32024R0436

Kieli
- Oma EUR–Lex
- Kirjaudu sisään
- Rekisteröidy
- Omat äskettäiset haut (0)

Tämä asiakirja on ote EUR-Lex-verkkosivustolta

Hakuvinkkejä

Lisää hakuvaihtoehtoja: Tarkennettu haku

EUROPA
EUR-Lex etusivu
Gedelegeerde verordening - EU - 2024/436 - FI - EUR-Lex

Asiakirja 32024R0436

Ohje

Gedelegeerde Verordening (EU) 2024/436 van de Commissie van 20 oktober 2023 tot aanvulling van Verordening (EU) 2022/2065 van het Europees Parlement en de Raad wat betreft voorschriften voor de uitvoering van controles van aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines

C/2023/6807

PB L, 2024/436, 2.2.2024, ELI: http://data.europa.eu/eli/reg_del/2024/436/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Asiakirjan oikeudellinen asema Voimassa

ELI: http://data.europa.eu/eli/reg_del/2024/436/oj

HTML

PDF – todistusvoimainen EUVL

Sähköinen allekirjoitus

Virallisen lehden autenttisuuden todentaminen

Publicatieblad
van de Europese Unie

Serie L

2024/436

2.2.2024

GEDELEGEERDE VERORDENING (EU) 2024/436 VAN DE COMMISSIE

van 20 oktober 2023

tot aanvulling van Verordening (EU) 2022/2065 van het Europees Parlement en de Raad wat betreft voorschriften voor de uitvoering van controles van aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) 2022/2065 van het Europees Parlement en de Raad van 19 oktober 2022 betreffende een eengemaakte markt voor digitale diensten en tot wijziging van Richtlijn 2000/31/EG (digitaledienstenverordening) (1), en met name artikel 37, lid 7,

Overwegende hetgeen volgt:

(1)

Onafhankelijke controles vormen een belangrijk instrument bij het toezicht op de naleving door aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines van hun verplichtingen uit hoofde van Verordening (EU) 2022/2065. Hoewel die verordening ook in andere verantwoordingsmechanismen voorziet, niet in de laatste plaats in de vorm van publieke toetsing van transparantierapportageverplichtingen en andere vereisten met betrekking tot de bekendmaking van gegevens, vervullen controleorganisaties al in een vroeg stadium een bijzondere rol bij het beoordelen van de naleving van deze verordening door deze aanbieders. De conclusies en bevindingen van deze onafhankelijke controles en de hierin vervatte aanbevelingen, leveren een betekenisvolle bijdrage aan regulerend toezicht. Tegelijkertijd is onafhankelijke controle slechts één van de verschillende bronnen van informatie en analyses waar de regelgevende instanties gebruik van kunnen maken in het kader van hun toezichthoudende en handhavende rol.

(2)

Teneinde te waarborgen dat onafhankelijke controles vanaf de datum van toepassing van Verordening (EU) 2022/2065, zoals vastgesteld in de artikelen 92 en 93 van die verordening, op doeltreffende, efficiënte, tijdige en vergelijkbare wijze worden uitgevoerd, moet de Commissie regels vaststellen inzake de uitvoering van controles, met name waar het de juridische verplichtingen van de gecontroleerde aanbieders betreft, alsook de procedurele stappen waarmee moet worden gewaarborgd dat de controles worden uitgevoerd door onafhankelijke organisaties die geen belangenconflicten hebben, de nodige expertise hebben aangetoond en blijk hebben gegeven van beroepsethiek, zoals bedoeld in artikel 37, lid 3, van Verordening (EU) 2022/2065.

(3)

Teneinde de passende uitvoering van controles met een hoog niveau van deskundigheid te waarborgen, en onbedoelde gevolgen op de markt voor controlediensten te voorkomen, moet worden verduidelijkt dat de uit hoofde van artikel 37 van Verordening (EU) 2022/2065 uitgevoerde controles door verscheidene controleurs kunnen worden uitgevoerd. Indien nodig, wanneer er bijvoorbeeld behoefte is aan specifieke deskundigheid bij de controle op bepaalde verplichtingen of toezeggingen, onder meer die met betrekking tot het ontwerp en de werking van algoritmische systemen, inzicht in de risico’s voor de grondrechten of de verspreiding van illegale inhoud, kan de gecontroleerde aanbieder voor het uitvoeren van de controle een overeenkomst aangaan met verschillende controleorganisaties of een consortium van organisaties. Controleorganisaties kunnen de benodigde deskundigheid ook uitbesteden, op voorwaarde dat zowel de controleorganisatie als de onderaannemers voldoen aan de vereisten inzake onafhankelijkheid, het voorkomen van belangenconflicten, bewezen objectiviteit en beroepsethiek, en dat zij gezamenlijk voldoen aan de eisen betreffende technische deskundigheid. In dat geval moet de gecontroleerde aanbieder alsnog waarborgen dat ten minste één keer per jaar wordt gecontroleerd dat hij voldoet aan alle verplichtingen en toezeggingen als bedoeld in artikel 37, lid 1, van Verordening (EU) 2022/2065.

(4)

De in artikel 37, lid 4, punt g), van Verordening (EU) 2022/2065 bedoelde controleadviezen moeten door de controleorganisaties met een redelijke mate van zekerheid worden afgegeven. Teneinde een redelijke mate van zekerheid te verkrijgen, moet de controleorganisatie een hoge, maar niet absolute, mate van vertrouwen hebben dat er geen sprake is van onjuistheden, zoals omissies, verkeerde voorstellingen van zaken of fouten, die niet tijdens de controle aan het licht zijn gekomen. Teneinde die mate van zekerheid te waarborgen, moet de controleorganisatie onder meer voldoende bewijsmateriaal vergaren en bij haar beoordeling passende controlemethoden toepassen.

(5)

Overeenkomstig artikel 37, lid 1, van Verordening (EU) 2022/2065 moeten de onafhankelijke controles ten minste één keer per jaar worden uitgevoerd, overeenkomstig de in artikel 34 van die verordening genoemde jaarlijkse cyclus van risicobeoordelingen. In sommige gevallen kan het echter nodig zijn vaker controles uit te voeren. De volgorde van de controles moet waarborgen dat er ononderbroken op wordt toegezien dat de gecontroleerde aanbieders Verordening (EU) 2022/2065 en de relevante gedragscodes en crisisprotocollen naleven. De gecontroleerde aanbieder moet ervoor zorgen dat de periode gedurende welke in het kader van een specifieke controle op naleving van de verplichtingen en toezeggingen wordt gecontroleerd, aansluit op de periode gedurende welke in de voorgaande controle de naleving van die verplichtingen en toezeggingen werd gecontroleerd, en uiterlijk ingaat bij het verstrijken van de periode van de voorgaande controle. Aangezien de conclusie van een controle zowel de beoordeling door de controleorganisatie als de opstelling van een controlerapport omvat, moeten gecontroleerde aanbieders ervoor zorgen dat de duur van de controle het mogelijk maakt dat controles ten minste eenmaal per jaar worden voltooid en dat de controlerapporten onverwijld bij de Commissie en de digitaledienstencoördinator worden ingediend, overeenkomstig artikel 42, lid 4, van Verordening (EU) 2022/2065.

(6)

Gecontroleerde aanbieders mogen zich op geen enkele wijze mengen in de uitvoering van de controle en de conclusies ervan, en moeten voldoen aan hun verplichtingen uit hoofde van artikel 37 van Verordening (EU) 2022/2065, onder meer door contractuele voorwaarden overeen te komen met de controleorganisatie en door, voorafgaand aan het selecteren van een controleorganisatie, na te gaan of die organisatie voldoet aan de in artikel 37, lid 3, van Verordening (EU) 2022/2065 vastgestelde voorwaarden.

(7)

Zo moet de gecontroleerde aanbieder een evaluatie uitvoeren van eerder met de controleorganisatie gesloten overeenkomsten of overeenkomsten tussen de controleorganisatie en aan de gecontroleerde aanbieder verbonden rechtspersonen. Daarnaast moet de gecontroleerde aanbieder in overeenkomsten met controleorganisaties bepalingen opnemen waarmee wordt gewaarborgd dat wordt voldaan aan de in artikel 37, lid 3, van Verordening (EU) 2022/2065 genoemde voorwaarden. Indien de controleorganisatie uit verschillende entiteiten bestaat, moet de gecontroleerde aanbieder zich ervan verzekeren dat al die entiteiten aan die voorwaarden voldoen, in voorkomend geval onder meer waar het door de controleorganisatie ingehuurde onderaannemers betreft die op welke wijze dan ook worden ingezet ter ondersteuning van de uitvoering van de controle. Hoewel iedere entiteit bij het uitvoeren van de controle individueel moet voldoen aan de eisen met betrekking tot onafhankelijkheid en het voorkomen van belangenconflicten, moeten die entiteiten gezamenlijk voldoen aan de eisen met betrekking tot de bekwaamheid, deskundigheid of technische hulpmiddelen, zodat de verschillende entiteiten verschillende onderdelen van de controle kunnen uitvoeren en in het kader van de uitvoering van de controle hun bijdrage kunnen leveren in de vorm van de benodigde capaciteiten, bekwaamheid en deskundigheid. In het controlerapport moet de verantwoordelijkheid van alle entiteiten voor hun respectieve onderdeel van de controle worden vermeld.

(8)

Bij het nagaan of een controleorganisatie voldoet aan de voorwaarden met betrekking tot onafhankelijkheid en het voorkomen van belangenconflicten, moet de gecontroleerde aanbieder overeenkomstig artikel 37, lid 3, punt a), i), van Verordening (EU) 2022/2065, zich er in het bijzonder toe inspannen te voorkomen dat de controleorganisatie de gecontroleerde aanbieder niet-controlediensten verleent. Zo moet de gecontroleerde aanbieder nagaan of er diensten zijn verleend die bijvoorbeeld in verband staan met systemen, software of processen die betrekking hebben op de gecontroleerde verplichting of toezegging, onder meer in de vorm van adviesdiensten voor de beoordeling van prestaties, governance en software, opleidingsdiensten, de ontwikkeling of het onderhoud van systemen, of het uitbesteden van inhoudsmoderatie. Hieronder vallen ook aan de gecontroleerde aanbieder verleende diensten met betrekking tot adviesverlening over of ontwikkeling van interne controles, of het voor interne doeleinden beoordelen van de naleving door de gecontroleerde aanbieder van Verordening (EU) 2022/2065 of van gedragscodes en crisisprotocollen, ook wanneer dit alleen precisietesten beslaat, zoals door derden uitgevoerde testen inzake de prestaties van systemen voor inhoudsmoderatie. Dit mag controleorganisaties die wettelijke financiële controles hebben uitgevoerd, niet uitsluiten.

(9)

Vanwege de complexiteit en de specifieke aard van de nalevingscontroles in het kader van Verordening (EU) 2022/2065, is het van essentieel belang dat de controleorganisatie deskundig is betreffende het onderwerp, zodat zij de controle met een redelijke mate van zekerheid kan uitvoeren, zich een professioneel oordeel kan vormen en een kritische houding aan de dag kan leggen teneinde ervoor te zorgen dat de organisatie bijvoorbeeld weet welke informatie zij nodig heeft voor het uitvoeren van de controleprocedures of het betwisten van tegenstrijdige informatie. De gecontroleerde aanbieder moet derhalve nagaan of de controleorganisatie onder meer op het gebied van risicobeheer dergelijke deskundigheid kan bieden, met betrekking tot zowel de controlerisico’s als het onderwerp van Verordening (EU) 2022/2065, en met name de in artikel 34 van die verordening genoemde systeemrisico’s voor de samenleving. Daarnaast moet de gecontroleerde aanbieder met het oog op de specifieke gecontroleerde dienst de technische bekwaamheid en capaciteiten van de controleorganisatie verifiëren, onder meer haar deskundigheid betreffende het onderwerp, bijvoorbeeld in verband met de werking en gevolgen van algoritmische systemen, zoals aanbevelingssystemen en andere door de aanbieder onderhouden sociaal-technische systemen. De controleorganisatie moet de mogelijkheid tot uitbesteding hebben of op andere manieren de nodige deskundigheid en capaciteiten kunnen verkrijgen en inzetten, en de gecontroleerde aanbieder moet verifiëren of en waarborgen dat de controleorganisatie in staat is die deskundigheid en capaciteiten op tijd voor de uitvoering van de controle te verkrijgen.

