TOELICHTING

1.ACHTERGROND VAN DE GEDELEGEERDE HANDELING

Op 16 november 2022 is Verordening (EU) 2022/2065 van het Europees Parlement en de Raad, de digitaledienstenverordening (DSA) 1 in werking getreden. Die verordening voorziet in een geharmoniseerd rechtskader dat van toepassing is op alle onlinetussenhandeldiensten die in de Unie worden aangeboden, en heeft tot doel een veiligere digitale ruimte tot stand te brengen waarin de grondrechten doeltreffend worden beschermd.

Verordening (EU) 2022/2065 omvat specifieke verplichtingen voor aanbieders van zeer grote onlineplatforms en zeer grote onlinezoekmachines, die evenredig zijn aan hun specifieke rol en hun impact op de samenleving in de Unie. De verplichtingen die aan die aanbieders worden opgelegd, beogen hun openbare verantwoording te vergroten en omvatten de verplichting om openbare reclameregisters bij te houden, om ten minste eenmaal per jaar rapporten te publiceren over de resultaten van hun beoordeling van eventuele systeemrisico’s die voortvloeien uit het ontwerp, de werking of het gebruik van hun dienst en de bijbehorende systemen, en over de risicobeperkende maatregelen die zij hebben genomen, alsmede rapporten die voortvloeien uit onafhankelijke nalevingsaudits.

Op grond van artikel 40 van Verordening (EU) 2022/2065 moeten aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines toegang verlenen tot de gegevens waarover zij beschikken met het oog op het regulerend toezicht, het onderzoek en de controle waarmee wordt bijgedragen tot het opsporen, vaststellen en begrijpen van systeemrisico’s in de Unie en tot de beoordeling van de adequaatheid, efficiëntie en effecten van de risicobeperkende maatregelen die die aanbieders op grond van die verordening moeten nemen. Het effect van deze bepaling is tweeledig: onderzoekers die aan de voorwaarden van de bepaling voldoen, profiteren van toegang tot voorheen niet of onvoldoende openbaar gemaakte gegevens, waardoor nieuwe onderzoekskansen worden geboden en aanvullende kennis van algemeen nut kan worden gegenereerd. Tegelijkertijd zullen de verworven inzichten een bijdrage leveren aan het werk van de bevoegde autoriteiten bij de uitvoering van hun toezicht- en handhavingstaken, met inbegrip van de beoordeling van de stappen die aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines hebben ondernomen om aan hun verplichtingen uit hoofde van Verordening (EU) 2022/2065 te voldoen.

Op grond van artikel 40, lid 13, van Verordening (EU) 2022/2065 stelt de Commissie gedelegeerde handelingen vast tot aanvulling van die verordening door de technische voorwaarden vast te stellen waaronder aanbieders van zeer grote onlineplatforms of van zeer grote onlinezoekmachines krachtens artikel 40, leden 1 en 4, van Verordening (EU) 2022/2065 gegevens moeten delen, alsmede de doeleinden waarvoor de gegevens mogen worden gebruikt. Daarnaast bepaalt dat artikel dat die gedelegeerde handelingen voorzien in de specifieke voorwaarden waaronder een dergelijke deling van gegevens met onderzoekers overeenkomstig Verordening (EU) 2016/679 kan plaatsvinden, alsmede in relevante objectieve indicatoren, procedures en, in voorkomend geval, onafhankelijke adviesmechanismen ter ondersteuning van het delen van gegevens, rekening houdend met de rechten en belangen van de aanbieders van zeer grote onlineplatforms of van zeer grote onlinezoekmachines en de afnemers van de betrokken dienst, met inbegrip van de bescherming van vertrouwelijke informatie, met name handelsgeheimen, en de handhaving van de beveiliging van hun dienst.

Deze gedelegeerde handeling specificeert de procedures en technische voorwaarden voor het verlenen van toegang tot gegevens op grond van artikel 40, lid 4, van Verordening (EU) 2022/2065. Gezien de belangrijke rol die onderzoekers kunnen spelen bij het opsporen, vaststellen en begrijpen van systeemrisico’s in de Unie en bij de beoordeling van de adequaatheid, efficiëntie en effecten van risicobeperkende maatregelen die aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines op grond van die verordening moeten nemen, wordt met deze gedelegeerde handeling beoogd te zorgen voor een doeltreffende en geharmoniseerde toepassing van de bepaling inzake de regulering van de toegang tot gegevens voor erkende onderzoekers op grond van Verordening (EU) 2022/2065.

De in deze gedelegeerde handeling vastgestelde regels bouwen voort op bestaande praktijken voor het verkrijgen van toegang tot gegevens van aanbieders van zeer grote onlineplatforms of van zeer grote onlinezoekmachines, die op vrijwillige basis zijn opgezet. Gezien het innovatieve karakter van het in artikel 40, lid 4, van Verordening (EU) 2022/2065 neergelegde mechanisme waarbij verschillende actoren betrokken zijn, namelijk onderzoekers, digitaledienstencoördinatoren en aanbieders van zeer grote onlineplatforms of van zeer grote onlinezoekmachines, worden specifieke procedures vastgesteld om betrouwbare, consistente en uniforme praktijken te ontwikkelen, en de rechten en belangen van alle betrokken actoren te beschermen.

In de gedelegeerde handeling zijn met name de procedures uiteengezet die de digitaledienstencoördinatoren moeten volgen voor de formulering van gemotiveerde verzoeken om gegevenstoegang aan aanbieders van zeer grote onlineplatforms of van zeer grote onlinezoekmachines. Daarbij worden in deze gedelegeerde handeling ook de procedures voor het beheer van het gegevenstoegangsproces verduidelijkt en geharmoniseerd, en wordt het DSA-gegevenstoegangsportaal opgericht, om de verschillende stappen binnen dat proces te onderbouwen. Bovendien worden in de gedelegeerde handeling de juridische, organisatorische en technische voorwaarden uiteengezet waarmee de digitaledienstencoördinator van de plaats van vestiging rekening moet houden bij het bepalen van de passende toegangsvoorwaarden voor de verlening van toegang tot gegevens. Daartoe worden in de gedelegeerde handeling regels uiteengezet voor de interacties tussen de digitaledienstencoördinator van de plaats van vestiging en de aanbieders van zeer grote onlineplatforms of van zeer grote onlinezoekmachines bij de verwerking van het gemotiveerde verzoek om gegevenstoegang.

De gedelegeerde handeling is gericht op het tot stand brengen van een consistent en uniform gegevenstoegangsproces voor erkende onderzoekers, waarmee de rechten en belangen van de betrokkenen worden beschermd en tegelijkertijd adequate waarborgen tegen iedere vorm van misbruik worden geboden.

2.RAADPLEGING VOORAFGAAND AAN DE AANNEMING VAN DE HANDELING

Gedurende de twee jaar voorafgaand aan de vaststelling van deze gedelegeerde handeling heeft de Commissie standpunten verzameld van een brede groep belanghebbenden, waaronder aanbieders van digitale diensten, zoals aanbieders van zeer grote onlineplatforms of van zeer grote zoekmachines, aanbieders van andere onlineplatforms en andere aanbieders van tussenhandeldiensten, andere bedrijven, maatschappelijke organisaties, evenals een deskundigengroep van academici en onderzoekers.

Daarnaast heeft de Commissie van 25 april tot en met 31 mei 2023 een openbaar verzoek om input gedaan. Hierop werden 133 bijdragen ontvangen, waarmee input werd verzameld over de behoefte aan gegevenstoegang van onderzoekers, aanbieders van onlineplatforms, maatschappelijke organisaties en andere belanghebbenden. De oproep had ook betrekking op operationele aspecten van de gegevenstoegang, zoals procedurele en technische vereisten voor aanvragen voor gegevenstoegang.

De Commissie heeft ook gerichte raadplegingen gehouden onder gespecialiseerde belanghebbenden op het gebied van onderzoek en toegang tot gegevens, waaronder digitaledienstencoördinatoren, teneinde verdere technische inzichten te verzamelen en na te gaan welke gebieden baat zouden hebben bij verdere specificatie in deze gedelegeerde handeling. Academici, actoren uit het maatschappelijk middenveld en aanbieders van tussenhandeldiensten zijn geraadpleegd.

Verder heeft de Commissie van 29 oktober 2024 tot en met 10 december 2024 een ontwerp van deze gedelegeerde handeling gepubliceerd voor feedback van het publiek. Naar aanleiding hiervan zijn 109 bijdragen ontvangen, voornamelijk van onderzoekers, digitaledienstencoördinatoren en bedrijven.

Deze gedelegeerde handeling gaat in op de belangrijkste punten die door de belanghebbenden aan de orde zijn gesteld om te zorgen voor een efficiënt en geharmoniseerd proces in het kader waarvan bij het verlenen van toegang tot gegevens voor erkende onderzoekers zoals vereist bij Verordening (EU) 2022/2065, de rechten en belangen van alle betrokken actoren tegen elkaar worden afgewogen.

3.JURIDISCHE ELEMENTEN VAN DE GEDELEGEERDE HANDELING

ELEMENTEN VAN DE GEDELEGEERDE HANDELING

In hoofdstuk I worden de algemene bepalingen uiteengezet, namelijk het onderwerp van de gedelegeerde handeling (artikel 1) en de definities van belangrijke termen (artikel 2).

In hoofdstuk II worden de informatie- en contactverplichtingen met betrekking tot het gegevenstoegangsproces uiteengezet. Allereerst voorziet het hoofdstuk in het DSA-gegevenstoegangsportaal (artikel 3), en vervolgens worden de rollen en verantwoordelijkheden voor de verwerking van persoonsgegevens in het DSA-gegevenstoegangsportaal (artikel 4) en de regels voor de verwerking van persoonsgegevens in het DSA-gegevenstoegangsportaal (artikel 5) uiteengezet. Ten slotte worden vereisten met betrekking tot de contactpunten en de voorlichting van het publiek over het gegevenstoegangsproces (artikel 6) uiteengezet.

