(1)

De interne markt is een van de meest tastbare verwezenlijkingen van de Unie. Door vrij verkeer van personen, goederen, diensten en kapitaal toe te staan, worden burgers en bedrijven nieuwe kansen geboden. Deze verordening is een belangrijk onderdeel van de strategie voor de eengemaakte markt die is vastgesteld in de mededeling van de Commissie van 28 oktober 2015 getiteld „De eengemaakte markt verbeteren: meer mogelijkheden voor mensen en ondernemingen”. Die strategie is bedoeld om het volledige potentieel van de interne markt te benutten door het voor burgers en bedrijven eenvoudiger te maken zich binnen de Unie te bewegen en grensoverschrijdend handel te drijven, zich in een andere lidstaat te vestigen en hun zakelijke activiteiten naar een andere lidstaat uit te breiden.

(2)

In de mededeling van de Commissie van 6 mei 2015 getiteld „Strategie voor een digitale eengemaakte markt voor Europa” is de rol erkend die internet en digitale technologieën spelen bij de verandering van ons leven en van de wijze waarop burgers en bedrijven informatie en kennis vergaren, goederen en diensten kopen, deelnemen aan de markt en werken, waardoor kansen worden geboden voor innovatie, groei en werkgelegenheid. In die mededeling en in diverse resoluties van het Europees Parlement is erop gewezen dat beter kan worden voldaan aan de behoeften die burgers en bedrijven in eigen land en bij hun grensoverschrijdende activiteiten ondervinden als de bestaande Europese portalen, websites, netwerken, diensten en systemen worden uitgebreid en geïntegreerd en worden gekoppeld aan verschillende nationale oplossingen, om zo „één digitale toegangspoort” te creëren die als enig Europees toegangspunt dient („de toegangspoort”). In de mededeling van de Commissie van 19 april 2016 getiteld „EU-actieplan inzake e-overheid 2016-2020 — Voor een snellere digitalisering van overheidsdiensten” werd de toegangspoort opgenomen als een van de maatregelen voor 2017. In het verslag van de Commissie van 24 januari 2017 getiteld „Versterking van de rechten van de burgers in een Unie van democratische verandering — Verslag over het EU-burgerschap 2017” werd aangegeven dat de toegangspoort een prioriteit is voor de rechten van burgers van de Unie.

(3)

Het Europees Parlement en de Raad hebben herhaaldelijk gevraagd om een vollediger en gebruikersvriendelijker informatie- en ondersteuningspakket om burgers en bedrijven wegwijs te maken op de interne markt, en de hulpmiddelen van de interne markt te versterken en stroomlijnen om beter te voldoen aan de behoeften die burgers en bedrijven bij hun grensoverschrijdende activiteiten ondervinden.

(4)

Deze verordening geeft gehoor aan die verzoeken door burgers en bedrijven eenvoudig toegang te geven tot de informatie, procedures en diensten voor ondersteuning en probleemoplossing die zij nodig hebben om hun rechten op de interne markt uit te oefenen. De toegangspoort zou kunnen bijdragen tot meer transparantie van regels en voorschriften voor verschillende zakelijke en levensgebeurtenissen op gebieden zoals reizen, pensioen, onderwijs, werkgelegenheid, gezondheidszorg, consumentenrechten en rechten van het gezin. Bovendien kan de toegangspoort bijdragen aan het versterken van het consumentenvertrouwen, het aanpakken van het gebrek aan kennis over consumentenbeschermings- en internemarktregels en het verminderen van de nalevingskosten voor bedrijven. Bij deze verordening wordt een toegangspoort opgericht die gebruikersvriendelijk en interactief is en die de gebruikers, op basis van hun behoeften, naar de meest geschikte diensten moet leiden. In die context is voor de Commissie en de lidstaten een belangrijke rol weggelegd om deze doelstellingen te verwezenlijken.

(5)

De toegangspoort moet de interactie tussen burgers en bedrijven, enerzijds, en bevoegde instanties, anderzijds, vergemakkelijken door toegang te verlenen tot onlineoplossingen die de dagelijkse activiteiten van burgers en bedrijven vergemakkelijken en de op de interne markt ondervonden belemmeringen tot een minimum beperken. Het bestaan van één digitale toegangspoort die onlinetoegang biedt tot nauwkeurige en actuele informatie, tot procedures en tot diensten voor ondersteuning en probleemoplossing kan ertoe bijdragen dat gebruikers zich meer bewust worden van de verschillende bestaande onlinediensten en kan hun tijd en geld besparen.

(6)

Deze verordening heeft drie doelstellingen, te weten administratieve belasting beperken voor burgers en bedrijven die geheel overeenkomstig de nationale voorschriften en procedures hun rechten met betrekking tot de interne markt, waaronder het vrije verkeer van burgers, uitoefenen of willen uitoefenen, discriminatie wegnemen en de werking van de interne markt verzekeren ten aanzien van de verstrekking van informatie, procedures en diensten voor ondersteuning en probleemoplossing. Aangezien deze verordening betrekking heeft op het vrije verkeer van burgers, wat niet als slechts bijkomstig kan worden beschouwd, moet zij op artikel 21, lid 2, en artikel 114, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) worden gebaseerd.

(7)

Om burgers en bedrijven van de Unie in staat te stellen hun recht op vrij verkeer binnen de interne markt uit te oefenen, moet de Unie specifieke, niet-discriminerende maatregelen vaststellen om hun eenvoudig toegang te bieden tot voldoende uitvoerige en betrouwbare informatie over hun rechten krachtens het Unierecht, alsmede tot informatie over de toepasselijke nationale voorschriften en procedures die zij moeten volgen wanneer zij naar een andere dan hun eigen lidstaat verhuizen of daar wonen of studeren of wanneer zij daar een bedrijf vestigen of uitoefenen. Informatie moet voldoende uitvoerig worden geacht indien zij alle inlichtingen bevat die noodzakelijk zijn opdat de gebruikers begrijpen wat hun rechten en plichten zijn en aangeeft welke regels op hen van toepassing zijn in verband met de activiteiten die zij als grensoverschrijdende gebruikers willen ondernemen. De informatie moet worden aangeboden op een duidelijke, beknopte en begrijpelijke wijze en moet operationeel en aangepast aan de doelgroep. Informatie over procedures moet alle te verwachten procedurele stappen bestrijken die voor de gebruiker relevant zijn. Het is voor burgers en bedrijven die te maken hebben met een complex regelgevingskader, zoals die welke die actief zijn in elektronische handel en de deeleconomie, van belang dat zij gemakkelijk kunnen uitvinden welke de toepasselijke regels zijn en hoe die van toepassing zijn op hun activiteiten. Onder eenvoudige en gebruikersvriendelijke toegang tot informatie wordt verstaan dat de gebruikers in staat worden gesteld op eenvoudige wijze de informatie terug te vinden, op eenvoudige wijze te bepalen welke informatie-elementen relevant zijn voor hun specifieke situatie en de relevante informatie vlot te begrijpen. De informatie die op nationaal niveau verstrekt moet worden, dient niet alleen betrekking te hebben op de nationale voorschriften tot uitvoering van het recht van de Unie, maar ook op andere nationale voorschriften die zowel van toepassing zijn op niet-grensoverschrijdende als op grensoverschrijdende gebruikers.

(8)

De regels over de verstrekking van informatie in deze verordening mogen niet van toepassing zijn op nationale rechterlijke organisaties, aangezien informatie op dat gebied die van belang is voor grensoverschrijdende gebruikers al op het e-justitieportaal te vinden is. In sommige situaties waarop deze verordening betrekking heeft, moeten rechtbanken worden geacht bevoegde instanties zijn, bijvoorbeeld wanneer rechtbanken bedrijfsregisters beheren. Het beginsel van non-discriminatie moet bovendien ook van toepassing zijn op onlineprocedures die toegang geven tot gerechtelijke procedures.

(9)

Het is duidelijk dat burgers en bedrijven uit andere lidstaten nadeel kunnen ondervinden doordat zij niet goed op de hoogte zijn van de nationale voorschriften en overheidssystemen, door verschillen in de gebruikte talen en doordat zij zich niet in de nabijheid bevinden van de bevoegde instanties in een andere dan hun eigen lidstaat. De hieruit voortvloeiende belemmeringen voor de interne markt kunnen het meest efficiënt worden aangepakt door grensoverschrijdende en niet-grensoverschrijdende gebruikers onlinetoegang tot informatie te geven in een taal die zij begrijpen, teneinde hun de mogelijkheid te bieden procedures voor de naleving van nationale voorschriften volledig online af te handelen en ondersteuning te bieden wanneer de voorschriften en procedures niet duidelijk genoeg zijn of wanneer zij stuiten op belemmeringen voor de uitoefening van hun rechten.

