 23

Verbindingen van de bevoegde grensautoriteiten met de router

• 1. 

  De lidstaten zorgen ervoor dat hun bevoegde grensautoriteiten verbonden zijn met de router. Zij zorgen ervoor dat de systemen en infrastructuur van de bevoegde grensautoriteiten die bestemd zijn voor de ontvangst en verdere verwerking van de op grond van deze verordening doorgegeven API-gegevens, worden geintegreerd met de router.

De lidstaten zorgen ervoor dat de verbinding en de integratie met de router van dien aard zijn dat hun bevoegde grensautoriteiten de API-gegevens kunnen ontvangen en verder verwerken en alle daarmee verband houdende communicatie op een rechtmatige, beveiligde, doeltreffende en snelle wijze kunnen uitwisselen.

• 2. 

  De Commissie stelt uitvoeringshandelingen vast waarin de nodige gedetailleerde regels inzake de verbinding en integratie met de router als bedoeld in lid 1 van dit artikel worden gespecificeerd, waaronder voorschriften inzake gegevensbeveiliging. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 43, lid 2, bedoelde onderzoeksprocedure.

Artikel 24

Verbindingen van luchtvaartmaatschappijen met de router

• 1. 

  De luchtvaartmaatschappijen zorgen ervoor dat zij verbonden zijn met de router. Zij zorgen ervoor dat hun systemen en infrastructuur voor de doorgifte van API-gegevens aan de router op grond van deze verordening, worden geintegreerd met de router.

De luchtvaartmaatschappijen zorgen ervoor dat de verbinding en de integratie met de router van dien aard zijn dat zij de API-gegevens kunnen doorgeven en alle daarmee verband houdende communicatie op een rechtmatige, beveiligde, doeltreffende en snelle wijze kunnen uitwisselen. Daartoe voeren de luchtvaartmaatschappijen in samenwerking met eu-LISA tests uit met betrekking tot de doorgifte van API-gegevens aan de router, overeenkomstig artikel 27, lid 3.

• 2. 

  De Commissie stelt uitvoeringshandelingen vast waarin de nodige gedetailleerde regels inzake de verbinding en integratie met de router zoals bedoeld in lid 1 van dit artikel worden gespecificeerd, waaronder voorschriften inzake gegevensbeveiliging. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 43, lid 2, bedoelde onderzoeksprocedure.

Artikel 25

Taken van eu-LISA met betrekking tot het ontwerp en de ontwikkeling van de router

• 1. 

  eu-LISA is verantwoordelijk voor het ontwerp van de fysieke architectuur van de router, met inbegrip van het vaststellen van de technische specificaties ervan.

• 2. 

  eu-LISA is verantwoordelijk voor de ontwikkeling van de router, met inbegrip van alle technische aanpassingen die nodig zijn voor de werking van de router.

De ontwikkeling van de router omvat de uitwerking en implementatie van de technische specificaties, het testen, het algemeen projectbeheer en het coordineren van de ontwikkelingsfase.

• 3. 

  eu-LISA zorgt ervoor dat de router zodanig wordt ontworpen en ontwikkeld dat de router de in deze verordening gespecificeerde functionaliteiten heeft en dat de router in gebruik wordt genomen zo spoedig mogelijk nadat de Commissie de in artikel 5, lid 7, artikel 6, lid 3, artikel 9, lid 6, artikel 23, lid 2, en artikel 24, lid 2, van deze verordening bedoelde uitvoerings- en gedelegeerde handelingen heeft vastgesteld, en nadat een gegevensbeschermingseffectbeoordeling is uitgevoerd overeenkomstig artikel 35 van Verordening (EU) 2016/679.

• 4. 

  eu-LISA verstrekt de bevoegde grensautoriteiten, andere relevante autoriteiten van de lidstaten en luchtvaartmaat-schappijen een conformiteitstestpakket. Het conformiteitstestpakket bestaat uit een testomgeving, een simulator, testgegevensreeksen en een testplan. Het conformiteitstestpakket maakt het mogelijk om een in lid 5 bedoelde uitgebreide test van de router uit te voeren, en blijft beschikbaar na voltooiing van die test.

• 5. 

  Wanneer eu-LISA van oordeel is dat de ontwikkelingsfase is voltooid, voert het, in samenwerking met de bevoegde grensautoriteiten, de andere relevante autoriteiten van de lidstaten en de luchtvaartmaatschappijen, onverwijld een uitgebreide test van de router uit en stelt het de Commissie in kennis van het resultaat van die test.

Artikel 26

Taken van eu-LISA met betrekking tot het hosten en het technische beheer van de router

• 1. 

  eu-LISA host de router op zijn technische locaties.

• 2. 

  eu-LISA is verantwoordelijk voor het technische beheer van de router, met inbegrip van het onderhoud en de technische ontwikkeling ervan, en zorgt er daarbij voor dat de API-gegevens beveiligd, doeltreffend en snel via de router worden doorgezonden, in overeenstemming met deze verordening.

