Have Your Say: Wat we aan de Europese Commissie hebben geschreven over de verordening inzake het DPP-register
BlogRegulering08/05/2026

Have Your Say: Wat we aan de Europese Commissie hebben geschreven over de verordening inzake het DPP-register

Vier bijdragen aan de openbare raadpleging: over de definitie van de verplichtingen van DPP-dienstverleners, over de verifieerbaarheid op lange termijn, over het vrijgeven van gegevens op grond van artikel 17 en over de publicatie van API’s vóór de inwerkingtreding.

Op 29 april 2026 heeft de Europese Commissie het ontwerp van de uitvoeringsverordening inzake het DPP-register⁠ gepubliceerd en tegelijkertijd een feedbackperiode van vier weken geopend. Tot en met 27 mei 2026 kan iedereen en elke organisatie in de EU en daarbuiten via het «Have Your Say»-portaal feedback geven. De bijdragen zijn openbaar, elke bijdrage is voorzien van een naam of organisatie, en ze worden officieel meegenomen in de definitieve versie van de verordening.

We hebben het ontwerp hier op de blog uitgebreid besproken. Dit artikel is gewijd aan de vraag wat we aan de Commissie hebben teruggeschreven.

Waarom we vier afzonderlijke bijdragen hebben ingediend

Het portaal accepteert 4 000 tekens per bijdrage. We hadden alle punten in één lange bijdrage kunnen proppen. Dat zou voor de medewerkers van de Commissie, die in mei tientallen bijdragen moeten doornemen, lastiger te lezen en moeilijker te citeren zijn geweest. Vier afzonderlijke bijdragen zijn in de openbare lijst elk afzonderlijk terug te vinden, en elke bijdrage kan afzonderlijk worden beantwoord - of afgewezen - zonder de andere punten te beïnvloeden.

We hebben de volgende vier onderwerpen ingediend:

1. Minimumeisen voor DPP-dienstverleners vaststellen

Het ontwerpbesluit beschrijft het gedecentraliseerde model correct: De DPP-gegevens worden bewaard bij de marktdeelnemer of bij diens DPP-dienstverlener; het register van de Commissie slaat alleen de verwijzingen op. Voor DPP-dienstverleners (art. 2, nr. 32 van de ESPR) is een officiële lijst van erkende aanbieders voorzien.

Wat ontbreekt, is een vastlegging van wat een dienstverlener eigenlijk moet doen om op deze lijst te komen en daar te blijven. Vermoedelijk volgen de inhoudelijke verplichtingen in een gedelegeerde handeling overeenkomstig artikel 4 van de ESPR-moederverordening. Het register gaat echter van start voordat deze handeling is gepubliceerd.

Ons voorstel: ofwel direct in deze uitvoeringsverordening minimumcriteria voor dienstverleners vastleggen, ofwel een bindende termijn noemen waarbinnen de gedelegeerde handeling moet worden ingediend. Tot de voorgestelde minimumvereisten behoren:

  • Beschikbaarheid van de openbare DPP-leesinterface van ten minste 99,5 procent per maand
  • Een serviceovereenkomst waarin wordt vastgelegd hoe snel een nieuwe DPP-versie in de back-up moet worden opgenomen (voorstel: 24 uur of in realtime, indien technisch mogelijk)
  • Verplichte cryptografische verificatie van binnenkomende versies door de dienstverlener
  • Publicatie van de openbare sleutels van de marktdeelnemer via een gestandaardiseerd pad (RFC 8615, voorstel /.well-known/dpp-keys/)
  • Een vastgelegd overstap- en insolventieproces, zodat DPP-gegevens bij het faillissement van een aanbieder op een geordende manier naar een andere aanbieder kunnen worden gemigreerd

Deze verplichtingen kosten een serieuze aanbieder niets - hij voldoet er sowieso al aan -, maar voorkomen wel een neerwaartse spiraal tussen goedkope aanbieders, die de lijst uiteindelijk ondermijnt.

2. Verifieerbaarheid op lange termijn van geregistreerde DPP’s

Artikel 9, lid 4, beperkt de beschikbaarheid van het registratiebewijs tot 90 kalenderdagen. Binnen deze termijn genereert het register het bewijs op verzoek opnieuw. Dat is prima voor de dagelijkse gang van zaken, maar sluit niet aan bij de levenscyclus van de onderliggende DPP-verplichting: artikel 10, lid 3, stelt de standaardbewaartermijn vast op 10 jaar vanaf de registratie; sectorale wetgeving kan een langere termijn voorschrijven.

Een markttoezichtautoriteit, een douaneambtenaar, een recycler of een onderzoeker in het jaar 2032 moet kunnen controleren of een in 2026 geregistreerde DPP daadwerkelijk geregistreerd was, zonder afhankelijk te zijn van het feit dat de oorspronkelijke marktdeelnemer nog bestaat en een nieuw bewijs kan aanvragen.

Onze twee voorstellen zijn eenvoudig te implementeren:

  • Expliciet verduidelijken dat de door de Commissie gekwalificeerd verzegelde bewijs-bytes door de marktdeelnemer of de dienstverlener tijdelijk mogen worden opgeslagen, gearchiveerd en verder verspreid. Het gekwalificeerde zegel overeenkomstig artikel 35, lid 2, van de eIDAS-verordening draagt het vermoeden van integriteit en herkomst, ongeacht waar de bytes zich bevinden.
  • Een openbaar, niet-geauthenticeerd verificatie-eindpunt bij het register, dat voor een registratie-ID een ondertekend antwoord levert. Momenteel vereist elke controle door een derde partij dat de marktdeelnemer actie onderneemt - dat is de verkeerde vorm voor een bewijsdocument dat de uitgever moet overleven.