(10)

Een aantal handelingen van de Unie had tot doel oplossingen aan te reiken in de vorm van sectorgebonden één-loketsystemen, zoals de één-loketten die bij Richtlijn 2006/123/EG van het Europees Parlement en de Raad (3) zijn opgericht, die online informatie, ondersteunende diensten en toegang tot procedures in verband met de verlening van diensten aanbieden, de productcontactpunten die bij Verordening (EG) nr. 764/2008 van het Europees Parlement en de Raad (4) zijn ingesteld, de productcontactpunten voor de bouw die zijn ingesteld bij Verordening (EU) nr. 305/2011 van het Europees Parlement en de Raad (5) en die toegang verlenen tot productspecifieke technische voorschriften, en de nationale assistentiecentra voor beroepskwalificaties die zijn opgericht bij Richtlijn 2005/36/EG van het Europees Parlement en de Raad (6), die beroepsbeoefenaren helpen bij grensoverschrijdende mobiliteit. Daarnaast zijn er netwerken zoals het netwerk van Europese consumentencentra opgericht om het inzicht in de consumentenrechten binnen de Unie te vergroten en te helpen bij de afhandeling van klachten in verband met aankopen die tijdens reizen of online in andere lidstaten van het netwerk zijn gedaan. Voorts beoogt het in aanbeveling 2013/461/EU van de Commissie (7) bedoelde Solvitnetwerk snelle, effectieve en informele oplossingen te vinden voor problemen die burgers en ondernemingen ondervinden wanneer overheidsinstanties hun hun rechten ontzeggen die zij uit hoofde van de interne markt genieten. Ten slotte zijn verscheidene informatieportalen in verband met de interne markt, zoals Uw Europa, en het Europees e-justitieportaal, op het gebied van justitie, opgericht om gebruikers over Unie- en nationale voorschriften te informeren.

(11)

Door de sectorgebonden aard van deze handelingen van de Unie blijven de online beschikbare informatie, de diensten voor ondersteuning en probleemoplossing en de bijbehorende onlineprocedures voor burgers en bedrijven sterk versnipperd. Er zijn discrepanties in de onlinebeschikbaarheid van informatie en procedures, de kwaliteit van de diensten laat te wensen over, en de informatie en de diensten voor ondersteuning en probleemoplossing genieten onvoldoende bekendheid. Bovendien ondervinden grensoverschrijdende gebruikers problemen om deze diensten te vinden en er toegang toe te krijgen.

(12)

Bij deze verordening moet één digitale toegangspoort worden opgericht die fungeert als het enkele toegangspunt waar burgers en bedrijven terechtkunnen voor informatie over de voorschriften en vereisten waaraan zij uit hoofde van het Unierecht of het nationale recht moeten voldoen. Door die toegangspoort moet het voor burgers en bedrijven eenvoudiger worden contact op te nemen met op het niveau van de Unie of de lidstaten opgerichte diensten voor ondersteuning en probleemoplossing en moet dat contact doeltreffender worden. De toegangspoort moet bovendien de toegang tot onlineprocedures en de afhandeling daarvan vergemakkelijken. Daarom mag deze verordening op generlei wijze raken aan de bestaande rechten en plichten uit hoofde van het Unie- of nationale recht op deze beleidsterreinen. Voor de in bijlage II bij deze verordening opgesomde procedures en de in de Richtlijnen 2005/36/EG, 2006/123/EG, 2014/24/EU (8) en 2014/25/EU (9) van het Europees Parlement en de Raad genoemde procedures moet deze verordening de toepassing van het eenmaligheidsbeginsel voor de uitwisseling van bewijs tussen de bevoegde instanties in verschillende lidstaten ondersteunen en het grondrecht op bescherming van persoonsgegevens in dat kader ten volle eerbiedigen.

(13)

De toegangspoort en de inhoud ervan moeten gebruikersgericht en gebruikersvriendelijk zijn. De toegangspoort moet gericht zijn op het vermijden van overlappingen en moet links aanbieden naar bestaande diensten. Zij moet burgers en bedrijven de mogelijkheid geven te interageren met overheidsinstanties op nationaal en Unieniveau, door hen in de gelegenheid te stellen feedback te geven over de via de toegangspoort verleende diensten en de door hen ervaren werking van de interne markt. Het hulpmiddel voor gebruikersreacties moet de gebruiker de mogelijkheid bieden om — op een wijze die de gebruiker in staat stelt anoniem te blijven — ondervonden problemen, tekortkomingen en behoeften te melden om te bevorderen dat de kwaliteit van de diensten voortdurend wordt verbeterd.

(14)

Het succes van de toegangspoort zal afhangen van de gezamenlijke inspanning van de Commissie en de lidstaten. De toegangspoort moet een gemeenschappelijke gebruikersinterface omvatten die wordt geïntegreerd in het bestaande portaal Uw Europa, dat door de Commissie moet worden beheerd. In de gemeenschappelijke gebruikersinterface moeten links worden opgenomen naar informatie, procedures en diensten voor ondersteuning of probleemoplossing die beschikbaar zijn op door de bevoegde instanties in de lidstaten en door de Commissie beheerde portalen. Om het gebruik van de toegangspoort te vergemakkelijken, moet de gemeenschappelijke gebruikersinterface in alle officiële talen van de instellingen van de Unie („officiële talen van de Unie”) beschikbaar zijn. Het bestaande portaal Uw Europa en de voornaamste toegangspagina daartoe moeten, aangepast aan de vereisten van de toegangspoort, deze meertalige benadering van de verstrekte informatie behouden. De werking van de toegangspoort moet worden ondersteund met technische hulpmiddelen die de Commissie in nauwe samenwerking met de lidstaten ontwikkelt.

(15)

In het „Charter for the electronic Points of Single Contact under Directive 2006/123/EC” (Handvest voor de elektronische één-loketten in het kader van Richtlijn 2006/123/EG), dat in 2013 door de Raad werd goedgekeurd, hebben de lidstaten de vrijwillige toezegging gedaan bij de verstrekking van informatie via de één-loketten een gebruikersgerichte aanpak te zullen volgen, zodat gebieden worden bestreken die van bijzonder belang zijn voor bedrijven, waaronder btw, inkomstenbelastingen, sociale zekerheid en arbeidswetgeving. Op basis van dat handvest en gelet op de ervaring met het portaal Uw Europa, moet in die informatie ook een beschrijving worden opgenomen van de diensten voor ondersteuning en probleemoplossing. Burgers en bedrijven moeten zich tot die diensten kunnen wenden wanneer zij de informatie niet goed begrijpen, niet weten hoe de informatie op hun situatie van toepassing is of problemen ondervinden bij de afhandeling van een procedure.

(16)

In deze verordening moeten de informatiegebieden worden vermeld die voor burgers en bedrijven van belang zijn bij de uitoefening van hun rechten en de naleving van hun verplichtingen binnen de interne markt. Op die gebieden moet voldoende uitgebreide informatie worden verstrekt op het nationale niveau, met inbegrip van het regionale en het lokale niveau, alsook op Unieniveau, waarbij toelichting wordt gegeven over de toepasselijke regels en geldende verplichtingen en over de procedures die burgers en bedrijven moeten volgen om daaraan te voldoen. Om de kwaliteit van de geboden diensten te waarborgen, moet de via de toegangspoort verstrekte informatie duidelijk, juist en actueel zijn, moet er zo weinig mogelijk gebruik worden gemaakt van ingewikkelde terminologie en mogen acroniemen alleen worden gebruikt als het om vereenvoudigde en gemakkelijk te begrijpen termen gaat waarvoor geen voorafgaande kennis van het thema of het rechtsgebied vereist is. Die informatie moet op een zodanige wijze worden verstrekt dat de gebruikers de basisregels en -vereisten die op die gebieden op hun situatie van toepassing zijn, gemakkelijk kunnen begrijpen. De gebruikers moeten ook worden geïnformeerd over het feit dat er in sommige lidstaten geen nationale regels zijn op de in bijlage I opgesomde informatiegebieden, vooral wanneer er in andere lidstaten op die gebieden wel nationale regels gelden. Dergelijke informatie over het ontbreken van nationale regels zou in het portaal Uw Europa kunnen worden opgenomen.