In hoofdstuk III zijn de vereisten met betrekking tot de formulering en verwerking van gemotiveerde verzoeken om gegevenstoegang neergelegd. Het bevat details over de formulering van een gemotiveerd verzoek om gegevenstoegang door de digitaledienstencoördinator van de plaats van vestiging op grond van artikel 40, lid 4, van Verordening (EU) 2022/2065 (artikel 7), de eerste vereisten voor de formulering van een gemotiveerd verzoek om gegevenstoegang (artikel 8), de geschiktheid van de toegangsvoorwaarden als waarborg voor de naleving van de vereisten inzake gegevensbeveiliging, vertrouwelijkheid en bescherming van persoonsgegevens met betrekking tot de gevraagde gegevens (artikel 9), alsmede de inhoud van het gemotiveerde verzoek om gegevenstoegang (artikel 10). Vervolgens worden de vereisten voor de publicatie van een overzicht van het gemotiveerde verzoek om gegevenstoegang in het DSA-gegevenstoegangsportaal (artikel 11), de procedures voor de behandeling van wijzigingsverzoeken die door aanbieders van zeer grote onlineplatforms of van zeer grote onlinezoekmachines op grond van artikel 40, lid 5, van Verordening (EU) 2022/2065 (artikel 12) worden ingediend, en een bemiddelingsproces (artikel 13) uiteengezet. Ten slotte worden de voorwaarden voor raadpleging van onafhankelijke deskundigen vastgesteld (artikel 14).

Hoofdstuk IV bevat een bepaling over de voorwaarden voor het verlenen van toegang tot de gevraagde gegevens aan erkende onderzoekers door nadere gegevens te verstrekken over de vereisten inzake gegevensbeheer en gegevensdocumentatie waaraan gegevensaanbieders moeten voldoen wanneer zij toegang tot gegevens verlenen (artikel 15).

Tot slot bevat hoofdstuk V de slotbepalingen met betrekking tot de inwerkingtreding van deze gedelegeerde handeling (artikel 16).

GEDELEGEERDE VERORDENING (EU) …/... VAN DE COMMISSIE

van 1.7.2025

tot aanvulling van Verordening (EU) 2022/2065 van het Europees Parlement en de Raad door vaststelling van de technische voorwaarden en procedures op grond waarvan aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines gegevens moeten delen met erkende onderzoekers

(Voor de EER relevante tekst)

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) 2022/2065 van het Europees Parlement en de Raad van 19 oktober 2022 betreffende een eengemaakte markt voor digitale diensten en tot wijziging van Richtlijn 2000/31/EG 2 , en met name artikel 40, lid 13,

Overwegende hetgeen volgt:

(1)In artikel 40 van Verordening (EU) 2022/2065 zijn regels vastgesteld betreffende de door aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines te verlenen toegang tot gegevens. Met name stelt het artikel onderzoekers die een proces hebben doorlopen waarbij zij hebben aangetoond te voldoen aan de voorwaarden van lid 8 van dat artikel (“erkende onderzoekers”), in staat om een dergelijke toegang te krijgen. 

(2)Op grond van artikel 40, lid 4, van Verordening (EU) 2022/2065 moeten erkende onderzoekers toegang tot gegevens krijgen om systeemrisico’s in de Unie te kunnen onderzoeken en de doeltreffendheid van maatregelen voor het beperken van die risico’s te kunnen beoordelen. Hun bevindingen kunnen waardevolle input vormen voor de handhaving van Verordening (EU) 2022/2065, alsmede de verantwoording van aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines bevorderen. Het doel van de onderhavige verordening is het vastleggen van de technische voorwaarden en procedures die nodig zijn om een dergelijke toegang mogelijk te maken op een veilige en efficiënte manier die consistent is voor alle digitaledienstencoördinatoren, en op een wijze die een gelijke behandeling van onderzoekers en gegevensaanbieders waarborgt.

(3)Om ervoor te zorgen dat het gegevenstoegangsproces bij alle digitaledienstencoördinatoren consistent is en om dat proces voor iedereen duidelijk en transparant te maken, moet er een specifieke digitale infrastructuur (“het DSA-gegevenstoegangsportaal”) worden opgezet. Het DSA-gegevenstoegangsportaal moet onderzoekers, gegevensaanbieders en digitaledienstencoördinatoren in staat stellen aan het gegevenstoegangsproces deel te nemen, toegang tot relevante informatie, zoals de details van de specifieke contactpunten, te krijgen en deze informatie te verspreiden, alsmede met elkaar te communiceren. Het DSA-gegevenstoegangsportaal mag niet worden beschouwd als een van de toegangsvoorwaarden voor het verlenen van toegang tot de gegevens op grond van een gemotiveerd verzoek.

(4)Gegevensaanbieders en onderzoekers die aan het gegevenstoegangsproces willen deelnemen, moeten voor dat doel een account op het DSA-gegevenstoegangsportaal aanmaken. Om ervoor te zorgen dat digitaledienstencoördinatoren toegang kunnen krijgen tot informatie die via het DSA-gegevenstoegangsportaal is ingediend zonder dat zij hiervoor een afzonderlijke account op het portaal hoeven aan te maken, moet het DSA-gegevenstoegangsportaal interoperabel zijn met het bij Uitvoeringsverordening (EU) 2024/607 van de Commissie 3 ingestelde informatie-uitwisselingssysteem AGORA.

(5)Om de transparantie van het gegevenstoegangsproces voor alle betrokken partijen te waarborgen en de doeltreffendheid en efficiëntie van het gegevenstoegangsproces en de naleving van artikel 40, lid 4, van Verordening (EU) 2022/2065 en de onderhavige verordening te bewaken, moet het DSA-gegevenstoegangsportaal automatische kennisgevingen met betrekking tot verschillende stappen en actualiseringen van het proces genereren.

(6)Om onderzoekers consistente informatie over het gegevenstoegangsproces te verstrekken, moeten digitaledienstencoördinatoren op hun online-interfaces informatie over het gegevenstoegangsproces beschikbaar stellen en gemakkelijk toegankelijk maken, waaronder links naar het DSA-gegevenstoegangsportaal. Om onnodige administratieve lasten te voorkomen, de efficiëntie te verhogen en de communicatie tussen alle betrokken partijen bij het gegevenstoegangsproces te vergemakkelijken, worden digitaledienstencoördinatoren aangemoedigd het beheer van informatie met betrekking tot het gegevenstoegangsproces te vergemakkelijken, ook vanuit taalkundig oogpunt.

(7)Om onderzoekers in staat te stellen de relevante gegevens voor de doeleinden van artikel 40, lid 4, van Verordening (EU) 2022/2065 in kaart te brengen, moeten gegevensaanbieders DSA-gegevenscatalogi voor hun diensten beschikbaar stellen. Dergelijke catalogi moeten gemakkelijk vindbaar en toegankelijk zijn op de online-interfaces van gegevensaanbieders, en moeten een beschrijving bevatten van de beschikbare gegevensverzamelingen, hun gegevensstructuur en metagegevens, waartoe op grond van artikel 40, lid 4, van Verordening (EU) 2022/2065 om toegang kan worden verzocht. Bij het beschikbaar stellen van de DSA-gegevenscatalogi moeten gegevensaanbieders rekening houden met risico’s voor de vertrouwelijkheid, gegevensbeveiliging of bescherming van persoonsgegevens die mogelijk voortvloeien uit het openbaar maken van dergelijke informatie.

(8)Om bij te dragen aan de ontwikkeling van relevante onderzoeksprojecten voor de doeleinden van artikel 40, lid 4, van Verordening (EU) 2022/2065, moeten de DSA-gegevenscatalogi met name gegevens bevatten over de systeemrisico’s in de Unie die gegevensaanbieders in hun jaarlijkse risicobeoordelingen overeenkomstig artikel 34 van die verordening hebben geïdentificeerd, evenals gegevens met betrekking tot eventuele risicobeperkende maatregelen als bedoeld in artikel 35 van die verordening. Om de relevantie en tijdigheid van de DSA-gegevenscatalogi te waarborgen, moeten die catalogi regelmatig worden bijgewerkt, waarbij terdege rekening moet worden gehouden met nieuw vastgestelde systeemrisico’s en de evolutie bij de systeemrisico’s. Zij moeten bijvoorbeeld ingaan op nieuwe risico’s die zijn vastgesteld naar aanleiding van een ad-hocrisicobeoordeling overeenkomstig artikel 34 van Verordening (EU) 2022/2065 of een auditverslag overeenkomstig artikel 37 van die verordening. Om de procedurele lasten voor de gegevensaanbieders tot een minimum te beperken, kunnen dergelijke catalogi in voorkomend geval worden gebaseerd op bestaande gegevensdocumentatiebronnen die worden gebruikt voor andere doeleinden en doelgroepen, zoals reclame, de creatie van inhoud, of de ontwikkeling van apps van derden. De DSA-gegevenscatalogi hoeven niet uitputtend te zijn en mogen de aanvragende onderzoekers derhalve evenmin binden of beperken bij hun aanvragen voor gegevenstoegang.

(9)Om de vaststelling van de toegangsvoorwaarden door de digitaledienstencoördinator van de plaats van vestiging te vergemakkelijken en de totale lasten van het gegevenstoegangsproces voor alle betrokken actoren te verminderen, moeten gegevensaanbieders hun voorgestelde voorwaarden voor toegang tot de in de DSA-gegevenscatalogi beschreven gegevens publiceren. Deze voorgestelde toegangsvoorwaarden moeten in verhouding staan tot de gevoeligheid van de gegevens en informatie bevatten over de mogelijke technische, organisatorische en juridische voorwaarden die de gegevensaanbieders passend achten om de verstrekking van de gegevens mogelijk te maken. De door gegevensaanbieders voorgestelde toegangsvoorwaarden mogen niet bindend zijn voor digitaledienstencoördinatoren van de plaats van vestiging, die bevoegd moeten blijven om de passende toegangsvoorwaarden vast te stellen.

