32024R0607

EUR-Lex

Access to European Union law

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
Uitvoeringsverordening - EU - 2024/607 - EN - EUR-Lex

Help

Search tips

Need more search options? Use the Advanced search

Document 32024R0607

Uitvoeringsverordening (EU) 2024/607 van de Commissie van 15 februari 2024 betreffende de praktische en operationele regelingen voor de werking van het informatie-uitwisselingssysteem krachtens Verordening (EU) 2022/2065 van het Europees Parlement en de Raad (digitaledienstenverordening)

C/2024/865

PB L, 2024/607, 16.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/607/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_impl/2024/607/oj

HTML

PDF - authentic OJ

e-signature

How to verify the authenticity of the Official Journal

Publicatieblad
van de Europese Unie

Serie L

2024/607

16.2.2024

UITVOERINGSVERORDENING (EU) 2024/607 VAN DE COMMISSIE

van 15 februari 2024

betreffende de praktische en operationele regelingen voor de werking van het informatie-uitwisselingssysteem krachtens Verordening (EU) 2022/2065 van het Europees Parlement en de Raad (“digitaledienstenverordening”)

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) 2022/2065 van het Europees Parlement en de Raad van 19 oktober 2022 betreffende een eengemaakte markt voor digitale diensten en tot wijziging van Richtlijn 2000/31/EG (digitaledienstenverordening) (1), en met name artikel 85,

Na raadpleging van het Comité inzake digitale diensten overeenkomstig artikel 88 van Verordening (EU) 2022/2065,

Overwegende hetgeen volgt:

(1)

Verordening (EU) 2022/2065 heeft als doel een veilige digitale ruimte voor gebruikers tot stand te brengen en tegelijkertijd de eerbiediging van de grondrechten te waarborgen. Dit gebeurt door aanbieders van tussenhandeldiensten verplichtingen op te leggen om de verspreiding van illegale online-inhoud te voorkomen en door het beleid van die aanbieders inzake inhoudsmoderatie met betrekking tot hun diensten te reguleren. Teneinde ervoor te zorgen dat het toezicht, het onderzoek, de handhaving en de monitoring met betrekking tot de naleving van deze verplichtingen door die aanbieders doeltreffend zijn, is samenwerking tussen de lidstaten en met de Commissie noodzakelijk, evenals een naadloze informatie-uitwisseling tussen de lidstaten en met de Commissie.

(2)

Op grond van artikel 85 van Verordening (EU) 2022/2065 moet de Commissie daarom een betrouwbaar, veilig en interoperabel informatie-uitwisselingssysteem, hierna “AGORA” genoemd, opzetten en onderhouden ter ondersteuning van de communicatie tussen digitaledienstencoördinatoren, de Commissie en de Europese Raad voor digitale diensten (“de digitaledienstenraad”). Andere bevoegde autoriteiten kunnen toegang tot AGORA krijgen, indien dit voor hen noodzakelijk is voor de uitvoering van de hun overeenkomstig Verordening (EU) 2022/2065 opgedragen taken. De digitaledienstencoördinatoren, de Commissie en de digitaledienstenraad moeten krachtens Verordening (EU) 2022/2065 voor alle communicatie gebruikmaken van AGORA.

(3)

AGORA is een via internet toegankelijke softwaretoepassing die door de Commissie moet worden ontwikkeld. AGORA stelt een communicatiemechanisme ter beschikking om de grensoverschrijdende informatie-uitwisseling en wederzijdse bijstand tussen digitaledienstencoördinatoren, de Commissie en de digitaledienstenraad overeenkomstig Verordening (EU) 2022/2065 te vergemakkelijken. AGORA moet met name de digitaledienstencoördinatoren, de Commissie en de digitaledienstenraad ondersteunen bij het beheer van informatie-uitwisseling in verband met toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065, op basis van eenvoudige en uniforme procedures.

(4)

In deze verordening worden de praktische en operationele regelingen vastgesteld voor de opzet, het onderhoud en de exploitatie van AGORA met het oog op toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065, wat onder meer betrekking kan hebben op één-op-één-uitwisseling van informatie, kennisgevingsprocedures, waarschuwingsmechanismen, regelingen voor wederzijdse bijstand en probleemoplossing tussen digitaledienstencoördinatoren, de Commissie, de digitaledienstenraad en andere bevoegde autoriteiten waaraan krachtens Verordening (EU) 2022/2065 toegang tot AGORA is verleend (“AGORA-actoren”).

(5)

Gezien de grens- en sectoroverschrijdende relevantie van tussenhandeldiensten is een hoog niveau van coördinatie en samenwerking tussen de verschillende relevante actoren noodzakelijk om te zorgen voor consistentie van het toezicht, het onderzoek, de handhaving en de monitoring uit hoofde van Verordening (EU) 2022/2065, en om relevante informatie voor dit doel beschikbaar te maken via AGORA.

(6)

Om taalbarrières weg te nemen, moet AGORA beschikbaar zijn in alle officiële talen van de Unie. Daartoe moet AGORA volledig geautomatiseerde hulpmiddelen aanbieden waarover de Commissie momenteel beschikt voor de machinevertaling van documenten en berichten die via AGORA worden uitgewisseld. De Commissie moet natuurlijke personen die werken onder het gezag van digitaledienstencoördinatoren, de Commissie, de digitaledienstenraad of andere bevoegde autoriteiten waaraan toegang tot AGORA is verleend (“AGORA-gebruiker”) en AGORA-gebruikers die door de digitaledienstencoördinatoren, de Commissie en de digitaledienstenraad als beheerders zijn aangewezen (“AGORA-beheerder”) dergelijke instrumenten aanreiken. De geautomatiseerde hulpmiddelen voor machinevertaling moeten compatibel zijn met de beveiligings- en vertrouwelijkheidsvereisten voor de uitwisseling van informatie in AGORA.

(7)

Om hun taken uit hoofde van Verordening (EU) 2022/2065 uit te voeren, moeten digitaledienstencoördinatoren, de Commissie en de digitaledienstenraad mogelijk informatie uitwisselen die persoonsgegevens omvat. Dergelijke informatie-uitwisseling moet in overeenstemming zijn met de regels inzake de bescherming van persoonsgegevens die in Verordeningen (EU) 2016/679 (2) en (EU) 2018/1725 (3) van het Europees Parlement en de Raad zijn vastgesteld. Bijgevolg valt de uitwisseling van persoonsgegevens die nodig is om aan de verplichtingen te voldoen en om de taken van Verordening (EU) 2022/2065 uit te voeren, binnen het toepassingsgebied van de rechtmatige verwerking van gegevens overeenkomstig artikel 5, punt a), van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad en artikel 6, lid 1, punt e), van Verordening (EU) 2016/679 van het Europees Parlement en de Raad.