Daarnaast hebben we voorgesteld om de hashvorming deterministisch vast te leggen: SHA-256 als hashfunctie, JSON Canonicalization Scheme (RFC 8785)⁠ als serialisatie, buiten het handtekeningblok. In het W3C-ecosysteem is dat de cryptosuite eddsa-jcs-2022, waarmee Transpareo rechtstreeks ondertekent. Zonder deze pinning-specificatie zouden twee dienstverleners dezelfde DPP naar verschillende hashes serialiseren, en zou het hash-veld in het registratiebewijs niet reproduceerbaar zijn.

3. Artikel 17 mag de toegang tot openbare DPP-gegevens niet beperken

Artikel 17 noemt „massale gegevensdownloads” als mogelijk misbruik van het register. Voor de administratieve metagegevens die in het register zelf zijn opgeslagen (identiteiten, logbestanden, auditsporen) klopt dit - die horen niet thuis in massale downloads.

De openbare DPP-gegevens bij de fabrikant of dienstverlener zijn echter precies het gebied dat de ESPR op grote schaal toegankelijk wil maken. Recyclers die samenstellingsgegevens over productvloten verzamelen; onderzoek dat duurzaamheidsverklaringen dwars door elkaar heen analyseert; markttoezicht dat vergelijkende analyses uitvoert - dat zijn allemaal vormen van „massale gegevensdownloads“ uit de openbare DPP-laag en allemaal beoogde toepassingen waarvoor de verordening is opgesteld.

Ons voorstel is een verduidelijkende zin in artikel 17, die het toepassingsgebied beperkt tot registergegevens en voor DPP-gegevens verwijst naar de desbetreffende sectorspecifieke gedelegeerde handelingen. Anders staan dienstverleners bij de start voor een keuze: ofwel de openbare toegang uit voorzorg agressief beperken - en daarmee de gebruikerservaring verpesten - ofwel deze open laten en het risico lopen later te worden aangemerkt als misbruik in de zin van artikel 17.

4. OpenAPI-specificatie en sandbox vóór de start publiceren

Artikel 3, onder b), vereist een API voor registraties. Artikel 8, lid 5, maakt deze tot één van de twee kanalen voor registratie. De verordening zegt echter niets over wanneer de API-specificatie wordt gepubliceerd.

Wie registratieworkflows automatiseert - elke dienstverlener en elke marktdeelnemer met een omvangrijk aanbod - heeft de API-specificatie ruim voor de start nodig om deze te implementeren en te testen tegen een echt eindpunt. Als een specificatie pas in de week vóór de inwerkingtreding beschikbaar komt, wordt het integratierisico afgewenteld op alle aanbieders in het ecosysteem.

Daarom hebben wij het volgende voorgesteld:

  • Een OpenAPI 3.1-specificatie ten minste acht weken vóór de inwerkingtreding publiceren - voor een start op 19 juli 2026 dus uiterlijk op 24 mei 2026
  • Een parallelle sandbox-omgeving waarin dienstverleners en fabrikanten kunnen integreren en de automatische verificatie volgens artikel 8, lid 6, kunnen testen
  • Een versiebeheerbeleid volgens Semver, met een opzegtermijn van ten minste 18 maanden

Aanvullende ontwerpsuggesties: idempotente sleutels bij registratie-aanroepen, batchregistratie voor grote catalogi, asynchrone registratie met webhook-callback en machinaal leesbare foutcodes voor de foutgevallen bij de automatische verificatie.

Waarom we dit doen

Een raadpleging is geen spel om punten te verzamelen. Als elke bijdrage erin slaagt om één enkele zin in de definitieve versie nauwkeuriger te maken, heeft deze zijn doel bereikt. De commissie leest deze bijdragen daadwerkelijk - de ervaring uit het ESPR-proces zelf leert dat technisch onderbouwde bijdragen vaak hun sporen achterlaten in de definitieve teksten.

We zullen ons sowieso aanmelden voor opname in de lijst van DPP-dienstverleners zodra de toelatingsprocedure is gepubliceerd. Het is dus in ons direct belang dat de regels waaronder we meedoen, nauwkeurig zijn en een eerlijk speelveld definiëren. De vier bijdragen zijn onze concrete manier om ervoor te zorgen dat de lijst niet verwordt tot louter een marketinglabel.

Wie mee wil doen

De feedbackperiode loopt tot 27 mei 2026. Bijdragen kunnen in elke officiële taal van de EU worden ingediend, vereisen registratie op het portaal en worden openbaar gemaakt. Wie DPP’s gaat uitgeven of verifiëren - fabrikanten, dienstverleners, recyclers, overheidsinstanties - zou op zijn minst één keer het initiatief op Have Your Say⁠ lezen. Ook een korte, vaktechnisch nauwkeurige bijdrage helpt.

Onze verificatietool Transpareo Time Machine voldoet overigens al aan de in punt 2 geschetste verificatiebehoefte in de open-sourcepraktijk: wie een Transpareo-DPP onafhankelijk wil controleren, kan dat vandaag de dag al doen met deze tool, zonder te hoeven wachten op een formeel vastgesteld verificatie-eindpunt in het register van de Commissie.

Updates over de verordening inzake het DPP-register

Zodra de Commissie op de ontvangen reacties heeft gereageerd, vatten we de belangrijkste punten samen en sturen we deze naar uw inbox.