Het technische beheer van de router bestaat uit de uitvoering van alle taken en technische oplossingen die nodig zijn om de router zeven dagen per week en 24 uur per dag ononderbroken naar behoren te laten functioneren overeenkomstig deze verordening. Het omvat de onderhoudswerkzaamheden en technische ontwikkelingen die nodig zijn voor een toereikende technische kwaliteit van de werking van de router, in het bijzonder wat betreft de beschikbaarheid, juistheid en betrouwbaarheid van de doorzending van de API-gegevens, in overeenstemming met de technische specificaties en, voor zover mogelijk, met de operationele behoeften van de bevoegde grensautoriteiten en de luchtvaartmaatschappijen.

• 3. 

  Personeelsleden van eu-LISA hebben geen toegang tot de API-gegevens die via de router worden doorgezonden. Strikt voor het onderhoud en het technische beheer van de router vereiste toegang door personeelsleden van eu-LISA valt evenwel niet onder dit verbod.

• 4. 

  Onverminderd lid 3 van dit artikel en artikel 17 van het Statuut van de ambtenaren van de Europese Unie, zoals vastgesteld in Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (²⁸), past eu-LISA passende voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op zijn personeelsleden die moeten werken met de via de router doorgezonden API-gegevens. Deze verplichting blijft ook gelden nadat dergelijke personeelsleden hun functie of dienstverband hebben beeindigd of hun werkzaamheden hebben stopgezet.

Artikel 27

Ondersteunende taken van eu-LISA met betrekking tot de router

• 1. 

  eu-LISA biedt de bevoegde grensautoriteiten, andere relevante autoriteiten van de lidstaten en luchtvaartmaatschap-pijen op hun verzoek opleiding aan over het technische gebruik van de router en over hun verbinding en integratie met de router.

• 2. 

  eu-LISA biedt de bevoegde grensautoriteiten ondersteuning met betrekking tot de ontvangst van API-gegevens via de router overeenkomstig deze verordening, met name in verband met de toepassing van de artikelen 14 en 23.

• 3. 

  Overeenkomstig artikel 24, lid 1, en met gebruikmaking van het in artikel 25, lid 4, bedoelde conformiteitstestpakket voert eu-LISA tests uit inzake de doorgifte van API-gegevens aan de router in samenwerking met de luchtvaartmaat-schappijen.

• (²⁸) 

  PB L 56 van 4.3.1968, blz. 1.

HOOFDSTUK 6

GOVERNANCE

Artikel 28

Programmabestuursraad

• 1. 

  Uiterlijk 28 januari 2025 richt de raad van bestuur van eu-LISA een programmabestuursraad op. De programmabestuursraad bestaat uit de volgende tien leden:

• a) 

  zeven door de raad van bestuur van eu-LISA uit zijn eigen leden of plaatsvervangers aangewezen leden;

• b) 

  de voorzitter van de in artikel 29 bedoelde API-PNR-adviesgroep;

• c) 

  een door de uitvoerend directeur van eu-LISA aangewezen personeelslid van eu-LISA, en

• d) 

  een door de Commissie benoemd lid.

Wat punt a) betreft, worden de door de raad van bestuur van eu-LISA aangewezen leden uitsluitend gekozen uit de leden of plaatsvervangers afkomstig uit de lidstaten waarop deze verordening van toepassing is.

• 2. 

  De programmabestuursraad stelt zijn reglement van orde op, dat door de raad van bestuur van eu-LISA moet worden goedgekeurd.

Het voorzitterschap wordt bekleed door een lidstaat die lid is van de programmabestuursraad.

• 3. 

  De programmabestuursraad houdt toezicht op de doeltreffende uitvoering door eu-LISA van zijn taken in verband met het ontwerp en de ontwikkeling van de router overeenkomstig artikel 25.

eu-LISA verstrekt de programmabestuursraad op verzoek gedetailleerde en bijgewerkte informatie over het ontwerp en de ontwikkeling van de router, alsook over de door eu-LISA daartoe toegewezen middelen.

• 4. 

  De programmabestuursraad dient regelmatig, en ten minste driemaal per kwartaal, bij de raad van bestuur van eu-LISA schriftelijke verslagen in over de voortgang die wordt geboekt met betrekking tot het ontwerp en de ontwikkeling van de router.

• 5. 

  De programmabestuursraad heeft geen beslissingsbevoegdheid of mandaat om de raad van bestuur van eu-LISA of de leden daarvan te vertegenwoordigen.

• 6. 

  De programmabestuursraad houdt op te bestaan op de in artikel 46, tweede alinea, bedoelde datum van toepassing van deze verordening.

Artikel 29

API-PNR-adviesgroep

• 1. 

  Met ingang van 28 januari 2025 verstrekt de op grond van artikel 27, lid 1, punt de), van Verordening (EU) 2018/1726 opgerichte API-PNR-adviesgroep de raad van bestuur van eu-LISA de nodige expertise in verband met API-PNR, met name in de context van de opstelling van het jaarlijkse werkprogramma en het jaarlijkse activiteitenverslag van eu-LISA.

• 2. 

  Wanneer beschikbaar verstrekt eu-LISA de API-PNR-adviesgroep de versies, ook de tussentijdse versies, van de technische specificaties en de conformiteitstestpakketten zoals bedoeld in artikel 25, leden 1, 2 en 4.

• 3. 