(8)

AGORA moet het instrument zijn dat wordt gebruikt voor de uitwisseling van informatie, waaronder, zo nodig, persoonsgegevens, die anders via andere kanalen had plaatsgevonden, waaronder via reguliere post of e-mail, op grond van een wettelijke verplichting voor digitaledienstencoördinatoren, de Commissie, de digitaledienstenraad en andere bevoegde autoriteiten waaraan overeenkomstig Verordening (EU) 2022/2065 toegang tot AGORA is verleend. Persoonsgegevens die via AGORA worden uitgewisseld, mogen alleen worden verwerkt met het oog op toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065. Wanneer persoonsgegevens worden verwerkt bij het gebruik van AGORA met het oog op het delen van, verzoeken om en verkrijgen van toegang tot informatie, het beantwoorden van informatieverzoeken, doorverwijzingen, het verzoeken om actie en het verzoeken om bijstand, moeten de digitaledienstencoördinatoren afzonderlijke verwerkingsverantwoordelijken in de zin van Verordening (EU) 2016/679 zijn voor de verwerkingsactiviteiten die zij uitvoeren.

(9)

Elke digitaledienstencoördinator kan ook besluiten AGORA te gebruiken voor zijn eigen activiteiten voor de behandeling van zaken die hij uitvoert met het oog op toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065. Wanneer persoonsgegevens niet in AGORA mogen worden uitgewisseld met het oog op het delen van, verzoeken om en verkrijgen van toegang tot informatie, het beantwoorden van informatieverzoeken, doorverwijzingen, het verzoeken om actie en het verzoeken om bijstand, moet elke digitaledienstencoördinator — en moeten, in voorkomend geval, andere bevoegde autoriteiten waaraan toegang tot AGORA is verleend — de enige verwerkingsverantwoordelijke zijn in de zin van Verordening (EU) 2016/679 en Verordening (EU) 2018/1725 met betrekking tot de gegevensverwerking via AGORA.

(10)

De doorgifte, opslag en andere verwerking van persoonsgegevens van natuurlijke personen moeten in AGORA plaatsvinden ter ondersteuning van de communicatie tussen AGORA-actoren met het oog op hun activiteiten voor de behandeling van zaken in verband met toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065.

(11)

In AGORA moeten persoonsgegevens worden verwerkt voor zover dat strikt noodzakelijk is voor toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065. In AGORA moeten persoonsgegevens worden verwerkt, zoals identificatiegegevens (bv. naam, bijnaam, alias, geboortedatum, geboorteplaats, nationaliteit, identificatiedocumenten en, waar nodig, andere kenmerken die van nut kunnen zijn voor identificatie), contactgegevens (bv. professioneel en privéadres, e-mailadres en telefoonnummer), gegevens over betrokkenheid bij een zaak (bv. positie en functie van de natuurlijke persoon in een onderneming, andere rollen zoals verdachte, slachtoffer, klokkenluider, informant en getuige), zaakgerelateerde gegevens (bv. document, afbeelding, video, spraakopname, verklaring, advies en registratie) en andere informatie die noodzakelijk wordt geacht om te voldoen aan de vereisten van Verordening (EU) 2022/2065.

(12)

Volgens de beginselen van gegevensbescherming door ontwerp en door standaardinstellingen moet AGORA worden ontwikkeld en ontworpen met inachtneming van de vereisten van de wetgeving inzake gegevensbescherming, met name vanwege beperkingen op de toegang tot in AGORA uitgewisselde persoonsgegevens. Dat betekent dat AGORA een aanzienlijk hoger niveau aan bescherming en beveiliging moet bieden dan andere methoden voor informatie-uitwisseling, zoals de uitwisseling per telefoon, reguliere post of e-mail.

(13)	De Commissie moet de software en IT-infrastructuur voor AGORA leveren en beheren, de betrouwbaarheid, de beveiliging, de beschikbaarheid, het onderhoud en de exploitatie ervan waarborgen en betrokken zijn bij de opleiding van en technische bijstand aan AGORA-beheerders en -gebruikers.

(14)

De bevoegdheid van de lidstaten om te beslissen welke nationale autoriteiten de uit deze verordening voortvloeiende verplichtingen uitvoeren, moet overeenkomstig de artikelen 49 en 62 van Verordening (EU) 2022/2065 worden uitgeoefend. De lidstaten moeten de functies en verantwoordelijkheden met betrekking tot AGORA kunnen aanpassen aan hun interne administratieve structuren, en in AGORA een specifiek soort werkzaamheden kunnen uitvoeren of de volgorde van de stappen in een bepaald werkproces kunnen bepalen.

(15)

Elke digitaledienstencoördinator moet ten minste één AGORA-beheerder in zijn lidstaat benoemen voor kwesties in verband met AGORA, en de Commissie daarvan in kennis stellen. Elke digitaledienstencoördinator moet ook verantwoordelijk zijn voor de benoeming van AGORA-beheerders van zijn respectieve bevoegde autoriteiten waaraan krachtens Verordening (EU) 2022/2065 toegang tot AGORA is verleend. Elke AGORA-beheerder moet zijn eigen AGORA-gebruikers registreren en toegang tot AGORA verlenen, alsook hun toegang tot AGORA intrekken. Om via AGORA een doeltreffende samenwerking tot stand te brengen op het gebied van toezicht, onderzoek, handhaving en monitoring met betrekking tot diensten die binnen het toepassingsgebied van Verordening (EU) 2022/2065 vallen, moeten de lidstaten ervoor zorgen dat hun respectieve AGORA-beheerders en -gebruikers over de nodige middelen beschikken om hun verplichtingen overeenkomstig artikel 50, lid 1, van Verordening (EU) 2022/2065 na te komen.

(16)

Informatie die door een digitaledienstencoördinator, de Commissie, de digitaledienstenraad of een andere bevoegde autoriteit waaraan toegang tot AGORA is verleend, via AGORA wordt ontvangen van een andere digitaledienstencoördinator, de Commissie, de digitaledienstenraad of een andere dergelijke bevoegde autoriteit, mag in het kader van strafrechtelijke, civiele of administratieve procedures overeenkomstig de desbetreffende EU- en nationale wetgeving niet aan bewijskracht inboeten louter vanwege het feit dat de informatie uit een andere lidstaat afkomstig is of langs elektronische weg is ontvangen. Dergelijke informatie moet door de betrokken AGORA-actor op dezelfde manier worden behandeld als soortgelijke documenten die uit de eigen lidstaat afkomstig zijn.

(17)

Het moet mogelijk zijn de naam en contactgegevens van AGORA-beheerders en -gebruikers te verwerken voor zover dit nodig is om de doelstellingen van Verordening (EU) 2022/2065 en deze verordening te verwezenlijken, waaronder monitoring van het gebruik van AGORA door AGORA-beheerders en -gebruikers, communicatie-, opleidings- en bewustmakingsinitiatieven, en gegevensverzameling in verband met toezicht, onderzoek, handhaving en monitoring met betrekking tot diensten die binnen het toepassingsgebied van Verordening (EU) 2022/2065 vallen of wederzijdse bijstand daarbij.

