Have Your Say: Vad vi har skrivit till EU-kommissionen om förordningen om DPP-registret
BloggReglering08/05/2026

Have Your Say: Vad vi har skrivit till EU-kommissionen om förordningen om DPP-registret

Fyra synpunkter på det pågående samrådet: om definitionen av DPP-tjänsteleverantörernas skyldigheter, om verifierbarhet på lång sikt, om utlämnande av uppgifter enligt artikel 17 och om offentliggörande av API:er innan förordningen träder i kraft.

Den 29 april 2026 offentliggjorde Europeiska kommissionen utkastet till genomförandeförordning om DPP-registret⁠ och samtidigt inlett en fyra veckor lång period för synpunkter. Fram till den 27 maj 2026 kan alla personer och organisationer inom EU och utanför lämna synpunkter via portalen ”Have Your Say”. Synpunkterna är offentliga, varje synpunkt är signerad med namn eller organisationsnamn, och de kommer officiellt att beaktas i den slutliga versionen av förordningen.

Vi har diskuterat utkastet ingående här på bloggen. Det här inlägget ägnar vi åt frågan om vad vi har skrivit tillbaka till kommissionen.

Varför vi lämnade in fyra separata synpunkter

Portalen tillåter 4 000 tecken per inlägg. Vi kunde ha pressat in alla punkter i ett enda långt inlägg. Det skulle ha varit besvärligare att läsa och svårare att citera för kommissionens medarbetare, som i maj ska gå igenom dussintals inlägg. Fyra enskilda inlägg går att hitta var för sig i den offentliga listan, och varje inlägg kan besvaras - eller avvisas - separat utan att det påverkar de andra punkterna.

Vi har lämnat in följande fyra ämnen:

1. Definiera minimikrav för DPP-tjänsteleverantörer

Förslaget till förordning fastställer korrekt den decentraliserade modellen: DPP-uppgifterna lagras hos den ekonomiska aktören eller hos dennes DPP-tjänsteleverantör, medan kommissionens register endast lagrar hänvisningarna. För DPP-tjänsteleverantörer (artikel 2 nr 32 i ESPR) föreskrivs en officiell förteckning över godkända leverantörer.

Det som saknas är en fastställelse av vad en tjänsteleverantör faktiskt måste uppfylla för att hamna på denna lista och förbli där. Förmodligen kommer de väsentliga skyldigheterna att fastställas i en delegerad rättsakt enligt artikel 4 i ESPR:s huvudförordning. Registret startar dock innan denna rättsakt har offentliggjorts.

Vårt förslag: Antingen fastställa minimikriterier för tjänsteleverantörer direkt i denna genomförandeförordning, eller ange en bindande tidsfrist för när den delegerade rättsakten ska lämnas in. Bland de föreslagna minimikraven ingår:

  • Tillgänglighet för det offentliga DPP-läsgränssnittet på minst 99,5 procent per månad
  • Ett servicenivåavtal om hur snabbt en ny DPP-version måste finnas tillgänglig i säkerhetskopian (förslag: 24 timmar eller i realtid, där det är tekniskt möjligt)
  • Obligatorisk kryptografisk verifiering av inkommande versioner av tjänsteleverantören
  • Publicering av den ekonomiska aktörens offentliga nycklar under en standardiserad sökväg (RFC 8615, förslag /.well-known/dpp-keys/)
  • En definierad process för byte och insolvens, så att DPP-data på ett ordnat sätt kan migreras till en annan leverantör om en leverantör går i konkurs

Dessa skyldigheter kostar ingenting för en seriös leverantör - denne uppfyller dem ändå - men förhindrar en kapplöpning mot botten mellan lågprisleverantörer, vilket i slutändan undergräver listan.

2. Långsiktig verifierbarhet för registrerade DPP:er

Artikel 9.4 begränsar tillgängligheten av registreringsbeviset till 90 kalenderdagar. Inom denna tidsfrist återutfärdar registret beviset på begäran. Detta är tillräckligt för den löpande driften, men stämmer inte överens med livscykeln för den underliggande DPP-skyldigheten: artikel 10.3 fastställer standardtiden för bevarande till 10 år från registreringstillfället, och sektorsspecifik lagstiftning kan kräva längre tider.

En marknadsövervakningsmyndighet, en tulltjänsteman, en återvinningsaktör eller en forskare år 2032 bör kunna kontrollera att en DPP som registrerades 2026 verkligen var registrerad, utan att vara beroende av att den ursprungliga ekonomiska aktören fortfarande existerar och kan begära ett nytt intyg.

Våra två förslag är enkla att genomföra:

  • Uttryckligen klargöra att de bevisbyte som kommissionen har försett med en kvalificerad säljstämpel får lagras tillfälligt, arkiveras och vidarebefordras av den ekonomiska aktören eller tjänsteleverantören. Den kvalificerade signaturen enligt artikel 35.2 i eIDAS-förordningen medför en presumtion om integritet och ursprung oavsett var byten befinner sig.
  • En offentlig, icke-autentiserad verifieringsändpunkt vid registret, som levererar ett signerat svar kopplat till ett registrerings-ID. Idag förutsätter varje tredjepartskontroll att den ekonomiska aktören agerar aktivt - det är fel form för ett bevisdokument som måste överleva utfärdaren.