(17)

Informatie die de Commissie al bij de lidstaten heeft ingewonnen op grond van bestaande Uniewetgeving of van vrijwillige regelingen — zoals informatie die is verzameld voor het Eures-portaal, ingesteld bij Verordening (EU) 2016/589 van het Europees Parlement en de Raad (10), het e-justitieportaal, ingesteld bij Beschikking 2001/470/EG van de Raad (11) of de Gegevensbank gereglementeerde beroepen, ingesteld bij Richtlijn 2005/36/EG — moet telkens wanneer dat mogelijk is worden gebruikt om een deel van de informatie te bestrijken die overeenkomstig deze verordening aan burgers en bedrijven op Unie- en nationaal niveau moet worden verstrekt. Van de lidstaten mag niet worden verlangd dat zij op hun nationale websites informatie verstrekken die al in de desbetreffende door de Commissie beheerde gegevensbanken beschikbaar is. Wanneer lidstaten al online-informatie moeten verstrekken krachtens andere Uniehandelingen, zoals Richtlijn 2014/67/EU van het Europees Parlement en de Raad (12), moet het voldoende zijn dat de lidstaten links aanbieden naar de bestaande online-informatie. Wanneer bepaalde beleidsterreinen al volledig geharmoniseerd zijn via Uniewetgeving, bijvoorbeeld consumentenrechten, moet op het niveau van de Unie verstrekte informatie in het algemeen volstaan opdat de gebruikers kunnen begrijpen wat hun relevante rechten of plichten zijn. In dergelijke gevallen hoeven de lidstaten alleen maar aanvullende informatie te verstrekken over hun nationale administratieve procedures en diensten voor ondersteuning of andere nationale administratieve voorschriften indien deze voor de gebruikers relevant is. Zo mag informatie over consumentenrechten bijvoorbeeld niet raken aan het overeenkomstenrecht, maar dient zij de gebruikers enkel te informeren over hun rechten op grond van het Unie- of nationale recht in het kader van commerciële transacties.

(18)

Deze verordening moet de internemarktdimensie van onlineprocedures vergroten en aldus bijdragen aan de digitalisering van de interne markt, door onder meer in verband met de toegang van burgers of bedrijven tot onlineprocedures die reeds op basis van Unie- of nationaal recht op nationaal niveau zijn vastgesteld en in verband met de procedures die overeenkomstig deze verordening volledig online beschikbaar moeten worden gemaakt, aan het algemene non-discriminatiebeginsel vast te houden. Indien een gebruiker die zich in een situatie bevindt die uitsluitend onder één lidstaat ressorteert, in die lidstaat online toegang kan hebben tot een onder deze verordening vallende procedure en deze kan doorlopen, dan moet een grensoverschrijdende gebruiker ook online toegang kunnen hebben tot dezelfde procedure en deze kunnen doorlopen, via dezelfde technische oplossing dan wel via een andere, technisch onderscheiden oplossing die tot hetzelfde resultaat leidt, zonder discriminerende belemmeringen. Dergelijke belemmeringen kunnen bestaan uit op nationaal niveau ontworpen oplossingen, zoals velden van formulieren waarin alleen nationale telefoonnummers, nationale voorvoegsels voor telefoonnummers of nationale postcodes kunnen worden ingevuld, vergoedingen die alleen met systemen zonder grensoverschrijdende betaalmogelijkheden kunnen worden betaald, het ontbreken van uitvoerige toelichtingen in een taal die door grensoverschrijdende gebruikers wordt begrepen, het ontbreken van mogelijkheden om elektronische bewijzen van instanties uit een andere lidstaat in te dienen en het niet-aanvaarden van elektronische identificatiemiddelen die in andere lidstaten zijn afgegeven. De lidstaten moeten oplossingen voor die belemmeringen bieden.

(19)

Wanneer gebruikers onlineprocedures in een grensoverschrijdende context doorlopen, moeten zij alle relevante toelichting kunnen verkrijgen in een officiële taal van de Unie die door zo veel mogelijk grensoverschrijdende gebruikers grotendeels wordt begrepen. Dat betekent niet dat de lidstaten hun administratieve formulieren in verband met de procedure of het resultaat van de procedure in die taal moeten vertalen. De lidstaten worden echter wel aangemoedigd om technische oplossingen te gebruiken die de gebruikers in staat stellen om de procedures in zo veel mogelijk gevallen in die taal te doorlopen, met inachtneming van de regels van de lidstaten inzake het gebruik van talen.

(20)

Het antwoord op de vraag welke nationale onlineprocedures voor grensoverschrijdende gebruikers relevant zijn met het oog op de uitoefening van hun rechten uit hoofde van de interne markt, is afhankelijk van het antwoord op de vraag of die gebruikers ingezetene zijn van dan wel gevestigd zijn in de betrokken lidstaat dan wel of zij toegang tot de procedures van die lidstaat willen terwijl zij ingezetene zijn van dan wel gevestigd zijn in een andere lidstaat. Deze verordening mag de lidstaten niet verhinderen van grensoverschrijdende gebruikers die ingezetene zijn van of gevestigd zijn op hun grondgebied, te verlangen dat zij een nationaal identificatienummer verkrijgen met het oog op toegang tot de nationale onlineprocedures, voor zover dit voor die gebruikers geen ongerechtvaardigde extra belasting of kosten met zich brengt. Voor grensoverschrijdende gebruikers die geen ingezetene zijn van of niet gevestigd zijn in de desbetreffende lidstaat, hoeven nationale onlineprocedures die niet relevant zijn voor de uitoefening van hun rechten uit hoofde van de interne markt, bijvoorbeeld inschrijving om lokale dienstverlening zoals afvalophaling en parkeervergunningen te genieten, niet volledig online toegankelijk te zijn.

(21)

Deze verordening moet voortbouwen op Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad (13), waarin voorwaarden zijn vastgesteld waaronder lidstaten bepaalde elektronische identificatiemiddelen van natuurlijke personen en rechtspersonen erkennen die onderworpen zijn aan een aangemeld stelsel voor elektronische identificatie van een andere lidstaat. In Verordening (EU) nr. 910/2014 zijn de voorwaarden neergelegd waaronder gebruikers gebruik mogen maken van hun elektronische identificatie- en authenticatiemiddelen om toegang te verkrijgen tot online publieke diensten in grensoverschrijdende situaties. De instellingen, organen, instanties en agentschappen van de Unie worden aangespoord om elektronische identificatie- en authenticatiemiddelen te accepteren voor de procedures waarvoor zij verantwoordelijk zijn.

(22)

In een aantal sectorale handelingen van de Unie, zoals de Richtlijnen 2005/36/EG, 2006/123/EG, 2014/24/EU en 2014/25/EU, is voorgeschreven dat de procedures volledig online beschikbaar moeten zijn. Deze verordening moet voorschrijven dat een aantal andere procedures die van wezenlijk belang zijn voor de meeste burgers en bedrijven die hun rechten uitoefenen en verplichtingen naleven in een grensoverschrijdende context, volledig online beschikbaar zijn.

(23)

Om burgers en bedrijven in staat te stellen rechtstreeks te profiteren van de voordelen van de interne markt zonder onnodige extra administratieve belasting, moet deze verordening voorschrijven dat de gebruikersinterface van bepaalde, in bijlage II bij deze verordening vermelde belangrijke procedures voor grensoverschrijdende gebruikers volledig gedigitaliseerd worden. In deze verordening moeten ook criteria worden gegeven om te bepalen hoe die procedures als volledig online kunnen worden aangemerkt. De verplichting om een dergelijke procedure volledig online beschikbaar te maken dient enkel te gelden indien de procedure in de betrokken lidstaten is vastgesteld. Deze verordening moet niet van toepassing zijn op de initiële inschrijving van een bedrijfsactiviteit, op de procedures die leiden tot de oprichting van een vennootschap als rechtspersoon of op latere indieningen door die vennootschappen, aangezien dergelijke procedures een alomvattende benadering vereisen om digitale oplossingen in de gehele levenscyclus van een onderneming te vergemakkelijken. Wanneer bedrijven zich in een andere lidstaat vestigen, moeten zij zich bij een socialezekerheidsregeling en een verzekeringsregeling inschrijven om hun werknemers daarbij aan te melden en bijdragen aan beide regelingen te betalen. Het is mogelijk dat zij hun bedrijfsactiviteiten moeten melden, vergunningen moeten verkrijgen of veranderingen in hun bedrijfsactiviteiten moeten registreren. Deze registratieprocedures gelden voor bedrijven in talrijke sectoren van de economie en het is bijgevolg passend te verlangen dat zij online beschikbaar worden gesteld.

