Segðu skoðun þína: Hvað við skrifuðum til Evrópu­kom­missjónarinnar varðandi reglugerð um DPP-skrá
BloggReglugerð08/05/2026

Segðu skoðun þína: Hvað við skrifuðum til Evrópu­kom­missjónarinnar varðandi reglugerð um DPP-skrá

Fjórar skýrslur til opins samráðs: um skilgreiningu skyldna þjónustuveitanda DPP, um langtíma sönnunargetu, um gagnaskipti samkvæmt 17. grein og um birtingu API áður en löggjöfin tekur gildi.

  1. apríl 2026 birti framkvæmdastjórn Evrópusambandsins drög að framkvæmdarreglugerð um DPP-skrána⁠ og opnaði samhliða fjögurra vikna samráðsferli. Fram til 27. maí 2026 geta einstaklingar og fyrirtæki innan ESB og utan sent inn ábendingar í gegnum “Have Your Say”-vefgáttina. Innsendingar eru opinberar, hverri þeirra er skrifað undir með nafni eða nafninu á fyrirtæki, og þær verða formlega innlimaðar í lokaútgáfu reglugerðarinnar.

Við höfum rætt drögin ítarlega hér á blogginu. Við tileinkum þessa færslu spurningunni um hvað við skrifuðum til baka til framkvæmdastjórnarinnar.

Af hverju við lögðum fram fjórar aðskildar athugasemdir

Gáttin tekur við 4.000 stöfum í hverri athugasemd. Við hefðum getað þröngvað öllum okkar atriðum inn í eina langa athugasemd. Það hefði verið erfiðara fyrir starfsfólk framkvæmdastjórnarinnar - sem mun vinna í gegnum tugi innsendinga í maí - að lesa og erfiðara að vitna í. Fjórar einstakar innsendingar má hverja og eina finna aðskilda í opinbera listanum, og hverri þeirra er hægt að svara - eða hafna - fyrir sig án þess að hafa áhrif á hin atriðin.

Við lögðum fram eftirfarandi fjögur efni:

1. Að skilgreina lágmarkskröfur fyrir DPP-þjónustuveitendur

Drög að reglugerðinni lýsa afmiðstýrðu fyrirkomulagi réttilega: DPP-gögn eru geymd hjá efnahagsrekstraraðilanum eða DPP-þjónustuveitanda hans; skrá Kommisionarins geymir einungis tilvísanirnar. Formlegur listi yfir löggilda veitendur er fyrirhugaður fyrir DPP-þjónustuveitendur (2. mgr. 32. gr. ESPR).

Það sem vantar er skilgreining á því hvað þjónustuveitandi þarf í raun að gera til að vera skráður á þennan lista og vera áfram á honum. Líklega verða efnislegar skyldur kveðnar á framfæri í framseldu reglugerð samkvæmt 4. gr. aðalreglugerðar ESPR. Hins vegar verður skráin sett í loftið áður en þessi framselda reglugerð er birt.

Tillaga okkar: Annað hvort skuli kveða beint á um lágmarksskilyrði fyrir þjónustuveitendur í þessari framkvæmdarreglugerð, eða tilgreina bindandi lokadagsetningu til að skila fulltrúarreglugerðinni. Tillaga að lágmarkskröfum felur í sér:

  • Aðgengi opinbers DPP-lestrarviðmóts að minnsta kosti 99,5 prósent á mánuði
  • Þjónustusamningur sem tilgreinir hversu hratt ný DPP-útgáfa skuli innifalin í afritinu (tillaga: 24 klukkustundir eða í rauntíma, þar sem tæknilega er mögulegt)
  • Skylda dulkóðunarstaðfesting á innkomandi útgáfum af þjónustuveitunni
  • Birting opinberra lykla efnahagsrekstraraðilans undir staðlaðri slóð (RFC 8615, tillaga /.well-known/dpp-keys/)
  • Skilgreindur ferill fyrir skipti og gjaldþrot til að tryggja að DPP-gögn séu flutt á skipulagan hátt til annars veitanda ef núverandi veitandi bilar

Þessar skyldur kosta traustan þjónustuveitanda ekkert - hann uppfyllir þær engu að síður - en koma í veg fyrir samkeppni um að bjóða lægsta verðið meðal ódýrari þjónustuveitenda, sem að lokum grafa undan listanum.