  De API-PNR-adviesgroep vervult de volgende taken:

• a) 

  het ondersteunen van eu-LISA en de programmabestuursraad met deskundigheid op het gebied van het ontwerp en de ontwikkeling van de router overeenkomstig artikel 25;

• b) 

  het ondersteunen van eu-LISA met deskundigheid op het gebied van het hosten en het technische beheer van de router overeenkomstig artikel 26;

• c) 

  het adviseren van de programmabestuursraad, op diens verzoek, over de voortgang met betrekking tot het ontwerp en de ontwikkeling van de router, waaronder de voortgang met betrekking tot de in lid 2 bedoelde technische specificaties en conformiteitstestpakketten.

• 4. 

  De API-PNR-adviesgroep heeft geen beslissingsbevoegdheid of mandaat om de raad van bestuur van eu-LISA of de leden daarvan te vertegenwoordigen.

Artikel 30

API-PNR-contactgroep

• 1. 

  Uiterlijk op de in artikel 46, tweede alinea, bedoelde datum van toepassing van deze verordening richt de raad van bestuur van eu-LISA een API-PNR-contactgroep op.

• 2. 

  De API-PNR-contactgroep faciliteert de communicatie tussen de bevoegde autoriteiten van de lidstaten en luchtvaartmaatschappijen over technische aangelegenheden in verband met hun respectieve taken en verplichtingen uit hoofde van deze verordening.

• 3. 

  De API-PNR-contactgroep bestaat uit vertegenwoordigers van de relevante autoriteiten van de lidstaten en luchtvaartmaatschappijen, de voorzitter van de API-PNR-adviesgroep en deskundigen van eu-LISA.

• 4. 

  De raad van bestuur van eu-LISA stelt, na advies van de API-PNR-adviesgroep, het reglement van orde van de API-PNR-contactgroep vast.

• 5. 

  Wanneer dit nodig wordt geacht, kan de raad van bestuur van eu-LISA ook subgroepen van de API-PNR-contactgroep oprichten, die specifieke technische aangelegenheden in verband met de respectieve taken en verplichtingen van de relevante autoriteiten van de lidstaten en luchtvaartmaatschappijen uit hoofde van deze verordening bespreken.

• 6. 

  De API-PNR-adviesgroep en de subgroepen daarvan hebben geen beslissingsbevoegdheid of mandaat om de raad van bestuur van eu-LISA of de leden daarvan te vertegenwoordigen.

Artikel 31

API-deskundigengroep

• 1. 

  Uiterlijk op de in artikel 46, tweede alinea, bedoelde datum van toepassing van deze verordening richt de Commissie een API-deskundigengroep op overeenkomstig de horizontale regels voor de oprichting en het functioneren van deskundigengroepen van de Commissie.

• 2. 

  De API-deskundigengroep faciliteert de communicatie tussen de bevoegde autoriteiten van de lidstaten en tussen de bevoegde autoriteiten van de lidstaten en luchtvaartmaatschappijen over beleidskwesties in verband met hun respectieve taken en verplichtingen uit hoofde van deze verordening, waaronder met betrekking tot de in artikel 37 bedoelde sancties.

• 3. 

  De API-deskundigengroep wordt voorgezeten door de Commissie en wordt samengesteld overeenkomstig de horizontale regels voor de oprichting en het functioneren van deskundigengroepen van de Commissie. Zij bestaat uit vertegenwoordigers van de bevoegde autoriteiten van de lidstaten, vertegenwoordigers van luchtvaartmaatschappijen en deskundigen van eu-LISA. Indien dit voor de uitvoering van haar taken relevant is, kan de API-deskundigengroep relevante belanghebbenden, met name vertegenwoordigers van het Europees Parlement, van de Europese Toezichthouder voor gegevensbescherming en van de onafhankelijke nationale toezichthoudende autoriteiten, uitnodigen om aan haar werkzaamheden deel te nemen.

• 4. 

  De API-deskundigengroep voert haar taken uit in overeenstemming met het transparantiebeginsel. De Commissie publiceert de notulen van de vergaderingen van de API-deskundigengroep en andere relevante documenten op de website van de Commissie.

Artikel 32

Door eu-LISA, de Europese Toezichthouder voor gegevensbescherming, de nationale toezichthoudende autoriteiten en de lidstaten gemaakte kosten

• 1. 

  De kosten die eu-LISA maakt in verband met het opzetten en de werking van de router uit hoofde van deze verordening komen ten laste van de algemene begroting van de Unie.

• 2. 

  De kosten die de lidstaten maken in verband met de tenuitvoerlegging van deze verordening, met name in verband met hun verbinding en de integratie met de router zoals bedoeld in artikel 23, worden ondersteund met middelen uit de algemene begroting van de Unie, overeenkomstig de subsidiabiliteitsregels en medefinancieringspercentages zoals vastgesteld in de toepasselijke rechtshandelingen van de Unie.

• 3. 

  De kosten die de Europese Toezichthouder voor gegevensbescherming maakt in verband met de hem uit hoofde van deze verordening opgedragen taken, komen ten laste van de algemene begroting van de Unie.

• 4. 

  De kosten die de onafhankelijke nationale toezichthoudende autoriteiten maken in verband met de hun uit hoofde van deze verordening opgedragen taken, worden gedragen door de lidstaten.