(24)

Deze verordening moet verduidelijken wat het volledig online aanbieden van een procedure inhoudt. Een procedure moet als volledig online worden beschouwd wanneer de gebruiker alle stappen vanaf de toegang tot de voltooiing van de procedure, waarbij interactie plaatsvindt tussen hem en de bevoegde instantie (het „frontoffice”), elektronisch, op afstand en via een onlinedienst kan doorlopen. Deze onlinedienst moet de gebruiker wegwijs maken in een lijst van alle te vervullen voorwaarden en van alle aan te leveren ondersteunende bewijsstukken, moet de gebruiker in staat stellen de informatie en het bewijs van naleving van al die voorwaarden te verstrekken en moet de gebruiker een automatische ontvangstbevestiging sturen, tenzij de output van de procedure onmiddellijk wordt geleverd. Dit mag de bevoegde instanties niet beletten om rechtstreeks contact op te nemen met de gebruikers wanneer dat nodig is om voor de procedure benodigde nadere toelichting te verkrijgen. De bevoegde instanties dienen de output van de procedure, als bepaald in deze verordening, eveneens langs elektronische weg aan de gebruiker te sturen, waar mogelijk op grond van geldende Unie- en nationale wetgeving.

(25)

Deze verordening mag geen afbreuk doen aan de essentie van de in bijlage II opgesomde procedures die op nationaal, regionaal of lokaal niveau zijn vastgesteld, en mag geen materiële op procedurele regels vastleggen op de onder bijlage II vallende gebieden, met inbegrip van belastingen. Het doel van deze verordening moet zijn de technische vereisten vast te stellen om ervoor te zorgen dat dergelijke procedures, wanneer die in de betrokken lidstaat zijn vastgesteld, volledig online beschikbaar worden gemaakt.

(26)

Deze verordening mag geen afbreuk doen aan de bevoegdheden van nationale instanties in een procedure, waaronder de verificatie van de juistheid en geldigheid van verstrekte informatie of vertrekt bewijs en de verificatie van de authenticiteit wanneer het bewijs op een andere wijze wordt ingediend dan via het op het eenmaligheidsbeginsel gebaseerde technische systeem. Evenmin mag deze verordening raken aan de — al dan niet gedigitaliseerde — procedurele werkstromen binnen en tussen de bevoegde instanties (het „backoffice”). Wanneer zulks noodzakelijk is in het kader van sommige van de procedures voor het registreren van bedrijfsactiviteiten, moeten de lidstaten kunnen blijven vereisen dat er een notaris of jurist wordt ingeschakeld die gebruik zou kunnen willen maken van verificatiemiddelen, zoals videoconferenties of andere onlinemiddelen die een audiovisuele realtimeverbinding mogelijk maken. Het inschakelen van een notaris of jurist mag echter niet beletten dat procedures voor het registreren van zulke veranderingen volledig online worden afgehandeld.

(27)

In sommige gevallen kan van de gebruikers worden verlangd dat zij bewijs overleggen ter staving van feiten die niet online kunnen worden vastgesteld. Dat bewijs kan bijvoorbeeld een medische verklaring, een bewijs van in leven zijn, een keuringsbewijs voor motorvoertuigen of de bevestiging van de chassisnummers ervan zijn. Als zulk bewijs via elektronische weg kan worden verstrekt, zou dit geen uitzondering mogen vormen op het beginsel dat een procedure volledig online moet worden aangeboden. In andere gevallen kan het nog nodig zijn dat gebruikers in het kader van een onlineprocedure in persoon bij een bevoegde instantie verschijnen. Dergelijke uitzonderingen moeten, als zij niet voortvloeien uit Uniewetgeving, worden beperkt tot situaties die gerechtvaardigd worden door een dwingende reden van algemeen belang op het gebied van openbare veiligheid, volksgezondheid of fraudebestrijding. Ter waarborging van de transparantie moeten de lidstaten met de Commissie en de andere lidstaten informatie delen over zulke uitzonderingen en de redenen waarom en de omstandigheden waarin die kunnen worden toegepast. Van de lidstaten mag niet worden verlangd dat zij verslag uitbrengen over elk afzonderlijk geval waarin bij wijze van uitzondering fysieke aanwezigheid werd vereist, maar zij moeten wel meedelen welke nationale bepalingen er ter zake bestaan. Beste praktijken op nationaal niveau en technische ontwikkelingen die verdere digitalisering op dit gebied mogelijk maken, moeten regelmatig in een toegangspoortcoördinatiegroep worden besproken.

(28)

In grensoverschrijdende situaties kan de procedure voor het registreren van een adreswijziging bestaan uit twee afzonderlijke procedures: een procedure in de lidstaat van herkomst om de uitschrijving voor het oude adres te vragen en een procedure in de lidstaat van bestemming om de inschrijving op het nieuwe adres te vragen. Beide procedures moeten onder deze verordening vallen.

(29)

Aangezien de digitalisering van de verplichtingen, procedures en formaliteiten voor de erkenning van beroepskwalificaties reeds onder Richtlijn 2005/36/EG valt, dient deze verordening uitsluitend betrekking te hebben op de digitalisering van de procedure waarbij om academische erkenning van diploma’s, certificaten of andere bewijzen van voltooide opleidingen wordt verzocht met betrekking tot een persoon die een studie wenst te beginnen of voort te zetten of die een academische titel wenst te voeren, die niet de formaliteiten inzake de erkenning van beroepskwalificaties betreffen.

(30)

Deze verordening moet de bepalingen betreffende de coördinatie van de socialezekerheidsstelsels van de Verordeningen (EG) nr. 883/2004 (14) en (EG) nr. 987/2009 van het Europees Parlement en de Raad (15), waarin de rechten en verplichtingen van verzekerden en socialezekerheidsinstellingen en de toepasselijke procedures op het gebied van de coördinatie van de sociale zekerheid vastgesteld zijn, onverlet laten.

(31)

Op Unie- en nationaal niveau zijn verscheidene netwerken en diensten opgericht om burgers en bedrijven te ondersteunen bij hun grensoverschrijdende activiteiten. Het is belangrijk dat die diensten, waaronder bestaande diensten voor ondersteuning of probleemoplossing die op Unieniveau zijn opgezet, zoals de Europese consumentencentra, Uw Europa — Advies, Solvit, de helpdesk intellectuele-eigendomsrechten, Europe Direct en het Enterprise Europe Network, in de toegangspoort worden opgenomen, om ervoor te zorgen dat alle potentiële gebruikers ze kunnen vinden. De in bijlage III vermelde diensten zijn opgericht bij bindende handelingen van de Unie, terwijl andere diensten op vrijwillige basis functioneren. De diensten die bij bindende handelingen van de Unie zijn opgericht moeten gebonden zijn aan de in deze verordening vastgestelde kwaliteitseisen, terwijl de op vrijwillige basis functionerende diensten aan die kwaliteitseisen moeten voldoen als de bedoeling is om ze via de toegangspoort toegankelijk te maken. De reikwijdte en de aard van die diensten, hun governanceregelingen, de bestaande termijnen en de vrijwillige, contractuele of andere grondslag waarop zij opereren, mogen niet door deze verordening worden gewijzigd. Wanneer bijvoorbeeld de ondersteuning die zij bieden een informeel karakter heeft, mag deze verordening er niet toe leiden dat die ondersteuning wordt veranderd in juridisch advies met een bindend karakter.

(32)

Bovendien moeten de lidstaten en de Commissie, onder de in deze verordening vastgestelde voorwaarden, in staat zijn om andere nationale diensten voor ondersteuning of probleemoplossing in de toegangspoort op te nemen die verleend worden door bevoegde instanties of particuliere of semi-particuliere instanties dan wel door openbare instanties zoals handelskamers of niet-gouvernementele ondersteuningsdiensten voor burgers. In beginsel moeten de bevoegde instanties verantwoordelijk zijn voor de ondersteuning van burgers en bedrijven die vragen over de toepasselijke voorschriften en procedures hebben die door de onlinediensten niet volledig kunnen worden beantwoord. Als het echter zeer specialistische gebieden betreft en een door een particulier of semi-particulier orgaan verleende dienst aan de behoeften van de gebruikers voldoet, kunnen de lidstaten aan de Commissie voorstellen een dergelijke dienst in de toegangspoort op te nemen, mits die diensten aan alle voorwaarden van deze verordening voldoet en hierdoor geen doublure ontstaat met reeds opgenomen diensten voor ondersteuning of probleemoplossing.