2. Langtímastaðfestanleiki skráðra DPP-a

2.mgr. 9. gr. takmarkar tiltækileika skráningarskírteinisins við 90 almanaksdaga. Á þessu tímabili endurgerir skráin skírteinið að beiðni. Þetta hentar daglegum rekstri en samræmist ekki líftíma undirliggjandi skyldu DPP: 10. gr. 3. mgr. setur almennan varðveisluþátt á 10 ár frá skráningu, en sérgreinilöggjöf getur krafist lengri tíma.

Markaðseftirlitsaðili, tollþjónn, endurvinnsluaðili eða rannsakandi árið 2032 ætti að geta staðfest að DPP sem skráð var árið 2026 hafi í raun verið skráð, án þess að þurfa að treysta á að upprunalegi efnahagsrekstraraðilinn sé enn til staðar og geti óskað eftir nýju vottorði.

Tvær tillögur okkar eru einfaldar í framkvæmd:

  • Gera skýrt og ótvírætt að sönnunarbitar, sem hafa verið vottaðir og stimplaðir af framkvæmdastjórninni, megi vista í skyndiminni, skrá í geymslu og endurdreifa af efnahagsrekstraraðila eða þjónustuveitanda. Staðfesta stimplunin samkvæmt 35. gr. eIDAS-reglugerðarinnar ber með sér óyggjandi sönnun um ósnertanleika og uppruna, óháð því hvar bætin eru geymd.
  • Opinber, óstaðfestur staðfestingarenda í skrá sem skilar undirritaðri svörun fyrir skráningarnúmer. Eins og staðan er nú krefst staðfesting frá þriðja aðila þess að efnahagsrekstraraðilinn grípi til aðgerða - þetta er ekki rétt nálgun fyrir sönnunargagn sem þarf að lifa lengur en útgefandinn.

Auk þess höfum við lagt til að skilgreina myndun hash-gildis á ákveðinn (deterministic) hátt: SHA-256 sem hash-falli, JSON Canonicalisation Scheme (RFC 8785)⁠ sem rafrænt sniðið, utan undirritunarbútsins. Í W3C-vistkerfinu er þetta dulkóðunarpakki eddsa-jcs-2022, sem Transpareo notar til að undirrita beint. Án þessarar festingarskráningar myndu tveir þjónustuveitendur umbreyta sama DPP í mismunandi hashgildi, og hash-reiturinn í skráningarskírteininu yrði ekki endurheimtanlegur.

3. 17. grein má ekki takmarka aðgang að opinberum DPP-gögnum

  1. grein nefnir “gríðarlega gagnanám” sem mögulega misnotkun skráarinnar. Þetta er rétt með tilliti til stjórnunarauðkennagagna sem eru geymd í skránni sjálfri (auðkenni, dagbækur, endurskoðunarspor) - þessi gögn eiga ekki heima í gríðarlegu gagnanámi.

Hins vegar er það einmitt opinbera DPP-gögnin sem framleiðandinn eða þjónustuveitandinn hefur til umsjónar sem ESPR stefnir að því að gera víðtækt aðgengileg. Endurvinnendur sem draga út samsetningargögn um vörulotur; rannsakendur sem bera saman og greina fullyrðingar um sjálfbærni; eftirlit á markaði sem framkvæmir samanburðar­greiningar - þetta eru allar gerðir af “massífum gagnanámum” úr opinbera DPP-laginu og allar ætlaðar notkunareiginleikar sem reglugerðin var samin fyrir.

Tillaga okkar er skýrandi setning í 17. grein sem takmarkar umfang skráningar gagna og vísar, hvað varðar DPP-gögn, til viðeigandi geiraspesifískra framseldra reglugerða. Annars munu þjónustuveitendur standa frammi fyrir vali við upphafið: annaðhvort að takmarka aðgengishraða almenningsaðgangs af varúðarsjónarmiðum - og þar með spilla upplifun neytenda - eða að láta það vera opið og taka áhættuna á að það verði síðar flokkað sem misnotkun í skilningi 17. greinar.

