Op 29 april 2026 heeft de Europese Commissie het ontwerp van de uitvoeringsverordening betreffende het register voor digitale productpaspoorten gepubliceerd (Ares(2026)4424976). Deze verordening geeft invulling aan artikel 13, lid 5, van de ESPR (Verordening 2024/1781) en legt vast hoe het door de Commissie beheerde register technisch en organisatorisch zal functioneren.
De tekst is aangemerkt als ontwerp en is nog niet aangenomen. De belangrijkste mechanismen zijn echter al duidelijk herkenbaar - en ze hebben directe gevolgen voor elke fabrikant die vanaf 2027 een DPP moet opstellen.
Wat het register is - en wat het niet is
Eerst een verduidelijking: het EU-register slaat de DPP-gegevens zelf niet op. Het is een centrale registratiedienst die voor elke registratie een unieke ID, de goederencode, de identiteit van de marktdeelnemer, een hash van de DPP-versie en een verwijzing naar de back-up bij de DPP-dienstverlener bijhoudt.
Overweging 3 noemt dit een „decentraal model”: de productgegevens blijven bij de fabrikant of op diens DPP-platform staan. Het register is de officiële adressenlijst, geen gegevenssilo.
Functioneel bestaat het register uit:
- een webinterface en een API voor registraties
- een verificatieplatform voor marktdeelnemers
- een lijst van erkende DPP-dienstverleners
- een semantische repository (meertalig, gestructureerd volgens DCAT-AP) als referentie voor gegevensattributen, modelstructuren en rollen
- een logboek met gedifferentieerde bewaartermijnen
Verificatie vóór registratie
Er wordt geen DPP in het register opgenomen voordat de indienende marktdeelnemer als geverifieerde marktdeelnemer is geregistreerd (art. 4). De verificatie vindt rechtstreeks bij het register plaats en maakt gebruik van de eIDAS-middelen uit Verordening 910/2014:
- Rechtspersoon in de EU: gekwalificeerd elektronisch zegel of elektronische attribuutverklaring
- Natuurlijke persoon als eenmanszaak in de EU: gekwalificeerde elektronische handtekening, eID-niveau „hoog“, of attribuutcertificaat
- Marktdeelnemers buiten de EU: gekwalificeerde handtekening of zegel, of attribuutcertificaat
De verificatie is maximaal drie jaar geldig. Wie niet verlengt, wordt op „niet-geverifieerd” gezet en verliest het recht om nieuwe DPP’s te registreren of bestaande te wijzigen (art. 4, lid 4).
Deze verificatie is de wettelijke voorwaarde. Zij vindt plaats tussen de fabrikant en de Commissie - en wordt ook niet gedelegeerd wanneer een dienstverlener zoals Transpareo de operationele registratie op zich neemt.
Granulariteit: model, partij of artikel
Artikel 8 schrijft voor dat DPP’s moeten worden geregistreerd op het granulariteitsniveau dat de betreffende sectorale wetgeving voorschrijft - model, partij of artikel. Wanneer een artikel-DPP wordt aangemaakt en er partij- of model-ID’s bestaan, moeten deze worden meegenomen. Voor partij-DPP’s geldt hetzelfde voor model-ID’s.
Voor fabrikanten betekent dit: de interne stamgegevens moeten een duidelijke hiërarchie hebben tussen model, partij en afzonderlijk product. Zonder deze koppeling mislukt de automatische validatie van de registratie.
Versiebeheer, hash en bewaring
Elke DPP-versie wordt gekoppeld aan de oorspronkelijke registratie-ID. Bij elke wijziging vereist het register een hash van de actuele DPP-versie - cryptografisch verifieerbaar, niet handmatig te genereren.
Het registratiebewijs (art. 9) is een elektronisch document dat door de Commissie met een gekwalificeerd digitaal zegel wordt voorzien en van een tijdstempel wordt voorzien. Het bevat ten minste: registratie-ID, goederencode, identiteit van de betrokkene, datum en hash van de laatste versie. 90 dagen geldig, naar believen opnieuw te genereren.
Standaardbewaartermijn: 10 jaar vanaf de registratie, tenzij het Unierecht of sectorale wetgeving een andere termijn voorschrijft (art. 10, lid 3, van de uitvoeringsverordening inzake het DPP-register). Zelfs insolventie of liquidatie van de fabrikant ontslaat niet van de beschikbaarheidsverplichting (ESPR art. 11, onder e)).
Logboek
Het register registreert gegevens in drie niveaus (art. 14):
- Toegangen en authenticaties: 6 maanden
- Wijzigingen in gegevens: gedurende de registratieperiode
- Administratieve handelingen en gegevensuitwisseling: 5 jaar
Nationale autoriteiten krijgen toegang bij incidenten, audits of steekproeven.