(33)

Om gebruikers de juiste dienst te helpen vinden, moet deze verordening een hulpmiddel zoekfunctie voor ondersteunende diensten bieden dat de gebruikers automatisch naar de juiste dienst leidt.

(34)

Voor het succes van de toegangspoort is het cruciaal dat een minimumreeks kwaliteitseisen wordt nageleefd om te waarborgen dat de verstrekte informatie en diensten betrouwbaar zijn, aangezien de geloofwaardigheid van de toegangspoort als geheel anders ernstig zou worden ondermijnd. De overkoepelende doelstelling van die naleving is ervoor te zorgen dat de informatie of dienst wordt aangeboden op een duidelijke en gebruiksvriendelijke manier. Het is de verantwoordelijkheid van de lidstaten om te bepalen hoe de informatie met dat doel tijdens het gebruikerstraject wordt gepresenteerd. Zo is het bijvoorbeeld voor gebruikers nuttig om, voordat zij een procedure starten, geïnformeerd te worden over de algemeen beschikbare verhaalmiddelen wanneer de procedure tot een negatief resultaat leidt, maar is het veel gebruiksvriendelijker om specifieke informatie te verstrekken over de mogelijke stappen die in dat geval aan het einde van de procedure moeten worden ondernomen.

(35)

De toegankelijkheid van informatie voor grensoverschrijdende gebruikers kan aanzienlijk worden verbeterd wanneer die informatie beschikbaar wordt gesteld in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen. Dat kan in de meeste gevallen de vreemde taal zijn die het meest wordt gestudeerd door gebruikers in de gehele Unie, maar in sommige specifieke gevallen, meer bepaald wanneer informatie op plaatselijk niveau moet worden verstrekt door kleine gemeenten in de nabijheid van de grens van een lidstaat, kan de meest geschikte taal de taal zijn die als eerste taal wordt gesproken door de grensoverschrijdende gebruikers in de buurlidstaat. De vertaling van de officiële taal of talen van de lidstaat in kwestie in die andere officiële taal van de Unie moet de inhoud van de in de oorspronkelijke taal of talen verstrekte informatie accuraat weergeven. De vertaling kan beperkt worden tot de informatie die gebruikers nodig hebben om de basisregels en -vereisten te begrijpen die op hun situatie van toepassing zijn. De lidstaten moeten worden aangemoedigd om zo veel mogelijk informatie te vertalen in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen, maar de hoeveelheid informatie die krachtens deze verordening moet worden vertaald zal afhangen van de financiële middelen die voor dat doel beschikbaar zijn, in het bijzonder binnen de begroting van de Unie. De Commissie moet de nodige regelingen treffen om te zorgen voor een efficiënte levering van vertalingen aan de lidstaten indien zij daarom verzoeken. De toegangspoortcoördinatiegroep moet bespreken in welke taal of talen van de Unie die informatie moet worden vertaald en moet daar richtsnoeren voor aanreiken.

(36)

In overeenstemming met Richtlijn (EU) 2016/2102 van het Europees Parlement en de Raad (16) moeten de lidstaten erop toezien dat de websites van hun overheidsinstanties toegankelijk zijn in overeenstemming met de beginselen van waarneembaarheid, bedienbaarheid, begrijpelijkheid en robuustheid en dat zij voldoen aan de vereisten van die richtlijn. De Commissie en de lidstaten moeten zorgen voor naleving van het Verdrag van de Verenigde Naties inzake de rechten van personen met een handicap, met name de artikelen 9 en 21 daarvan, en om personen met een verstandelijke handicap betere toegang te bieden tot informatie moeten er zo veel mogelijk alternatieven in gemakkelijk leesbare taal worden aangeboden, overeenkomstig het evenredigheidsbeginsel. De lidstaten en de Unie hebben, door dit Verdrag te ratificeren respectievelijk te sluiten (17), zich ertoe verbonden passende maatregelen te nemen om personen met een handicap op voet van gelijkheid met anderen de toegang te garanderen tot nieuwe informatie- en communicatietechnologieën en -systemen, met inbegrip van het internet, door de toegang tot informatie voor personen met een verstandelijke handicap te vergemakkelijken door, binnen de grenzen van het redelijke, zo veel mogelijk alternatieven in gemakkelijk leesbare taal aan te bieden.

(37)

Richtlijn (EU) 2016/2102 is niet van toepassing op websites en mobiele toepassingen van instellingen, organen, instanties en agentschappen van de Unie, maar de Commissie moet ervoor zorgen dat de onder haar verantwoordelijkheid vallende gemeenschappelijke gebruikersinterface en websites die in de toegangspoort moeten worden opgenomen, toegankelijk zijn voor personen met een handicap, wat betekent dat zij waarneembaar, bedienbaar, begrijpelijk en robuust moeten zijn. Onder waarneembaarheid wordt verstaan dat de informatie en de componenten van de gemeenschappelijke gebruikersinterface zodanig aan gebruikers moeten kunnen worden gepresenteerd dat zij kunnen worden waargenomen, onder bedienbaarheid wordt verstaan dat de componenten van de gemeenschappelijke gebruikersinterface en de navigatie bedienbaar moeten zijn, onder begrijpelijkheid wordt verstaan dat de informatie en de werking van de gemeenschappelijke gebruikersinterface begrijpelijk moeten zijn, en onder robuustheid wordt verstaan dat content voldoende robuust moet zijn opdat hij op betrouwbare wijze wordt geïnterpreteerd door uiteenlopende useragents, waaronder hulptechnologieën. Met betrekking tot de termen waarneembaar, bedienbaar, begrijpelijk en robuust wordt de Commissie aangespoord om aan de desbetreffende geharmoniseerde normen te voldoen.

(38)

Om de betaling van vergoedingen die worden verlangd als onderdeel van onlineprocedures of voor het verlenen van diensten voor ondersteuning of probleemoplossing te vergemakkelijken, moeten grensoverschrijdende gebruikers overmakingen of automatische afschrijvingen overeenkomstig Verordening (EU) nr. 260/2012 van het Europees Parlement en de Raad (18) of andere algemeen gebruikte grensoverschrijdende betaalmiddelen, waaronder debet- of kredietkaarten, kunnen gebruiken.

(39)

Het is nuttig om gebruikers in te lichten over de verwachte duur van een procedure. Aldus moeten gebruikers worden geïnformeerd over de geldende termijnen of de regelingen „stilzwijgende goedkeuring” of „administratieve stilte” of, indien deze niet van toepassing zijn, ten minste over de gemiddelde, geraamde of indicatieve termijn die de betrokken procedure gewoonlijk vereist. Die ramingen of indicaties mogen gebruikers alleen helpen bij het plannen van hun activiteiten of eventuele administratieve vervolgstappen en mogen geen rechtsgevolgen hebben.

(40)

Deze verordening moet ook de verificatie van door gebruikers in elektronische vorm verstrekt bewijs toestaan wanneer dat bewijs zonder elektronisch zegel of certificatie van de uitgevende bevoegde instantie wordt verstrekt of wanneer het bij deze verordening ingestelde technische hulpmiddel of een ander systeem voor rechtstreekse uitwisseling of verificatie van bewijs tussen de bevoegde instanties van verschillende lidstaten niet beschikbaar is. Voor die gevallen moet deze verordening voorzien in een doeltreffend mechanisme voor de administratieve samenwerking tussen de bevoegde instanties van de lidstaten op basis van het bij Verordening (EU) nr. 1024/2012 van het Europees Parlement en de Raad (19) ingestelde Informatiesysteem interne markt (IMI). In dergelijke gevallen moet het besluit van een bevoegde instantie om het IMI te gebruiken vrijwillig zijn, maar zodra die instantie een verzoek om informatie of samenwerking via het IMI heeft ingediend, dient de aangezochte bevoegde instantie verplicht te zijn samen te werken en te antwoorden. Het verzoek kan via het IMI worden toegezonden aan de bevoegde instantie die het bewijs afgeeft, of aan de centrale instantie die door de lidstaten moet worden aangewezen overeenkomstig hun eigen administratieve voorschriften. Om onnodige doublures te voorkomen en aangezien Verordening (EU) 2016/1191 van het Europees Parlement en de Raad (20) van toepassing is op een deel van de bewijzen die relevant zijn voor de onder deze verordening vallende procedures, kunnen de in Verordening (EU) 2016/1191 vastgestelde samenwerkingsregelingen voor het IMI ook worden gebruikt voor andere bewijzen die nodig zijn voor onder deze verordening vallende procedures. Verordening (EU) nr. 1024/2012 moet worden gewijzigd om toe te staan dat organen, instanties of agentschappen van de Unie actoren binnen het IMI worden.