(18)	Om te zorgen voor een doeltreffende monitoring van en verslaglegging over de werking van AGORA, moeten de digitaledienstencoördinatoren, de digitaledienstenraad en andere bevoegde autoriteiten waaraan toegang tot AGORA is verleend, relevante informatie ter beschikking van de Commissie stellen.

(19)

Betrokkenen moeten op de hoogte worden gesteld van de verwerking van hun persoonsgegevens in AGORA en van hun rechten, met name het recht op toegang tot gegevens die met hen verband houden en het recht om onjuiste gegevens te laten corrigeren of onrechtmatig verwerkte gegevens te laten verwijderen overeenkomstig Verordening (EU) 2016/679 en Verordening (EU) 2018/1725.

(20)

Elke AGORA-actor, in zijn hoedanigheid van verwerkingsverantwoordelijke wat betreft zijn gegevensverwerkingsactiviteiten in verband met toezicht, onderzoek, handhaving en monitoring met betrekking tot diensten die binnen het toepassingsgebied van Verordening (EU) 2022/2065 vallen, moet ervoor zorgen dat betrokkenen hun rechten overeenkomstig Verordening (EU) 2016/679 en Verordening (EU) 2018/1725 kunnen uitoefenen. Dit omvat de vaststelling van een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.

(21)

De uitvoering van deze verordening en de prestaties van AGORA moeten worden gemonitord in het verslag over de werking van AGORA op basis van statistische gegevens uit AGORA en andere relevante gegevens. De Commissie moet het verslag indienen bij het Europees Parlement, de Raad en de Europese Toezichthouder voor gegevensbescherming. De prestaties van de digitaledienstencoördinatoren, de digitaledienstenraad en andere bevoegde autoriteiten waaraan toegang tot AGORA is verleend, moeten onder meer worden geëvalueerd op basis van de gemiddelde antwoordtijd, met als doel ervoor te zorgen dat er efficiënte en adequate antwoorden worden gegeven. In het verslag moet ook worden ingegaan op aspecten inzake de bescherming van persoonsgegevens in AGORA, inclusief gegevensbeveiliging.

(22)	Overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 4 januari 2024 heeft hij een advies uitgebracht,

HEEFT DE VOLGENDE VERORDENING VASTGESTELD:

Hoofdstuk I

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp en toepassingsgebied

Bij deze verordening worden de praktische en operationele regelingen vastgesteld voor de werking van een betrouwbaar en veilig informatie-uitwisselingssysteem, hierna “AGORA” genoemd, voor toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065.

Artikel 2

Informatie-uitwisselingssysteem

1. Hierbij wordt het informatie-uitwisselingssysteem AGORA ingesteld.

2. AGORA is een via internet toegankelijke softwaretoepassing en het instrument dat wordt gebruikt voor de uitwisseling van informatie, waaronder, zo nodig, persoonsgegevens, die anders via andere kanalen had plaatsgevonden, waaronder via reguliere post of e-mail.

3. AGORA wordt gebruikt voor de uitwisseling van informatie, waaronder informatie die persoonsgegevens bevat, tussen digitaledienstencoördinatoren, de Commissie en de Europese Raad voor digitale diensten (“de digitaledienstenraad”), alsook met andere bevoegde autoriteiten waaraan toegang tot AGORA is verleend om de hun overeenkomstig Verordening (EU) 2022/2065 opgedragen taken met betrekking tot toezicht, onderzoek, handhaving en monitoring uit hoofde van die verordening uit te voeren.

Artikel 3

Definities

Voor de toepassing van deze verordening gelden, naast de definities in artikel 3 en artikel 49, lid 1, van Verordening (EU) 2022/2065, artikel 4 van Verordening (EU) 2016/679 en artikel 3 van Verordening (EU) 2018/1725, de volgende definities:

(a)

“AGORA”: het informatie-uitwisselingssysteem dat door de Commissie is ingesteld en wordt onderhouden ter ondersteuning van alle communicatie op grond van Verordening (EU) 2022/2065 tussen AGORA-actoren met het oog op toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065;

(b)	“AGORA-actor”: de digitaledienstencoördinatoren, de Commissie, de digitaledienstenraad of andere bevoegde autoriteiten waaraan toegang tot AGORA is of kan worden verleend indien dit voor hen nodig is om de hun overeenkomstig Verordening (EU) 2022/2065 opgedragen taken uit te voeren;

(c)	“AGORA-gebruiker”: een natuurlijke persoon die onder het gezag van een AGORA-actor werkt en als zodanig in AGORA is geregistreerd voor de uitvoering van de taken die bij Verordening (EU) 2022/2065 aan de AGORA-actor zijn opgedragen;

(d)	“AGORA-beheerder”: een AGORA-gebruiker die door een AGORA-actor is aangewezen om AGORA voor die actor te beheren.

Hoofdstuk II

TAKEN EN VERANTWOORDELIJKHEDEN MET BETREKKING TOT AGORA

Artikel 4

Verantwoordelijkheden van de Commissie

1. De Commissie is verantwoordelijk voor de uitvoering van de volgende taken met betrekking tot AGORA:

a)	het aanbieden van AGORA in alle officiële talen van de Unie en het onderhouden van AGORA;

b)	het waarborgen van de betrouwbaarheid, de beveiliging, de beschikbaarheid, het onderhoud en de ontwikkeling van de software en IT-infrastructuur van AGORA;

c)	het aanbieden van geautomatiseerde hulpmiddelen voor de machinevertaling van documenten en berichten die via AGORA worden uitgewisseld;

d)	het verlenen van steun aan andere AGORA-actoren in verband met het gebruik van AGORA;

e)	het registreren van ten minste één AGORA-beheerder namens elke digitaledienstencoördinator en de digitaledienstenraad, en het verlenen van toegang aan die beheerders tot AGORA;

f)	het aanstellen van ten minste één AGORA-beheerder;

g)	het verwerken van persoonsgegevens in AGORA wanneer deze verordening daarin voorziet, met het oog op toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065;

h)	het verrichten van controles, monitoring en het opstellen van verslagen die nodig zijn voor de controle en monitoring van AGORA uit hoofde van Verordening (EU) 2022/2065;

i)	het verstrekken van kennis, opleiding en ondersteuning, inclusief technische bijstand, aan AGORA-beheerders;

j)	het monitoren van de prestaties van alle andere AGORA-actoren op grond van deze verordening overeenkomstig artikel 15.

2. Om de Commissie bij te staan bij de uitvoering van de in lid 1 genoemde taken, verstrekken de andere AGORA-actoren de Commissie informatie over hun activiteiten in AGORA.

Artikel 5

Verwerking van persoonsgegevens door de Commissie

1. De Commissie is, met betrekking tot de verwerking van persoonsgegevens bij het registreren van AGORA-beheerders, een verwerker in de zin van artikel 3, punt 12, van Verordening (EU) 2018/1725.

2. De Commissie is, met betrekking tot de verwerking van persoonsgegevens van haar eigen AGORA-beheerders en -gebruikers, een afzonderlijke verwerkingsverantwoordelijke in de zin van artikel 3, punt 8, van Verordening (EU) 2018/1725.