Dessutom har vi föreslagit att hashbildningen ska fastställas deterministiskt: SHA-256 som hashfunktion, JSON Canonicalization Scheme (RFC 8785)⁠ som serialisering, utanför signaturblocket. I W3C-ekosystemet är detta kryptosviten eddsa-jcs-2022, med vilken Transpareo signeras direkt. Utan denna fastställning av pinning skulle två tjänsteleverantörer serialisera samma DPP till olika hashvärden, och hashfältet i registreringsbeviset skulle inte vara reproducerbart.

3. Artikel 17 får inte begränsa tillgången till offentliga DPP-data

Artikel 17 nämner ”massiv datanedladdning” som ett möjligt missbruk av registret. För de administrativa metadata som finns i själva registret (identiteter, loggar, revisionsspår) stämmer detta - de hör inte hemma i massnedladdningar.

De offentliga DPP-uppgifterna hos tillverkaren eller tjänsteleverantören är dock just det område som ESPR vill göra allmänt tillgängligt. Återvinningsföretag som sammanställer data om produktflottor; forskning som utvärderar hållbarhetspåståenden tvärs över branscher; marknadsövervakning som genomför jämförande analyser - allt detta är former av ”massiva data nedladdningar” av det offentliga DPP-lagret och allt är avsedd användning som förordningen utformades för.

Vårt förslag är en förtydligande mening i artikel 17 som begränsar tillämpningsområdet till registeruppgifter och för DPP-uppgifter hänvisar till respektive sektorsspecifika delegerade rättsakter. Annars står tjänsteleverantörerna inför ett val vid starten: antingen att av säkerhetsskäl aggressivt begränsa åtkomstkvoterna för allmänheten - och därmed förstöra konsumentupplevelsen - eller att lämna åtkomsten öppen och riskera att senare klassas som missbruk i den mening som avses i artikel 17.

4. Offentliggöra OpenAPI-specifikationen och sandboxen före lanseringen

Artikel 3 b kräver ett API för registreringar. Artikel 8.5 gör det till en av de två kanalerna för registrering. Förordningen säger dock ingenting om när API-avtalet ska offentliggöras.

Den som automatiserar registreringsflöden - varje tjänsteleverantör och varje aktör med ett större utbud - behöver API-specifikationen i god tid före lanseringen för att kunna implementera den och testa den mot en riktig slutpunkt. Att få tillgång till en specifikation först veckan före ikraftträdandet överför integrationsrisken till alla leverantörer i ekosystemet.

Vi har därför föreslagit följande:

  • Att en OpenAPI 3.1-specifikation ska offentliggöras minst åtta veckor före ikraftträdandet - för en start den 19 juli 2026 alltså senast den 24 maj 2026
  • En parallell sandbox-miljö där tjänsteleverantörer och tillverkare kan integrera och testa automatisk verifiering enligt artikel 8.6
  • En versionshanteringspolicy med Semver och en aviseringsperiod på minst 18 månader

Ytterligare designförslag: idempotenta nycklar vid registreringsanrop, batchregistrering för stora kataloger, asynkron registrering med webhook-callback och maskinläsbara felkoder för fall där den automatiska verifieringen misslyckas.

Varför vi gör detta

Ett samråd är inte ett spel där man samlar poäng. Om varje bidrag bidrar till att göra en enda mening i den slutliga versionen mer precis, har det uppfyllt sitt syfte. Kommissionen läser faktiskt dessa bidrag - erfarenheterna från själva ESPR-processen visar att tekniskt välgrundade synpunkter ofta lämnar spår i de slutliga texterna.

Vi kommer ändå att ansöka om att tas upp på listan över DPP-tjänsteleverantörer så snart ansökningsförfarandet offentliggörs. Det ligger alltså i vårt direkta intresse att de regler som vi ska följa är precisa och skapar lika villkor. De fyra synpunkterna är vårt konkreta sätt att se till att listan inte förfaller till en ren marknadsföringsetikett.

Vem som vill delta

Feedbackperioden pågår till och med den 27 maj 2026. Synpunkter kan lämnas på vilket som helst av EU:s officiella språk, kräver registrering på portalen och blir offentligt synliga. De som kommer att utfärda eller verifiera DPP:er - tillverkare, tjänsteleverantörer, återvinningsföretag, myndigheter - bör åtminstone en gång läsa igenom initiativet på Have Your Say⁠. Även ett kort, sakligt korrekt inlägg bidrar.

Vårt verifieringsverktyg Transpareo Time Machine löser för övrigt det verifieringsbehov som nämns under punkt 2 redan i den öppna källkodspraktiken: Den som vill verifiera ett Transpareo-DPP oberoende kan redan idag göra det med verktyget, utan att behöva vänta på en formellt etablerad verifieringspunkt i kommissionens register.

Uppdateringar om förordningen om DPP-registret

Så snart kommissionen har svarat på de inkomna synpunkterna sammanfattar vi det viktigaste och skickar det till din inkorg.