(41)

Om de kwaliteit en veiligheid van de dienstverlening aan burgers en bedrijven te verbeteren, zijn onlinediensten van de bevoegde instanties cruciaal. Overheidsdiensten binnen de lidstaten streven steeds meer naar het hergebruik van gegevens en verlangen steeds minder vaak van burgers en bedrijven dat zij dezelfde informatie meerdere keren verstrekken. Het hergebruiken van gegevens moet worden bevorderd voor grensoverschrijdende gebruikers om extra lasten te beperken.

(42)

Om rechtmatige grensoverschrijdende uitwisseling van bewijs en informatie middels Uniebrede toepassing van het eenmaligheidsbeginsel mogelijk te maken, moet de toepassing van deze verordening en van het eenmaligheidsbeginsel voldoen aan alle toepasselijke gegevensbeschermingsregels, waaronder de beginselen van minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid, noodzakelijkheid, evenredigheid en doelbinding. Bij de tenuitvoerlegging ervan moeten ook de beginselen van ingebouwde veiligheid en ingebouwde privacy ten volle worden nageleefd en moeten de grondrechten van personen, waaronder die inzake billijkheid en de transparantie, worden geëerbiedigd.

(43)

De lidstaten moeten ervoor zorgen dat de gebruikers van procedures duidelijke informatie krijgen over de wijze waarop op hen betrekking hebbende persoonsgegevens zullen worden verwerkt overeenkomstig de artikelen 13 en 14 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad (21) en de artikelen 15 en 16 van Verordening (EU) 2018/1725 (22).

(44)

Om het gebruik van onlineprocedures verder te vergemakkelijken, moet deze verordening overeenkomstig het eenmaligheidsbeginsel de grondslag leggen voor het opzetten en gebruiken van een volledig operationeel, veilig en beveiligd technisch systeem voor de geautomatiseerde grensoverschrijdende uitwisseling van bewijs tussen de bij de procedure betrokken actoren, wanneer burgers en bedrijven daarom uitdrukkelijk verzoeken. Wanneer de uitwisseling van bewijs ook persoonsgegevens betreft, dient het verzoek als uitdrukkelijk te worden beschouwd indien het een vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige indicatie geeft omtrent de wens van het individu om de desbetreffende persoonsgegevens te laten uitwisselen, hetzij door een verklaring, hetzij door een actieve handeling. Indien de gebruiker niet de persoon is op wie de gegevens betrekking hebben, mag de onlineprocedure geen afbreuk doen aan diens rechten uit hoofde van Verordening (EU) 2016/679. De grensoverschrijdende toepassing van het eenmaligheidsbeginsel moet ertoe leiden dat burgers en bedrijven dezelfde gegevens slechts één keer aan overheidsinstanties hoeven te verstrekken en dat die gegevens op verzoek van de gebruiker ook kunnen worden gebruikt om grensoverschrijdende onlineprocedures waarbij grensoverschrijdende gebruikers betrokken zijn, te voltooien. Voor de uitgevende bevoegde instantie moet de verplichting om het technische systeem te gebruiken voor de geautomatiseerde uitwisseling van bewijzen tussen verschillende lidstaten alleen gelden indien instanties in hun eigen lidstaat op rechtmatige wijze bewijs uitgeven in een elektronische vorm die die geautomatiseerde uitwisseling mogelijk maakt.

(45)

Voor de grensoverschrijdende uitwisseling van bewijzen moet er een passende rechtsgrond zijn, zoals Richtlijn 2005/36/EG, 2006/123/EG, 2014/24/EU of 2014/25/EU, of — voor de in bijlage II vermelde procedures — andere Unie- of nationale wetgeving.

(46)

Het is passend dat in deze verordening, als algemene regel, wordt bepaald dat de grensoverschrijdende geautomatiseerde uitwisseling van bewijs plaatsvindt op uitdrukkelijk verzoek van de gebruiker. Dit vereiste mag evenwel niet gelden indien het toepasselijke Unierecht of nationale recht voorziet in een geautomatiseerde grensoverschrijdende uitwisseling zonder uitdrukkelijk verzoek van de gebruiker.

(47)

Het gebruik van het bij deze verordening ingestelde technische systeem moet vrijwillig blijven en de gebruiker moet de mogelijkheid behouden om bewijs over te leggen op andere manieren dan via dit technische systeem. De gebruiker moet de mogelijkheid hebben om het bewijs vooraf in te zien en het recht om ervoor te kiezen om niet over te gaan tot de uitwisseling van bewijs indien hij bij inzage van het uit te wisselen bewijs ontdekt dat de informatie niet accuraat of verouderd is of verder gaat dan wat nodig is voor de desbetreffende procedure. De gegevens voor inzage mogen niet langer worden opgeslagen dan technisch gezien noodzakelijk is.

(48)

Het beveiligde technische systeem dat voor de uitwisseling van bewijs in het kader van deze verordening moet worden ingesteld, moet bevoegde instanties die een verzoek indienen zekerheid bieden dat het bewijs door de juiste uitgevende instantie is verstrekt. Alvorens de door een gebruiker in het kader van een procedure verstrekte informatie te aanvaarden, moet de bevoegde instantie de informatie kunnen verifiëren indien deze twijfel doet rijzen en moet zij kunnen concluderen dat deze juist is.

(49)

Er bestaan een aantal bouwstenen die basismogelijkheden bieden, welke kunnen worden gebruikt om het technische systeem op te zetten, zoals de financieringsfaciliteit voor Europese verbindingen, welke is vastgesteld bij Verordening (EU) nr. 1316/2013 van het Europees Parlement en de Raad (23), en de bouwstenen voor e-levering en elektronische identiteitskaarten die daarvan deel uitmaken. Die bouwstenen bestaan uit technische specificaties, voorbeeldsoftware en ondersteunende diensten en hebben tot doel te zorgen voor interoperabiliteit tussen de bestaande informatie- en communicatietechnologiesystemen (ICT-systemen) in verschillende lidstaten, zodat burgers, bedrijven en overheden, op om het even welke plaats in de Unie, kunnen profiteren van naadloos aansluitende digitale overheidsdiensten.

(50)

Het bij deze verordening ingestelde technische systeem moet beschikbaar zijn naast andere systemen die mechanismen voor samenwerking tussen instanties bieden, zoals het IMI, en het mag niet van invloed zijn op andere systemen, waaronder het bij Verordening (EG) nr. 987/2009 ingestelde systeem, het Uniform Europees Aanbestedingsdocument uit hoofde van Richtlijn 2014/24/EU, de elektronische uitwisseling van gegevens betreffende sociale zekerheid uit hoofde van Verordening (EG) nr. 987/2009, de Europese beroepskaart krachtens Richtlijn 2005/36/EG, de koppeling van nationale registers en de koppeling van centrale, handels- en vennootschapsregisters in het kader van Richtlijn (EU) 2017/1132 van het Europees Parlement en de Raad (24) en de koppeling van insolventieregisters in het kader van Verordening (EU) 2015/848 van het Europees Parlement en de Raad (25).

(51)

Om eenvormige voorwaarden te waarborgen voor de uitvoering van een technisch systeem voor de geautomatiseerde uitwisseling van bewijzen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om met name de technische en operationele specificaties vast te stellen van een systeem voor de verwerking van een verzoek van een gebruiker om uitwisseling van bewijs en voor de overdracht van dergelijk bewijs, alsook om de regels vast te stellen die nodig zijn teneinde de integriteit en vertrouwelijkheid van de overdracht te waarborgen. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (26).

(52)

Om te verzekeren dat het technische systeem een hoog niveau van beveiliging biedt voor de grensoverschrijdende toepassing van het eenmaligheidsbeginsel, dient de Commissie bij de vaststelling van uitvoeringshandelingen waarin de specificaties voor een dergelijk technisch systeem worden vastgelegd terdege rekening te houden met de normen en technische kenmerken die zijn opgesteld door Europese en internationale organisaties en organen voor normalisatie, in het bijzonder het Europees Comité voor Normalisatie (CEN), het Europees Instituut voor telecommunicatienormen (ETSI), de Internationale Organisatie voor normalisatie (ISO), en de Internationale Telecommunicatie-unie (ITU), alsook de in artikel 32 van Verordening (EU) 2016/679 en artikel 22 van Verordening (EU) 2018/1725 bedoelde veiligheidsnormen.

