Den 29. april 2026 offentliggjorde Europa-Kommissionen udkastet til gennemførelsesforordningen om registret over digitale produktpas (Ares(2026)4424976). Den præciserer artikel 13, stk. 5, i ESPR (forordning 2024/1781) og fastlægger, hvordan det register, der drives af Kommissionen, skal fungere teknisk og organisatorisk.
Teksten er mærket som et udkast og er endnu ikke vedtaget. De væsentligste mekanismer er dog allerede tydeligt genkendelige - og de har umiddelbare konsekvenser for enhver producent, der fra 2027 skal udstede en DPP.
Hvad registret er - og hvad det ikke er
En præcisering på forhånd: EU-registret lagrer ikke selve DPP-dataene. Det er en central registreringstjeneste, der for hver registrering opbevarer et entydigt ID, varekoden, den økonomiske aktørs identitet, en hash af DPP-versionen og en henvisning til sikkerhedskopien hos DPP-tjenesteudbyderen.
Betragtning 3 omtaler dette som en »decentral model«: Produktdataene opbevares fortsat hos producenten eller på dennes DPP-platform. Registret er den kanoniske adresseliste, ikke et datasilo.
Funktionelt består registret af:
- en webgrænseflade og et API til registreringer
- en verifikationsplatform for økonomiske aktører
- en liste over godkendte DPP-tjenesteudbydere
- et semantisk repository (flersproget, struktureret efter DCAT-AP) som reference for dataattributter, modelstrukturer og roller
- et logsystem med differentierede opbevaringsfrister
Verifikation før registrering
Der oprettes ingen DPP i registret, før den indsendende økonomiske aktør er registreret som verificeret økonomisk aktør (art. 4). Verificeringen foregår direkte i registret og anvender eIDAS-midlerne fra forordning 910/2014:
- Juridisk person i EU: kvalificeret elektronisk segl eller elektronisk attributattest
- Fysisk person som enkeltmandsvirksomhed i EU: kvalificeret elektronisk signatur, eID-niveau »høj« eller attributcertifikat
- Aktører uden for EU: kvalificeret signatur eller segl eller attributcertifikat
Verifikationen er gyldig i højst tre år. Hvis man ikke fornyer, bliver man sat til »uverificeret« og mister retten til at registrere nye DPP’er eller ændre eksisterende (art. 4(4)).
Denne verifikation er den juridiske forudsætning. Den ligger mellem producenten og Kommissionen - og delegeres ikke, selvom en tjenesteudbyder som Transpareo varetager den operative registrering.
Granularitet: model, batch eller artikel
Artikel 8 kræver, at DPP’er registreres på det granularitetsniveau, som den pågældende sektorlovgivning foreskriver - model, batch eller artikel. Når der oprettes en artikel-DPP, og der findes batch- eller model-ID’er, skal disse medtages. For batch-DPP’er gælder det samme for model-ID’er.
For producenter betyder det: De interne stamdata skal have en klar hierarki mellem model, batch og enkeltprodukt. Uden denne sammenkædning mislykkes den automatiske validering af registreringen.
Versionering, hash og opbevaring
Hver DPP-version knyttes til det oprindelige registrerings-ID. Ved hver ændring kræver registret en hash af den aktuelle DPP-version - kryptografisk verificerbar, ikke manuelt genererbar.
Registreringsbeviset (art. 9) er et elektronisk dokument, som Kommissionen forsegler med et kvalificeret digitalt segl og forsyner med et tidsstempel. Indholdet skal som minimum omfatte: registrerings-ID, varekode, aktørens identitet, dato og hash for den seneste version. Gyldig i 90 dage, kan genoprettes efter behov.
Standardopbevaringsperiode: 10 år fra registreringen, medmindre EU-retten eller sektorretten fastsætter en anden frist (art. 10, stk. 3, i gennemførelsesforordningen om DPP-registret). Selv producentens insolvens eller likvidation fritager ikke for forpligtelsen til at sikre tilgængeligheden (ESPR, artikel 11, litra e)).
Logsystem
Registret fører log på tre niveauer (artikel 14):
- Adgang og autentificeringer: 6 måneder
- Datændringer: Registreringens varighed
- Administrative handlinger og dataudveksling: 5 år
Nationale myndigheder får adgang i forbindelse med hændelser, revisioner eller stikprøver.