(10)

Bij het nagaan of de controleorganisaties voldoen aan de in artikel 37, lid 3, van Verordening (EU) 2022/2065 vastgelegde voorwaarden, moet de gecontroleerde aanbieder het relevante bewijsmateriaal beoordelen, waaronder, in voorkomend geval, door de controleorganisatie afgegeven certificaties, verklaringen en controlerapporten. Passende deskundigheid kan bijvoorbeeld worden bewezen door het aantonen van praktische ervaring bij het beoordelen en beheren van risico’s, alsook in de vorm van academische activiteiten, wetenschappelijke publicaties en ervaring met de desbetreffende controles. De controlerapporten moeten alle relevante bewijsstukken bevatten waaruit blijkt dat de controleorganisaties aan de vereiste voorwaarden voldoen.

(11)

Overeenkomstig artikel 37, lid 2, van Verordening (EU) 2022/2065 moet de gecontroleerde aanbieder de controleorganisatie de nodige samenwerking en bijstand verlenen om haar in staat te stellen de controles op doeltreffende, efficiënte en tijdige wijze uit te voeren, en mag hij zich op geen enkele wijze mengen in door de controleorganisatie te nemen onafhankelijke beslissingen. Zo mag de gecontroleerde aanbieder de controleorganisatie geen vereisten opleggen, richtsnoeren uitbrengen of op andere wijze beïnvloeden door middel van contractuele of andere beperkingen of stimulansen in het kader van het selecteren en uitvoeren van de controleprocedures en -methoden, het verzamelen en verwerken van informatie en controlebewijs, of bij analyses en testen, het controleadvies of de uitwerking van de controleconclusies.

(12)

Teneinde de nodige samenwerking en bijstand tijdens de controle te waarborgen, moet de gecontroleerde aanbieder ervoor zorgen dat de controleorganisatie toegang krijgt tot alle informatie die nodig is voor het uitvoeren van de controle. De gecontroleerde aanbieder moet in een zo vroeg mogelijk stadium en in ieder geval voordat de controleorganisatie overgaat tot het uitvoeren van de controleprocedures, alle nodige documenten en toelichtingen toezenden. Zo bestaat de compliancefunctie van de gecontroleerde aanbieder overeenkomstig artikel 41, lid 3, punten d) en e), van Verordening (EU) 2022/2065, in het monitoren van de naleving van alle gecontroleerde verplichtingen en toezeggingen, wat ertoe moet leiden dat interne controles worden uitgewerkt. Daarom moet de controleorganisatie toegang krijgen tot alle informatie met betrekking tot die controles en tot alle andere informatie over de strategie van de gecontroleerde aanbieder om de naleving te waarborgen. De gecontroleerde aanbieder moet met name de benchmarks tot waarborging van de naleving van Verordening (EU) 2022/2065 ter beschikking stellen van de controleorganisatie, zodat de controleorganisatie de controlecriteria op die informatie kan baseren. Daarnaast moet de controleorganisatie toegang krijgen tot elke analyse die de gecontroleerde aanbieder mogelijk heeft uitgevoerd met betrekking tot inherente risico’s en controlerisico’s. Die aanbieder moet de controleorganisatie informatie ter beschikking stellen die meer inzicht bieden in de gecontroleerde dienst, de governance, de bevoegdheden van de respectieve teams en de besluitvormingsstructuren, met inbegrip van zijn compliancefunctie, alsook presentaties van zijn informatietechnologiesystemen, gegevens- en documentstructuren en de wisselwerking tussen de verschillende algoritmische systemen die van belang zijn voor de controle.

(13)

De controleorganisatie moet tijdens het uitvoeren van de controle op ieder moment andere noodzakelijke informatie kunnen opvragen. De toegang tot die informatie moet onverwijld worden verleend, en wel zodanig dat de uitvoering van de controle op generlei wijze wordt belemmerd. Dit betreft onder meer toegang tot gegevens, waaronder persoonsgegevens — uit verschillende bronnen — zoals documenten, algoritmische systemen, databanken of gesprekken, naargelang het geval. De gecontroleerde aanbieder moet de controleorganisatie bovendien toegang verlenen tot procedures, processen en IT-systemen, waaronder algoritmische en informatiesystemen, met inbegrip van testomgevingen. Teneinde de controleorganisatie in staat te stellen dergelijke systemen op betekenisvolle wijze te inspecteren, moet de gecontroleerde aanbieder alle nodige middelen beschikbaar stellen om de controleorganisatie te helpen bij het verkrijgen van toegang tot de systemen en bij het beoordelen ervan, bijvoorbeeld door bevoegd personeel ter beschikking te stellen om vragen te beantwoorden, testomgevingen te beheren en toelichting te geven op de werking ervan, of door andere vormen van benodigde toegang tot personeel en ruimten, waaronder gebouwen, te faciliteren. De toegang tot processen en procedures kan bijvoorbeeld de toegang tot beschrijvingen of documenten betreffende het interne besluitvormingsproces van de gecontroleerde aanbieder betreffen. De toegang tot relevante informatie kan ook andere, aanvullende maatregelen betreffen die de gecontroleerde aanbieder moet nemen om aan zijn verplichting tot samenwerking en bijstand te voldoen. Zo zijn er voor gesprekken met personeel mogelijk door de gecontroleerde aanbieder te verstrekken beveiligde voorzieningen nodig. Indien dit nodig is voor de uitvoering van de controle, moeten gecontroleerde aanbieders voldoen aan de samenwerkings- en bijstandsverplichting ten aanzien van de controleorganisatie, onder meer door te zorgen voor toegang tot relevante gegevens met betrekking tot hun activiteiten die in het bezit zijn van hun derde contractanten. Dit kan bijvoorbeeld het geval zijn voor de resultaten van inhoudsmoderatieacties, opleidingsmateriaal of richtsnoeren die worden gebruikt door derde contractanten die inhoud modereren, of verkopers en dienstverleners voor IT-oplossingen, waaronder bijvoorbeeld algoritmen en toepassingen die worden gebruikt in aanbevelingssystemen of reclamesystemen die door de gecontroleerde aanbieder worden gebruikt.

(14)

Teneinde betekenisvolle transparantie van de bevindingen van de controle mogelijk te maken en uitgebreide en vergelijkbare formaten te bieden voor de in artikel 37, lid 4, van Verordening (EU) 2022/2065 bedoelde controlerapporten en de in artikel 37, lid 6, van die verordening bedoelde controle-uitvoeringsrapporten, moeten in deze verordening modellen voor die rapporten worden vastgesteld en een aantal bijlagen bij alle rapporten worden voorgeschreven. Hoewel de in deze verordening vastgestelde modellen uitgebreide verslaglegging vereisen, mag dit niet van invloed zijn op de eisen betreffende de openbaarmaking van rapporten als bedoeld in artikel 42, leden 4 en 5, van Verordening (EU) 2022/2065.

(15)

Teneinde te waarborgen dat de controleorganisatie alle nodige bijstand ontvangt van de gecontroleerde aanbieder, zonder in de uitvoering van de controle te worden belemmerd, en dat de controleorganisatie aan alle eisen met betrekking tot de voorbereiding van de controle voldoet en het controlerapport tijdig levert, en dat het controlerapport van voldoende kwaliteit is om een redelijke mate van zekerheid te verkrijgen, moeten er regels worden vastgesteld voor de procedures voor de voorbereiding van de controle. De taken en verantwoordelijkheden van de gecontroleerde aanbieder en de controleorganisatie, met inbegrip van alle onderaannemers of partnerorganisaties en het voor de uitvoering van de controle verantwoordelijke personeel, moeten in een schriftelijke overeenkomst uiteen worden gezet, waaronder middels contractuele voorwaarden. In de schriftelijke overeenkomst moeten ook de gecontroleerde verplichtingen en toezeggingen worden opgenomen, alsook de toegewezen middelen en de regels betreffende interactie tussen en contactpunten van de controleorganisatie en de gecontroleerde aanbieder. Alle relevante bewijsstukken en overeenkomsten moeten als bijlagen bij het controlerapport worden gevoegd indien de documenten in de vorm van een controleopdracht of andere contractuele voorwaarden worden aangeboden.

(16)

Teneinde in een uitgebreid overzicht te voorzien en de verantwoordingsplicht van gecontroleerde aanbieders te versterken, moet het controlerapport een conclusie bevatten op basis van de beoordeling van de controleorganisatie van de naleving door de gecontroleerde aanbieder van alle gecontroleerde verplichtingen of toezeggingen. Iedere controleconclusie moet gebaseerd zijn op een redelijke mate van zekerheid en moet als “positief”, “positief met kanttekeningen” of “negatief” worden aangemerkt om een passende bijdrage voor het controleadvies te vormen. Conclusies die “positief met kanttekeningen” zijn, mogen geen betrekking hebben op de beoordeling van de naleving zelf. Deze kanttekeningen kunnen bijvoorbeeld verwijzen naar het op aanvraag van de controleorganisatie verstrekken van informatie door de aanbieder, of naar verbeteringen met betrekking tot door de gecontroleerde aanbieder verricht onderhoud of gehanteerde controles, of nota nemen van verdere mitigatieplannen en verbeteringen die de aanbieder voornemens is in te voeren. Indien de controleorganisatie van oordeel is dat de gecontroleerde aanbieder voldoet aan een gecontroleerde verplichting of verbintenis volgens de door de gecontroleerde aanbieder gerapporteerde benchmarks, maar het noodzakelijk acht opmerkingen over die benchmarks op te nemen, moet de controleconclusie in ieder geval “positief met kanttekeningen” zijn, aangezien dergelijke opmerkingen de aanbieder kunnen informeren over mogelijkheden voor nuttige wijzigingen van zijn benchmarks, op basis van de kennis en de deskundigheid van de controleorganisatie, en van informatie uit externe bronnen. De opmerkingen kunnen bijvoorbeeld worden gebaseerd op richtsnoeren van de Commissie, waaronder richtsnoeren van de Commissie als bedoeld in artikel 35, lid 3, van Verordening (EU) 2022/2065, en andere relevante richtsnoeren van de Commissie met betrekking tot de toepassing van die verordening, rapporten van de digitaledienstenraad als bedoeld in artikel 35, lid 2, van die verordening, handhavingsmaatregelen, door de Commissie op grond van die verordening genomen besluiten, relevante jurisprudentie, met name van het Hof van Justitie van de Europese Unie, openbare raadplegingen of relevante gezaghebbende bronnen.

(17)

In het geval een controleconclusie als “negatief” is aangemerkt, maar slechts gedurende een beperkte periode geldt, en de controleorganisatie van mening is dat de gecontroleerde aanbieder de verplichting of toezegging gedurende de resterende gecontroleerde periode is nagekomen, moet dit in het controlerapport voor iedere verplichting of toezegging worden aangegeven teneinde publieke toetsing en regulerend toezicht mogelijk te maken. Het rapport moet de opmerkingen van de controleorganisatie bevatten over alle informatie die de gecontroleerde aanbieder haar ter beschikking heeft gesteld met betrekking tot bestaande of geplande mitigatieplannen om niet-naleving te verhelpen.