Artikel 33

Aansprakelijkheid met betrekking tot de router

Indien de router schade oploopt omdat een lidstaat of een luchtvaartmaatschappij de uit deze verordening voortvloeiende verplichtingen niet is nagekomen, is die lidstaat of die luchtvaartmaatschappij aansprakelijk voor dergelijke schade overeenkomstig het toepasselijke Unie- of nationale recht, tenzij en voor zover is aangetoond dat eu-LISA, een andere lidstaat of een andere luchtvaartmaatschappij heeft nagelaten redelijke stappen te ondernemen om het optreden van de schade te voorkomen of de omvang ervan zo veel mogelijk te beperken.

Artikel 34

Ingebruikneming van de router

Zodra eu-LISA de Commissie heeft meegedeeld dat de in artikel 25, lid 5, bedoelde uitgebreide test van de router met succes is voltooid, stelt de Commissie onverwijld bij uitvoeringshandeling vast op welke datum de router in gebruik wordt genomen. Die uitvoeringshandeling wordt vastgesteld volgens de in artikel 43, lid 2, bedoelde onderzoeksprocedure.

De Commissie stelt de in de eerste alinea bedoelde datum vast op uiterlijk 30 dagen vanaf de datum van vaststelling van die uitvoeringshandeling.

Artikel 35

Vrijwillig gebruik van de router overeenkomstig Richtlijn 2004/82/EG

• 1. 

  Luchtvaartmaatschappijen hebben het recht de router te gebruiken om de in artikel 3, leden 1 en 2, van Richtlijn 2004/82/EG bedoelde informatie overeenkomstig die richtlijn te verstrekken aan een of meer van de in die bepaling bedoelde bevoegde autoriteiten, op voorwaarde dat de betrokken lidstaat met een dergelijk gebruik heeft ingestemd en met ingang van een door die lidstaat vastgestelde passende datum. Die lidstaat geeft zijn toestemming pas nadat hij heeft vastgesteld dat de informatie, met name ten aanzien van de verbinding van zijn eigen bevoegde autoriteiten met de router en die van de betrokken luchtvaartmaatschappij, op een rechtmatige, beveiligde, doeltreffende en snelle wijze kan worden verstrekt.

• 2. 

  Wanneer een luchtvaartmaatschappij de router overeenkomstig lid 1 van dit artikel in gebruik neemt, blijft zij de router gebruiken voor het verstrekken van dergelijke informatie aan de bevoegde autoriteiten van de betrokken lidstaat, tot de in artikel 46, tweede alinea, bedoelde datum van toepassing van deze verordening. Dat gebruik wordt echter met ingang van een door die lidstaat bepaalde, passende datum stopgezet wanneer die lidstaat een dergelijke stopzetting op objectieve gronden noodzakelijk acht en hij de luchtvaartmaatschappij daarvan in kennis heeft gesteld.

• 3. 

  De betrokken lidstaat:

• a) 

  raadpleegt eu-LISA alvorens in te stemmen met het vrijwillige gebruik van de router overeenkomstig lid 1;

• b) 

  biedt de betrokken luchtvaartmaatschappij, behalve in naar behoren gemotiveerde spoedeisende situaties, de kans om opmerkingen te maken over zijn voornemen tot stopzetting van een dergelijk gebruik overeenkomstig lid 2, en raadpleegt hij, in voorkomend geval, ook eu-LISA hierover;

• c) 

  stelt eu-LISA en de Commissie onmiddellijk in kennis van elk dergelijk gebruik waarmee hij heeft ingestemd en van elke eventuele stopzetting van dat gebruik, en verstrekt daarbij alle nodige informatie, met inbegrip van, naargelang het geval, de datum waarop het gebruik is begonnen, de datum van stopzetting en de redenen voor de stopzetting.

HOOFDSTUK 7

TOEZICHT, SANCTIES, STATISTIEKEN EN HANDLEIDING

Artikel 36

Nationale autoriteit voor toezicht inzake API

• 1. 

  De lidstaten wijzen een of meer nationale autoriteiten voor toezicht inzake API aan die de taak krijgen te monitoren hoe de luchtvaartmaatschappijen de bepalingen van deze verordening toepassen op hun grondgebied en de naleving van die bepalingen te waarborgen.

• 2. 

  De lidstaten zorgen ervoor dat de nationale autoriteiten voor toezicht inzake API over de middelen en de onderzoeks-en handhavingsbevoegdheden beschikken die noodzakelijk zijn om hun taken uit hoofde van deze verordening uit te voeren en om, in voorkomend geval, ook de in artikel 37 bedoelde sancties op te leggen. De lidstaten zorgen ervoor dat de uitoefening van de aan de nationale autoriteit voor toezicht inzake API verleende bevoegdheden onderworpen is aan passende waarborgen, in overeenstemming met de door het Unierecht beschermde grondrechten.

• 3. 

  Uiterlijk op de in artikel 46, tweede alinea, bedoelde datum van toepassing van deze verordening stellen de lidstaten de Commissie in kennis van de naam en de contactgegevens van de autoriteiten die zij uit hoofde van lid 1 van dit artikel hebben aangewezen. Zij stellen de Commissie onverwijld in kennis van latere veranderingen of wijzigingen in dat verband.

• 4. 