Personoplysninger - hvad Kommissionen opbevarer
Artikel 18 opregner, hvilke data der udelukkende opbevares i registret: fornavn og efternavn for hver bruger, loginoplysninger, autentificeringstokener, postadresse, e-mail. For fysiske personer derudover pas- eller identitetskortnummer, eID, skatte-ID. Disse oplysninger vedrører ikke DPP-tjenesteudbyderen. Kommissionen er dataansvarlig for disse kontooplysninger, mens den økonomiske aktør forbliver dataansvarlig for sine egne DPP-oplysninger.
Hvordan Transpareo opfylder kravene
De fleste krav vedrører arkitektoniske beslutninger, som Transpareo allerede har truffet i denne form. Nærmere bestemt:
Decentral model. Transpareo er en multi-tenant-platform med en isoleret database pr. kunde. DPP-dataene opbevares i den økonomiske aktørs database, ikke i en central pulje - netop den arkitektur, som betragtning 3 forudsætter.
Rollen som databehandler er klart afgrænset. Artikel 19, stk. 5, og artikel 20, stk. 3, fastslår, at den økonomiske aktør forbliver dataansvarlig, selvom vedkommende overdrager registreringen til en tredjepart. Transpareo fungerer allerede i dag som databehandler med en databehandleraftale - rollerne er klart definerede.
Stabil backup-URL pr. DPP. Hver Transpareo-DPP er tilgængelig via en permanent URL, der forbliver uændret, selv ved versionsændringer. Det er netop det, artikel 8, stk. 6, litra d), kræver som »link til den backup, der hostes af en DPP-SP«.
Granularitet. Transpareos datamodel skelner mellem produktmodel, batch og enkeltprodukt og muliggør sammenkædninger på tværs af hierarkiet - hvilket er en forudsætning for at opfylde artikel 8, stk. 3 og 4.
Flersproget semantisk kortlægning. Kommissionens repository er flersproget i henhold til DCAT-AP. Transpareo fører hvert datapunkt på 39 sprog, herunder alle 24 officielle EU-sprog, hvor oversættelse er inkluderet i prisen.
Versions-hash. Deterministisk serialisering i henhold til JSON Canonicalization Scheme (RFC 8785) og en SHA-256-hash pr. DPP-version er allerede leveret. Det eneste, der endnu ikke er fastlagt, er det nøjagtige hash-pinning-format for EU-registret; så snart Kommissionen offentliggør det, vil vi også implementere det.
Optagelse på listen over DPP-tjenesteudbydere. Transpareo vil ansøge om optagelse på den officielle liste over DPP-tjenesteudbydere (art. 2, nr. 32 i ESPR), så snart optagelsesproceduren er offentliggjort.
Registrering på vegne af kunder. Vi forbereder en tjeneste, der kan varetage registreringen på vegne af bemyndigede kunder - kundens juridiske ansvar forbliver uberørt heraf i henhold til artikel 19, stk. 4.
Tidsplan
Ikrafttrædelsen er reguleret i artikel 23: 20 dage efter offentliggørelsen i EU-Tidende. Hvilken dag det bliver, afhænger af, hvornår Kommissionen vedtager den endelige udgave. Hovedmandatet i artikel 13, stk. 5, i ESPR dateres til den 19. juli 2026 - inden da skal registret være klar.
Registret forventes først at blive fuldt operationelt den 18. februar 2027: På denne dag træder artikel 77 i EU-batteriforordningen 2023/1542 i kraft, og DPP bliver obligatorisk for industri-, elbil- og LMT-batterier over 2 kWh. Vi har beskrevet detaljerne og de uafklarede spørgsmål vedrørende gennemførelsesretsakterne i ESPR-tidsplanen for 2027. Der er omkring ni måneder tilbage indtil da. Den, der planlægger leverandørkontrakter, migrering af stamdata og interne godkendelser, ved godt: det er stramt, ikke rigeligt.
Hvad der stadig er uafklaret
Selve forordningen beskriver den organisatoriske ramme. Det, der mangler, er den tekniske specifikation af API’et - det nøjagtige grænsefladeformat, skemaerne og valideringsreglerne. Disse forventes at følge som en separat kommissionsretningslinje i henhold til artikel 15, stk. 1, sandsynligvis i løbet af 2026.
Indtil da er retningen dog klar: decentral arkitektur, verificerede aktører, kvalificerede signaturer, entydige registrerings-ID’er, versionskæder og semantisk interoperabilitet. Alt sammen begreber, der er kommet for at blive.
Kommissionens officielle høringsinitiativ kan findes på Have Your Say.