3. Wanneer de Commissie persoonsgegevens verwerkt bij het gebruik van AGORA met het oog op het delen van, verzoeken om en verkrijgen van toegang tot informatie, het verzoeken om actie en het verzoeken om bijstand, wordt zij voor de door haar verrichte verwerking van persoonsgegevens beschouwd als een van de andere AGORA-actoren afzonderlijke verwerkingsverantwoordelijke in de zin van artikel 3, punt 8, van Verordening (EU) 2018/1725.

4. Wanneer de Commissie persoonsgegevens verwerkt bij het gebruik van AGORA namens andere AGORA-actoren met het oog op het delen van, verzoeken om en verkrijgen van toegang tot informatie, het verzoeken om actie en het verzoeken om bijstand, wordt zij beschouwd als een verwerker in de zin van artikel 3, punt 12, van Verordening (EU) 2018/1725.

5. De verantwoordelijkheden van de Commissie als verwerker voor gegevensverwerkingsactiviteiten die door deze andere AGORA-actoren in AGORA worden uitgevoerd, worden voor de toepassing van deze verordening vastgesteld in overeenstemming met bijlage II.

Artikel 6

Verantwoordelijkheden van digitaledienstencoördinatoren

1. Elke digitaledienstencoördinator stelt voor zijn lidstaat ten minste één AGORA-beheerder aan.

2. Elke digitaledienstencoördinator ziet erop toe dat, met betrekking tot de uitvoering van de taken die hem overeenkomstig Verordening (EU) 2022/2065 zijn opgedragen, uitsluitend gemachtigde AGORA-gebruikers toegang tot AGORA hebben.

3. Elke digitaledienstencoördinator stelt de Commissie onverwijld in kennis van de door hem overeenkomstig lid 1 aangestelde AGORA-beheerder. De Commissie deelt die informatie met de andere digitaledienstencoördinatoren en de digitaledienstenraad.

4. Elke digitaledienstencoördinator zorgt ervoor dat de verantwoordelijkheden van de AGORA-beheerder krachtens deze verordening worden vervuld.

5. Digitaledienstencoördinatoren zijn, met betrekking tot de verwerking van persoonsgegevens bij het registreren van hun AGORA-gebruikers en het verlenen van toegang tot AGORA aan die gebruikers, afzonderlijke verwerkingsverantwoordelijken in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679.

6. Wanneer de digitaledienstencoördinatoren persoonsgegevens verwerken bij het gebruik van AGORA met het oog op het delen van, verzoeken om en verkrijgen van toegang tot informatie, het beantwoorden van informatieverzoeken, doorverwijzingen, het verzoeken om actie en het verzoeken om bijstand, zijn zij afzonderlijke verwerkingsverantwoordelijken in de zin van Verordening (EU) 2016/679 voor de verwerkingsactiviteiten die zij uitvoeren.

7. Wanneer andere bevoegde autoriteiten dan de digitaledienstencoördinator, die overeenkomstig artikel 49, lid 1, van Verordening (EU) 2022/2065 door de lidstaten zijn aangewezen, persoonsgegevens verwerken bij het gebruik van AGORA, zijn die autoriteiten afzonderlijke verwerkingsverantwoordelijken in de zin van Verordening (EU) 2016/679.

Artikel 7

Verantwoordelijkheden van de digitaledienstenraad

1. De digitaledienstenraad stelt één AGORA-beheerder aan. De AGORA-beheerder maakt deel uit van de administratieve en analytische ondersteuning die krachtens artikel 62, lid 4, van Verordening (EU) 2022/2065 aan de digitaledienstenraad wordt verleend.

2. De digitaledienstenraad ziet erop toe dat uitsluitend gemachtigde AGORA-gebruikers toegang tot AGORA hebben.

3. De digitaledienstenraad stelt de Commissie onverwijld in kennis van de identiteit van zijn overeenkomstig lid 1 aangestelde AGORA-beheerder en van de taken waarvoor hij uit hoofde van artikel 8 van deze verordening verantwoordelijk is. De Commissie deelt deze informatie met de digitaledienstencoördinatoren.

Artikel 8

Verantwoordelijkheden van AGORA-beheerders

AGORA-beheerders zijn belast met:

a)	het registreren van AGORA-gebruikers en het toekennen en intrekken van toegang tot AGORA;

b)	het optreden als belangrijkste contactpunt voor de Commissie voor kwesties in verband met AGORA, inclusief het verstrekken van informatie over aspecten inzake de bescherming van persoonsgegevens overeenkomstig deze verordening, Verordening (EU) 2016/679 en Verordening (EU) 2018/1725;

c)	het verstrekken van kennis, opleiding en ondersteuning, inclusief technische bijstand en een helpdesk, aan door hen geregistreerde AGORA-gebruikers;

d)	het zorgen voor efficiënte en adequate antwoorden van AGORA-actoren.

Artikel 9

Toegangsrechten van AGORA-actoren

1. AGORA-actoren verlenen toegangsrechten aan de AGORA-beheerders waarvoor zij verantwoordelijk zijn en trekken die toegangsrechten in.

2. Uitsluitend gemachtigde AGORA-beheerders en -gebruikers hebben toegang tot AGORA.

3. AGORA-actoren nemen passende maatregelen om ervoor te zorgen dat AGORA-beheerders en -gebruikers uitsluitend toegang hebben tot in AGORA verwerkte persoonsgegevens wanneer dat strikt noodzakelijk is voor toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065.

4. Wanneer een procedure voor toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065 gepaard gaat met de verwerking van persoonsgegevens, hebben uitsluitend AGORA-beheerders en -gebruikers die aan die procedure deelnemen, toegang tot die persoonsgegevens.

Artikel 10

Vertrouwelijkheid

1. Elke lidstaat en de Commissie passen hun eigen regels inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht toe op hun AGORA-beheerders en -gebruikers, in overeenstemming met het nationale recht of het Unierecht.

2. Elke AGORA-actor zorgt ervoor dat AGORA-beheerders en -gebruikers die onder hun gezag werken, voldoen aan verzoeken van andere AGORA-actoren om vertrouwelijke behandeling van in AGORA uitgewisselde informatie.

Hoofdstuk III

VERWERKING VAN PERSOONSGEGEVENS EN BEVEILIGING

Artikel 11

Verwerking van persoonsgegevens in AGORA

1. Persoonsgegevens mogen alleen worden doorgegeven, opgeslagen of op andere wijze worden verwerkt in AGORA als dit noodzakelijk en evenredig is, en uitsluitend voor de volgende doeleinden:

a)	ondersteuning van de communicatie tussen AGORA-actoren in verband met toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065;

b)	behandeling van zaken door AGORA-actoren bij de uitvoering van hun eigen activiteiten in verband met toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065;

c)	uitvoering van de in deze verordening vermelde zakelijke en technische gegevenstransformaties, indien dit nodig is om de in de punten a) en b) bedoelde informatie-uitwisseling mogelijk te maken.