  Dit artikel doet geen afbreuk aan de bevoegdheden van de in artikel 51 van Verordening (EU) 2016/679 bedoelde toezichthoudende autoriteiten.

Artikel 37

Sancties

• 1. 

  De lidstaten voorzien in de voorschriften voor de sancties die van toepassing zijn op inbreuken op deze verordening en nemen alle nodige maatregelen om ervoor te zorgen dat deze sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.

• 2. 

  De lidstaten stellen de Commissie uiterlijk op de in artikel 46, tweede alinea, bedoelde datum van toepassing van deze verordening in kennis van deze voorschriften en maatregelen en stellen haar onverwijld in kennis van latere wijzigingen daarvan.

• 3. 

  De lidstaten zorgen ervoor dat de nationale autoriteiten voor toezicht inzake API, wanneer zij besluiten om al dan niet een sanctie op te leggen en wanneer zij het type en de omvang van de sanctie bepalen, rekening houden met alle relevante omstandigheden, waaronder:

• a) 

  de aard, de ernst en de duur van de inbreuk;

• b) 

  de mate van schuld van de luchtvaartmaatschappij;

• c) 

  eerdere inbreuken door de luchtvaartmaatschappij;

• d) 

  de mate waarin de luchtvaartmaatschappij medewerking verleent aan de bevoegde autoriteiten;

• e) 

  de omvang van de luchtvaartmaatschappij, zoals het aantal passagiers dat jaarlijks wordt vervoerd;

• f) 

  de vraag of andere nationale autoriteiten voor toezicht inzake API dezelfde luchtvaartmaatschappij al eerder sancties hebben opgelegd voor dezelfde inbreuk.

• 4. 

  De lidstaten zorgen ervoor dat herhaalde niet-naleving van de verplichting om API-gegevens door te geven overeenkomstig artikel 6, lid 1, bestraft wordt met evenredige financiele sancties van ten hoogste 2 % van de wereldwijde omzet van de luchtvaartmaatschappij in het voorgaande boekjaar. De lidstaten zorgen ervoor dat bij niet-naleving van andere in deze verordening vastgestelde verplichtingen evenredige sancties, waaronder financiele sancties, worden opgelegd.

Artikel 38

Statistieken

• 1. 

  Ter ondersteuning van de tenuitvoerlegging en monitoring van de toepassing van deze verordening publiceert eu-LISA op basis van de in lid 5 bedoelde statistische informatie elk kwartaal statistieken over de werking van de router en over de naleving door luchtvaartmaatschappijen van de in deze verordening vastgestelde verplichtingen. Aan de hand van die statistieken kunnen geen personen worden gei'dentificeerd.

• 2. 

  Met het oog op de in lid 1 vermelde doelstellingen zendt de router de in lid 5 vermelde gegevens automatisch door naar het CRRS.

• 3. 

  Ter ondersteuning van de tenuitvoerlegging en monitoring van de toepassing van deze verordening verzamelt eu-LISA elk jaar de statistische gegevens in een jaarverslag voor het voorgaande jaar. eu-LISA publiceert dat jaarverslag en zendt het toe aan het Europees Parlement, de Raad, de Commissie, de Europese Toezichthouder voor gegevensbescherming, het Europees Grens- en kustwachtagentschap en de in artikel 36 bedoelde nationale autoriteiten voor toezicht inzake API. Het jaarverslag onthult geen vertrouwelijke werkmethoden en schaadt geen lopende onderzoeken die worden uitgevoerd door bevoegde autoriteiten van de lidstaten.

• 4. 

  Op verzoek van de Commissie verstrekt eu-LISA de Commissie statistieken over specifieke aspecten in verband met de uitvoering van deze verordening, alsook de in lid 3 bedoelde statistieken.

• 5. 

  Het CRRS verstrekt eu-LISA de volgende statistische informatie die nodig is voor de in artikel 45 bedoelde rapportage en met het oog op het genereren van statistieken overeenkomstig dit artikel, zonder dat aan de hand van dergelijke statistieken over ApI-gegevens de betrokken passagiers kunnen worden gei'dentificeerd:

• a) 

  de nationaliteit, het geslacht en het geboortejaar van de passagier;

• b) 

  de instapdatum en het eerste instappunt, de datum en luchthaven van vertrek en de datum en luchthaven van aankomst;

• c) 

  het type reisdocument, de drielettercode van het land dat het reisdocument heeft afgegeven, en de datum waarop de geldigheidstermijn van het reisdocument verstrijkt;

• d) 

  het aantal op de vlucht ingecheckte passagiers;

• e) 

  de code van de luchtvaartmaatschappij die de vlucht uitvoert;

• f) 

  of het een geregelde of een ongeregelde vlucht betreft;

• g) 

  of API-gegevens zijn doorgegeven onmiddellijk na het sluiten van de vlucht;

• h) 

  of de persoonsgegevens van de passagier juist, volledig en actueel zijn;

• i) 

  de technische middelen die zijn gebruikt om de API-gegevens vast te leggen.

• 6. 