(10)Om ervoor te zorgen dat aanvragen voor gegevenstoegang gelijk worden behandeld, onafhankelijk van de digitaledienstencoördinator waarbij de aanvraag voor gegevenstoegang wordt ingediend of waarvan het gemotiveerde verzoek afkomstig is, moet de termijn voor de formulering van gemotiveerde verzoeken worden gespecificeerd om voor consistentie over alle digitaledienstencoördinatoren te zorgen. Indien de formulering van het gemotiveerde verzoek extra tijd vergt, moet de digitaledienstencoördinator van de plaats van vestiging de hoofdonderzoeker daarvan in kennis stellen, met opgave van de redenen voor de vertraging. Mogelijke redenen zijn onder andere de noodzaak van aanvullende verificaties door de digitaledienstencoördinator van de onderzoeksorganisatie of van de vestiging, bijvoorbeeld wanneer aanvragen voor gegevenstoegang internationale gegevensdoorgiften impliceren of wanneer de digitaledienstencoördinator van de plaats van vestiging potentiële risico’s voor de veiligheid van de Unie heeft vastgesteld indien de gegevens zouden worden gedeeld. Om ook de stappen in het gegevenstoegangsproces voorafgaand aan de formulering van gemotiveerde verzoeken op elkaar af te stemmen, met inbegrip van de beoordeling van aanvragen voor gegevenstoegang en de toekenning van de status van erkende onderzoeker, worden digitaledienstencoördinatoren aangemoedigd om in het kader van de Europese Raad voor digitale diensten een consistente en gecoördineerde werkwijze te ontwikkelen, met inbegrip van gemeenschappelijke operationele criteria.

(11)Om de procedures voor de formulering van gemotiveerde verzoeken te stroomlijnen, moeten alle digitaledienstencoördinatoren van de plaats van vestiging worden verplicht om te controleren of bepaalde gemeenschappelijke elementen van het gegevenstoegangsproces naar behoren aan bod zijn gekomen in de aanvragen voor gegevenstoegang. Daartoe moeten de digitaledienstencoördinatoren van de plaats van vestiging controleren of alle aanvragende onderzoekers die in de aanvraag voor gegevenstoegang worden vermeld, hebben aangetoond dat zij aangesloten zijn bij een onderzoeksorganisatie, bijvoorbeeld door overlegging van schriftelijke bewijzen van een arbeidsovereenkomst of enige andere juridische band met de onderzoeksorganisatie. De digitaledienstencoördinatoren van de plaats van vestiging moeten ook controleren of de aanvragende onderzoekers hun onafhankelijkheid van commerciële belangen hebben aangetoond, bijvoorbeeld door middel van een daartoe strekkende verklaring.

(12)De digitaledienstencoördinator van de plaats van vestiging moet controleren of de financiering van het onderzoeksproject waarvoor de gegevens worden aangevraagd, bekend is gemaakt in de aanvraag voor gegevenstoegang. De door de aanvragende onderzoekers verstrekte informatie moet details over de bijdragen bevatten, zoals de financierende entiteit, het bedrag, de aard en de duur van de financiële bijdrage, onder meer of de financiering reeds is toegekend dan wel of de aanvraag tot financiering nog wordt geëvalueerd, alsmede, in voorkomend geval, relevante verwijzingen naar door de Unie gefinancierde projecten. Indien beschikbaar, moet de aanvraag voor gegevenstoegang ook de resultaten bevatten van evaluaties die zijn uitgevoerd door de entiteit of entiteiten die de financiering verstrekken.

(13)De digitaledienstencoördinator van de plaats van vestiging moet controleren of in de aanvraag voor gegevenstoegang is beschreven hoe de gegevens en het gegevensformaat zijn geselecteerd, in het licht van de vereisten van noodzakelijkheid voor, en evenredigheid met het doel van het beoogde onderzoek. Indien de gevraagde gegevens ook beschikbaar zijn via andere bronnen, moet de digitaledienstencoördinator van de plaats van vestiging beoordelen of het verzoek om dergelijke gegevens in de aanvraag voor gegevenstoegang naar behoren is gemotiveerd, rekening houdend met de informatie in de aanvraag voor gegevenstoegang. Als mogelijke rechtvaardiging kan worden aangetoond dat dergelijke gegevens uit andere bronnen van slechte kwaliteit of onbetrouwbaar zijn of alleen in een ongeschikt formaat voor de doeleinden van het onderzoeksproject kunnen worden opgevraagd, hetgeen de uitvoering van het onderzoeksproject zou belemmeren. Gegevens die kunnen worden opgevraagd om systeemrisico’s of de beperking ervan in de Unie te onderzoeken, kunnen in de toekomst een sterke ontwikkeling doormaken. Actuele voorbeelden van dergelijke gegevens zijn onder meer gegevens over de gebruikers van de diensten, zoals profielinformatie, relatienetwerken, blootstelling aan inhoud op individueel niveau, en de geschiedenis van de betrokkenheid; interactiegegevens zoals commentaren of andere manieren waarop de gebruiker met de dienst in aanraking is gekomen; gegevens met betrekking tot inhoudelijke aanbevelingen, waaronder gegevens die zijn gebruikt om aanbevelingen te personaliseren; gegevens met betrekking tot de targeting van reclame en profilering, waaronder gegevens over de kosten per klik en andere grondslagen voor meting van de reclameprijzen; gegevens met betrekking tot het testen van nieuwe functies voorafgaand aan hun introductie, waaronder de resultaten van A/B-tests; gegevens met betrekking tot inhoudsmoderatie en -beheer, zoals gegevens over algoritmische of andere systemen en processen voor inhoudsmoderatie, waaronder wijzigingenlogboeken, archieven of registers waarin de gemodereerde inhoud wordt gedocumenteerd, met inbegrip van accounts, evenals gegevens met betrekking tot de prijzen, hoeveelheden en kenmerken van goederen of diensten die rechtstreeks of via tussenhandeldiensten door de gegevensaanbieder worden geleverd.

(14)De digitaledienstencoördinator van de plaats van vestiging moet controleren of de aanvraag voor gegevenstoegang voldoende informatie bevat waaruit blijkt dat de onderzoeker in staat is te voldoen aan de specifieke vereisten van vertrouwelijkheid, beveiliging en bescherming van persoonsgegevens met betrekking tot de gevraagde gegevens, de mogelijke risico’s in kaart brengt die voortvloeien uit de toegang tot en de verwerking van dergelijke gegevens ten behoeve van het onderzoek, en alle voorgestelde toegangsvoorwaarden documenteert, met inbegrip van de juridische, organisatorische en technische voorwaarden die zullen worden ingevoerd om vastgestelde risico’s tot een minimum te beperken, bijvoorbeeld door middel van een toezeggingsbrief van de onderzoeksorganisatie waarin de toegang wordt bevestigd tot middelen die relevante waarborgen kunnen vormen, of andere ondersteunende documenten.

(15)Indien er om persoonsgegevens wordt verzocht, moet de digitaledienstencoördinator van de plaats van vestiging controleren of de aanvraag voor gegevenstoegang informatie bevat over de rechtsgrond voor de verwerking van persoonsgegevens, waaronder bijzondere categorieën persoonsgegevens, indien van toepassing, en of die rechtsgrond in overeenstemming is met artikel 6, lid 1, punt e) of f), en, indien van toepassing, artikel 9, lid 2, punt g) of j), van Verordening (EU) 2016/679. Daarnaast moet de digitaledienstencoördinator van de plaats van vestiging controleren of uit de aanvraag voor gegevenstoegang blijkt dat de onderzoekers de risico’s voor de bescherming van persoonsgegevens in voldoende mate hebben beoordeeld. Dit kan bijvoorbeeld worden aangetoond door een gegevensbeschermingseffectbeoordeling in de zin van artikel 35 van die verordening. Om ervoor te zorgen dat persoonsgegevens in overeenstemming met Verordening (EU) 2016/679 kunnen worden geraadpleegd, moeten digitaledienstencoördinatoren de op grond van artikel 51 van die verordening opgerichte relevante toezichthoudende autoriteiten kunnen raadplegen, die bevoegd blijven om de naleving van Verordening (EU) 2016/679 te beoordelen.

(16)Om de formulering van het gemotiveerde verzoek te vergemakkelijken en de integriteit van de in de aanvraag voor gegevenstoegang opgenomen informatie te behouden, moet de digitaledienstencoördinator van de plaats van vestiging controleren of de aanvraag voor gegevenstoegang een samenvatting bevat. Een dergelijke samenvatting moet een overzicht bevatten van de informatie die deel zal uitmaken van het gemotiveerde verzoek, en gepubliceerd worden in het DSA-gegevenstoegangsportaal, in gevallen waarin de beoordeling van de aanvraag voor gegevenstoegang leidt tot de formulering van een gemotiveerd verzoek.