2. De verwerking van persoonsgegevens in AGORA mag alleen plaatsvinden ten aanzien van de volgende categorieën betrokkenen:

a)	natuurlijke personen wier persoonlijke informatie is opgenomen in documenten die zijn verkregen in het kader van toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065;

b)	AGORA-beheerders en -gebruikers aan wie toegang tot AGORA is verleend.

3. De verwerking van persoonsgegevens in AGORA mag alleen plaatsvinden ten aanzien van de volgende categorieën persoonsgegevens:

a)	identificatiegegevens, contactgegevens, gegevens over betrokkenheid bij een zaak, zaakgerelateerde gegevens en andere informatie die noodzakelijk wordt geacht voor toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065;

b)	naam, adres, contactgegevens, contactnummer en gebruikers-ID van de AGORA-beheerders en -gebruikers als bedoeld in lid 2, punt b).

4. In AGORA worden de in artikel 11, lid 3, van deze verordening vermelde categorieën persoonsgegevens opgeslagen, alsook de logbestanden met informatie over de stroom en bewegingen van de uitgewisselde gegevens in verband met toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065.

5. Voor de in lid 2 bedoelde gegevensopslag wordt gebruikgemaakt van informatietechnologie-infrastructuur in de Europese Economische Ruimte.

6. Elke AGORA-actor zorgt ervoor dat betrokkenen hun rechten kunnen uitoefenen in overeenstemming met Verordening (EU) 2016/679 en Verordening (EU) 2018/1725 en is verantwoordelijk voor de naleving van deze verordeningen bij activiteiten voor de verwerking van persoonsgegevens die namens hem worden uitgevoerd.

7. De nationale toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming zorgen, elk binnen de grenzen van hun eigen bevoegdheden, voor gecoördineerd toezicht op AGORA en het gebruik ervan door AGORA-beheerders en -gebruikers.

Artikel 12

Gezamenlijke verwerkingsverantwoordelijkheid in AGORA

1. De digitaledienstencoördinatoren zijn gezamenlijke verwerkingsverantwoordelijken in de zin van artikel 26, lid 1, van Verordening (EU) 2016/679 voor de doorgifte, opslag en andere verwerking van persoonsgegevens in AGORA met betrekking tot de activiteiten van de digitaledienstenraad die worden uitgevoerd in het kader van toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065.

2. Wanneer gezamenlijke onderzoeken krachtens artikel 60 van Verordening (EU) 2022/2065 worden uitgevoerd in het kader van toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065, zijn de betrokken digitaledienstencoördinatoren gezamenlijke verwerkingsverantwoordelijken in de zin van artikel 26, lid 1, van Verordening (EU) 2016/679 voor de doorgifte, opslag en andere verwerking van persoonsgegevens in AGORA in het kader van een specifiek gezamenlijk onderzoek.

3. Voor de toepassing van de leden 1 en 2 worden de verantwoordelijkheden over de gezamenlijke verwerkingsverantwoordelijken verdeeld overeenkomstig bijlage I.

4. De Commissie is een verwerker in de zin van artikel 3, punt 12, van Verordening (EU) 2018/1725 voor de verwerking van persoonsgegevens die namens de digitaledienstencoördinatoren worden uitgevoerd ten behoeve van de activiteiten van de digitaledienstenraad, en voor gezamenlijke onderzoeken krachtens artikel 60 van Verordening (EU) 2022/2065 die worden uitgevoerd in het kader van toezicht, onderzoek, handhaving en monitoring uit hoofde van Verordening (EU) 2022/2065.

Artikel 13

Beveiliging

1. De Commissie neemt de nodige geavanceerde maatregelen om de beveiliging te waarborgen van de persoonsgegevens die in AGORA worden verwerkt, met inbegrip van een passende controle op de toegang tot gegevens en een beveiligingsplan dat voortdurend actueel moet zijn.

2. De Commissie neemt de nodige geavanceerde maatregelen in geval van een beveiligingsincident, onderneemt corrigerende actie en zorgt ervoor dat kan worden nagegaan welke persoonsgegevens wanneer, door wie en voor welk doel in AGORA zijn verwerkt.

HOOFDSTUK IV

SLOTBEPALINGEN

Artikel 14

Vertaling

1. De Commissie stelt AGORA beschikbaar in alle officiële talen van de Unie en biedt AGORA-gebruikers geautomatiseerde hulpmiddelen aan voor de machinevertaling van documenten en berichten die via AGORA worden uitgewisseld.

2. Digitaledienstencoördinatoren of andere bevoegde autoriteiten waaraan toegang tot AGORA is verleend, kunnen, in verband met de uitvoering van taken die hun overeenkomstig Verordening (EU) 2022/2065 zijn opgedragen, alle informatie, documenten, bevindingen, verklaringen of gewaarmerkte kopieën die zij in AGORA hebben ontvangen, op dezelfde basis als soortgelijke informatie die zij in hun eigen land hebben verkregen, overleggen voor doeleinden die verenigbaar zijn met die waarvoor de gegevens oorspronkelijk zijn verzameld en die in overeenstemming zijn met de relevante EU- en nationale wetgeving.

Artikel 15

Monitoring en verslaglegging

1. De Commissie monitort regelmatig de werking van AGORA en evalueert regelmatig de prestaties ervan.

2. Uiterlijk 17 februari 2027, en vervolgens om de drie jaar, dient de Commissie bij het Europees Parlement, de Raad en de Europese Toezichthouder voor gegevensbescherming een verslag in over de toepassing van deze verordening. Het verslag bevat informatie over de overeenkomstig lid 1 uitgevoerde monitoring en evaluaties, alsook over de prestaties van AGORA-actoren in verband met AGORA met het oog op doeltreffende informatie-uitwisseling en adequate antwoorden. In het verslag wordt ook ingegaan op uitvoeringsaspecten met betrekking tot de bescherming van persoonsgegevens in AGORA, inclusief gegevensbeveiliging.

3. Met het oog op de opstelling van het in lid 2 bedoelde verslag verstrekken de digitaledienstencoördinatoren, de digitaledienstenraad en andere bevoegde autoriteiten waaraan toegang wordt verleend indien dat nodig is om de hun overeenkomstig Verordening (EU) 2022/2065 opgedragen taken uit te voeren, de Commissie jaarlijks alle informatie die relevant is voor de toepassing van deze verordening in de vorm van verslagen, onder meer over de toepassing van de daarin vastgestelde eisen inzake gegevensbescherming en gegevensbeveiliging.

Artikel 16

Kosten

1. De kosten voor de opzet, het onderhoud en de exploitatie van AGORA worden gedekt door de jaarlijkse toezichtsvergoeding die door de Commissie wordt geïnd overeenkomstig artikel 43, lid 2, van Verordening (EU) 2022/2065 en Gedelegeerde Verordening (EU) 2023/1127 van de Commissie (4).