Persoonsgegevens - wat de Commissie opslaat
Artikel 18 somt op welke gegevens uitsluitend bij het register worden bewaard: voor- en achternaam van elke gebruiker, inloggegevens, authenticatietokens, postadres, e-mailadres. Voor natuurlijke personen bovendien paspoort- of identiteitskaartnummer, eID, belastingnummer. Deze gegevens zijn niet bestemd voor de DPP-dienstverlener. De Commissie is de verwerkingsverantwoordelijke voor deze accountgegevens; de marktdeelnemer blijft de verwerkingsverantwoordelijke voor zijn DPP-gegevens.
Hoe Transpareo aan de vereisten voldoet
De meeste vereisten hebben betrekking op architecturale keuzes die Transpareo al in deze vorm heeft gemaakt. In het bijzonder:
Decentraal model. Transpareo is een multi-tenant-platform met een geïsoleerde database per klant. De DPP-gegevens worden opgeslagen in de database van de marktdeelnemer, niet in een centrale pool - precies de architectuur die overweging 3 vereist.
De rol van verwerker is duidelijk afgebakend. Artikel 19, lid 5, en artikel 20, lid 3, bepalen dat de marktdeelnemer de verwerkingsverantwoordelijke blijft, ook als hij een derde met de registratie belast. Transpareo werkt vandaag de dag al als verwerker met een verwerkersovereenkomst - de rollen zijn duidelijk.
Stabiele back-up-URL per DPP. Elke Transpareo-DPP is bereikbaar via een permanente URL, die ook bij versiewijzigingen niet verandert. Dit is precies wat artikel 8, lid 6, onder d), vereist als „link naar de back-up die wordt gehost door een DPP-SP“.
Granulariteit. Het gegevensmodel van Transpareo maakt onderscheid tussen productmodel, partij en afzonderlijk product en maakt koppelingen binnen de hiërarchie mogelijk - de voorwaarde om te voldoen aan artikel 8, lid 3 en lid 4.
Meertalige semantische mapping. De repository van de Commissie is meertalig volgens DCAT-AP. Transpareo biedt elk gegevenspunt in 39 talen, inclusief alle 24 officiële EU-talen, waarbij vertaling in het tarief is inbegrepen.
Versie-hash. Deterministische serialisatie volgens het JSON Canonicalization Scheme (RFC 8785) en een SHA-256-hash per DPP-versie zijn al geleverd. Alleen het exacte hash-pinning-formaat van het EU-register staat nog open; zodra de Commissie dit publiceert, zullen wij dit ook opnemen.
Vermelding als DPP-dienstverlener. Transpareo zal zich aanmelden voor de officiële lijst van DPP-dienstverleners (art. 2, nr. 32 van de ESPR) zodra de toelatingsprocedure is gepubliceerd.
Registratie in opdracht. We bereiden de dienst voor om de registratie namens gemachtigde klanten te verzorgen - de wettelijke verantwoordelijkheid van de klant blijft hierdoor onverlet overeenkomstig art. 19, lid 4.
Tijdschema
De inwerkingtreding wordt geregeld in artikel 23: 20 dagen na publicatie in het Publicatieblad. Welke dag dat precies wordt, hangt af van wanneer de Commissie de definitieve versie goedkeurt. Het moedermandaat uit artikel 13, lid 5, van de ESPR dateert van 19 juli 2026 - tegen die tijd moet het register operationeel zijn.
Het register zal naar verwachting pas vanaf 18 februari 2027 daadwerkelijk productief zijn: op die dag treedt artikel 77 van de EU-batterijverordening 2023/1542 in werking, en wordt de DPP verplicht voor industriële, EV- en LMT-batterijen van meer dan 2 kWh. De details en de openstaande vragen over de uitvoeringsbesluiten hebben we vastgelegd in het ESPR-tijdschema 2027. Tot dan resten nog ongeveer negen maanden. Wie leverancierscontracten, de migratie van stamgegevens en interne goedkeuringen inplant, weet: dat is krap, niet ruim.
Wat nog openstaat
De verordening zelf beschrijft het organisatorische kader. Wat ontbreekt, is de technische specificatie van de API - het exacte interfaceformaat, de schema’s, de validatieregels. Deze zal naar verwachting volgen als een afzonderlijke richtlijn van de Commissie op grond van art. 15, lid 1, waarschijnlijk nog in de loop van 2026.
Tot die tijd is de koers echter duidelijk: gedecentraliseerde architectuur, geverifieerde actoren, gekwalificeerde handtekeningen, unieke registratie-ID’s, versieverketting, semantische interoperabiliteit. Allemaal concepten die niet meer zullen verdwijnen.
Het officiële raadplegingsinitiatief van de Commissie is te vinden op Have Your Say te vinden.