(18)

Gezien de uiteenlopende aard van de in hoofdstuk III van Verordening (EU) 2022/2065 bedoelde juridische verplichtingen en de vrijwillige toezeggingen in het kader van de gedragscodes en crisisprotocollen uit hoofde van de artikelen 45, 46 en 48 van die verordening, moet de controleorganisatie controleadviezen uitbrengen over de naleving van dat hoofdstuk en van iedere gedragscode en ieder protocol.

(19)

Teneinde de controle met een redelijke mate van zekerheid te kunnen uitvoeren en de controleprocedures op passende wijze vorm te kunnen geven op basis van methoden die het controlerisico tot een laag niveau beperken, moet de raming van de controlerisico’s essentieel onderdeel zijn van de gehanteerde methode voor de uitvoering van de controle, waarbij het gaat om het risico dat de controleorganisatie een ongeschikt controleadvies of een ongeschikte conclusie afgeeft. De controleorganisatie moet het controlerisico dan ook helemaal aan het begin van de controle beoordelen, vóór vaststelling van de precieze controlemethode en het uitvoeren van de controleprocedures. De analyse van het controlerisico is noodzakelijk om de controleorganisatie in staat te stellen de precieze controlemethoden vast te stellen en te bepalen hoe uitgebreid de controleprocedures moeten zijn om een redelijke mate van zekerheid voor het controleadvies te verkrijgen. De controleorganisatie moet de analyse van het controlerisico voor de beoordeling van de naleving van iedere gecontroleerde verplichting of toezegging uitvoeren, rekening houdend met inherente risico’s, controlerisico’s en detectierisico’s.

(20)

Teneinde de controlerisico’s op de juiste wijze te kunnen beoordelen, moet in de analyse van het controlerisico rekening worden gehouden met de aard van de gecontroleerde dienst, in het bijzonder het risicoprofiel, en de reikwijdte en de complexiteit van de controle. Zo zullen onlineplatforms die consumenten de mogelijkheid bieden overeenkomsten op afstand te sluiten, waarschijnlijk gepaard gaan met andere inherente risico’s dan videoplatforms of zoekmachines. Daarnaast moet rekening worden gehouden met de maatschappelijke en economische context waarbinnen de gecontroleerde dienst wordt verleend, bijvoorbeeld met betrekking tot typische gebruikersgroepen, zoals minderjarigen, of veelvoorkomende gedragingen, waaronder een hoog aantal gevallen van niet-authentiek gebruik en gecoördineerd gedrag in het kader van desinformatiecampagnes. De in overweging te nemen maatschappelijke en economische context moet ook de waarschijnlijkheid en, onafhankelijk daarvan, de ernst van blootstelling aan crisissituaties en onverwachte gebeurtenissen omvatten, zoals bedoeld in Verordening (EU) 2022/2065.

(21)

Teneinde te waarborgen dat de analyse van het controlerisico de evolutie weerspiegelt van de risico’s waaraan de dienst wordt blootgesteld, moet de analyse van het controlerisico in voorkomend geval mede gebaseerd zijn op informatie uit voorgaande controles die de gecontroleerde aanbieder heeft ondergaan, en voortbouwen op informatie uit bronnen als controlerapporten van andere aanbieders met een vergelijkbaar risicoprofiel. Teneinde te waarborgen dat de analyse van het controlerisico volledig gebaseerd is op bewijs met betrekking tot de stand van zaken inzake risico’s in contexten die vergelijkbaar zijn aan die waarbinnen de gecontroleerde aanbieder actief is, alsook op gezaghebbende bronnen die van rechtstreeks belang zijn voor de toepassing van Verordening (EU) 2022/2065, moet de analyse ook voortbouwen op informatie uit door de digitaledienstenraad uitgebrachte rapporten of, in voorkomend geval, richtsnoeren van de Commissie. Andere informatie kan daarnaast informatie betreffen uit overeenkomstig artikel 42, lid 4, van Verordening (EU) 2022/2065 openbaar gemaakte rapporten van andere aanbieders van zeer grote onlineplatforms of zeer grote onlinezoekmachines.

(22)

De controleorganisatie moet, zonder hierbij beïnvloed te worden door de gecontroleerde aanbieder, de controlemethoden voor het beoordelen van de naleving van de gecontroleerde verplichtingen en toezeggingen opstellen. De controlecriteria moeten gebaseerd zijn op de door de gecontroleerde aanbieder ingediende informatie, inzake de door de gecontroleerde aanbieder gehanteerde benchmarks voor het monitoren van de naleving. Daarnaast kan in de methode rekening worden gehouden met andere informatie die door de gecontroleerde aanbieder beschikbaar is gesteld, zoals de analyse van inherente risico’s — voor zover de gecontroleerde aanbieder een dergelijke analyse heeft verricht — bijvoorbeeld door middel van door de compliancefunctionaris of het leidinggevend orgaan uit hoofde van artikel 41 van Verordening (EU) 2022/2065 ontwikkelde maatregelen of andere maatregelen die zijn ingebed in de werking van de dienst voor de beoordeling van de systeemrisico’s als bedoeld in artikel 34 van die verordening.

(23)

Teneinde te waarborgen dat de controlemethoden geschikt zijn voor het verkrijgen van een redelijke mate van zekerheid voor de controleadviezen, moet de gekozen methode voor de controleprocedure gericht zijn op de specifieke kenmerken van de gecontroleerde verplichting of toezegging, en bijvoorbeeld worden afgestemd op de aard van de gecontroleerde verplichting als een inspanningsverbintenis of een resultaatsverbintenis die de aanbieder moet nakomen om naleving te verzekeren. Zo kunnen controleprocedures voor het beoordelen van de naleving van de transparantierapportageverplichtingen uit hoofde van artikel 15 van Verordening (EU) 2022/2065 de controleorganisatie in staat stellen te beslissen of de rapporten binnen de in die verordening voorgeschreven termijnen en in het voorgeschreven formaat openbaar zijn gemaakt, alsook of de rapporten volledig en de verstrekte gegevens nauwkeurig, representatief, en op passende wijze opgesplitst waren, bijvoorbeeld per categorie van illegale inhoud waartegen is opgetreden.

(24)

De te kiezen methode moet ook afhankelijk zijn van de vraag of de nalevingsbeoordeling contextuele interpretatie door de controleorganisatie vereist. De te kiezen methode moet ook worden afgestemd op de inherente risico’s die samengaan met de activiteiten die worden verricht bij het verlenen van de dienst en op de context waarbinnen de dienst wordt verleend, bijvoorbeeld de vraag of de dienst de verkoop van mogelijk illegale goederen met zich brengt of de vraag of de dienst voornamelijk door minderjarigen wordt gebruikt. Zo moeten methoden voor het beoordelen van de naleving van verplichtingen tot het treffen van passende en evenredige maatregelen om een hoog niveau van privacy, veiligheid en bescherming van minderjarigen te waarborgen overeenkomstig artikel 28, lid 1, van Verordening (EU) 2022/2065, de controleorganisatie voldoende inzicht geven in de wijze waarop de gecontroleerde dienst door minderjarigen wordt gebruikt en in de mogelijke risico’s voor hun privacy, veiligheid en bescherming, alsook in wat passende en evenredige maatregelen zijn in de specifieke context van de gecontroleerde dienst en het gebruik ervan door minderjarigen. Daartoe moeten controleorganisaties de beoordeling in passende stappen opsplitsen. Zij moeten de controlerisico’s beoordelen aan de hand van het risicoprofiel van de gecontroleerde aanbieder, met name of content beschikbaar is voor of voornamelijk wordt gebruikt door minderjarigen. Zij moeten bijvoorbeeld beoordelen of de aanbieder instrumenten voor leeftijdsgarantie heeft ingevoerd, of deze doeltreffend zijn en op welke wijze de gecontroleerde aanbieder de doeltreffendheid ervan beoordeelt en monitort. Zij moeten beoordelen of de gecontroleerde aanbieder passende maatregelen heeft genomen voor het opsporen van oneigenlijk gebruik van zijn dienst en van gedragspatronen die minderjarigen schade beogen of dreigen te berokkenen.

(25)

De keuze van de methode moet worden afgestemd op de controlerisico’s die samengaan met de door de gecontroleerde aanbieder getroffen nalevingsmaatregelen, alsook op de detectierisico’s, oftewel het risico dat onjuistheden in de door de aanbieder aan de controleorganisatie verstrekte informatie niet worden gedetecteerd. Wanneer een gecontroleerde verplichting bijvoorbeeld de controle betreft van een algoritmisch systeem op basis van personalisering voor individuele afnemers van de betrokken dienst en van periodieke updates van het algoritmisch systeem, zoals de openbaarmakingsverplichtingen voor aanbevelingssystemen uit hoofde van artikel 27 van Verordening (EU) 2022/2065, moet de gekozen methode de controleorganisatie in staat stellen passende testen te ontwikkelen om de detectierisico’s tot een minimum te beperken. Evenzo moet de controleorganisatie vóór de beoordeling of alle relevante risico’s zijn beperkt in het ontwerp, de werking en het gebruik van toepassingen op basis van grootschalige taalmodellen, zoals chatfuncties of aanbevelingssystemen die door de gecontroleerde aanbieder worden ingezet, eerst de geschiktheid van de door de aanbieder ingestelde controles beoordelen. De gekozen testen moeten gebaseerd zijn op de robuustheid van die interne controles. Voornamelijk — maar niet alleen — in gevallen van zwakke, onvolledige of niet doorslaggevende interne controles voor het beoordelen van de naleving van de voorschriften, rekening houdend met het aantal afnemers van de gecontroleerde dienst, moeten de controleprocedures gebaseerd zijn op een combinatie van methoden. Deze methoden kunnen bijvoorbeeld inhoudelijke analytische procedures omvatten, zoals de analyse van de interacties tussen alle bij de aanbevelingssystemen betrokken algoritmische systemen en de bijbehorende besluitvormingsregels en -processen voor het vaststellen van de belangrijkste parameters van die aanbevelingssystemen, alsook waarnemingen uit digitale gegevensbestanden en overzichten. De methoden kunnen ook systeemtesten omvatten, bijvoorbeeld testen in een gesimuleerde omgeving.

(26)

Teneinde te waarborgen dat de methode relevant is en is afgestemd op nieuwe bevindingen naar aanleiding van de uitvoering van de controle, moet de gekozen methode gebaseerd zijn op het professioneel oordeel van de controleorganisatie en worden aangepast aan de hand van die nieuwe bevindingen, met name wanneer er bij de controleorganisatie gerede twijfels bestaan over de door de gecontroleerde aanbieder verstrekte informatie. De professioneel-kritische instelling van de controleorganisatie moet gebaseerd zijn op haar deskundigheid, alsook op andere informatiebronnen die van bijzonder belang zijn voor de toepassing van Verordening (EU) 2022/2065, zoals door de digitaledienstenraad uitgebrachte rapporten, richtsnoeren van de Commissie, controlerapporten die zijn uitgebracht aan de hand van de in de artikelen 45, 46 en 48 van die verordening bedoelde gedragscodes en crisisprotocollen, of informatie die tijdens de uitvoering van de controle aan het licht is gekomen, onder meer met betrekking tot gebeurtenissen, met name crisissituaties, die aanvullende maatregelen van de gecontroleerde aanbieder vereisen om de naleving van bepaalde gecontroleerde verplichtingen of toezeggingen te waarborgen.