2. De kosten voor de exploitatie van AGORA op het niveau van de lidstaten, inclusief de personele middelen die nodig zijn voor opleiding, promotie, technische bijstand en helpdeskactiviteiten, alsook voor het beheer van AGORA op nationaal niveau en noodzakelijke aanpassingen aan nationale netwerken en informatiesystemen, worden gedragen door de lidstaat die deze kosten maakt.

Artikel 17

Daadwerkelijke toepassing

De lidstaten nemen alle maatregelen die nodig zijn om ervoor te zorgen dat hun AGORA-actoren de onderhavige verordening daadwerkelijk toepassen.

Artikel 18

Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel, 15 februari 2024.

Voor de Commissie

De voorzitter

Ursula VON DER LEYEN

(1) PB L 277 van 27.10.2022, blz. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.

(2) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (PB L 119 van 4.5.2016, blz. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4) Gedelegeerde Verordening (EU) 2023/1127 van de Commissie van 2 maart 2023 tot aanvulling van Verordening (EU) 2022/2065 van het Europees Parlement en de Raad met de uitvoerige methodologieën en procedures voor de toezichtsvergoedingen die de Commissie in rekening brengt aan aanbieders van zeer grote onlineplatforms en zeer grote onlinezoekmachines (PB L 149 van 2.3.2023, blz. 16, ELI: http://data.europa.eu/eli/reg_del/2023/1127/oj).

BIJLAGE I

Verantwoordelijkheden van de digitaledienstencoördinatoren als gezamenlijke verwerkingsverantwoordelijken voor gegevensverwerkingsactiviteiten in het kader van AGORA voor gezamenlijke onderzoeken en voor de activiteiten van de digitaledienstenraad

AFDELING 1

Onderafdeling 1

Toepassingsgebied van de regeling voor gezamenlijke verwerkingsverantwoordelijkheid

De volgende regeling voor gezamenlijke verwerkingsverantwoordelijkheid is van toepassing op de betrokken digitaledienstencoördinatoren wanneer zij krachtens artikel 60 van Verordening (EU) 2022/2065 gezamenlijke onderzoeken uitvoeren.

De volgende regeling voor gezamenlijke verwerkingsverantwoordelijkheid is van toepassing op de digitaledienstencoördinatoren als leden van de digitaledienstenraad bij de verwerking van persoonsgegevens door de digitaledienstenraad krachtens Verordening (EU) 2022/2065, in het kader van toezicht, onderzoek, handhaving en monitoring met betrekking tot diensten die binnen het toepassingsgebied van Verordening (EU) 2022/2065 vallen.

Onderafdeling 2

Verantwoordelijkheid

De gezamenlijke verwerkingsverantwoordelijken verwerken persoonsgegevens via AGORA.

De digitaledienstencoördinatoren blijven de enige verwerkingsverantwoordelijken voor het verzamelen, gebruiken, bekendmaken en anderszins verwerken van persoonsgegevens buiten AGORA. De digitaledienstencoördinatoren blijven ook de enige verwerkingsverantwoordelijken voor hun verwerking van persoonsgegevens in AGORA met het oog op toezicht, onderzoek, handhaving en monitoring met betrekking tot diensten die binnen het toepassingsgebied van Verordening (EU) 2022/2065 vallen.

Elke gezamenlijke verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van persoonsgegevens in AGORA overeenkomstig de artikelen 5, 24 en 26 van Verordening (EU) 2016/679.

Elke gezamenlijke verwerkingsverantwoordelijke richt een contactpunt met een functionele mailbox in voor de communicatie tussen de gezamenlijke verwerkingsverantwoordelijken onderling en tussen de gezamenlijke verwerkingsverantwoordelijken en de verwerker.

Elke gezamenlijke verwerkingsverantwoordelijke verleent desgevraagd snelle en efficiënte bijstand aan de andere gezamenlijke verwerkingsverantwoordelijken bij de uitvoering van deze regeling, met inachtneming van alle toepasselijke vereisten van Verordening (EU) 2016/679 en andere toepasselijke gegevensbeschermingsregels, met inbegrip van verplichtingen jegens zijn eigen toezichthoudende autoriteit.

De gezamenlijke verwerkingsverantwoordelijken bepalen de werkwijzen voor de verwerking van persoonsgegevens via AGORA en verstrekken overeengekomen instructies aan de Commissie als verwerker.

Instructies aan de verwerker worden door een van de contactpunten van de gezamenlijke verwerkingsverantwoordelijken in overeenstemming met de andere gezamenlijke verwerkingsverantwoordelijken toegezonden. De gezamenlijke verwerkingsverantwoordelijke die de instructies geeft, verstrekt deze schriftelijk aan de verwerker en stelt alle andere gezamenlijke verwerkingsverantwoordelijken hiervan in kennis. Als een zaak onder zodanige tijdsdruk staat dat er geen vergadering van de gezamenlijke verwerkingsverantwoordelijken kan plaatsvinden, kunnen er toch instructies worden gegeven, maar die kunnen door de gezamenlijke verwerkingsverantwoordelijken worden ingetrokken. De instructies worden schriftelijk gegeven, en alle andere gezamenlijke verwerkingsverantwoordelijken worden op het moment van het geven van de instructies daarvan op de hoogte gesteld.

De werkwijzen van de gezamenlijke verwerkingsverantwoordelijken vormen geen beletsel voor de individuele bevoegdheid van de gezamenlijke verwerkingsverantwoordelijken om hun bevoegde toezichthoudende autoriteit overeenkomstig de artikelen 24 en 33 van Verordening (EU) 2016/679 in te lichten. Voor deze melding is de instemming van de andere gezamenlijke verwerkingsverantwoordelijken niet vereist.

De werkwijzen van de gezamenlijke verwerkingsverantwoordelijken beletten niet dat de gezamenlijke verwerkingsverantwoordelijken samenwerken met hun respectieve bevoegde toezichthoudende autoriteit die op grond van Verordening (EU) 2016/679 en Verordening (EU) 2018/1725 is opgericht.

10.

Uitsluitend door elke gezamenlijke verwerkingsverantwoordelijke gemachtigde personen hebben toegang tot de uitgewisselde persoonsgegevens.

11.

Elke gezamenlijke verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. De gezamenlijke verwerkingsverantwoordelijkheid wordt in dat register vermeld.

Onderafdeling 3

Verantwoordelijkheden en rollen voor het behandelen van verzoeken en voor het informeren van betrokkenen

Elke verwerkingsverantwoordelijke verstrekt informatie aan natuurlijke personen wier gegevens worden verwerkt voor gezamenlijke onderzoeken en activiteiten van de digitaledienstenraad in het kader van toezicht, onderzoek, handhaving en monitoring met betrekking tot diensten die binnen het toepassingsgebied van Verordening (EU) 2022/2065 vallen, in overeenstemming met artikel 14 van Verordening (EU) 2016/679, tenzij dit onmogelijk blijkt of onevenredig veel moeite kost.