(53)

Wanneer zulks nodig is om de ontwikkeling, de beschikbaarheid, het onderhoud, de supervisie, de monitoring en het beveiligingsbeheer van de onderdelen van het technische systeem waarvoor de Commissie verantwoordelijk is te waarborgen, moet de Commissie het advies inwinnen van de Europese Toezichthouder voor gegevensbescherming.

(54)

De bevoegde instanties en de Commissie moeten waarborgen dat de informatie, procedures en diensten waarvoor zij verantwoordelijk zijn, aan de kwaliteitscriteria voldoen. De krachtens deze verordening aangewezen nationale coördinatoren en de Commissie moeten met regelmatige tussenpozen toezien op de naleving van de kwaliteits- en veiligheidscriteria op het niveau van de lidstaten, respectievelijk het niveau van de Unie, en eventuele problemen oplossen. Voorts moeten de nationale coördinatoren de Commissie bijstaan bij het toezicht op de werking van het technisch systeem dat de grensoverschrijdende uitwisseling van bewijzen mogelijk maakt. Deze verordening moet de Commissie een reeks middelen verschaffen om elke verslechtering van de kwaliteit van de via de toegangspoort aangeboden diensten, rekening houdend met de ernst en het voortduren van de verslechtering, aan te pakken, waarbij — indien nodig — de toegangspoortcoördinatiegroep wordt betrokken. Dit mag geen afbreuk doen aan de algemene verantwoordelijkheid van de Commissie voor het toezicht op de naleving van deze verordening.

(55)

Bij deze verordening moeten de belangrijkste functies worden gespecificeerd van de technische hulpmiddelen die het functioneren van de toegangspoort ondersteunen, en in het bijzonder de gemeenschappelijke gebruikersinterface, het register voor links en de gemeenschappelijke zoekfunctie voor ondersteunende diensten. De gemeenschappelijke gebruikersinterface moet ervoor zorgen dat de gebruikers op websites op nationaal en Unieniveau gemakkelijk informatie, procedures en diensten voor ondersteuning en probleemoplossing kunnen vinden. De lidstaten en de Commissie moeten ernaar streven om te voorzien in links naar één enkele bron met de informatie die vereist is voor de toegangspoort, teneinde verwarring bij gebruikers als gevolg van verschillende, geheel of gedeeltelijk duplicerende informatiebronnen te voorkomen. Dit mag niet de mogelijkheid uitsluiten om te voorzien in links naar dezelfde informatie die door lokale of regionale bevoegde instanties over verschillende geografische gebieden wordt verstrekt. Het mag ook niet beletten dat informatie wordt gedupliceerd wanneer dit onvermijdelijk of wenselijk is, bijvoorbeeld wanneer op nationale webpagina’s bepaalde Unierechten, -verplichtingen en -regels worden herhaald of beschreven om de gebruikersvriendelijkheid te verbeteren. Om de rol van personen bij het actualiseren van de links in de gemeenschappelijke gebruikersinterface tot een minimum te beperken, moet, waar technisch mogelijk, een directe verbinding tussen de relevante technische systemen van de lidstaten en het register voor links tot stand worden gebracht. De gemeenschappelijke ICT-ondersteunende instrumenten kunnen eventueel gebruikmaken van de Core Public Services Vocabulary (CPSV) om de interoperabiliteit met nationale dienstencatalogi en de semantiek te vergemakkelijken. De lidstaten dienen te worden aangespoord de CPSV te gebruiken, maar kunnen besluiten nationale oplossingen aan te wenden. Om hergebruik mogelijk te maken moet de informatie in het register voor links in een open, algemeen gebruikte en machineleesbare vorm publiek toegankelijk worden gemaakt, bijvoorbeeld door applicatieprogramma-interfaces (API’s).

(56)

De zoekfunctie in de gemeenschappelijke gebruikersinterface moet de gebruikers leiden naar de informatie die zij nodig hebben, ongeacht of die zich op webpagina’s van de Unie of nationale webpagina’s bevindt. Als alternatieve wijze om de gebruikers naar nuttige informatie te leiden zal de zoekfunctie behulpzaam blijven bij het maken van links tussen bestaande en aanvullende websites of webpagina’s door die zo veel mogelijk te stroomlijnen en te groeperen, en bij het maken van links tussen webpagina’s en websites op Unie- en nationaal niveau die toegang verlenen tot onlinediensten en -informatie.

(57)

In deze verordening dienen ook de kwaliteitseisen voor de gemeenschappelijke gebruikersinterface te worden gespecificeerd. De Commissie moet erop toezien dat de gemeenschappelijke gebruikersinterface voldoet aan deze eisen en met name online beschikbaar en toegankelijk is via diverse kanalen en eenvoudig te gebruiken is.

(58)

Om eenvormige voorwaarden te waarborgen voor de toepassing van de technische oplossingen die de toegangspoort ondersteunen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om, waar nodig, de toepasselijke normen en interoperabiliteitseisen vast te stellen om het gemakkelijker te maken informatie te vinden over regels en verplichtingen, over procedures en over diensten voor ondersteuning en probleemoplossing waarvoor de lidstaten en de Commissie verantwoordelijk zijn. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011.

(59)

Bij deze verordening moet de verantwoordelijkheid voor de ontwikkeling, de beschikbaarheid, het onderhoud en de beveiliging van de ICT-toepassingen die de toegangspoort ondersteunen, bovendien duidelijk worden verdeeld tussen de Commissie en de lidstaten. In het kader van hun taken op het gebied van het onderhoud moeten de Commissie en de lidstaten regelmatig controleren of die ICT-toepassingen goed functioneren.

(60)

Om het volledige potentieel van de in de toegangspoort op te nemen informatiegebieden, procedures en diensten voor ondersteuning en probleemoplossing te ontwikkelen, moet bij de doelgroepen aanzienlijk meer bekendheid worden gegeven aan het bestaan en de werking ervan. Door de opname ervan in de toegangspoort moeten gebruikers veel gemakkelijker de nodige informatie, procedures en diensten voor ondersteuning en probleemoplossing kunnen vinden, zelfs als zij met geen van deze elementen vertrouwd zijn. Voorts zullen gecoördineerde promotiecampagnes nodig zijn om ervoor te zorgen dat burgers en bedrijven in de hele Unie zich bewust worden van het bestaan van de toegangspoort en de voordelen ervan. Dergelijke promotieactiviteiten moeten onder meer bestaan uit zoekmachineoptimalisatie en andere digitale bewustmakingsacties, aangezien deze het meest kosteneffectief zijn en de grootst mogelijke doelgroep kunnen bereiken. Voor maximale efficiëntie moeten die promotieactiviteiten gecoördineerd worden door de toegangspoortcoördinatiegroep en moeten de lidstaten hun promotiecampagnes zodanig vormgeven dat er in elke situatie naar een gemeenschappelijk merk wordt verwezen, met de mogelijkheid om het merk van de toegangspoort aan dat van nationale initiatieven te koppelen.

(61)

Alle instellingen, organen en instanties van de Unie moeten worden aangespoord de toegangspoort te promoten door het logo van die toegangspoort en links naar die toegangspoort op te nemen op alle onder hun verantwoordelijkheid vallende webpagina’s.

(62)

De naam waaronder de toegangspoort bij het grote publiek bekend moet worden en moet worden gepromoot, moet „Your Europe” zijn. De gemeenschappelijke gebruikersinterface dient nadrukkelijk aanwezig te zijn en gemakkelijk te vinden zijn, in het bijzonder op relevante webpagina’s van de Unie en de lidstaten. Het logo van de toegangspoort moet te zien zijn op relevante websites van de Unie en de lidstaten.

(63)

Om voldoende informatie te vergaren aan de hand waarvan de prestaties van de toegangspoort kunnen worden gemeten en verbeterd, dienen de bevoegde instanties en de Commissie bij deze verordening ertoe te worden verplicht om de gegevens over het gebruik van de via de toegangspoort aangeboden informatiegebieden, procedures en diensten te verzamelen en te analyseren. Het verzamelen van statistische gebruikersgegevens, zoals gegevens inzake het aantal bezoeken aan specifieke webpagina’s, het aantal gebruikers uit een lidstaat in vergelijking met het aantal gebruikers uit andere lidstaten, de gebruikte zoektermen, de meest bezochte webpagina’s, de doorverwijssites of het aantal, de oorsprong en het onderwerp van ondersteuningsverzoeken, moet de toegangspoort beter doen functioneren, omdat die gegevens het mogelijk maken de doelgroep af te bakenen, promotieactiviteiten te ontwikkelen en de kwaliteit van de aangeboden diensten te verbeteren. Bij het verzamelen van dergelijke gegevens moet rekening worden gehouden met de jaarlijkse benchmarking van e-overheid door de Commissie, teneinde overlappingen te vermijden.