(27)

Teneinde ervoor te zorgen dat er tijdens de controle voldoende controlebewijs wordt verkregen, moeten controleorganisaties zowel de interne controles van de gecontroleerde aanbieder beoordelen als inhoudelijke controleprocedures uitvoeren voor het beoordelen van de naleving door de gecontroleerde aanbieder. In sommige gevallen moeten de controleorganisaties ook testen verrichten.

(28)

Gezien de complexiteit van de door aanbieders van onlineplatforms gebruikte algoritmische systemen en hun belangrijke rol bij de naleving van verscheidene in Verordening (EU) 2022/2065 vastgelegde verplichtingen, moet er bijzondere aandacht uitgaan naar het selecteren van noodzakelijke en passende methoden voor het controleren van algoritmische systemen. Dit geldt zowel wanneer algoritmische systemen onderdeel zijn van de door de gecontroleerde aanbieder gehanteerde controles, als wanneer deze systemen zelf onderwerp zijn van de gecontroleerde verplichtingen of toezeggingen, onder meer met betrekking tot aanbevelingssystemen, bijvoorbeeld uit hoofde van de artikelen 27, 34, 35 en 38 van Verordening (EU) 2022/2065, of reclamesystemen, bijvoorbeeld uit hoofde van de artikelen 26, 28, 34, 35 en 39 van die verordening, of inhoudsmoderatiesystemen, bijvoorbeeld uit hoofde van de artikelen 14, 15, 34 en 35 van die verordening, of andere algoritmische systemen die een bijdrage leveren aan de in artikel 34 van die verordening bedoelde risico’s.

(29)

Ook een combinatie van inhoudelijke analytische procedures moet worden ingezet, onder meer, naargelang het geval, op basis van waarnemingen betreffende processen en activiteiten van de gecontroleerde aanbieder in het kader van het ontwerpen, ontwikkelen, bedienen, testen en monitoren van algoritmische systemen, of waarnemingen betreffende door de systemen gegenereerde digitale gegevensbestanden en overzichten. De methoden moeten worden afgestemd op de bijzonderheden van de algoritmische systemen, met inbegrip van de governance ervan, de interactie tussen verschillende algoritmische systemen, alsook de bijbehorende gegevensbeheerssystemen, en op de technologieën die aan die algoritmische systemen ten grondslag liggen, zoals generatieve modellering of andere indelingscriteria, selectie- of zoekalgoritmen.

(30)

Daarnaast moeten controlemethoden voor algoritmische systemen testen omvatten, testen voor het verzamelen van informatie die de gecontroleerde aanbieder niet eerder heeft vastgelegd, of voor het onafhankelijk reproduceren en beoordelen van resultaten van precisie-indicatoren, in test- of gesimuleerde omgevingen uitgevoerde testen, testen binnen productiesystemen, onder meer door middel van datascraping of testen gericht op het ontdekken van kwetsbaarheden in het systeem.

(31)

Gezien het feit dat het controlebewijs van hoge kwaliteit moet zijn voordat een controleorganisatie een controleadvies kan uitbrengen met een redelijke mate van zekerheid, moet de informatie die de controleorganisatie besluit als controlebewijs te gebruiken, passend en voldoende zijn om de controlerisico’s te beperken. Daarnaast moet het controlebewijs naar het professioneel oordeel en overeenkomstig de professioneel-kritische instelling van de controleorganisatie en, indien van toepassing, ook op basis van alternatieve informatiebronnen, betrouwbaar zijn. Het professioneel oordeel en de professioneel-kritische instelling moeten een kritische beoordeling van het controlebewijs en mogelijke onjuistheden omvatten. Die kwaliteitsnormen moeten voor al het beschikbare controlebewijs gelden, ongeacht of dit bewijs door de gecontroleerde aanbieder is verstrekt of uit andere bronnen afkomstig is.

(32)

Het is zaak dat de controleorganisatie een reeks informatiebronnen in overweging neemt, waaronder bijvoorbeeld gesprekken met het personeel of aannemers van de gecontroleerde aanbieder, met inbegrip van compliancefunctionarissen, technici, datawetenschappers, softwarearchitecten of leden van interne controleteams. Hieronder kan ook technische documentatie vallen betreffende het ontwerp, de toepassing, het testen en het monitoren van een bepaald systeem, onder meer met betrekking tot de gegevenskwaliteit, de governance, updates en versies van het systeem, alsook andere documenten betreffende de governance en besluitvormingsprocessen van de gecontroleerde aanbieder, onder meer met het oog op de prioriteiten, middelen, toewijzing van taken en verantwoordelijkheden, of de deskundigheid van het betreffende personeel.

(33)

Met het oog op de efficiëntie en evenredigheid moet worden toegestaan dat de controleorganisatie een steekproefsgewijze controle van gegevens en informatie verricht, waarbij zij streeft naar een representatieve steekproef, zodat een controleadvies met een redelijke mate van zekerheid kan worden uitgebracht. Ter waarborging van de transparantie en reproduceerbaarheid van de controleprocedures moet de controleorganisatie in het controlerapport een onderbouwing geven van de door haar gekozen steekproefgrootte en -methode. Zo moeten de steekproefgrootte en -methode worden gekozen op basis van de doeltreffendheid ervan voor het controleren van de specifieke verplichting of toezegging en ter beperking van het risico dat de controleconclusie naar aanleiding van de specifieke steekproef afwijkt van de conclusie die zou worden getrokken als de controleprocedure zou worden toegepast op al het bewijs. Bij het selecteren van de steekproefgrootte en -methode moet rekening worden gehouden met de volledige reikwijdte van de controle, alsook met interne of externe wijzigingen van de gecontroleerde dienst gedurende deze periode. De steekproefgrootte en -methode moeten voorts worden afgestemd op de bijzonderheden van algoritmische systemen, onder meer met betrekking tot personalisering door middel van profilering. Als onderdeel van deze overweging moet de controleorganisatie bijvoorbeeld passende steekproeven verrichten van cohorten of indelingen die kunnen voortvloeien uit personaliseringstechnieken, ofwel de foutmarge bepalen en rechtvaardigen waarom dit een aanvaardbaar niveau betreft.

(34)

Gezien de nieuwigheid van een aantal bepalingen in Verordening (EU) 2022/2065 moeten er methodologische beginselen worden vastgesteld, met inbegrip van controlevragen en aanvullende richtsnoeren voor de selectie van de controlemethoden en het controlebewijs ten behoeve van de beoordeling van de naleving van die bepalingen, te weten voor het beoordelen van de naleving van de artikelen 34, 35 en 36 van Verordening (EU) 2022/2065 inzake het uitvoeren van risicobeoordelingen en het door gecontroleerde aanbieders vaststellen van risicobeperkende maatregelen, en voor het toepassen van verplichtingen in het kader van de crisisrespons.

(35)

Gezien het feit dat controleorganisaties ook de naleving door de gecontroleerde aanbieder van artikel 37 van Verordening (EU) 2022/2065 moeten controleren, moeten er voorts aanvullende specificaties worden vastgesteld voor de precieze controle die wordt gebruikt voor het beoordelen van de naleving, met name ter vermijding van belangenconflicten voor de controleorganisatie.

(36)

Gezien de vrijwillige aard van gedragscodes en crisisprotocollen moeten er specifieke voorschriften worden vastgesteld voor het controleren van de naleving van de artikelen 45, 46 en 48 van Verordening (EU) 2022/2065, met name om te waarborgen dat controleorganisaties over alle informatie beschikken die nodig is voor het uitvoeren van controles die specifiek zijn afgestemd op de toezeggingen uit hoofde van iedere gedragscode en ieder crisisprotocol,

HEEFT DE VOLGENDE VERORDENING VASTGESTELD:

AFDELING I

Algemene bepalingen

Artikel 1

Onderwerp

Deze verordening voorziet in regels over de uitvoering van controles overeenkomstig artikel 37 van Verordening (EU) 2022/2065, met betrekking tot:

a)	de procedurele stappen die moeten waarborgen dat de geselecteerde controleorganisatie voldoet aan de in artikel 37, lid 3, van Verordening (EU) 2022/2065 bedoelde voorwaarden;

b)	de procedurele stappen betreffende door de gecontroleerde aanbieder te verlenen samenwerking en bijstand bij de uitvoering van de controles, met inbegrip van de toegang tot relevante informatie voor het verkrijgen van controlebewijs;

c)	de definitie en selectie van controlemethoden;

d)	de modellen voor het controlerapport en het controle-uitvoeringsrapport.

Artikel 2

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

“controleorganisatie”: een individuele organisatie, een consortium of andere combinatie van organisaties, met inbegrip van eventuele onderaannemers, waarmee de gecontroleerde aanbieder een overeenkomst is aangegaan voor het uitvoeren van een onafhankelijke controle overeenkomstig artikel 37 van Verordening (EU) 2022/2065;

2)	“gecontroleerde dienst”: een overeenkomstig artikel 33 van Verordening (EU) 2022/2065 aangemerkt zeer groot onlineplatform of aangemerkte zeer grote onlinezoekmachine;

3)	“gecontroleerde aanbieder”: de aanbieder van een gecontroleerde dienst die overeenkomstig artikel 37, lid 1, van die verordening aan onafhankelijke controles is onderworpen;

4)	“gecontroleerde verplichting of toezegging”: een in artikel 37, lid 1, van Verordening (EU) 2022/2065 bedoelde verplichting of toezegging die onderwerp is van de controle;

5)	“controlecriteria”: de criteria waaraan de controleorganisatie de naleving van iedere gecontroleerde verplichting of toezegging toetst;

6)	“controlebewijs”: alle informatie die een controleorganisatie gebruikt ter onderbouwing van de controlebevindingen en -conclusies en voor het uitbrengen van een controleadvies, met inbegrip van gegevens uit documenten, databanken of IT-systemen, gesprekken of uitgevoerde testen;

“onjuistheden”: een opzettelijke of onopzettelijke omissie, verkeerde voorstelling van zaken of fout in de door de gecontroleerde aanbieder aan de controleorganisatie gemelde of verstrekte verklaringen of gegevens, of in de door de gecontroleerde aanbieder aan de controleorganisatie ter beschikking gestelde testomgeving;

“controlerisico”: het risico dat de controleorganisatie een onjuist controleadvies uitbrengt of een onjuiste conclusie trekt met betrekking tot de naleving door de gecontroleerde aanbieder van een gecontroleerde verplichting of toezegging, rekening houdend met detectierisico’s, inherente risico’s en controlerisico’s betreffende die gecontroleerde verplichting of toezegging;

9)	“detectierisico”: het risico dat de controleorganisatie een onjuistheid over het hoofd ziet die van belang is voor de beoordeling van de naleving door de gecontroleerde aanbieder van een gecontroleerde verplichting of toezegging;

10)

“inherent risico”: het risico van niet-naleving dat intrinsiek verbonden is met de aard, het ontwerp, de activiteit en het gebruik van de gecontroleerde dienst, alsook de context waarbinnen de dienst wordt toegepast, en het risico van niet-naleving met betrekking tot de aard van de gecontroleerde verplichting of toezegging;

11)	“controlerisico”: het risico dat een onjuistheid niet tijdig wordt voorkomen, over het hoofd wordt gezien en niet wordt gecorrigeerd middels de interne controles van de gecontroleerde aanbieder;

12)	“materialiteitsdrempel”: de drempel waarboven redelijkerwijs kan worden verwacht dat — individuele of geaggregeerde — afwijkingen of onjuistheden van de kant van de gecontroleerde aanbieder van invloed zullen zijn op de controlebevindingen, -conclusies en -adviezen;

13)