4. Birting OpenAPI-tilskipunar og sandkassa fyrir setningu

  1. mgr. 3. gr. krefst API fyrir skráningar. 5. mgr. 8. gr. tilnefnir það sem einn af tveimur miðlum fyrir skráningar. Hins vegar segir reglugerðin ekkert um hvenær API-samningurinn skuli birtast.

Allir sem sjálfvirknivæða skráningarferla - þ.e. allir þjónustuveitendur og allir efnahagsrekstraraðilar með stórt vöruúrval - þurfa API-tilgreininguna langt fyrir opnun til að geta innleitt hana og prófað gegn lifandi endapunkti. Að þurfa að finna skilgreiningu í viku fyrir gildistöku reglugerðarinnar færir samþættingaráhættu yfir á alla þjónustuveitendur í vistkerfinu.

Við höfum því lagt til:

  • Að birta OpenAPI 3.1-tilgreiningu að minnsta kosti átta vikum áður en reglugerðin tekur gildi - fyrir innleiðingu 19. júlí 2026, þýðir það fyrir 24. maí 2026
  • Samhliða sandkassarumhverfi sem þjónustuveitendur og framleiðendur geta notað til að samþætta og prófa sjálfvirka staðfestingu samkvæmt 8. gr. 6. mgr.
  • Útgáfustefna sem byggir á Semver, með úreldingartímabili sem er að minnsta kosti 18 mánuðir

Viðbótartillögur um hönnun: idempotency-lyklar fyrir skráningarbeiðnir, lotuskráning fyrir stóra vörulista, ósamstillt skráning með webhook-köllum og vélrænt læsilegir villukóðar þegar sjálfvirk staðfesting mistekst.

Hvers vegna við gerum þetta

Samráð er ekki leikur til að safna stigum. Ef hver tillaga tekst að gera eina setningu í lokaútgáfunni nákvæmari hefur hún þjónað tilgangi sínum. Framkvæmdastjórnin les reyndar þessar tillögur - reynsla af ESPR-ferlinu sjálfu sýnir að tæknilega traustar skýrslur skilja oft eftir sig spor í lokatextunum.

Við munum í öllum tilvikum sækja um að vera skráð á lista yfir DPP-þjónustuveitendur um leið og inntökuferlið verður birt. Það er því í okkar beinu hag að reglurnar sem við keppum eftir séu nákvæmar og tryggi jafnrétti allra aðila. Þessar fjórar skýrslur eru okkar áþreifanlegi vegur til að tryggja að listinn breytist ekki í hreinan markaðsmerkimiða.

Hvernig á að taka þátt

Tímabilið til að senda inn ábendingar er opið til 27. maí 2026. Hægt er að senda inn framlög á hvaða opinberu tungumáli ESB sem er; þú þarft að skrá þig inn á vefgáttina og framlag þitt verður aðgengilegt almenningi. Allir sem hyggjast gefa út eða staðfesta DPP-skjöl - framleiðendur, þjónustuveitendur, endurvinnsluaðilar, opinberir aðilar - ættu að minnsta kosti að kynna sér frumkvæðið á Have Your Say⁠. Jafnvel stutt og tæknilega rétt innsenda tillaga skiptir máli.

Staðfestingartæki okkar Transpareo Tímavélin uppfyllir nú þegar kröfu um staðfestingu sem tilgreind er í lið 2 í opnum hugbúnaðarvenjum: hver sem er getur sjálfstætt staðfest Transpareo DPP með tólinu í dag, án þess að þurfa að bíða eftir formlega stofnuðum staðfestingarenda í skrá framkvæmdastjórnarinnar.

Uppfærslur á reglugerð DPP-skrárinnar

Um leið og framkvæmdastjórnin hefur svarað þeim endurgjöfum sem við höfum fengið, munum við draga fram helstu atriðin og senda þau í pósthólfið þitt.