Elke verwerkingsverantwoordelijke treedt op als contactpunt voor natuurlijke personen wier persoonsgegevens hij heeft verwerkt, en behandelt de verzoeken die betrokkenen of hun vertegenwoordigers in het kader van de uitoefening van hun rechten overeenkomstig Verordening (EU) 2016/679 indienen. Indien een gezamenlijke verwerkingsverantwoordelijke een verzoek van een betrokkene ontvangt dat betrekking heeft op de verwerking door een andere gezamenlijke verwerkingsverantwoordelijke, stelt hij de betrokkene in kennis van de identiteit en de contactgegevens van de verantwoordelijke gezamenlijke verwerkingsverantwoordelijke. De gezamenlijke verwerkingsverantwoordelijken verlenen elkaar op onderling verzoek bijstand bij het behandelen van verzoeken van betrokkenen en beantwoorden elkaar onverwijld, en uiterlijk binnen één maand na ontvangst van een verzoek om bijstand.

Elke verwerkingsverantwoordelijke stelt de inhoud van deze bijlage ter beschikking van de betrokkenen.

AFDELING 2

Beheer van beveiligingsincidenten, met inbegrip van inbreuken in verband met persoonsgegevens

De gezamenlijke verwerkingsverantwoordelijken verlenen elkaar bijstand bij de identificatie en behandeling van beveiligingsincidenten, met inbegrip van inbreuken in verband met persoonsgegevens, die verband houden met de verwerking in AGORA.

De gezamenlijke verwerkingsverantwoordelijken stellen elkaar met name in kennis van:

a)	alle potentiële of feitelijke risico’s voor de beschikbaarheid, de vertrouwelijkheid en/of de integriteit van de persoonsgegevens die in AGORA worden verwerkt;

alle inbreuken in verband met persoonsgegevens, de waarschijnlijke gevolgen van die inbreuken en de beoordeling van het risico voor de rechten en vrijheden van natuurlijke personen, alsmede alle maatregelen die zijn genomen om de inbreuken in verband met persoonsgegevens aan te pakken en het risico voor de rechten en vrijheden van natuurlijke personen te beperken, en

c)	alle inbreuken op de technische en/of organisatorische waarborgen van de verwerking in AGORA.

De gezamenlijke verwerkingsverantwoordelijken melden, overeenkomstig de artikelen 33 en 34 van Verordening (EU) 2016/679 of na kennisgeving door de Commissie, alle inbreuken in verband met de verwerking in AGORA aan de Commissie, aan de bevoegde toezichthoudende autoriteiten voor gegevensbescherming en, in voorkomend geval, aan de betrokkenen.

Elke verwerkingsverantwoordelijke neemt passende technische en organisatorische maatregelen om:

a)	de beschikbaarheid, de integriteit en de vertrouwelijkheid van de gezamenlijk verwerkte persoonsgegevens te waarborgen en te beschermen;

b)	persoonsgegevens in zijn bezit te beschermen tegen ongeoorloofde of onrechtmatige verwerking, verlies, gebruik, openbaarmaking, verkrijging of toegang, en

c)	te waarborgen dat de persoonsgegevens niet algemeen toegankelijk zijn of toegankelijk zijn voor anderen dan de ontvangers of de verwerker.

AFDELING 3

Effectbeoordeling van gegevensbescherming

Indien een verwerkingsverantwoordelijke informatie van een andere verwerkingsverantwoordelijke of van de verwerker nodig heeft om te voldoen aan zijn verplichtingen op grond van de artikelen 35 en 36 van Verordening (EU) 2016/679, zendt hij een specifiek verzoek naar de in afdeling 1, onderafdeling 2, punt 4, bedoelde functionele mailbox. De verwerkingsverantwoordelijke of verwerker aan wie het verzoek wordt gericht, stelt alles in het werk om deze informatie te verstrekken.

BIJLAGE II

Verantwoordelijkheden van de Commissie als verwerker voor gegevensverwerkingsactiviteiten in het kader van AGORA door digitaledienstencoördinatoren, andere nationale autoriteiten en de digitaledienstenraad

De Commissie:

zet namens de digitaledienstencoördinatoren, andere nationale autoriteiten en de digitaledienstenraad een beveiligde en betrouwbare communicatie-infrastructuur — AGORA — op, die de uitwisseling van informatie voor gecoördineerde onderzoeken, coherentiemechanismen en activiteiten van de digitaledienstenraad ondersteunt, en waarborgt deze, en

verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijken en gezamenlijke verwerkingsverantwoordelijken, tenzij Unierechtelijke of lidstaatrechtelijke bepalingen haar tot verwerking verplicht; in dat geval stelt de Commissie de verwerkingsverantwoordelijken en gezamenlijke verwerkingsverantwoordelijken vóór de verwerkingsactiviteit in kennis van dat wettelijke voorschrift, tenzij die wetgeving kennisgeving van dergelijke informatie om gewichtige redenen van algemeen belang verbiedt.

Om haar verplichtingen als verwerker voor de digitaledienstencoördinatoren, andere nationale autoriteiten en de digitaledienstenraad na te komen, kan de Commissie derden als subverwerkers inzetten. In dat geval machtigen de verwerkingsverantwoordelijken en gezamenlijke verwerkingsverantwoordelijken de Commissie om zo nodig subverwerkers in te zetten of te vervangen. De Commissie stelt de verwerkingsverantwoordelijken en gezamenlijke verwerkingsverantwoordelijken in kennis van die inzet of vervanging van subverwerkers, zodat de verwerkingsverantwoordelijken en gezamenlijke verwerkingsverantwoordelijken bezwaar kunnen maken tegen dergelijke wijzigingen. De Commissie zorgt ervoor dat dezelfde verplichtingen inzake gegevensbescherming als uiteengezet in deze verordening van toepassing zijn op deze subverwerkers.

De verwerking door de Commissie omvat:

a)	authenticatie en toegangscontrole ten aanzien van alle AGORA-beheerders en -gebruikers;

b)	machtiging van AGORA-beheerders en -gebruikers om documenten en informatie in AGORA te creëren, bij te werken en te verwijderen;

ontvangst van de in artikel 12, lid 3, van deze verordening bedoelde persoonsgegevens die door nationale AGORA-gebruikers en -beheerders zijn geüpload door te voorzien in een applicatieprogramma-interface die nationale AGORA-gebruikers en -beheerders in staat stelt de relevante gegevens te uploaden;

d)	opslag van de persoonsgegevens in AGORA;

e)	het voor AGORA-beheerders en -gebruikers mogelijk maken toegang te krijgen tot de persoonsgegevens en deze te downloaden, en andere noodzakelijke gegevensverwerkingsactiviteiten;

f)	verwijdering van de persoonsgegevens op de vervaldatum of in opdracht van de verwerkingsverantwoordelijke die ze heeft ingediend;

g)	na de beëindiging van de dienstverlening, verwijdering van alle resterende persoonsgegevens, tenzij opslag van dergelijke persoonsgegevens Unierechtelijk of lidstaatrechtelijk verplicht is.