  Met het oog op de in artikel 45 bedoelde rapportage en met het oog op het genereren van statistieken overeenkomstig dit artikel slaat eu-LISA de in de leden 5 van dit artikel bedoelde gegevens op in het CRRS. eu-LISA slaat dergelijke gegevens overeenkomstig lid 2 gedurende vijf jaar op en zorgt ervoor dat aan de hand van de gegevens de betrokken passagiers niet kunnen worden geidentificeerd. Met het oog op de tenuitvoerlegging en monitoring van de toepassing van deze verordening verstrekt het CRRS het naar behoren gemachtigd personeel van de bevoegde grensautoriteiten en andere relevante autoriteiten van de lidstaten verslagen en statistieken op maat over API-gegevens, zoals bedoeld in lid 5 van dit artikel.

• 7. 

  Het gebruik van de in lid 5 van dit artikel bedoelde gegevens mag niet resulteren in de profilering van personen zoals bedoeld in artikel 22 van Verordening (EU) 2016/679 of in discriminatie van personen op de in artikel 21 van het Handvest genoemde gronden. De in lid 5 van dit artikel bedoelde gegevens mogen niet worden gebruikt voor het maken van een vergelijking of het vinden van een match met persoonsgegevens of voor het combineren met persoonsgegevens.

• 8. 

  De door eu-LISA ingevoerde procedures voor het monitoren van de ontwikkeling en de werking van de router zoals bedoeld in artikel 39, lid 2, van Verordening (EU) 2019/817 voorzien in de mogelijkheid om regelmatig statistieken op te stellen voor het waarborgen van die monitoring.

Artikel 39

Praktische handleiding

De Commissie stelt in nauwe samenwerking met de bevoegde autoriteiten en andere relevante autoriteiten van de lidstaten, de luchtvaartmaatschappijen en de relevante organen en agentschappen van de Unie een praktische handleiding op met richtsnoeren, aanbevelingen en beste praktijken voor de tenuitvoerlegging van deze verordening, onder meer inzake de naleving van de grondrechten en inzake sancties overeenkomstig artikel 37, en maakt deze openbaar beschikbaar.

In de praktische handleiding wordt rekening gehouden met andere relevante handleidingen.

De Commissie stelt de praktische handleiding vast in de vorm van een aanbeveling.

HOOFDSTUK 8

VERHOUDING TOT ANDERE BESTAANDE INSTRUMENTEN

Artikel 40

Intrekking van Richtlijn 2004/82/EG

Richtlijn 2004/82/EG wordt ingetrokken met ingang van de in artikel 46, tweede alinea, bedoelde datum van toepassing van deze verordening.

Artikel 41

Wijzigingen van Verordening (EU) 2018/1726

Verordening (EU) 2018/1726 wordt als volgt gewijzigd:

• 1) 

  Het volgende artikel wordt ingevoegd:

“Artikel 13 bis

Met de router verband houdende taken

Met betrekking tot Verordeningen (EU) 2025/12 (¹) en (EU) 2025/13 (²) van het Europees Parlement en de Raad voert het Agentschap de hem bij die verordeningen opgedragen met de router verband houdende taken uit.

“ee ter) de verslagen over de stand van zaken wat betreft de ontwikkeling van de router vast te stellen overeenkomstig artikel 45, lid 2, van Verordening (EU) 2025/12;”;

• b) 

  punt ff), vi), wordt vervangen door:

“vi) de interoperabiliteitscomponenten overeenkomstig artikel 78, lid 3, van Verordening (EU) 2019/817 en artikel 74, lid 3, van Verordening (EU) 2019/818, en de router overeenkomstig artikel 80, lid 5, van Verordening (EU) 2024/982 en artikel 45, lid 5, van Verordening (EU) 2025/12;”;

• c) 

  punt hh) wordt vervangen door:

“hh) formeel opmerkingen vast te stellen over de verslagen van de Europese Toezichthouder voor gegevensbescher-ming betreffende zijn audits op grond van artikel 56, lid 2, van Verordening (EU) 2018/1861, artikel 42, lid 2, van Verordening (EG) nr. 767/2008, artikel 31, lid 2, van Verordening (EU) nr. 603/2013, artikel 56, lid 2, van Verordening (EU) 2017/2226, artikel 67 van Verordening (EU) 2018/1240, artikel 29, lid 2, van Verordening (EU) 2019/816, artikel 52 van de Verordeningen (EU) 2019/817 en (EU) 2019/818, artikel 58, lid 1, van Verordening (EU) 2024/982 en artikel 22, lid 3, van Verordening (EU) 2025/12 en ervoor te zorgen dat aan die audits het passende gevolg wordt gegeven;”.

• 4) 

  In artikel 27, lid 1, wordt het volgende punt ingevoegd:

“d sexies) API-PNR-adviesgroep.”.

Artikel 42

Wijziging van Verordening (EU) 2019/817

In artikel 39 van Verordening (EU) 2019/817 worden de leden 1 en 2 vervangen door:

“1. Er wordt een centraal register voor rapportage en statistieken (CRRS) ingesteld om de doelstellingen van het EES, VIS, ETIAS en SIS in overeenstemming met de voor die systemen respectievelijk geldende rechtsinstrumenten te ondersteunen en om te voorzien in systeemoverschrijdende statistische gegevens en analytische verslagen voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit. Het CRRS ondersteunt tevens de doelstellingen van Verordening (EU) 2025/12 van het Europees Parlement en de Raad (³).