(17)Om ervoor te zorgen dat de door de digitaledienstencoördinator van de plaats van vestiging vastgestelde toegangsvoorwaarden toereikend zijn met het oog op de gevoeligheid van de specifieke gegevens die in een aanvraag voor gegevenstoegang worden opgevraagd, moet de digitaledienstencoördinator van de plaats van vestiging per geval een beoordeling uitvoeren op basis van de in de aanvraag voor gegevenstoegang verstrekte informatie. De in het gemotiveerde verzoek vastgestelde toegangsvoorwaarden moeten passend zijn om te voldoen aan de vereisten inzake de gegevensbeveiliging, vertrouwelijkheid van gegevens en bescherming van persoonsgegevens, en tegelijkertijd de verwezenlijking van de onderzoeksdoelstellingen van het onderzoeksproject mogelijk maken. De toegang tot de gegevens kan bijvoorbeeld plaatsvinden via datatransmissie naar de erkende onderzoekers via een passende interface en passende gegevensopslag; transmissie van de gegevens naar, en opslag in een beveiligde verwerkingsomgeving die wordt beheerd door de gegevensaanbieder of door een externe aanbieder waartoe erkende onderzoekers toegang hebben, maar waar geen datatransmissie naar de erkende onderzoekers plaatsvindt, of andere toegangsvoorwaarden die door de gegevensaanbieder opgezet of gefaciliteerd moeten worden. Bij het specificeren van de toegangsvoorwaarden moet de digitaledienstencoördinator van de plaats van vestiging ook alle juridische, technische of organisatorische voorwaarden vermelden waaraan de toegang moet worden onderworpen. In gevallen waarin de verlening van toegang gepaard gaat met een doorgifte van persoonsgegevens naar derde landen of internationale organisaties in de zin van hoofdstuk V van Verordening (EU) 2016/679, moeten de toegangsvoorwaarden ook informatie omvatten over de noodzaak om een passend doorgiftemechanisme in te stellen om ervoor te zorgen dat de gegevensaanbieder de nodige maatregelen neemt om aan die verordening te voldoen.

(18)Om ervoor te zorgen dat de voorwaarden voor gegevenstoegang passend zijn voor het aanpakken van specifieke gevoeligheden op het gebied van de gegevensbescherming, gegevensbeveiliging of vertrouwelijkheid, moet de digitaledienstencoördinator van de plaats van vestiging, op basis van de in de aanvraag voor gegevenstoegang ontvangen informatie, kunnen eisen dat de toegang tot gegevens wordt verleend via beveiligde verwerkingsomgevingen. In dergelijke gevallen moet de digitaledienstencoördinator van de plaats van vestiging controleren of de gekozen omgeving met de meest geschikte technologie werkt en de erkende onderzoekers in staat stelt de doelstellingen van hun onderzoek te verwezenlijken.

(19)Omwille van de consistentie van de informatie die door de digitaledienstencoördinatoren van de plaats van vestiging aan de gegevensaanbieders wordt doorgegeven, moet de inhoud van de gemotiveerde verzoeken worden gespecificeerd.

(20)Om de belangen van gegevensaanbieders te beschermen, de frequentie van wijzigingsverzoeken in de loop van de tijd te verminderen en de formulering van relevante aanvragen voor gegevenstoegang door onderzoekers te vergemakkelijken, moet een overzicht van elk gemotiveerd verzoek, met inbegrip van eventuele wijzigingen en actualiseringen daarvan, door de digitaledienstencoördinator van de plaats van vestiging die de respectieve gemotiveerde verzoeken heeft ingediend openbaar worden gemaakt in het DSA-gegevenstoegangsportaal.

(21)Om ervoor te zorgen dat de digitaledienstencoördinator van de plaats van vestiging over de relevante informatie beschikt om een wijzigingsverzoek te beoordelen en om een uniforme aanpak bij de beoordeling van wijzigingsverzoeken te vergemakkelijken, moet de gegevensaanbieder worden verplicht de redenen voor een dergelijk verzoek te specificeren, zoals bedoeld in artikel 40, lid 5, van Verordening (EU) 2022/2065. Meer in het bijzonder moet de digitaledienstencoördinator van de plaats van vestiging bij de beoordeling van een wijzigingsverzoek dat is ingediend omdat de gegevensaanbieder geen toegang heeft tot de gegevens, kunnen onderzoeken of de vermeende onmogelijke toegang naar behoren is gemotiveerd, bijvoorbeeld omdat de gevraagde gegevens ontbreken of omdat technische beperkingen zoals versleuteling de toegang verhinderen, en moet de digitaledienstencoördinator over de nodige informatie beschikken om te kunnen nagaan of de toegang permanent of tijdelijk onmogelijk is. In dit verband mag het duidelijk zijn dat commerciële overwegingen niet mogen worden beschouwd als een reden om de toegang tot gevraagde gegevens automatisch te weigeren, maar wel als een reden om de wijze van toegang tot de gegevens te wijzigen, wat kan leiden tot het opleggen van aanvullende vereisten inzake gegevensbeveiliging en vertrouwelijkheid.

(22)Om voor een efficiënte beslechting van geschillen te zorgen en het vinden van een wederzijds aanvaardbare oplossing na een wijzigingsverzoek aan te moedigen, moeten gegevensaanbieders de digitaledienstencoördinatoren van de plaats van vestiging kunnen verzoeken deel te nemen aan bemiddeling. Een dergelijke deelname moet gedurende het gehele bemiddelingsproces op vrijwillige basis plaatsvinden en mag niet leiden tot een bindend resultaat voor de digitaledienstencoördinator van de plaats van vestiging, die bevoegd blijft om over de wijzigingsverzoeken te beslissen. Alle bij het bemiddelingsproces betrokken partijen moeten hier te goeder trouw aan deelnemen en naar totstandkoming van een rechtvaardige en wederzijds aanvaardbare overeenstemming streven.

(23)Om te voorkomen dat de bemiddeling het gegevenstoegangsproces voor onbepaalde tijd verlengt, moeten de toezending van het schriftelijke verzoek om bemiddeling, de selectie van de bemiddelaar en het bemiddelingsproces zelf binnen bepaalde termijnen plaatsvinden. De digitaledienstencoördinatoren van de plaats van vestiging moeten een termijn vaststellen voor het bemiddelingsproces met betrekking tot een gemotiveerd verzoek en de bemiddelaar moet de bevoegdheid hebben om het bemiddelingsproces in specifieke omstandigheden te beëindigen.

(24)Om het wederzijds vertrouwen tussen de bij de bemiddeling betrokken partijen te behouden, moet de digitaledienstencoördinator van de plaats van vestiging ervoor zorgen dat de voorgestelde bemiddelaar voldoet aan de vereisten van onpartijdigheid en onafhankelijkheid, en beschikt over relevante deskundigheid op het gebied van het bemiddelingsonderwerp.

(25)Om een geïnformeerde en doeltreffende besluitvorming met betrekking tot het gegevenstoegangsproces te vergemakkelijken, moeten digitaledienstencoördinatoren de mogelijkheid hebben om deskundig advies in te winnen over specifieke elementen van het gegevenstoegangsproces, zoals de vaststelling van de toegangsvoorwaarden, met inbegrip van passende interfaces, de formulering van het gemotiveerde verzoek en eventuele wijzigingsverzoeken van de gegevensaanbieder. De geraadpleegde deskundigen moeten beschikken over bewezen deskundigheid op het gebied waarover hun advies wordt gevraagd en moeten onafhankelijk zijn. Zij mogen met name geen belangenconflicten hebben die bijvoorbeeld voortvloeien uit banden met de aanvragende onderzoekers of met de gegevensaanbieder.

(26)Om de transparantie te vergroten en digitaledienstencoördinatoren in staat te stellen voort te bouwen op hun in de loop van de tijd verworven deskundigheid, moeten elk verzoek om raadpleging van deskundigen en de daaruit voortvloeiende follow-up in AGORA worden geregistreerd.

(27)Om het doeltreffende toezicht op de naleving van de in het gemotiveerde verzoek vastgestelde voorwaarden te vergemakkelijken, moet de gegevensaanbieder de digitaledienstencoördinator van de plaats van vestiging binnen drie werkdagen in kennis stellen van de datum waarop toegang aan de erkende onderzoekers is verleend en de datum waarop de toegang is beëindigd.

(28)Om de erkende onderzoekers in staat te stellen de gevraagde gegevens voor de doeleinden van het onderzoek te gebruiken en relevante contextinformatie te verstrekken, moeten gegevensaanbieders erkende onderzoekers de relevante metagegevens en documentatie verstrekken waarin de beschikbaar gestelde gegevens worden beschreven, zoals codeboeken, wijzigingenlogboeken en documentatie over de gegevensstructuur.

(29)Om zinvol onderzoek door de erkende onderzoekers te vergemakkelijken, onder meer door het mogelijk te maken de gevraagde gegevens te combineren met gegevens uit andere bronnen, mogen gegevensaanbieders geen beperkingen opleggen met betrekking tot de analytische hulpmiddelen die door erkende onderzoekers mogen worden gebruikt, met inbegrip van relevante softwarebibliotheken, en mogen zij geen archiverings-, opslag-, vernieuwings- en verwijderingsvereisten opleggen, tenzij deze expliciet worden vermeld in de toegangsvoorwaarden die in het gemotiveerde verzoek zijn genoemd.

(30)Indien de aan de erkende onderzoekers verstrekte gegevens persoonsgegevens bevatten in de zin van artikel 4 van Verordening (EU) 2016/679, moet de gegevensaanbieder de regels van die verordening in acht nemen. Met name schept artikel 40, lid 4, van Verordening (EU) 2022/2065 een wettelijke verplichting in de zin van artikel 6, lid 1, punt c), van Verordening (EU) 2016/679 voor elke verwerking van persoonsgegevens die de gegevensaanbieder nodig heeft om toegang te verlenen tot de in het gemotiveerde verzoek gespecificeerde gegevens. Indien er bijzondere categorieën van persoonsgegevens in de zin van artikel 9 van Verordening (EU) 2016/679 moeten worden verwerkt, voldoet deze verordening aan het vereiste van artikel 9, lid 2, punt g), van Verordening (EU) 2016/679.

(31)De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad 4 en heeft op 4 december 2024 een advies uitgebracht.