“redelijke mate van zekerheid”: een hoge maar niet absolute mate van zekerheid op basis waarvan de controleorganisatie in haar controleadvies en -conclusies aan de hand van toereikend en passend bewijs kan aangeven of de gecontroleerde aanbieder aan de gecontroleerde verplichtingen of toezeggingen heeft voldaan;

14)

“interne controle”: alle maatregelen, met inbegrip van processen en testen, die door onder meer de compliancefunctionarissen en het leidinggevend orgaan van de gecontroleerde aanbieder worden ontworpen, toegepast en onderhouden met het oog op het monitoren en het waarborgen van de naleving door de gecontroleerde aanbieder van de gecontroleerde verplichting of toezegging;

15)	“erkende onderzoeker”: een onderzoeker die overeenkomstig artikel 40, lid 8, van Verordening (EU) 2022/2065 is erkend;

16)

“controleprocedure”: alle technieken die door de controleorganisatie worden toegepast bij de uitvoering van de controle, met inbegrip van gegevensverzameling, de selectie en toepassing van methoden, waaronder testen en inhoudelijke analytische procedures, en eventuele andere maatregelen die worden genomen voor het verzamelen en analyseren van informatie met het oog op het verzamelen van controlebewijs en het formuleren van controleconclusies, met uitzondering van de afgifte van een controleadvies of van het controlerapport;

17)	“test”: een uit metingen, experimenten of andere controles bestaande controlemethode, met inbegrip van het controleren van algoritmische systemen, op basis waarvan de controleorganisatie de naleving door de gecontroleerde aanbieder van de gecontroleerde verplichting of toezegging kan beoordelen;

18)	“inhoudelijke analytische procedure”: een door de controleorganisatie gehanteerde controlemethode voor het beoordelen van informatie op basis waarvan conclusies kunnen worden getrokken over de controlerisico’s of de naleving van de gecontroleerde verplichting of toezegging.

Artikel 3

Reikwijdte van de controle en redelijke mate van zekerheid

1. De controle wordt uitgevoerd op een wijze en gedurende een periode die de controleorganisatie in staat stelt de naleving door de gecontroleerde aanbieder van alle gecontroleerde verplichtingen of toezeggingen met een redelijke mate van zekerheid te beoordelen.

2. De controle bestrijkt de periode onmiddellijk volgend op de door de voorgaande controle bestreken periode, en eindigt op een datum die de controleorganisatie in staat stelt de controle uit te voeren binnen de overeenkomstig artikel 37, lid 1, van Verordening (EU) 2022/2065 voorgeschreven termijn, inclusief door overeenkomstig lid 1 haar beoordeling af te geven op basis van het verzamelde bewijsmateriaal en de gedurende die periode uitgevoerde controleprocedures, en door de voltooiing en de aanbieding van het controlerapport aan de gecontroleerde aanbieder overeenkomstig artikel 37, lid 4, van die verordening.

3. Indien er geen eerdere controle heeft plaatsgevonden, bestrijkt de controle de periode vanaf vier maanden na de in artikel 33, lid 6, eerste alinea, van Verordening (EU) 2022/2065 bedoelde kennisgeving, en staat de duur van de controle toe dat het controlerapport overeenkomstig artikel 6, lid 1, uiterlijk binnen een jaar na het begin van de gecontroleerde periode wordt voltooid.

AFDELING II

Voorwaarden voor het uitvoeren van de controle

Artikel 4

Het selecteren van de controleorganisatie

1. Voordat een controleorganisatie wordt geselecteerd voor het uitvoeren van de controle, gaat de gecontroleerde aanbieder na of de te selecteren organisatie voldoet aan de in artikel 37, lid 3, van Verordening (EU) 2022/2065 vastgestelde voorwaarden.

2. Indien de te selecteren controleorganisatie uit meer dan één rechtspersoon bestaat of voornemens is gebruik te maken van één of meer onderaannemers, gaat de gecontroleerde aanbieder na of al die rechtspersonen of onderaannemers:

a)	individueel voldoen aan de in artikel 37, lid 3, punten a) en c), van Verordening (EU) 2022/2065 vastgestelde voorwaarden;

b)	gezamenlijk voldoen aan de in artikel 37, lid 3, punt b), van Verordening (EU) 2022/2065 vastgestelde voorwaarden.

Artikel 5

Samenwerking en bijstand tussen de gecontroleerde aanbieder en de controleorganisatie

1. Op een met de controleorganisatie overeengekomen moment, en in ieder geval vóór de uitvoering van een controleprocedure, doet de gecontroleerde aanbieder de geselecteerde controleorganisatie ten minste de volgende informatie toekomen:

een beschrijving van de gehanteerde interne controles voor iedere gecontroleerde verplichting en toezegging, met inbegrip van de bijbehorende indicatoren en alle huidige en voorgaande metingen, de door de gecontroleerde aanbieder gehanteerde benchmarks voor het beoordelen of monitoren van de naleving van de gecontroleerde verplichtingen en toezeggingen, alsook eventuele bewijsstukken;

b)	zijn voorlopige analyse van inherente en controlerisico’s, voor zover de gecontroleerde aanbieder een dergelijke analyse heeft verricht, alsook eventuele bewijsstukken;

informatie over besluitvormingsstructuren, over de bevoegdheden van de afdelingen van de aanbieder, met inbegrip van de compliancefunctie overeenkomstig artikel 41 van Verordening (EU) 2022/2065, over IT-systemen, gegevensbronnen, verwerking en opslag, en toelichtingen op algoritmische systemen en hun interacties.

2. De gecontroleerde aanbieder verleent de controleorganisatie onverwijld toegang tot alle gegevens die nodig zijn voor de uitvoering van de controle, met inbegrip van persoonsgegevens, documentatie, informatie over procedures en processen, alsook tot de informatietechnologiesystemen, testomgevingen, het personeel en de ruimten van die aanbieder en van eventuele relevante onderaannemers.

3. De gecontroleerde aanbieder stelt alle nodige middelen ter beschikking en verstrekt de controleorganisatie de bijstand en inlichtingen die zij nodig heeft om de relevante informatie te analyseren en testen uit te voeren, ook als de door de controleorganisatie overeenkomstig artikel 37, lid 3, van Verordening (EU) 2022/2065 gevraagde informatie in het bezit is van een derde die door de gecontroleerde aanbieder is gecontracteerd.

AFDELING III

Uitvoering van controles

Artikel 6

Het controlerapport en het controle-uitvoeringsrapport

1. Het in artikel 37, lid 4, van Verordening (EU) 2022/2065 bedoelde controlerapport wordt zonder inmenging van de gecontroleerde aanbieder door de controleorganisatie opgesteld. Dat controlerapport wordt opgesteld overeenkomstig het model in bijlage I en bevat gedetailleerde en onderbouwde conclusies met betrekking tot alle elementen van het model.

2. Indien van toepassing wordt het in artikel 37, lid 6, van Verordening (EU) 2022/2065 bedoelde controle-uitvoeringsrapport opgesteld in overeenstemming met het in bijlage II vastgelegde model.

Artikel 7

Procedures voor de voorbereiding van de controle

1. De gecontroleerde aanbieder en controleorganisatie sluiten een schriftelijke overeenkomst waarin het volgende uiteen wordt gezet:

a)	de uitputtende lijst van gecontroleerde verplichtingen en toezeggingen;

b)	de verantwoordelijkheden van de controleorganisatie, in voorkomend geval specifiek afgestemd op alle rechtspersonen die de controleorganisatie vormen en de partijen die gemachtigd zijn tot het ondertekenen van het controlerapport;

c)	de door de gecontroleerde aanbieder aan de controleorganisatie ter beschikking gestelde procedures en contactpunten voor verzoeken voor toegang tot de in artikel 5, lid 2, bedoelde gegevens;

d)	het tijdschema voor de controle, met inbegrip van de begin- en einddatum van de controleprocedures en de voltooiing van het controlerapport;

e)	een procedure voor het beslechten van geschillen tussen de gecontroleerde aanbieder en de controleorganisatie naar aanleiding van de uitvoering van de controle.

2. De in lid 1 bedoelde overeenkomst, alsook eventuele andere overeenkomsten of controleopdrachten tussen de controleorganisatie en de gecontroleerde aanbieder met betrekking tot de uitvoering van de controle, worden als bijlagen bij het controlerapport gevoegd.

3. Indien er tijdens de uitvoering van de controle wijzigingen in de in lid 1 bedoelde overeenkomst worden aangebracht, worden die uitdrukkelijk kenbaar gemaakt in het controlerapport.

Artikel 8

Controleadvies, controleconclusies en aanbevelingen

1. Het controlerapport bevat de controleconclusies die de controleorganisatie heeft getrokken met betrekking tot de naleving door de gecontroleerde aanbieder van iedere gecontroleerde verplichting en iedere gecontroleerde toezegging. De controleconclusies zijn:

a)	“positief”, indien de controleorganisatie met een redelijke mate van zekerheid heeft vastgesteld dat de gecontroleerde aanbieder voldoet aan een gecontroleerde verplichting of toezegging;

“positief met kanttekeningen”, indien de controleorganisatie met een redelijke mate van zekerheid heeft vastgesteld dat de gecontroleerde aanbieder voldoet aan een gecontroleerde verplichting of toezegging, maar:

i)	de controleorganisatie heeft opmerkingen opgenomen over de door de gecontroleerde aanbieder doorgegeven benchmarks overeenkomstig artikel 5, lid 1, punt a), of

ii)	de controleorganisatie beveelt verbeteringen aan die geen wezenlijke gevolgen hebben voor haar conclusie;

c)	“negatief”, indien de controleorganisatie met een redelijke mate van zekerheid heeft vastgesteld dat de gecontroleerde aanbieder niet voldoet aan een gecontroleerde verplichting of toezegging.

2. Indien een controlerapport operationele aanbevelingen bevat overeenkomstig artikel 37, lid 4, punt h), van Verordening (EU) 2022/2065, zijn die aanbevelingen en de bijbehorende aanbevolen tijdschema’s specifiek afgestemd op iedere gecontroleerde verplichting of toezegging die vergezeld gaat van een controleconclusie die overeenkomstig lid 1 als “positief met kanttekeningen” of “negatief” is aangemerkt.

3. Indien de in lid 2 bedoelde operationele aanbevelingen specifieke maatregelen omvatten voor het bereiken van naleving, worden deze aanbevelingen zodanig geformuleerd dat duidelijk is hoe dergelijke maatregelen naar oordeel van de controleorganisatie van invloed zouden zijn op de materialiteitsdrempel in vergelijking met de controleconclusie voor de respectieve gecontroleerde verplichting of toezegging.

4. Op basis van de controleconclusies bevat het controlerapport een controleadvies met betrekking tot de naleving door de gecontroleerde aanbieder van alle gecontroleerde verplichtingen als bedoeld in artikel 37, lid 1, punt a), van Verordening (EU) 2022/2065.

5. Op basis van alle gecontroleerde toezeggingen bevat het controlerapport een controleadvies of, in voorkomend geval, controleadviezen, met betrekking tot de naleving door de gecontroleerde aanbieder van alle gecontroleerde toezeggingen die door de gecontroleerde aanbieder zijn gedaan uit hoofde van iedere gedragscode en ieder crisisprotocol als bedoeld in artikel 37, lid 1, punt b), van Verordening (EU) 2022/2065.

6. De in de leden 4 en 5 bedoelde controleconclusies zijn:

a)	“positief” indien de controleorganisatie een “positieve” controleconclusie heeft geformuleerd voor alle gecontroleerde verplichtingen of toezeggingen;

“positief met kanttekeningen” indien de controleorganisatie minstens één controleconclusie heeft geformuleerd die “positief met kanttekeningen” is voor een gecontroleerde verplichting of toezegging, en voor geen enkele gecontroleerde verplichting of toezegging een “negatieve” controleconclusie heeft afgegeven;

c)	“negatief” indien de controleorganisatie een “negatieve” controleconclusie heeft geformuleerd voor minstens één gecontroleerde verplichting of toezegging.