• 2. 

  eu-LISA zorgt op zijn technische locaties voor het instellen, implementeren en hosten van het CRRS met daarin de logisch per EU-informatiesysteem gescheiden gegevens en statistieken zoals bedoeld in artikel 63 van Verordening (EU) 2017/2226, artikel 17 van Verordening (EG) nr. 767/2008, artikel 84 van Verordening (EU) 2018/1240, artikel 60 van Verordening (EU) 2018/1861 en artikel 16 van Verordening (EU) 2018/1860. eu-LISA verzamelt ook de gegevens en statistieken van de router zoals bedoeld in artikel 38, lid 1, van Verordening (EU) 2025/12. Toegang tot het CRRS wordt door middel van gecontroleerde, beveiligde toegang en specifieke gebruikersprofielen uitsluitend met het oog op het opstellen van rapporten en statistieken verleend aan de in artikel 63 van Verordening (EU) 2017/2226, artikel 17 van Verordening (EG) nr. 767/2008, artikel 84 van Verordening (EU) 2018/1240, artikel 60 van Verordening (EU) 2018/1861 en artikel 45, lid 2, van Verordening (EU) 2025/12 bedoelde autoriteiten.

• 2. 

  Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing. Indien door het comite geen advies wordt uitgebracht, neemt de Commissie de ontwerpuitvoeringshandeling niet aan en is artikel 5, lid 4, derde alinea, van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 44

Uitoefening van de bevoegdheidsdelegatie

• 1. 

  De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

• 2. 

  De in artikel 5, leden 6 en 7, artikel 6, lid 3, en artikel 9, lid 6, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van 28 januari 2025. De Commissie stelt uiterlijk negen maanden voor het einde van de termijn van vijf jaar een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.

Met betrekking tot een op grond van artikel 5, lid 6, vastgestelde gedelegeerde handeling geldt dat indien het Europees Parlement of de Raad op grond van lid 6 van dit artikel bezwaar heeft gemaakt, noch het Europees Parlement noch de Raad bezwaar kan maken tegen de in de eerste alinea van dit lid bedoelde stilzwijgende verlenging.

• 3. 

  Het Europees Parlement of de Raad kan de in artikel 5, lid 7, artikel 6, lid 3, en artikel 9, lid 6, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beeindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

• 4. 

  Voor de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

• 5. 

  Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

• 6. 

  Een op grond van artikel 5, lid 6 of lid 7, artikel 6, lid 3, of artikel 9, lid 6, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

Artikel 45

Monitoring en evaluatie

• 1. 

  eu-LISA zorgt ervoor dat er procedures zijn om de ontwikkeling van de router te monitoren in het licht van de doelstellingen inzake planning en kosten, en om de werking van de router te monitoren in het licht van de doelstellingen inzake de technische resultaten, kosteneffectiviteit, beveiliging en kwaliteit van de dienstverlening.

• 2. 

  Uiterlijk 29 januari 2026, en vervolgens ieder jaar tijdens de ontwikkelingsfase van de router, stelt eu-LISA een verslag op over de stand van zaken met betrekking tot de ontwikkeling van de router en dient het dat verslag in bij het Europees Parlement en de Raad. Het verslag bevat gedetailleerde informatie over de gemaakte kosten en over eventuele risico’s die van invloed kunnen zijn op de totale kosten die overeenkomstig artikel 32 ten laste komen van de algemene begroting van de Unie.

• 3. 

  Zodra de router in gebruik is genomen, stelt eu-LISA een verslag op waarin uitvoerig wordt uiteengezet hoe de doelstellingen, met name met betrekking tot planning en kosten, zijn bereikt, met opgave van de redenen voor eventuele afwijkingen daarvan, en dient het dit verslag in bij het Europees Parlement en de Raad.

• 4. 

  Uiterlijk 29 januari 2029 en vervolgens om de vier jaar stelt de Commissie een verslag op met een algemene evaluatie van deze verordening, met inbegrip van een evaluatie van de noodzaak en de toegevoegde waarde van het verzamelen van API-gegevens, met daarin onder meer een beoordeling van:

• a) 

  de toepassing van deze verordening;

• b) 

  de mate waarin deze verordening haar doelstellingen heeft bereikt;

• c) 

  de gevolgen van deze verordening voor krachtens het Unierecht beschermde grondrechten;

• d) 

  het effect van deze verordening op de reiservaring van bonafide passagiers;

• e) 

  de gevolgen van deze verordening voor het concurrentievermogen van de luchtvaartsector en de lasten voor het bedrijfsleven;

• f) 

  de kwaliteit van de gegevens die via de router naar de bevoegde grensautoriteiten worden doorgezonden;

• g) 

  de prestaties van de router ten aanzien van de bevoegde grensautoriteiten.

Voor de toepassing van punt e) van de eerste alinea wordt in het verslag van de Commissie ook ingegaan op de interactie van deze verordening met andere relevante wetgevingshandelingen van de Unie, met name de Verordeningen (EG) 767/2008, (EU) 2017/2226 en (EU) 2018/1240, en worden, teneinde de algemene impact van de daaruit voortvloeiende rapportageverplichtingen voor luchtvaartmaatschappijen te beoordelen, bepalingen in kaart gebracht die in voorkomend geval kunnen worden bijgewerkt en vereenvoudigd om de lasten voor luchtvaartmaatschappijen te verlichten, en eventueel te nemen acties en maatregelen besproken om de totale kostendruk op luchtvaartmaatschappijen te verminderen.