(32)Na raadpleging van de Europese Raad voor digitale diensten overeenkomstig artikel 40, lid 13, van Verordening (EU) 2022/2065 en na de goedkeuring ervan,

HEEFT DE VOLGENDE VERORDENING VASTGESTELD:

Hoofdstuk I

Algemene bepalingen

Artikel 1

Onderwerp

In deze verordening worden procedures en technische voorwaarden vastgesteld voor het verlenen van toegang aan erkende onderzoekers tot gegevens die in het bezit zijn van aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines, overeenkomstig artikel 40, lid 4, van Verordening (EU) 2022/2065, met name:

(a)de technische voorwaarden voor de ontwikkeling en werking van een gegevenstoegangsportaal;

(b)de procedures en technische voorwaarden voor het beheer van het gegevenstoegangsproces door digitaledienstencoördinatoren en gegevensaanbieders;

(c)de vereisten voor de formulering van gemotiveerde verzoeken en de beoordeling van wijzigingsverzoeken;

(d)de technische voorwaarden voor de verlening van toegang tot gegevens door de gegevensaanbieders.

Artikel 2

Definities

Voor de toepassing van deze verordening gelden de definities van artikel 4 van Verordening (EU) 2016/679 en artikel 3 van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad 5 . Daarnaast zijn de volgende definities van toepassing:

(1)“aanvraag voor gegevenstoegang”: de informatie en relevante documentatie die door aanvragende onderzoekers bij de digitaledienstencoördinator van de plaats van vestiging of de digitaledienstencoördinator van de lidstaat van de onderzoeksorganisatie, waarmee de hoofdonderzoeker verbonden is, worden ingediend om de status van “erkend onderzoeker” als bedoeld in artikel 40, lid 8, eerste alinea, van Verordening (EU) 2022/2065 te verkrijgen voor een specifiek onderzoeksproject waarbij toegang tot gegevens van een gegevensaanbieder betrokken is;

(2)“gegevenstoegangsproces”: de stappen en procedures die kunnen leiden tot de verlening van toegang tot de gegevens als bedoeld in artikel 40, lid 4, van Verordening (EU) 2022/2065;

(3)“aanvragende onderzoeker”: een natuurlijke persoon die individueel, in een groep of als onderdeel van een entiteit verzoekt om toegang tot gegevens als bedoeld in artikel 40, lid 4, van Verordening (EU) 2022/2065;

(4)“hoofdonderzoeker”: de aanvragende onderzoeker die de aanvraag voor gegevenstoegang indient in zijn individuele hoedanigheid of namens een entiteit of een groep aanvragende onderzoekers;

(5)“gegevensaanbieder”: een aanbieder van een zeer groot onlineplatform dat of van een zeer grote onlinezoekmachine die als zodanig is aangewezen overeenkomstig artikel 33, lid 4, van Verordening (EU) 2022/2065, waaraan een gemotiveerd verzoek kan worden gericht;

(6)“gemotiveerd verzoek”: een gemotiveerd verzoek om gegevenstoegang overeenkomstig artikel 40, lid 4, van Verordening (EU) 2022/2065;

(7)“wijzigingsverzoek”: een verzoek tot wijziging overeenkomstig artikel 40, lid 5, van Verordening (EU) 2022/2065 dat na ontvangst van een gemotiveerd verzoek door de gegevensaanbieder wordt ingediend bij de digitaledienstencoördinator van de plaats van vestiging;

(8)“beveiligde verwerkingsomgeving”: een beveiligde verwerkingsomgeving zoals bedoeld in artikel 2, punt 20, van Verordening (EU) 2022/868 van het Europees Parlement en de Raad 6 .

Hoofdstuk II

Informatie- en contactverplichtingen

Artikel 3

DSA-gegevenstoegangsportaal

1.De Commissie richt een DSA-gegevenstoegangsportaal op en host dit.

2.Het DSA-gegevenstoegangsportaal heeft de volgende functies:

(a)het ondersteunen en stroomlijnen van het beheer van het gegevenstoegangsproces voor onderzoekers, gegevensaanbieders en digitaledienstencoördinatoren;

(b)het fungeren als het centrale digitale punt voor informatie over het gegevenstoegangsproces en het vergemakkelijken van de uitwisselingen van informatie op grond van deze verordening tussen aanvragende onderzoekers, erkende onderzoekers, gegevensaanbieders en digitaledienstencoördinatoren.

3.Het DSA-gegevenstoegangsportaal is interoperabel met het bij Uitvoeringsverordening (EU) 2024/607 ingestelde informatie-uitwisselingssysteem AGORA. De digitaledienstencoördinatoren hebben in AGORA toegang tot de informatie die via het DSA-gegevenstoegangsportaal wordt ingediend.

4.Gegevensaanbieders hebben een account op het DSA-gegevenstoegangsportaal.

5.Om te kunnen deelnemen aan het gegevenstoegangsproces hebben aanvragende onderzoekers een account op het DSA-gegevenstoegangsportaal.

Artikel 4

Taken en verantwoordelijkheden voor de verwerking van persoonsgegevens in het DSA-gegevenstoegangsportaal

(1)Digitaledienstencoördinatoren zijn afzonderlijke verwerkingsverantwoordelijken met betrekking tot de verwerking van persoonsgegevens die zij uitvoeren voor het beheren van het gegevenstoegangsproces en voor het publiceren van relevante informatie.

(2)De Commissie is een verwerker van persoonsgegevens die binnen het DSA-gegevenstoegangsportaal worden verwerkt.

(3)De verantwoordelijkheden van de Commissie als verwerker voor gegevensverwerkingsactiviteiten die in het DSA-gegevenstoegangsportaal worden uitgevoerd zijn vastgesteld in de bijlage.

Artikel 5

Verwerking van persoonsgegevens in het DSA-gegevenstoegangsportaal

1.Indien persoonsgegevens worden geregistreerd in en uitgewisseld via het DSA-gegevenstoegangsportaal, vindt de verwerking alleen plaats voor zover dit evenredig en noodzakelijk is voor het doel van het gegevenstoegangsproces en de publicatie van relevante informatie.

2.De verwerking van persoonsgegevens in het DSA-gegevenstoegangsportaal vindt alleen plaats met betrekking tot de volgende categorieën betrokkenen:

(a)natuurlijke personen met een account op het DSA-gegevenstoegangsportaal;

(b)natuurlijke personen van wie persoonsgegevens zijn opgenomen in het DSA-gegevenstoegangsportaal of in enige andere uitwisseling op grond van deze verordening met betrekking tot het gegevenstoegangsproces.

3.De verwerking van persoonsgegevens in het DSA-gegevenstoegangsportaal vindt alleen plaats ten aanzien van de volgende categorieën persoonsgegevens:

(a)identiteitsgegevens, zoals naam, gebruikers-ID;

(b)contactinformatie zoals adres, e-mailadres, contactgegevens;

(c)persoonsgegevens die zijn opgenomen in de documentatie waaruit blijkt dat zij aangesloten zijn bij een onderzoeksorganisatie, en andere persoonsgegevens die noodzakelijk worden geacht om te kunnen deelnemen aan het gegevenstoegangsproces.

4.Voor de in lid 1 bedoelde verwerking van persoonsgegevens wordt gebruikgemaakt van informatietechnologie-infrastructuur in de Europese Economische Ruimte.

Artikel 6

Contactpunten en openbare informatie over het gegevenstoegangsproces

1.Elke digitaledienstencoördinator en elke gegevensaanbieder stelt een specifiek contactpunt in, dat tot taak heeft informatie te verstrekken over en ondersteuning te bieden bij het gegevenstoegangsproces.

2.De digitaledienstencoördinatoren en de gegevensaanbieders delen hun contactpunten zo spoedig mogelijk mee aan de Commissie. De Commissie publiceert de gegevens van de in lid 1 bedoelde contactpunten in de openbare interface van het DSA-gegevenstoegangsportaal.

3.Elke digitaledienstencoördinator maakt de gegevens van het overeenkomstig lid 1 opgerichte contactpunt, samen met een link naar het DSA-gegevenstoegangsportaal, beschikbaar en gemakkelijk vindbaar op zijn online-interface.

4.Gegevensaanbieders maken de volgende informatie beschikbaar en gemakkelijk vindbaar op hun online-interfaces:

(a)de gegevens van het door hen overeenkomstig lid 1 opgerichte contactpunt;

(b)een link naar het DSA-gegevenstoegangsportaal;

(c)een DSA-gegevenscatalogus, waarin de gegevensverzamelingen waartoe toegang kan worden verkregen voor de in artikel 40, lid 4, van Verordening (EU) 2022/2065 genoemde doeleinden, evenals hun gegevensstructuur en metagegevens worden beschreven;

(d)voorgestelde voorwaarden voor toegang tot de gegevens in de catalogus op grond van punt c), die toereikend zijn voor het gevoeligheidsniveau van de verschillende gegevensverzamelingen.

5.De in lid 4, punten c) en d), bedoelde informatie wordt regelmatig bijgewerkt, met name om rekening te houden met gegevens met betrekking tot de op grond van artikel 34 van Verordening (EU) 2022/2065 uitgevoerde risicobeoordelingen en de op grond van artikel 37 van die verordening uitgevoerde audits.

Hoofdstuk III

Vereisten voor de formulering en verwerking van gemotiveerde verzoeken

Artikel 7

Formulering van een gemotiveerd verzoek

1.Binnen tachtig werkdagen na de indiening van een aanvraag voor gegevenstoegang besluit de digitaledienstencoördinator van de plaats van vestiging, terdege rekening houdend met de eerste vereisten van artikel 8 en, in voorkomend geval, andere beoordelingen die relevant zijn voor deze doeleinden, of er een gemotiveerd verzoek kan worden geformuleerd en voert hij een van de volgende acties uit:

(a)Hij formuleert een gemotiveerd verzoek, dient dit in bij de gegevensaanbieder en stelt de hoofdonderzoeker in kennis van de indiening van het gemotiveerde verzoek.

(b)Hij stelt de hoofdonderzoeker in kennis van de redenen waarom het gemotiveerde verzoek niet kon worden geformuleerd.

2.Indien de digitaledienstencoördinator van de plaats van vestiging, in naar behoren gemotiveerde gevallen, extra tijd nodig heeft om een gemotiveerd verzoek te formuleren, stelt hij de hoofdonderzoeker daarvan zo spoedig mogelijk in kennis en vermeldt hij de redenen voor de vertraging evenals een nieuwe datum voor uitvoering van de in lid 1 bedoelde acties.