7. Indien de controleorganisatie van oordeel is dat de gecontroleerde aanbieder, gedurende beperkte tijd gedurende de in artikel 3, lid 2, genoemde periode, niet heeft voldaan aan een gecontroleerde verplichting of toezegging, wordt die beoordeling opgenomen in het controlerapport.

8. Indien de controleorganisatie niet met een redelijke mate van zekerheid een in lid 1 bedoelde controleconclusie kan afgeven, of een controleadvies overeenkomstig de leden 4 en 5, bevat het controlerapport een toelichting op de omstandigheden en redenen waarom een dergelijke mate van zekerheid niet kon worden verkregen.

AFDELING IV

Controlemethoden

Artikel 9

Analyse van het controlerisico

1. Het controlerapport bevat een door de controleorganisatie uitgevoerde onderbouwde analyse van het controlerisico met betrekking tot de beoordeling van de naleving door de gecontroleerde aanbieder van iedere gecontroleerde verplichting of toezegging.

2. De analyse van het controlerisico wordt vóór de uitvoering van de controleprocedures uitgevoerd en wordt tijdens de uitvoering van de controle geactualiseerd aan de hand van eventueel nieuw controlebewijs dat, naar het professionele oordeel van de controleorganisatie, de beoordeling van het controlerisico wezenlijk wijzigt.

3. De analyse van het controlerisico is gericht op:

a)	inherente risico’s;

b)	controlerisico’s;

c)	detectierisico’s.

4. Bij de uitvoering van de analyse van het controlerisico wordt rekening gehouden met:

a)	de aard van de gecontroleerde dienst en de maatschappelijke en economische context waarbinnen de gecontroleerde dienst wordt toegepast, met inbegrip van de waarschijnlijkheid en ernst van blootstelling aan crisissituaties en onverwachte gebeurtenissen;

b)	de aard van de verplichtingen en toezeggingen;

andere passende informatie, waaronder:

i)	in voorkomend geval, informatie uit eerdere controles die de gecontroleerde dienst heeft ondergaan;

ii)

in voorkomend geval, informatie afkomstig van door de digitaledienstenraad uitgebrachte rapporten of richtsnoeren van de Commissie overeenkomstig artikel 35, leden 2 en 3, van Verordening (EU) 2022/2065 uitgebrachte richtsnoeren, alsook andere door de Commissie uitgebrachte relevante richtsnoeren met betrekking tot de toepassing van Verordening (EU) 2022/2065;

iii)

in voorkomend geval, informatie uit controlerapporten die overeenkomstig artikel 42, lid 4, van Verordening (EU) 2022/2065 openbaar zijn gemaakt door andere aanbieders van zeer grote onlineplatforms of zeer grote onlinezoekmachines die onder vergelijkbare omstandigheden actief zijn of vergelijkbare diensten aan de gecontroleerde dienst verlenen.

Artikel 10

Passende controlemethoden

1. Zonder afbreuk te doen aan de in de artikelen 13, 14 en 15 bedoelde specifieke controlemethoden, worden de controles uitgevoerd op basis van passende controlemethoden teneinde de controlerisico’s te beperken tot een niveau dat de controleorganisatie in staat stelt met een redelijke mate van zekerheid controleconclusies te formuleren.

2. Het controlerapport bevat een beschrijving van de door de controleorganisatie voorafgaand aan de uitvoering van controleprocedures ontwikkelde controlemethoden, met in ieder geval:

a)	de controlecriteria voor het beoordelen van de naleving van iedere gecontroleerde verplichting of toezegging, op basis van informatie overeenkomstig artikel 5, lid 1, punt a), en de toegestane materialiteitsdrempel, uitgedrukt in kwantitatieve of kwalitatieve termen, al naargelang het geval;

b)	alle testen en inhoudelijke analytische procedures die, en al het controlebewijs dat, de controleorganisatie voornemens is te gebruiken voor het beoordelen van de naleving van iedere gecontroleerde verplichting of toezegging.

Het controlerapport bevat een beschrijving van eventuele wijzigingen in de tijdens de uitvoering van de controle gebruikte methoden in vergelijking met de methoden die voorafgaand aan de uitvoering van de controleprocedures zijn ontwikkeld.

3. Indien er bij een controleorganisatie gerede twijfel bestaat over de bij de uitvoering van de controle beoordeelde informatie, met name waar het door de gecontroleerde aanbieder verstrekte informatie betreft, worden de selectie en de toepassing van de methode aangepast zodat de organisatie overeenkomstig artikel 11 over het benodigde controlebewijs kan beschikken.

4. De in lid 3 bedoelde gerede twijfel wordt met name geacht zich voor te doen indien sprake is van een van de volgende elementen:

a)	professionele oordeelsvorming en scepsis bij de beoordeling van informatie, onder meer met betrekking tot de interne controles van de gecontroleerde aanbieder, die ertoe leiden dat de controleorganisatie redelijke twijfels formuleert;

externe aanwijzingen van controlerisico’s, meer in het bijzonder rapporten van de digitaledienstenraad als bedoeld in artikel 35, lid 2, van Verordening (EU) 2022/2065, richtsnoeren van de Commissie, onder meer in de zin van artikel 35, lid 3, van die verordening, eventuele andere relevante door de Commissie uitgebrachte richtsnoeren met betrekking tot de toepassing van Verordening (EU) 2022/2065, en controlerapporten die zijn uitgebracht aan de hand van de in de artikelen 45, 46 en 48 van die verordening bedoelde gedragscodes en crisisprotocollen;

informatie met betrekking tot gebeurtenissen, met inbegrip van crisissituaties, die zich tijdens de uitvoering van de controle hebben voorgedaan en aanvullende maatregelen van de gecontroleerde aanbieder vereisen om de naleving van bepaalde gecontroleerde verplichtingen of toezeggingen te waarborgen.

5. De controleprocedures omvatten in ieder geval:

a)	de uitvoering van testen en inhoudelijke analytische procedures betreffende de door de gecontroleerde aanbieder gehanteerde interne controles voor iedere gecontroleerde verplichting en toezegging;

b)	de uitvoering van inhoudelijke analytische procedures voor het beoordelen van de naleving van iedere gecontroleerde verplichting en toezegging, onder meer waar het algoritmische systemen betreft;

de uitvoering van testen, onder meer op algoritmische systemen, met betrekking tot de gecontroleerde verplichtingen en toezeggingen waar de controleorganisatie gerede twijfel over heeft, zoals bedoeld in lid 4, en met betrekking tot gecontroleerde verplichtingen en toezeggingen waarvoor de controleorganisatie het noodzakelijk vindt testen uit te voeren met het oog op de selectie van de in lid 1 bedoelde methode.

6. Indien de gecontroleerde aanbieder krachtens de in artikel 37, lid 1, van Verordening (EU) 2022/2065 bedoelde verplichtingen of verbintenissen bepaalde informatie openbaar moet maken, omvatten de controlemethoden een beoordeling van de vraag of de gerapporteerde informatie vrij is van materiële fouten of omissies die de informatie anders misleidend zouden kunnen maken.

Artikel 11

Kwaliteit van het controlebewijs

De controleconclusie en -adviezen zijn gebaseerd op controlebewijs dat aan de twee onderstaande eisen voldoet:

a)	het bewijs is voldoende relevant en toereikend om de overeenkomstig artikel 9 vastgestelde risico’s te beperken en de controleorganisatie in staat te stellen overeenkomstig artikel 8 controleconclusies en -adviezen af te geven;

b)	het bewijs is, naar het professioneel oordeel en overeenkomstig de professioneel-kritische instelling van de controleorganisatie, betrouwbaar.

Artikel 12

Steekproefmethoden

1. Indien het controlebewijs deels of geheel is gebaseerd op een steekproef van gegevens of informatie, worden de steekproefgrootte en -methode, zonder inmenging van de gecontroleerde aanbieder, gekozen met als doel het detectierisico te beperken.

2. De steekproefgrootte en -methode worden zodanig geselecteerd dat de representativiteit van de gegevens of informatie gewaarborgd is, waarbij in voorkomend geval rekening wordt gehouden met alle onderstaande aspecten:

a)	de representativiteit van de steekproef voor de in artikel 3, leden 2 en 3, bedoelde periode;

b)	de relevante wijzigingen in de gecontroleerde dienst gedurende die periode;

c)	de relevante wijzigingen in de context waarbinnen de gecontroleerde dienst gedurende die periode wordt verleend;

d)	in voorkomend geval, de relevante kenmerken van algoritmische systemen, met inbegrip van personalisering op basis van profilering of andere criteria;

e)	andere relevante kenmerken of indelingen van de betreffende gegevens en informatie en van het betreffende bewijs;

f)	de vertegenwoordiging en passende analyse van punten van zorg met betrekking tot specifieke groepen, zoals minderjarigen of kwetsbare groepen en minderheden, in verband met de gecontroleerde verplichting of verbintenis.

3. Het controlerapport bevat een onderbouwing van de gekozen steekproefgrootte en -methode voor de steekproefsgewijze controle.

Artikel 13

Specifieke methoden voor het controleren van de naleving van artikel 34 van Verordening (EU) 2022/2065 betreffende risicobeoordeling

1. De beoordeling van de naleving door de gecontroleerde aanbieder van artikel 34 van Verordening (EU) 2022/2065 omvat, maar is niet beperkt tot, een analyse van alle onderstaande aspecten:

de vraag of de gecontroleerde aanbieder de in artikel 34, lid 1, eerste alinea, van Verordening (EU) 2022/2065 bedoelde systeemrisico’s in de Unie op zorgvuldige wijze heeft vastgesteld, geanalyseerd en beoordeeld, onder meer door het volgende te beoordelen:

de wijze waarop de gecontroleerde aanbieder de aan zijn dienst gerelateerde risico’s heeft vastgesteld, rekening houdend met regionale of taalkundige aspecten die samengaan met het gebruik van zijn dienst, onder meer wanneer dit een specifieke lidstaat betreft, en de vraag of de risico’s op passende wijze zijn vastgesteld;

ii)	de wijze waarop de gecontroleerde aanbieder ieder risico heeft geanalyseerd en beoordeeld, met inbegrip van de waarschijnlijkheid en ernst van de risico’s, en de vraag of de beoordeling passend was;

iii)

de wijze waarop de gecontroleerde aanbieder de in artikel 34, lid 2, eerste alinea, van Verordening (EU) 2022/2065 bedoelde factoren in kaart heeft gebracht, heeft geanalyseerd en heeft beoordeeld, de vraag of deze op passende wijze in kaart zijn gebracht en de mate waarin die factoren van invloed zijn op de in lid 1 van dat artikel bedoelde risico’s;

iv)	de door de gecontroleerde aanbieder gebruikte informatiebronnen en de wijze waarop hij de informatie heeft verzameld, onder meer of en op welke wijze hierbij gebruik is gemaakt van wetenschappelijke en technische inzichten;

v)	de vraag of en op welke wijze de gecontroleerde aanbieder de hypothesen inzake risico’s heeft getoetst onder de groepen die de grootste impact ondervinden van de specifieke risico’s;

de vraag of de risicobeoordeling is uitgevoerd binnen de in artikel 34, lid 1, tweede alinea, van Verordening (EU) 2022/2065 bedoelde termijnen en, in voorkomend geval, binnen de termijnen voor de als risicobeperkende maatregelen aangemerkte activiteiten betreffende de detectie van systeemrisico’s overeenkomstig artikel 35, lid 1, punt f), van die verordening;

de wijze waarop de gecontroleerde aanbieder functionaliteiten heeft vastgesteld die waarschijnlijk kritieke gevolgen zullen hebben voor de risico’s waarvoor vóór de uitrol van die functionaliteiten risicobeoordelingen worden uitgevoerd overeenkomstig artikel 34, lid 1, tweede alinea, van Verordening (EU) 2022/2065, de vraag of die functionaliteiten op de juiste wijze zijn vastgesteld en de vraag of de risicobeoordeling op de juiste wijze is uitgevoerd;

de vraag of de gecontroleerde aanbieder de te bewaren bewijsstukken voor de risicobeoordeling op de juiste wijze in kaart heeft gebracht en of hij de nodige middelen heeft ingezet om te waarborgen dat die bewijsstukken gedurende een periode van ten minste drie jaar worden bewaard overeenkomstig artikel 34, lid 3, van Verordening (EU) 2022/2065, en of de bewijsstukken dienovereenkomstig zijn bewaard.