• 5. 

  De Commissie zendt het evaluatieverslag toe aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten. In voorkomend geval dient de Commissie in het licht van de evaluatie een wetgevingsvoorstel tot wijziging van deze verordening in bij het Europees Parlement en de Raad.

• 6. 

  De lidstaten en de luchtvaartmaatschappijen verstrekken eu-LISA en de Commissie op verzoek de informatie die nodig is om de in de leden 2, 3 en 4 bedoelde verslagen op te stellen, zoals gegevens die betrekking hebben op de resultaten van de voorafgaande controles die aan de buitengrenzen aan de hand van de informatiesystemen van de Unie en de nationale databanken door middel van API-gegevens worden verricht. De lidstaten verstrekken met name kwantitatieve en kwalitatieve informatie over de verzameling van API-gegevens vanuit operationeel perspectief. De verstrekte informatie bevat geen persoonsgegevens. De lidstaten kunnen afzien van het verstrekken van dergelijke informatie indien en voor zover dat nodig is om te beletten dat vertrouwelijke werkmethoden openbaar worden of lopende, door de bevoegde grensautoriteiten uitgevoerde onderzoeken in het gedrang komen. De Commissie ziet erop toe dat alle verstrekte vertrouwelijke informatie adequaat wordt beschermd.

Artikel 46

Inwerkingtreding en toepassing

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

De toepassing ervan gaat in twee jaar na de door de Commissie overeenkomstig artikel 34 vastgestelde datum van ingebruikneming van de router.

Daarbij geldt evenwel het volgende:

• a) 

  artikel 5, leden 7 en 8, artikel 6, lid 3, artikel 9, lid 6, artikel 13, lid 4, artikel 14, lid 5, artikel 18, lid 4, artikel 23, lid 2, artikel 24, lid 2, de artikelen 25, 28 en 29, artikel 32, lid 1, en de artikelen 34, 43 en 44 zijn van toepassing met ingang van 28 januari 2025;

• b) 

  artikel 5, lid 6, de artikelen 12 en 15, artikel 17, leden 1, 3 en 4, artikel 18, leden 1, 2 en 3, en de artikelen 19, 20, 26,

27, 33 en 35 zijn van toepassing vanaf de door de Commissie overeenkomstig artikel 34 vastgestelde datum van ingebruikneming van de router.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in de lidstaten overeenkomstig de Verdragen.

Gedaan te Brussel, 19 december 2024.

Voor het Europees Parlement                                        Voor de Raad

De voorzitter                                                   De voorzitter

• R. 

  METSOLA                                     BOKA J.

32/32

ELI: http://data.europa.eu/eli/reg/2025/12/oj

¹

Verordening (EU) 2025/12 van het Europees Parlement en de Raad van 19 december 2024 betreffende de verzameling en de doorgifte van advance passenger information met het oog op het versterken en vergemakkelijken van de controles aan de buitengrenzen, tot wijziging van Verordeningen (EU) 2018/1726 en (EU) 2019/817, en tot intrekking van Richtlijn 2004/82/EG van de Raad (PB L, 2025/12, 8.1.2025, ELI: http://data.europa.eu/eli/reg/ 2025/12/oj).

²

Verordening (EU) 2025/13 van het Europees Parlement en de Raad van 19 december 2024 betreffende de verzameling en de doorgifte van advance passenger information met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, en tot wijziging van Verordening (EU) 2019/818 (PB L, 2025/13, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/13/oj).”.

• 2) 

  Artikel 17, lid 3, wordt vervangen door:

“3. De zetel van het Agentschap is in Tallinn, Estland.

De in artikel 1, leden 4 en 5, de artikelen 3 tot en met 9 en de artikelen 11 en 13 bis, bedoelde met ontwikkeling en operationeel beheer verband houdende taken worden verricht op de technische locatie in Straatsburg, Frankrijk.

In Sankt Johann im Pongau, Oostenrijk, wordt een back-uplocatie gevestigd die kan zorgen voor het operationeel blijven van een grootschalig IT-systeem in geval van falen van een dergelijk systeem.”.

• 3) 

  Artikel 19, lid 1, wordt als volgt gewijzigd:

• a) 

  het volgende punt wordt ingevoegd:

³

Verordening (EU) 2025/12 van het Europees Parlement en de Raad van 19 december 2024 betreffende de verzameling en de doorgifte van advance passenger information met het oog op het versterken en vergemakkelijken van de controles aan de buitengrenzen, tot wijziging van Verordeningen (EU) 2018/1726 en (EU) 2019/817, en tot intrekking van Richtlijn 2004/82/EG van de Raad (PB L, 2025/12, ELI: 8.1.2025, ELI: http://data.europa.eu/eli/reg/ 2025/12/oj).”.

HOOFDSTUK 9

SLOTBEPALINGEN

Artikel 43

Comiteprocedure

• 1. 

  De Commissie wordt bijgestaan door een comite. Dat comite is een comite in de zin van Verordening (EU) nr. 182/2011.

Deze samenvatting is overgenomen van EUR-Lex.