Artikel 8

Eerste vereisten voor de formulering van een gemotiveerd verzoek

1.De digitaledienstencoördinator van de plaats van vestiging besluit of er een gemotiveerd verzoek kan worden geformuleerd, rekening houdend met de volgende elementen:

(a)voor elke aanvragende onderzoeker:

I.een bevestiging van de aansluiting bij een onderzoeksorganisatie zoals bedoeld in artikel 2, punt 1, van Richtlijn (EU) 2019/790 van het Europees Parlement en de Raad 7 ;

II.een verklaring van onafhankelijkheid ten opzichte van commerciële belangen die relevant zijn voor het specifieke project waarvoor de gegevens worden gevraagd;

III.een toezegging om hun onderzoeksresultaten kosteloos openbaar te maken;    

(b)informatie over de financiering van het onderzoeksproject waarvoor de gegevens worden gevraagd;

(c)een beschrijving van de gevraagde gegevens, met inbegrip van de indeling, het toepassingsgebied en, indien mogelijk, de specifieke attributen, relevante metagegevens en gegevensdocumentatie, mede rekening houdende met de overeenkomstig artikel 6, lid 4, van deze verordening beschikbaar gestelde informatie;

(d)informatie over de noodzaak en evenredigheid van de toegang tot de gegevens en de informatie over de termijnen van het onderzoek waarvoor de gegevens worden gevraagd;

(e)informatie over de vastgestelde risico’s op het gebied van de vertrouwelijkheid, gegevensbeveiliging en bescherming van persoonsgegevens met betrekking tot de gegevens waartoe toegang zou worden verkregen, een beschrijving van de technische, juridische en organisatorische maatregelen die zullen worden genomen, waaronder, indien mogelijk, voorgestelde toegangsvoorwaarden om dergelijke risico’s bij de verwerking van de gevraagde gegevens te beperken;

(f)een beschrijving van de onderzoeksactiviteiten die met de gevraagde gegevens zullen worden uitgevoerd;

(g)een samenvatting van de aanvraag voor gegevenstoegang met de volgende elementen:

I.het onderzoeksonderwerp;

II.de gegevensaanbieder van wie gegevens worden gevraagd;

III.een beschrijving van de gevraagde gegevens, als bedoeld in punt c).

Artikel 9

Toegangsvoorwaarden

1.De digitaledienstencoördinator van de plaats van vestiging stelt de voorwaarden vast, waaronder de technische, juridische en organisatorische maatregelen, waaraan de gegevensaanbieder moet voldoen bij het verlenen van toegang tot de gegevens aan de erkende onderzoekers.

2.De digitaledienstencoördinatoren mogen de overeenkomstig artikel 51 van Verordening (EU) 2016/679 opgerichte relevante toezichthoudende autoriteiten raadplegen.

3.Bij het vaststellen van de toegangsvoorwaarden houdt de digitaledienstencoördinator van de plaats van vestiging rekening met de in de aanvraag voor gegevenstoegang verstrekte informatie, met name met de in artikel 8, punt e) bedoelde informatie, en houdt hij hierbij ook rekening met de rechten en belangen van de gegevensaanbieders en de afnemers van de betrokken dienst, waaronder de bescherming van vertrouwelijke informatie, bedrijfsgeheimen, en handhaving van de beveiliging van hun dienst en de informatie die door de gegevensaanbieders overeenkomstig artikel 6, lid 4, punt d) beschikbaar wordt gesteld.

4.Behalve met de in lid 3 bedoelde elementen houdt de digitaledienstencoördinator van de plaats van vestiging bij het vaststellen van de toegangsvoorwaarden ook rekening met de volgende elementen:

(a)indien de toegang betrekking heeft op de verwerking van persoonsgegevens:

I.de beoordeling van de risico’s met betrekking tot de verwerking van persoonsgegevens als beschreven in artikel 8, punt e), waaronder, in voorkomend geval, gegevensbeschermingseffectbeoordelingen in de zin van artikel 35 van Verordening (EU) 2016/679;

II.voorgenomen technische en organisatorische maatregelen die zijn ingediend overeenkomstig artikel 8, punt e);

(b)relevante netwerkbeveiligingsmaatregelen, versleuteling, toegangscontrolemechanismen, back-upbeleid, gegevensintegriteitsmechanismen, plannen voor incidentreacties;

(c)indien van toepassing, informatie over de voorgenomen opslagtermijn en de relevante plannen voor gegevensvernietiging;

(d)organisatorische maatregelen zoals interne evaluatieprocessen, beperkingen van toegangsrechten en informatie-uitwisseling;

(e)voorgestelde contractuele bepalingen, zoals geheimhoudingsovereenkomsten, gegevensovereenkomsten en andere soorten schriftelijke verklaringen, waarin mogelijke voorwaarden voor toegang en verwerking tussen de hoofdonderzoeker en de gegevensaanbieder zijn vastgelegd;

(f)een opleiding op het gebied van gegevensbeveiliging en bescherming van persoonsgegevens die de aanvragende onderzoekers hebben gekregen;

(g)of beveiligde verwerkingsomgevingen noodzakelijk zijn voor de verwerking van de gegevens.

5.Indien de digitaledienstencoördinator van de plaats van vestiging van oordeel is dat er een beveiligde verwerkingsomgeving moet worden gebruikt om toegang tot de gevraagde gegevens te kunnen verlenen, verlangt de digitaledienstencoördinator van de plaats van vestiging documentatie waaruit blijkt dat de exploitant van die omgeving:

(h)voorwaarden voor toegang tot de beveiligde verwerkingsomgeving specificeert om het risico van het onbevoegd inzien, kopiëren, wijzigen of verwijderen van de in de beveiligde verwerkingsomgeving gehoste gegevens tot een minimum te beperken;

(i)er door middel van individuele en unieke gebruikers-ID’s en vertrouwelijke toegangsmodi voor zorgt dat erkende onderzoekers alleen toegang hebben tot gegevens waarop het gemotiveerde verzoek betrekking heeft;

(j)logboeken met identificeerbare gegevens over de toegang tot de beveiligde verwerkingsomgeving bijhoudt gedurende de termijn die nodig is om alle verwerkingsactiviteiten in die omgeving te verifiëren en te controleren;

(k)ervoor zorgt dat de rekenkracht waarover de erkende onderzoekers kunnen beschikken, passend en toereikend is voor de doeleinden van het onderzoeksproject;

(l)de doeltreffendheid van de onder a) tot en met d) genoemde maatregelen bewaakt.

Artikel 10

Inhoud van een gemotiveerd verzoek

(1)Een gemotiveerd verzoek omvat ten minste de volgende elementen:

(a)de uiterste datum waarop de gegevensaanbieder toegang tot de gevraagde gegevens moet verlenen en de datum waarop die toegang wordt beëindigd;

(b)de op grond van artikel 9 vastgestelde toegangsvoorwaarden;

(c)de samenvatting van de in artikel 8, punt g), bedoelde aanvraag voor gegevenstoegang.

(2)De digitaledienstencoördinator van de plaats van vestiging kan in het gemotiveerde verzoek de namen en contactgegevens opnemen van alle erkende onderzoekers die in de aanvraag voor gegevenstoegang worden vermeld, indien dit noodzakelijk is om toegang tot de gevraagde gegevens mogelijk te maken, overeenkomstig de in het gemotiveerde verzoek gespecificeerde toegangsvoorwaarden.

(3)Indien de verlening van toegang gepaard gaat met een doorgifte van persoonsgegevens naar een derde land of internationale organisatie in de zin van hoofdstuk V van Verordening (EU) 2016/679, moet het gemotiveerde verzoek informatie omvatten over de noodzaak tot het instellen van een passend doorgiftemechanisme of naar een dergelijk mechanisme verwijzen om aan Verordening (EU) 2016/679 te voldoen.

Artikel 11

Publicatie van een overzicht van een gemotiveerd verzoek in het DSA-gegevenstoegangsportaal

1.Na het formuleren van een gemotiveerd verzoek publiceert de digitaledienstencoördinator van de plaats van vestiging een overzicht van het gemotiveerde verzoek in de openbare interface van het DSA-gegevenstoegangsportaal. Het overzicht bevat al het volgende:

(a)de samenvatting van de in artikel 8, punt g), bedoelde aanvraag voor gegevenstoegang;

(b)de op grond van artikel 9 vastgestelde toegangsvoorwaarden.

2.Het in lid 1 bedoelde overzicht wordt geactualiseerd om rekening te houden met eventuele wijzigingen die voortvloeien uit een aanpassing van een of meer elementen naar aanleiding van de behandeling van een wijzigingsverzoek of de uitkomst van een bemiddeling overeenkomstig artikel 13.

Artikel 12

Procedures voor de behandeling van wijzigingsverzoeken

3.Na de ontvangst van een wijzigingsverzoek op grond van artikel 40, lid 5, van Verordening (EU) 2022/2065 stelt de digitaledienstencoördinator van de plaats van vestiging de betrokken hoofdonderzoeker hiervan in kennis.

4.Bij het nemen van een besluit over een wijzigingsverzoek op grond van artikel 40, lid 5, punt a), van Verordening (EU) 2022/2065 houdt de digitaledienstencoördinator van de plaats van vestiging rekening met het volgende:

(a)of de redenen voor het vermeende gebrek aan toegang tot gegevens naar behoren zijn onderbouwd;

(b)of dit gebrek aan toegang tot gegevens permanent of tijdelijk is.