2. Onverminderd eventuele andere analyses die nodig zijn om een redelijke mate van zekerheid te verkrijgen, moeten methoden voor het controleren van de naleving van artikel 34 van Verordening (EU) 2022/2065 in ieder geval een beoordeling door de controleorganisatie betreffende de volgende elementen bevatten:

de door de gecontroleerde aanbieder gehanteerde interne controles voor het monitoren van de uitvoering van risicobeoordelingen betreffende alle in artikel 34, lid 2, eerste alinea, van Verordening (EU) 2022/2065 bedoelde factoren. Een dergelijke beoordeling:

i)	moet gebaseerd zijn op inhoudelijke analytische procedures betreffende die interne controles;

ii)	moet gebaseerd zijn op testen die worden uitgevoerd om aan te tonen of die interne controles betrouwbaar zijn en zorgvuldig zijn ontworpen, worden uitgevoerd en gemonitord;

iii)

moet evalueren op welke wijze de compliancefunctionaris of compliancefunctionarissen hun taken met betrekking tot artikel 41, lid 3, punten b), d), e) en, indien van toepassing, punt f), van Verordening (EU) 2022/2065 heeft of hebben uitgevoerd, en op welke wijze het leidinggevend orgaan van de gecontroleerde aanbieder betrokken was bij de beslissingen op het gebied van risicobeheer overeenkomstig artikel 41, leden 6 en 7, van die verordening;

de door de gecontroleerde aanbieder gehanteerde maatregelen, middelen en processen ter waarborging van de naleving van artikel 34 van Verordening (EU) 2022/2065 en de resultaten hiervan. Een dergelijke beoordeling moet zijn gebaseerd op:

i)	inhoudelijke analytische procedures;

ii)

testen, onder meer op algoritmische systemen, indien er bij de controleorganisatie gerede twijfel bestaat naar aanleiding van de resultaten van de inhoudelijke analytische procedures en de beoordeling van de interne controles, of indien de controleorganisatie het noodzakelijk acht testen uit te voeren ten behoeve van het selecteren van de methode overeenkomstig artikel 10, lid 1.

3. De door de controleorganisatie geanalyseerde informatie ter ondersteuning van de uit hoofde van dit artikel uitgevoerde beoordeling bevat minimaal, maar niet uitsluitend:

het voor de betreffende controleperiode door de gecontroleerde aanbieder opgestelde rapport betreffende risicobeoordeling, indien nodig met inbegrip van vertrouwelijke informatie die geen deel uitmaakt van de uit hoofde van artikel 42, lid 2, van die verordening bekendgemaakte informatie, en alle bewijsstukken;

b)	in voorkomend geval, andere rapporten betreffende risicobeoordeling van de gecontroleerde aanbieder en de bijbehorende bewijsstukken;

c)	de door de gecontroleerde aanbieder overeenkomstig artikel 5 verstrekte informatie;

d)	alle relevante door de gecontroleerde aanbieder overeenkomstig artikel 15, lid 1, van Verordening (EU) 2022/2065 uitgebrachte transparantierapporten;

e)	alle andere testresultaten, documentatie, ander bewijs en andere verklaringen in reactie op schriftelijke of mondelinge vragen van de controleorganisatie aan het personeel van de gecontroleerde aanbieder en, in voorkomend geval, eventuele ter plaatse gedane waarnemingen;

f)	al het andere relevante bewijs, met inbegrip van door de gecontroleerde aanbieder verstrekte informatie;

in voorkomend geval, de in artikel 35, lid 2, van Verordening (EU) 2022/2065 bedoelde rapporten en richtsnoeren van de Commissie, inclusief overeenkomstig artikel 35, lid 3, van die verordening uitgebrachte richtsnoeren, alsook andere door de Commissie uitgebrachte relevante richtsnoeren met betrekking tot de toepassing van Verordening (EU) 2022/2065.

4. Door de controleorganisatie geanalyseerde informatie kan, in voorkomend geval, de in artikel 42, lid 4, van Verordening (EU) 2022/2065 bedoelde informatie omvatten, onder meer uit controle-, risicobeoordelings- en risicobeperkingsrapporten betreffende andere zeer grote onlineplatforms of zeer grote onlinezoekmachines, of door erkende onderzoekers overeenkomstig artikel 40, lid 8, punt g), van de verordening openbaar gemaakte gegevens en onderzoeken.

Artikel 14

Specifieke methoden voor het controleren van de naleving van artikel 35 van Verordening (EU) 2022/2065 betreffende risicobeperking

1. De beoordeling van de naleving door de gecontroleerde aanbieder van artikel 35 van Verordening (EU) 2022/2065 omvat, maar is niet beperkt tot, een analyse van alle onderstaande aspecten:

a)	de wijze waarop de gecontroleerde aanbieder risicobeperkende maatregelen voor ieder in artikel 34, lid 1, van Verordening (EU) 2022/2065 bedoeld systeemrisico heeft vastgesteld, en of de vaststelling van die risicobeperkende maatregelen zorgvuldig heeft plaatsgevonden;

de wijze waarop de gecontroleerde aanbieder heeft beoordeeld of de in artikel 35, lid 1, punten a) tot en met k), van Verordening (EU) 2022/2065 bedoelde risicobeperkende maatregelen van toepassing waren op de gecontroleerde dienst en of de conclusie van die beoordeling passend was, onder meer met betrekking tot de maatregelen die niet door de gecontroleerde aanbieder zijn toegepast;

of de door de gecontroleerde aanbieder genomen risicobeperkende maatregelen redelijk, evenredig en doeltreffend zijn om de respectieve risico’s te beperken, onder meer door:

i)	te beoordelen of zij collectief ingaan op alle risico’s, met bijzondere aandacht voor de risico’s in verband met de uitoefening van de grondrechten;

ii)	een vergelijkende beoordeling uit te voeren van de wijze waarop de risico’s werden aangepakt vóór en na de invoering van de specifieke risicobeperkende maatregelen;

iii)	te onderzoeken of de risicobeperkende maatregelen op passende wijze zijn ontworpen en uitgevoerd.

2. Onverminderd eventuele andere analyses die nodig zijn om een redelijke mate van zekerheid te verkrijgen, moeten methoden voor het controleren van de naleving van artikel 35 van Verordening (EU) 2022/2065 in ieder geval een beoordeling door de controleorganisatie van de volgende elementen bevatten:

de door de gecontroleerde aanbieder gehanteerde interne controles voor het monitoren van de toepassing van de in artikel 35, lid 1, van Verordening (EU) 2022/2065 bedoelde risicobeperkende maatregelen, en de vraag of deze redelijk, evenredig en doeltreffend zijn. Een dergelijke beoordeling:

i)	moet gebaseerd zijn op inhoudelijke analytische procedures betreffende die interne controles;

ii)	moet gebaseerd zijn op testen die worden uitgevoerd om aan te tonen of die interne controles betrouwbaar zijn en zorgvuldig zijn ontworpen, worden uitgevoerd en gemonitord;

iii)

moet evalueren op welke wijze de compliancefunctionaris of compliancefunctionarissen hun taken met betrekking tot artikel 41, lid 3, punten b), d), e) en, indien van toepassing, punt f), van Verordening (EU) 2022/2065 heeft of hebben uitgevoerd, en op welke wijze het leidinggevend orgaan van de gecontroleerde aanbieder betrokken was overeenkomstig artikel 41, leden 6 en 7, van die verordening;

de door de gecontroleerde aanbieder gehanteerde risicobeperkende maatregelen. Een dergelijke beoordeling moet zijn gebaseerd op:

i)	inhoudelijke analytische procedures;

ii)

3. De door de controleorganisatie geanalyseerde informatie ter ondersteuning van de uit hoofde van dit artikel uitgevoerde beoordeling bevat minimaal, maar niet uitsluitend:

de voor de betreffende controleperiode door de gecontroleerde aanbieder opgestelde rapporten betreffende risicobeoordeling en risicobeperking, indien nodig met inbegrip van vertrouwelijke informatie die geen deel uitmaakt van de uit hoofde van artikel 42, lid 2, van Verordening (EU) 2022/2065 bekendgemaakte informatie, en alle bewijsstukken;

b)	in voorkomend geval, andere rapporten betreffende risicobeoordeling en risicobeperking van de gecontroleerde aanbieder en de bijbehorende bewijsstukken;

c)	de door de gecontroleerde aanbieder overeenkomstig artikel 5 verstrekte informatie;

d)	alle relevante door de gecontroleerde aanbieder overeenkomstig artikel 15, lid 1, van Verordening (EU) 2022/2065 uitgebrachte transparantierapporten;

in voorkomend geval, eerdere rapporten betreffende risicobeperking en de bijbehorende bewijsstukken, die perioden betreffen die niet onder de controleperiode vallen, waar nodig met inbegrip van vertrouwelijke informatie die geen deel uitmaakt van de uit hoofde van artikel 42, lid 2, van Verordening (EU) 2022/2065 bekendgemaakte informatie;

f)	alle andere testresultaten, documentatie, ander bewijs en andere verklaringen in reactie op schriftelijke en/of mondelinge vragen van de controleorganisatie aan het personeel van de gecontroleerde aanbieder en, in voorkomend geval, eventuele ter plaatse gedane waarnemingen;

g)	al het andere relevante bewijs, met inbegrip van door de gecontroleerde aanbieder verstrekte informatie;

4. Door de controleorganisatie geanalyseerde informatie kan, in voorkomend geval, de in artikel 42, lid 4, van Verordening (EU) 2022/2065 bedoelde informatie omvatten, onder meer uit controle-, risicobeoordelings- en risicobeperkingsrapporten betreffende andere zeer grote onlineplatforms of zeer grote onlinezoekmachines, of door erkende onderzoekers overeenkomstig artikel 40, lid 8, punt g), van Verordening (EU) 2022/2065 openbaar gemaakte gegevens en onderzoeken.

Artikel 15

Specifieke methoden voor het controleren van de naleving van artikel 36 van Verordening (EU) 2022/2065 betreffende het crisisresponsmechanisme

1. De beoordeling van de naleving door de gecontroleerde aanbieder van artikel 36, lid 1, eerste alinea, punt a), van Verordening (EU) 2022/2065, omvat, maar is niet beperkt tot, een analyse van de vraag of en op welke wijze de gecontroleerde aanbieder de vereiste maatregelen heeft uitgevoerd, met name met betrekking tot:

a)	de vraag of en op welke wijze de gecontroleerde aanbieder de relevante systemen in kaart heeft gebracht die betrokken zijn bij de werking en het gebruik van zijn dienst die aanzienlijk bijdragen tot de ernstige bedreiging, en de vraag of die systemen op passende wijze in kaart zijn gebracht;

b)	de vraag of en op welke wijze de gecontroleerde aanbieder de aanzienlijke bijdrage tot de ernstige bedreiging heeft vastgesteld en gemonitord, en de vraag of de beoordeling passend was;

c)	in voorkomend geval, eventuele andere eisen als vastgelegd in het in artikel 36, lid 1, of lid 7, tweede alinea, van Verordening (EU) 2022/2065 bedoelde besluit van de Commissie.