De Commissie neemt alle geavanceerde organisatorische, fysieke en logische beveiligingsmaatregelen om de werking van AGORA te waarborgen. Hiertoe zal de Commissie:

a)	een verantwoordelijke entiteit aanwijzen voor het beveiligingsbeheer van AGORA, de gezamenlijke verwerkingsverantwoordelijken in kennis stellen van de contactgegevens van de entiteit en ervoor zorgen dat deze beschikbaar is om te reageren op bedreigingen voor de beveiliging;

b)	de verantwoordelijkheid voor de beveiliging van AGORA op zich nemen, onder meer door regelmatig tests, evaluaties en beoordelingen van de beveiligingsmaatregelen uit te voeren;

c)	ervoor zorgen dat AGORA-beheerders en -gebruikers aan wie toegang tot AGORA is verleend, onderworpen zijn aan een contractuele, professionele of wettelijke verplichting tot vertrouwelijkheid.

De Commissie neemt alle nodige beveiligingsmaatregelen om te voorkomen dat de goede werking van AGORA in het gedrang komt. Dit omvat:

a)	risicobeoordelingsprocedures om potentiële bedreigingen van AGORA te identificeren en in te schatten;

een audit- en evaluatieprocedure om:

—	de overeenstemming tussen de uitgevoerde beveiligingsmaatregelen en het toepasselijke beveiligingsbeleid te controleren;

—	regelmatig de integriteit van de AGORA-bestanden, de beveiligingsparameters en de verleende machtigingen te controleren;

—	beveiligingsinbreuken op AGORA op te sporen;

—	wijzigingen door te voeren om bestaande zwakke punten in AGORA te verhelpen;

—

de voorwaarden vast te stellen voor het toestaan, onder meer op verzoek van verwerkingsverantwoordelijken, van en het leveren van een bijdrage aan de uitvoering van onafhankelijke audits, met inbegrip van inspecties, en evaluaties van de beveiligingsmaatregelen, onder voorwaarden die Protocol nr. 7 bij het Verdrag betreffende de werking van de Europese Unie, betreffende de voorrechten en immuniteiten van de Europese Unie, in acht nemen;

de controleprocedure wijzigen om de gevolgen van een wijziging vóór de uitvoering ervan te documenteren en te meten, en de verwerkingsverantwoordelijken en gezamenlijke verwerkingsverantwoordelijken op de hoogte houden van wijzigingen die van invloed kunnen zijn op de communicatie met en/of de beveiliging van AGORA;

d)	een onderhouds- en reparatieprocedure vaststellen om de na te leven regels en voorwaarden voor het onderhoud en/of de reparatie van AGORA te specificeren;

een procedure voor beveiligingsincidenten vaststellen om het meldings- en escalatiesysteem vast te stellen, de getroffen verwerkingsverantwoordelijken onverwijld in kennis te stellen, de verwerkingsverantwoordelijken onverwijld te informeren zodat zij de nationale toezichthoudende autoriteiten voor gegevensbescherming op de hoogte kunnen stellen van eventuele inbreuken in verband met persoonsgegevens, en een disciplinair proces vast te stellen om beveiligingsinbreuken op AGORA aan te pakken.

De Commissie neemt geavanceerde materiële en logische beveiligingsmaatregelen voor de installaties waar AGORA is ondergebracht en voor de controles van gegevens en de beveiligde toegang daartoe. Hiertoe zal de Commissie:

a)	fysieke beveiliging handhaven om afzonderlijke beveiligingszones op te stellen en de opsporing van inbreuken op AGORA mogelijk te maken;

b)	de toegang tot AGORA-installaties controleren en met het oog op de traceerbaarheid een register van AGORA-bezoekers bijhouden;

c)	ervoor zorgen dat externe personen die toegang krijgen tot gebouwen, worden begeleid door naar behoren gemachtigd personeel;

d)	ervoor zorgen dat apparatuur niet kan worden toegevoegd, vervangen of verwijderd zonder voorafgaande machtiging van de aangewezen verantwoordelijke instanties;

e)	de toegang vanuit en tot AGORA controleren;

f)	ervoor zorgen dat AGORA-beheerders en -gebruikers die toegang hebben tot AGORA geïdentificeerd en geauthenticeerd worden;

g)	de machtiging met betrekking tot de toegang tot AGORA herzien in geval van een inbreuk op de beveiliging die gevolgen heeft voor AGORA;

h)	de integriteit van de via AGORA doorgegeven informatie bewaren;

i)	technische en organisatorische beveiligingsmaatregelen uitvoeren om ongeoorloofde toegang tot persoonsgegevens in AGORA te voorkomen;

j)	waar nodig maatregelen treffen om ongeoorloofde toegang tot AGORA te blokkeren (d.w.z. een locatie/IP-adres blokkeren).

De Commissie:

a)	onderneemt stappen om haar domein te beschermen, met inbegrip van het verbreken van verbindingen, in geval van een aanzienlijke afwijking van de kwaliteits- en beveiligingsbeginselen en -concepten;

b)	houdt een risicobeheerplan in stand dat betrekking heeft op het gebied waarvoor zij verantwoordelijk is;

c)	monitort, in real time, de prestaties van alle dienstencomponenten van AGORA, produceert regelmatig statistieken en registreert gegevens;

d)	biedt AGORA-beheerders en -gebruikers Engelstalige ondersteuning inzake AGORA;

staat de verwerkingsverantwoordelijken en gezamenlijke verwerkingsverantwoordelijken bij door middel van passende technische en organisatorische maatregelen in de naleving van hun verplichting om te antwoorden op verzoeken tot uitoefening van de rechten van betrokkenen, zoals vastgesteld in hoofdstuk III van Verordening (EU) 2016/679;

f)	ondersteunt de verwerkingsverantwoordelijken en gezamenlijke verwerkingsverantwoordelijken door informatie over AGORA te verstrekken, teneinde de verplichtingen uit hoofde van de artikelen 32, 33, 34, 35 en 36 van Verordening (EU) 2016/679 na te leven;

g)	zorgt ervoor dat de gegevens die binnen AGORA worden verwerkt, onbegrijpelijk zijn voor onbevoegden;

h)	neemt alle relevante maatregelen om ongeoorloofde toegang tot via AGORA doorgegeven persoonsgegevens te voorkomen;

i)	neemt maatregelen om de communicatie tussen de verwerkingsverantwoordelijken en de gezamenlijke verwerkingsverantwoordelijken te vergemakkelijken;

j)	houdt overeenkomstig artikel 31, lid 2, van Verordening (EU) 2018/1725 een register bij van de verwerkingsactiviteiten die zij ten behoeve van de verwerkingsverantwoordelijken en gezamenlijke verwerkingsverantwoordelijken heeft verricht.

ELI: http://data.europa.eu/eli/reg_impl/2024/607/oj

ISSN 1977-0758 (electronic edition)

Top

Choose the experimental features you want to try