5.Bij het nemen van een besluit over een wijzigingsverzoek op grond van artikel 40, lid 5, punt b), van Verordening (EU) 2022/2065 houdt de digitaledienstencoördinator van de plaats van vestiging rekening met al het volgende:

(a)of de vermeende kwetsbaarheden en het belang ervan naar behoren zijn onderbouwd;

(b)de waarschijnlijkheid en ernst van de schade als gevolg van deze vermeende aanzienlijke kwetsbaarheden;

(c)de mate waarin de in het gemotiveerde verzoek vastgestelde toegangsvoorwaarden het risico op het ontstaan van een dergelijke schade doeltreffend beperken.

6.Tijdens de beoordeling van een wijzigingsverzoek kan de digitaledienstencoördinator van de plaats van vestiging de gegevensaanbieder of de hoofdonderzoeker te allen tijde verzoeken om aanvullende informatie die hij nodig acht om zijn beoordeling af te ronden.

7.Een dergelijk verzoek om aanvullende informatie wordt zo spoedig mogelijk gedaan om de gegevensaanbieder of de hoofdonderzoeker voldoende tijd te geven om te reageren en heeft in geen geval gevolgen voor de in artikel 40, lid 6, tweede alinea, van Verordening (EU) 2022/2065 vastgestelde termijn. Indien de gegevensaanbieder of de hoofdonderzoeker de gevraagde informatie niet of niet binnen een door de digitaledienstencoördinator van de plaats van vestiging vastgestelde termijn verstrekt of slechts gedeeltelijke informatie verstrekt, neemt de digitaledienstencoördinator van de plaats van vestiging zijn besluit binnen de in artikel 40, lid 6, van Verordening (EU) 2022/2065 vastgestelde termijn, op basis van de informatie die hem binnen een redelijke termijn ter beschikking werd gesteld.

Artikel 13

Bemiddeling

(1)Indien de gegevensaanbieder het niet eens is met het besluit van de digitaledienstencoördinator van de plaats van vestiging met betrekking tot het wijzigingsverzoek, kan de gegevensaanbieder, binnen een termijn van vijf werkdagen na de mededeling door de digitaledienstencoördinator van de plaats van vestiging op grond van artikel 40, lid 6, tweede alinea, van Verordening (EU) 2022/2065, de digitaledienstencoördinator van de plaats van vestiging schriftelijk verzoeken deel te nemen aan bemiddeling.

(2)De digitaledienstencoördinator van de plaats van vestiging is niet verplicht om deel te nemen aan het bemiddelingsproces.

(3)Het in lid 1 bedoelde schriftelijke verzoek bevat een beknopte beschrijving van de specifieke elementen van het besluit, zoals meegedeeld door de digitaledienstencoördinator van de plaats van vestiging op grond van artikel 40, lid 6, tweede alinea, van Verordening (EU) 2022/2065, waartegen de gegevensaanbieder bezwaar maakt.

(4)Binnen twintig werkdagen na de indiening van het bemiddelingsverzoek op grond van lid 3 komen de digitaledienstencoördinator van de plaats van vestiging en de gegevensaanbieder overeen een bemiddelaar te benoemen en de bemiddeling te initiëren.

(5)Alvorens in te stemmen met de benoeming van een bemiddelaar, verifieert de digitaledienstencoördinator van de plaats van vestiging of de bemiddelaar onpartijdig en onafhankelijk is, en beschikt over de relevante deskundigheid met betrekking tot het onderwerp dat in het in lid 1 bedoelde schriftelijke verzoek is beschreven.

(6)De gegevensaanbieder draagt alle kosten van de bemiddeling.

(7)De digitaledienstencoördinator van de plaats van vestiging stelt de hoofdonderzoeker onverwijld in kennis van het in lid 1 bedoelde bemiddelingsverzoek en kan besluiten de hoofdonderzoeker uit te nodigen zich als partij bij de bemiddeling te voegen. Indien de aanvraag voor gegevenstoegang is ingediend bij de digitaledienstencoördinator van de onderzoeksorganisatie, kan de digitaledienstencoördinator van de plaats van vestiging de digitaledienstencoördinator van de onderzoeksorganisatie uitnodigen om deel te nemen aan het bemiddelingsproces. Partijen die door de digitaledienstencoördinator van de plaats van vestiging worden uitgenodigd om zich bij de bemiddeling te voegen, zijn niet verplicht aan het bemiddelingsproces deel te nemen.

(8)Deelname aan bemiddeling doet geen afbreuk aan het recht van de partijen om op enig moment voor, tijdens of na de bemiddeling een gerechtelijke procedure te starten.

(9)De digitaledienstencoördinator van de plaats van vestiging stelt een termijn voor de bemiddeling vast, die niet meer dan veertig werkdagen mag bedragen, te rekenen vanaf de dag waarop de bemiddeling op grond van lid 4 wordt ingeleid.

(10)De bemiddelaar kan de bemiddeling eerder beëindigen in een van de volgende gevallen:

(a)Een van de partijen verzoekt uitdrukkelijk om de bemiddeling te beëindigen.

(b)Het wordt duidelijk dat het gedrag van de partijen tijdens de bemiddeling, zoals het niet te goeder trouw handelen, het onwaarschijnlijk maakt dat er overeenstemming zal worden bereikt.

(11)Indien de bemiddeling resulteert in een overeenstemming tussen de partijen, houdt de digitaledienstencoördinator van de plaats van vestiging rekening met die overeenstemming en wijzigt hij, in voorkomend geval, het gemotiveerde verzoek en stelt hij de hoofdonderzoeker in kennis van de wijziging.

(12)Indien de partijen geen overeenstemming bereiken, stelt de digitaledienstencoördinator van de plaats van vestiging de gegevensaanbieder ervan in kennis dat het besluit van de digitaledienstencoördinator van de plaats van vestiging over het wijzigingsverzoek, zoals laatstelijk meegedeeld op grond van artikel 40, lid 6, tweede alinea, van Verordening (EU) 2022/2065, als geldig wordt beschouwd en als de relevante basis dient voor verdere stappen in het proces en stelt hij de hoofdonderzoeker daarvan in kennis.

(13)De digitaledienstencoördinator van de plaats van vestiging registreert een door de bemiddelaar opgesteld en door alle partijen ondertekend beknopt verslag van de bemiddeling in AGORA. Het register bevat de volgende informatie:

(a)de datum van het door de gegevensaanbieder ingediende schriftelijke verzoek om bemiddeling;

(b)de identiteiten en contactgegevens van de partijen;

(c)de begin- en einddatum van de bemiddeling;

(d)de uitkomst van de bemiddeling, waaronder een eventueel bereikte overeenstemming of de reden voor beëindiging van de bemiddeling.

Artikel 14

Raadpleging van onafhankelijke deskundigen

(1)Alvorens een gemotiveerd verzoek te formuleren of een besluit over een wijzigingsverzoek te nemen, kan de digitaledienstencoördinator besluiten deskundigen te raadplegen.

(2)De deskundigen zijn onafhankelijk en onpartijdig, hebben relevante deskundigheid en bewezen vaardigheden, en beschikken over de capaciteit en middelen om de vastgestelde taak zonder onnodige vertraging uit te voeren.

(3)Om hun onpartijdigheid te bevestigen ondertekenen de deskundigen een verklaring waarin zij bevestigen dat zij:

(a)geen financiële of persoonlijke banden hebben met de gegevensaanbieder of de aanvragende onderzoekers;

(a)geen belang hebben bij de uitkomst van het gegevenstoegangsproces;

(b)vrij zijn van belangenconflicten.

(4)De digitaledienstencoördinator codeert alle op grond van lid 1 uitgevoerde raadplegingen, samen met het naar aanleiding van de raadpleging ontvangen deskundigenadvies, onverwijld in AGORA.

Hoofdstuk IV

Voorwaarden voor verstrekking van de gevraagde gegevens aan erkende onderzoekers

Artikel 15

Gegevensdeling en gegevensdocumentatie

(1)Gegevensaanbieders stellen de digitaledienstencoördinator van de plaats van vestiging binnen drie werkdagen in kennis van het feit dat:

(a)er toegang tot de gevraagde gegevens aan erkende onderzoekers is verstrekt, overeenkomstig het gemotiveerde verzoek;

(b)de toegang voor de erkende onderzoekers is beëindigd.

(2)Gegevensaanbieders verstrekken erkende onderzoekers alle aanvullende informatie die nodig is om toegang tot de gevraagde gegevens te krijgen en deze gegevens te begrijpen, zoals codeboeken, wijzigingenlogboeken en documentatie over de gegevensstructuur. In gevallen waarin de verstrekking van dergelijke informatie kan leiden tot een aanzienlijke kwetsbaarheid van de diensten van de gegevensaanbieder, stelt de gegevensaanbieder de digitaledienstencoördinator van de plaats van vestiging van dat risico in kennis en stelt hij, indien mogelijk, alternatieve informatie voor.

(3)Bij het verlenen van toegang tot gegevens leggen gegevensaanbieders erkende onderzoekers geen vereisten op ten aanzien van het gegevensbeheer, zoals de archivering, opslag, vernieuwing en verwijdering, noch beperkingen ten aanzien van het gebruik van standaard analytische instrumenten, die de uitvoering van het desbetreffende onderzoek kunnen belemmeren, tenzij die vereisten of beperkingen uitdrukkelijk in het gemotiveerde verzoek zijn vermeld.

(4)Indien persoonsgegevens worden verwerkt, leggen gegevensaanbieders de erkende onderzoekers geen andere voorwaarden met betrekking tot de verwerking van de gedeelde persoonsgegevens op dan in het gemotiveerde verzoek zijn gespecificeerd.

Hoofdstuk V

Slotbepalingen

Artikel 16

Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel, 1.7.2025

(1)    PB L 277 van 27.10.2022, blz. 1.

(2)    PB L 277 van 27.10.2022, blz. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.

(3)    Uitvoeringsverordening (EU) 2024/607 van de Commissie van 15 februari 2024 betreffende de praktische en operationele regelingen voor de werking van het informatie-uitwisselingssysteem krachtens Verordening (EU) 2022/2065 van het Europees Parlement en de Raad (digitaledienstenverordening) (PB L 2024/607 van 16.2.2024, ELI:  http://data.europa.eu/eli/reg_impl/2024/607/oj ).