2. De beoordeling van de naleving door de gecontroleerde aanbieder van artikel 36, lid 1, eerste alinea, punt b), van Verordening (EU) 2022/2065 omvat, maar is niet beperkt tot, een analyse van de vraag of en op welke wijze de gecontroleerde aanbieder de vereiste maatregelen heeft uitgevoerd, met name met betrekking tot:

a)	de vraag of en op welke wijze de gecontroleerde aanbieder maatregelen heeft vastgesteld voor het voorkomen, elimineren of beperken van bijdragen tot de ernstige bedreiging;

b)	de vraag of en op welke wijze de door de gecontroleerde aanbieder genomen maatregelen gericht waren op de ernst van de ernstige bedreiging, de urgentie van de maatregelen en de vraag of de maatregelen in dit opzicht passend waren;

de vraag of en op welke wijze de gecontroleerde aanbieder de betrokkenen in kaart heeft gebracht op basis van de maatregelen en hun legitieme belangen, en de wijze waarop de gecontroleerde aanbieder de daadwerkelijke of potentiële gevolgen van de maatregelen voor de rechten van die betrokkenen heeft beoordeeld, met inbegrip van hun grondrechten en legitieme belangen;

d)	de vraag of de door de gecontroleerde aanbieder genomen maatregelen doeltreffend en evenredig waren;

e)	in voorkomend geval, eventuele andere eisen als vastgelegd in het in artikel 36, lid 1, of lid 7, tweede alinea, van Verordening (EU) 2022/2065 bedoelde besluit van de Commissie.

3. De beoordeling van de naleving door de gecontroleerde aanbieder van artikel 36, lid 1, eerste alinea, punt c), van Verordening (EU) 2022/2065 omvat, maar is niet beperkt tot, een analyse van de wijze waarop de gecontroleerde aanbieder de vereiste maatregel heeft uitgevoerd, met name met betrekking tot de vraag of de gecontroleerde aanbieder de Commissie heeft voorzien van de informatie krachtens het besluit van de Commissie uit hoofde van artikel 36, lid 1, of lid 7, tweede alinea, van Verordening (EU) 2022/2065, en de vraag of die rapporten nauwkeurig waren.

Artikel 16

Controle van de naleving van artikel 37 van Verordening (EU) 2022/2065 betreffende onafhankelijke controles

1. De naleving van de verplichtingen uit hoofde van artikel 37 van Verordening (EU) 2022/2065 en deze verordening, wordt beoordeeld aan de hand van de controle of controles die voor het jaar voorafgaand aan de huidige controle is of zijn uitgevoerd.

2. Naast het in lid 1 bepaalde omvat de controle een beoordeling van de naleving door de gecontroleerde aanbieder van artikel 37, lid 2, van Verordening (EU) 2022/2065 wat betreft de huidige controle.

3. Indien de voorgaande in lid 1 bedoelde controle of controles is of zijn uitgevoerd door dezelfde controleorganisatie die de huidige controle uitvoert, of indien de controleorganisatie die de huidige controle uitvoert minstens één rechtspersoon omvat die aan de voorgaande controle heeft deelgenomen, bevat het controlerapport een toelichting van de stappen die de controleorganisatie heeft gezet om de objectiviteit van de beoordeling te waarborgen.

Artikel 17

Controle van de naleving van de gedragscodes en crisisprotocollen

1. De gecontroleerde aanbieder stelt de volgende middelen ter beschikking van de controleorganisatie:

(a)	een lijst en de tekst van alle in de artikelen 45 en 46 van Verordening (EU) 2022/2065 bedoelde gedragscodes en de in artikel 48 van die verordening bedoelde crisisprotocollen, die medeondertekend zijn door de gecontroleerde aanbieder;

(b)	een gedetailleerde lijst van de in het kader van die gedragscodes en crisisprotocollen gedane toezeggingen door de gecontroleerde aanbieder;

(c)	in voorkomend geval, de in het kader van iedere gedragscode en ieder crisisprotocol overeengekomen kernprestatie-indicatoren;

(d)

in voorkomend geval, alle beschikbare metingen, gegevens en documentatie, alsook alle door de gecontroleerde aanbieder opgestelde rapporten met betrekking tot de naleving door de gecontroleerde aanbieder van de gedane toezeggingen, met inbegrip van de toegang tot alle relevante informatie en gegevens betreffende de werking van de door de gecontroleerde aanbieder aangeboden diensten die betrekking hebben op de toepassing van de gedragscode of het crisisprotocol;

(e)	in voorkomend geval, andere door de ondertekenaars van de gedragscode of het crisisprotocol opgestelde metingen, gegevens en documentatie, alsook de beoordelingen van de Commissie of de digitaledienstenraad overeenkomstig artikel 45, lid 4, van Verordening (EU) 2022/2065.

2. De beoordeling van de naleving door de gecontroleerde aanbieder van de in artikel 45 van Verordening (EU) 2022/2065 bedoelde gedragscodes omvat, maar is niet beperkt tot, de meting van de kernprestatie-indicatoren die overeenkomstig artikel 45, lid 3, van die verordening zijn overeengekomen en waarin de materialiteitsdrempels van de controleconclusies zijn vastgesteld, alsook de vraag of de verstrekte gegevens nauwkeurig zijn.

AFDELING V

Slotbepalingen

Artikel 18

Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel, 20 oktober 2023.

Voor de Commissie

De voorzitter

Ursula VON DER LEYEN

(1) PB L 277 van 27.10.2022, blz. 1.

BIJLAGE I

Model voor het in artikel 6 bedoelde controlerapport

Inhoudsopgave

AFDELING B: Controleorganisatie(s)

Voeg voor onderstaande afdeling zoveel regels per punt toe als nodig.

1.	Naam/namen van de organisatie(s) die samen de controleorganisatie uitmaken: …

Informatie over het controleteam van de controleorganisatie:

Vermeld voor ieder lid van het controleteam:

1.	hun persoonlijke naam;

2.	de individuele organisatie of het onderdeel van de controleorganisatie waaraan zij verbonden zijn;

3.	hun professionele e-mailadres;

4.	beschrijvingen van hun verantwoordelijkheden en de tijdens de controle verrichte werkzaamheden.

…

Kwalificaties van de controleurs:

…

a.	Overzicht van de beroepskwalificaties van de personen die de controle hebben verricht, met inbegrip van hun specialisaties of diploma’s, al naargelang het geval: …

b.	De documenten waaruit blijkt dat de controleorganisatie voldoet aan de in artikel 37, lid 3, punt b), van Verordening (EU) 2022/2065 bedoelde eisen, zijn als bijlagen bij dit rapport gevoegd:

…

Onafhankelijkheid van de controleurs:

a.	Belangenverklaring: …

b.	Verwijzingen naar eventuele normen waar de controleorganisatie(s) zich aan moet/moeten houden met betrekking tot de onafhankelijkheid van het controleteam: …

c.	De lijst van documenten waaruit blijkt dat de controleorganisatie voldoet aan de in artikel 37, lid 3, punten a) en c), van Verordening (EU) 2022/2065 bedoelde verplichtingen, is als bijlage bij dit rapport gevoegd.

…

5.	In voorkomend geval, verwijzingen naar in het kader van de controle toegepaste controlenormen: …

6.	In voorkomend geval, verwijzingen naar in het kader van de controle toegepaste normen inzake kwaliteitsbeheer: …

AFDELING F.1: Geraadpleegde derden

Vul deze afdeling in voor iedere geraadpleegde derde, en verhoog de benaming van de afdeling steeds in stappen van één (bijvoorbeeld F.1, F.2 enz.).

1.	Naam van de geraadpleegde derde: …

2.	Vertegenwoordiger en contactinformatie van de geraadpleegde derde: …

3.	Datum/data van raadpleging: …

4.	Door de derde verstrekte informatie …

AFDELING G: Eventuele andere informatie die de controleorganisatie in het controlerapport wil opnemen (zoals een beschrijving van mogelijke inherente beperkingen).

Voeg zoveel regels toe als nodig overeenkomstig de in artikel 7, lid 1, punt b), bedoelde toewijzing van verantwoordelijkheden en empowerment

Datum:

…

Ondertekend door:

…

Plaats:

…

Uit naam van:

…

Verantwoordelijk voor:

…

Bijlagen bij het controlerapport (voor zover van toepassing):

De krachtens artikel 7, lid 2, van deze verordening gevraagde documenten.

Documenten betreffende de analyse van het controlerisico krachtens artikel 9 van deze verordening.

Documenten waaruit blijkt dat de controleorganisatie voldoet aan de in artikel 37, lid 3, punt a), van Verordening (EU) 2022/2065 bedoelde verplichtingen.

Documenten waaruit blijkt dat de controleorganisatie voldoet aan de in artikel 37, lid 3, punt b), van Verordening (EU) 2022/2065 bedoelde verplichtingen.

Documenten waaruit blijkt dat de controleorganisatie voldoet aan de in artikel 37, lid 3, punt c), van Verordening (EU) 2022/2065 bedoelde verplichtingen.

Documentatie en resultaten van eventuele door de controleorganisatie verrichte tests, onder meer met betrekking tot algoritmische systemen van de gecontroleerde aanbieder.

De in de artikelen 45 en 46 van Verordening (EU) 2022/2065 bedoelde gedragscodes in het kader waarvan de gecontroleerde aanbieder toezeggingen heeft gedaan, met inbegrip van een duidelijke vermelding van de gedane toezeggingen en de eventueel overeengekomen kernprestatie-indicator voor die toezegging.

De door de gecontroleerde aanbieder toegepaste crisisprotocollen overeenkomstig artikel 48 van Verordening (EU) 2022/2065.

Eventuele andere bijlagen die de controleorganisatie wil opnemen.

BIJLAGE II

Model voor het in artikel 6 bedoelde controle-uitvoeringsrapport

Inhoudsopgave

AFDELING A: Algemene informatie

Gecontroleerde aanbieder:

…

Adres van de gecontroleerde aanbieder:

…

Controlerapport waarop dit controle-uitvoeringsrapport is gebaseerd

Datum van vaststelling van het controlerapport: …

Verwijzing naar het controlerapport (bijvoorbeeld een URL):

…

Informatie over de onderliggende controle en de betrokken partijen (verwijs hiervoor naar de afdelingen A en B van het referentiecontrolerapport):

…

Verwijst het controle-uitvoeringsrapport naar een controlerapport betreffende de naleving van alle in artikel 37, lid 1, van Verordening (EU) 2022/2065 bedoelde verplichtingen en toezeggingen die van toepassing zijn op de gecontroleerde aanbieder?

Ja/Nee (indien “nee”, geef aan welke verplichtingen en toezeggingen aan bod komen in het referentiecontrolerapport)

…

In voorkomend geval, verwijzingen naar andere controlerapporten van controles waar de gecontroleerde aanbieder uit hoofde van artikel 37 van Verordening (EU) 2022/2065 gedurende de betreffende controleperiode aan onderworpen is of zal zijn:

…

ELI: http://data.europa.eu/eli/reg_del/2024/436/oj

ISSN 1977-0758 (electronic edition)

Alkuun