(4)    Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(5)    Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(6)    Verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Datagovernanceverordening) (PB L 152 van 3.6.2022, blz. 1, ELI: http://data.europa.eu/eli/reg/2022/868/oj).

(7)    Richtlijn (EU) 2019/790 van het Europees Parlement en de Raad van 17 april 2019 inzake auteursrechten en naburige rechten in de digitale eengemaakte markt en tot wijziging van Richtlijnen 96/9/EG en 2001/29/EG (PB L 130 van 17.5.2019, blz. 92, ELI: http://data.europa.eu/eli/dir/2019/790/oj).

BIJLAGE

Verantwoordelijkheden van de Commissie als verwerker voor gegevensverwerkingsactiviteiten in het kader van het DSA-gegevenstoegangsportaal

1.De Commissie zet namens de digitaledienstencoördinatoren een veilige en betrouwbare IT-infrastructuur, het DSA-gegevenstoegangsportaal, op, waarmee het beheer van het gegevenstoegangsproces voor onderzoekers, onderzoeksorganisaties, gegevensaanbieders en digitaledienstencoördinatoren wordt ondersteund en gestroomlijnd.

2.Om haar verplichtingen als verwerker voor de digitaledienstencoördinatoren na te komen, kan de Commissie derden als subverwerkers inzetten. In dat geval machtigen de verwerkingsverantwoordelijken de Commissie om zo nodig subverwerkers in te zetten of te vervangen. De Commissie stelt de verwerkingsverantwoordelijken in kennis van die inzet of vervanging van subverwerkers, zodat de verwerkingsverantwoordelijken bezwaar kunnen maken tegen dergelijke wijzigingen. De Commissie zorgt ervoor dat dezelfde verplichtingen inzake gegevensbescherming als uiteengezet in deze verordening van toepassing zijn op deze subverwerkers.

3.Bij de verwerking door de Commissie worden persoonsgegevens slechts verwerkt voor zover dat noodzakelijk is voor de:

(a)authenticatie en toegangscontrole met betrekking tot alle gebruikers van het DSA-gegevenstoegangsportaal;

(b)uitvoering van de toestemming voor verzoeken van gebruikers van het DSA-gegevenstoegangsportaal om in de aanvraag genoemde informatie in het DSA-gegevenstoegangsportaal aan te maken, bij te werken en te verwijderen;

(c)ontvangst van de in artikel 5, lid 3, van deze verordening bedoelde persoonsgegevens die door gebruikers van het DSA-gegevenstoegangsportaal worden geüpload;

(d)opslag van de persoonsgegevens in het DSA-gegevenstoegangsportaal;

(e)verwijdering van de persoonsgegevens op de vervaldatum of in opdracht van de verwerkingsverantwoordelijke;

(f)verwijdering van resterende persoonsgegevens na de beëindiging van de door het DSA-gegevenstoegangsportaal verleende diensten, tenzij opslag van dergelijke persoonsgegevens Unierechtelijk of lidstaatrechtelijk verplicht is.

4.De Commissie neemt alle organisatorische, fysieke en logische beveiligingsmaatregelen volgens de stand der techniek om de werking van het DSA-gegevenstoegangsportaal te waarborgen. Hiertoe zal de Commissie:

(a)een verantwoordelijke entiteit aanwijzen voor het beveiligingsbeheer van het DSA-gegevenstoegangsportaal, de verwerkingsverantwoordelijken in kennis stellen van de contactgegevens van de entiteit en ervoor zorgen dat deze beschikbaar is om te reageren op bedreigingen voor de beveiliging;

(b)de verantwoordelijkheid voor de beveiliging van het DSA-gegevenstoegangsportaal op zich nemen, onder meer door regelmatig tests, evaluaties en beoordelingen van de beveiligingsmaatregelen uit te voeren.

5.De Commissie neemt alle nodige beveiligingsmaatregelen om te voorkomen dat de goede werking van het DSA-gegevenstoegangsportaal in het gedrang komt. Dit omvat:

(a)risicobeoordelingsprocedures om potentiële bedreigingen van het DSA-gegevenstoegangsportaal te identificeren en in te schatten;

(b)een audit- en evaluatieprocedure om:

(a)de overeenstemming tussen de uitgevoerde beveiligingsmaatregelen en het toepasselijke beveiligingsbeleid te controleren;

(b)regelmatig de integriteit van het DSA-gegevenstoegangsportaal, de beveiligingsparameters en de verleende machtigingen te controleren;

(c)beveiligingsinbreuken op het DSA-gegevenstoegangsportaal op te sporen;

(d)wijzigingen door te voeren om bestaande zwakke punten in het DSA-gegevenstoegangsportaal te beperken;

(e)de voorwaarden vast te stellen voor het toestaan, onder meer op verzoek van verwerkingsverantwoordelijken, van en het leveren van een bijdrage aan de uitvoering van onafhankelijke audits, met inbegrip van inspecties, en evaluaties van de beveiligingsmaatregelen, onder voorwaarden die Protocol nr. 7 bij het Verdrag betreffende de werking van de Europese Unie, betreffende de voorrechten en immuniteiten van de Europese Unie, in acht nemen;

(c)wijziging van de beheersprocedure om de gevolgen van een wijziging vóór de uitvoering ervan te documenteren en te meten, en de verwerkingsverantwoordelijken op de hoogte houden van wijzigingen die van invloed kunnen zijn op de communicatie met en/of de beveiliging van het DSA-gegevenstoegangsportaal;

(d)vaststelling van een onderhouds- en reparatieprocedure voor het specificeren van de na te leven regels en voorwaarden voor het onderhoud en/of de reparatie van het DSA-gegevenstoegangsportaal;

(e)vaststelling van een procedure voor beveiligingsincidenten om het meldings- en escalatiesysteem vast te stellen, de getroffen verwerkingsverantwoordelijken onverwijld in kennis te stellen, de verwerkingsverantwoordelijken onverwijld te informeren zodat zij de nationale toezichthoudende autoriteiten voor gegevensbescherming op de hoogte kunnen brengen van eventuele inbreuken in verband met persoonsgegevens, en een disciplinair proces vast te stellen om beveiligingsinbreuken in het DSA-gegevenstoegangsportaal aan te pakken.

6.De Commissie neemt materiële en logische beveiligingsmaatregelen volgens de stand der techniek voor de installaties waar het DSA-gegevenstoegangsportaal is ondergebracht en voor de controles van gegevens en de beveiligde toegang daartoe. Hiertoe zal de Commissie:

(a)fysieke beveiliging afdwingen om afzonderlijke beveiligingszones op te stellen en de opsporing van inbreuken in het DSA-gegevenstoegangsportaal mogelijk te maken;

(b)de toegang tot de installaties van het DSA-gegevenstoegangsportaal controleren;

(c)ervoor zorgen dat apparatuur niet kan worden toegevoegd, vervangen of verwijderd zonder voorafgaande machtiging van de aangewezen verantwoordelijke instanties;

(d)de toegang vanuit en tot het DSA-gegevenstoegangsportaal controleren;

(e)ervoor zorgen dat gebruikers van het DSA-gegevenstoegangsportaal die toegang hebben tot het DSA-gegevenstoegangsportaal geauthenticeerd worden;

(f)de machtiging met betrekking tot de toegang tot het DSA-gegevenstoegangsportaal herzien in geval van een inbreuk op de beveiliging die gevolgen heeft voor het DSA-gegevenstoegangsportaal;

(g)de integriteit van de via het DSA-gegevenstoegangsportaal doorgegeven informatie bewaren;

(h)technische en organisatorische beveiligingsmaatregelen uitvoeren om ongeoorloofde toegang tot persoonsgegevens in het DSA-gegevenstoegangsportaal te voorkomen;

(i)waar nodig maatregelen treffen om ongeoorloofde toegang tot het DSA-gegevenstoegangsportaal te blokkeren (d.w.z. een locatie/IP-adres blokkeren).

7.De Commissie:

(a)onderneemt stappen om haar domein te beschermen, met inbegrip van het verbreken van verbindingen, in geval van een aanzienlijke afwijking van de kwaliteits- en beveiligingsbeginselen en -concepten;

(b)houdt een risicobeheerplan in stand dat betrekking heeft op het gebied waarvoor zij verantwoordelijk is;

(c)monitort, in real time, de prestaties van alle dienstencomponenten van het DSA-gegevenstoegangsportaal, produceert regelmatig statistieken en registreert gegevens;

(d)biedt gebruikers van het DSA-gegevenstoegangsportaal Engelstalige ondersteuning inzake het DSA-gegevenstoegangsportaal;

(e)staat de verwerkingsverantwoordelijken bij door middel van passende technische en organisatorische maatregelen in de naleving van hun verplichting om te antwoorden op verzoeken tot uitoefening van de rechten van betrokkenen, zoals vastgesteld in hoofdstuk III van Verordening (EU) 2016/679;

(f)ondersteunt de verwerkingsverantwoordelijken door informatie te verstrekken over het DSA-gegevenstoegangsportaal, teneinde de verplichtingen op grond van de artikelen 32 tot en met 36 van Verordening (EU) 2016/679 na te komen;

(g)zorgt ervoor dat de gegevens die binnen het DSA-gegevenstoegangsportaal worden verwerkt, onbegrijpelijk zijn voor onbevoegden;

(h)neemt alle relevante maatregelen om ongeoorloofde toegang tot via het DSA-gegevenstoegangsportaal doorgegeven persoonsgegevens te voorkomen;

(i)neemt maatregelen om de communicatie tussen de verwerkingsverantwoordelijken te vergemakkelijken;

(j)houdt overeenkomstig artikel 31, lid 2, van Verordening (EU) 2018/1725 een register bij van de verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijken zijn verricht.