(64)

Om eenvormige voorschriften voor de uitvoering van deze verordening te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om eenvormige regels vast te stellen betreffende de methode voor het verzamelen en uitwisselen van gebruikersstatistieken. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011.

(65)

De kwaliteit van de toegangspoort hangt af van de kwaliteit van de diensten van de Unie en de lidstaten die via de toegangspoort worden verleend. Met het oog daarop moet de kwaliteit van de via de toegangspoort ter beschikking gestelde informatie, procedures en diensten voor ondersteuning en probleemoplossing ook regelmatig worden bewaakt met een hulpmiddel voor gebruikersreacties dat de gebruikers vraagt om een beoordeling van en reacties op de volledigheid en kwaliteit van de door hen gebruikte informatie, procedure of dienst voor ondersteuning en probleemoplossing. Deze reacties moeten worden verzameld met een gemeenschappelijk hulpmiddel waartoe de Commissie, de bevoegde instanties en de nationale coördinatoren toegang moeten hebben. Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening ten aanzien van de algemene functies van hulpmiddelen voor gebruikersreacties en de gedetailleerde regelingen voor het verzamelen en delen van de gebruikersreacties, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011. De Commissie moet in geanonimiseerde vorm beknopte online-overzichten publiceren van de problemen die blijken uit de informatie, de voornaamste gebruikersstatistieken en de voornaamste gebruikersreacties die overeenkomstig deze verordening zijn verzameld.

(66)

Daarnaast moet de toegangspoort een hulpmiddel voor gebruikersreacties bevatten dat de gebruikers de mogelijkheid biedt om op vrijwillige en anonieme basis problemen en moeilijkheden te melden die zij bij de uitoefening van hun rechten uit hoofde van de interne markt hebben ondervonden. Dat hulpmiddel moet slechts beschouwd worden als aanvulling op de mechanismen voor de behandeling van klachten, aangezien het niet voorziet in de mogelijkheid gebruikers een persoonlijk antwoord te geven. De ontvangen informatie moet worden gecombineerd met samengevoegde informatie van diensten voor ondersteuning en probleemoplossing over door hen behandelde zaken, met het oog op het opstellen van een overzicht van de perceptie van de interne markt door de gebruikers en het vaststellen van knelpunten met betrekking waartoe in de toekomst mogelijk maatregelen ter verbetering van de werking van de interne markt kunnen worden genomen. Dat overzicht moet worden gekoppeld aan bestaande rapportage-instrumenten zoals het scorebord van de interne markt.

(67)

Het recht van de lidstaten om te beslissen wie de rol van nationale coördinator moet vervullen, moet door deze verordening onverlet worden gelaten. De lidstaten moeten de mogelijkheid hebben om de functies en verantwoordelijkheden van hun nationale coördinatoren met betrekking tot de toegangspoort aan hun interne administratieve structuren aan te passen. De lidstaten moeten de mogelijkheid hebben aanvullende nationale coördinatoren aan te wijzen om de taken in het kader van deze verordening alleen of samen met anderen uit te voeren, met verantwoordelijkheid voor een administratieve afdeling, een geografische regio of volgens andere criteria. De lidstaten moeten de Commissie in kennis stellen van de identiteit van de enkele nationale coördinator die zij hebben aangewezen voor het onderhouden van contacten met de Commissie.

(68)

Om de toepassing van deze verordening te vergemakkelijken, met name door uitwisseling van beste praktijken en samenwerking om de informatie op consistentere wijze te presenteren, zoals vereist bij deze verordening, moet een toegangspoortcoördinatiegroep worden opgericht, die uit de nationale coördinatoren bestaat en door een vertegenwoordiger van de Commissie wordt voorgezeten. Bij de werkzaamheden van de toegangspoortcoördinatiegroep moet rekening worden gehouden met de doelstellingen in het jaarlijkse werkprogramma, dat de Commissie ter overweging aan deze groep moet voorleggen. Het jaarlijkse werkprogramma moet bestaan uit richtsnoeren of aanbevelingen, die niet bindend zijn voor de lidstaten. Op verzoek van het Europees Parlement kan de Commissie besluiten om het Parlement te verzoeken deskundigen te sturen om de vergaderingen van de toegangspoortcoördinatiegroep bij te wonen.

(69)

In deze verordening moet worden aangegeven welke delen van de toegangspoort uit de begroting van de Unie worden gefinancierd en welke delen onder de verantwoordelijkheid van de lidstaten vallen. De Commissie dient de lidstaten bij te staan bij het vinden van herbruikbare ICT-bouwstenen en financiering die via diverse fondsen en programma’s op Unieniveau beschikbaar is en die kan bijdragen in de kosten van ICT-aanpassingen en -ontwikkelingen die op nationaal niveau nodig zijn om aan deze verordening te voldoen. De begrotingsmiddelen die nodig zijn voor de tenuitvoerlegging van deze verordening moeten verenigbaar zijn met het toepasselijke meerjarig financieel kader.

(70)

De lidstaten worden aangemoedigd meer met elkaar te coördineren, uit te wisselen en samen te werken teneinde hun strategische, operationele, onderzoeks- en ontwikkelingscapaciteiten op het gebied van cyberveiligheid te vergroten, met name door de uitvoering van de netwerk- en informatiebeveiliging als bedoeld in Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (27), om de beveiliging en de veerkracht van hun overheidsadministratie en diensten te versterken. De lidstaten worden aangemoedigd om de veiligheid van transacties te vergroten en te zorgen voor een voldoende mate van vertrouwen in elektronische middelen door gebruikmaking van het in Verordening (EU) nr. 910/2014 vastgestelde eIDAS-kader en met name adequate veiligheidsniveaus. De lidstaten kunnen maatregelen nemen overeenkomstig het Unierecht om de cyberveiligheid te waarborgen en identiteitsfraude of andere vormen van fraude te voorkomen.

(71)

Wanneer de toepassing van deze verordening de verwerking van persoonsgegevens vergt, dient deze verwerking te geschieden overeenkomstig het recht van de Unie inzake de bescherming van persoonsgegevens, en met name Verordening (EU) 2016/679 en Verordening (EU) 2018/1725. Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (28) moet ook van toepassing zijn in het kader van deze verordening. Zoals bepaald in Verordening (EU) 2016/679 kunnen de lidstaten andere voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van gegevens over gezondheid handhaven of invoeren, en kunnen zij ook meer specifieke regels vaststellen voor de verwerking van persoonsgegevens van werknemers in het kader van de arbeidsverhouding.

(72)

Deze verordening moet het stroomlijnen van de governanceregelingen voor de onder de toegangspoort vallende diensten bevorderen en vergemakkelijken. Daartoe dient de Commissie, in nauwe samenwerking met de lidstaten, de bestaande governanceregelingen te evalueren en waar nodig aan te passen om doublures en inefficiëntie te voorkomen.

(73)

Deze verordening heeft tot doel ervoor te zorgen dat gebruikers die in andere lidstaten actief zijn, onlinetoegang hebben tot volledige, betrouwbare, toegankelijke en begrijpelijke informatie van de Unie en de lidstaten over rechten, voorschriften en verplichtingen, tot onlineprocedures die volledig grensoverschrijdend afgehandeld kunnen worden en tot diensten voor ondersteuning en probleemoplossing. Daar die doelstelling niet voldoende door de lidstaten kan worden verwezenlijkt, maar vanwege de omvang en de gevolgen van deze verordening beter door de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstelling te verwezenlijken.

(74)

Om de lidstaten en de Commissie de gelegenheid te geven de nodige hulpmiddelen voor de tenuitvoerlegging van deze verordening te ontwikkelen en in gebruik te nemen, moet een aantal bepalingen van deze verordening van toepassing zijn vanaf twee jaar na de inwerkingtreding van deze verordening. De gemeentelijke instanties moeten tot vier jaar na de inwerkingtreding van deze verordening de tijd krijgen uitvoering te geven aan het vereiste om informatie te verstrekken over de regels, procedures en diensten voor ondersteuning en probleemoplossing die onder hun verantwoordelijkheid vallen. De bepalingen van deze verordening inzake procedures die volledig online moeten worden aangeboden, de grensoverschrijdende toegang tot onlineprocedures en het technische systeem voor de geautomatiseerde grensoverschrijdende uitwisseling van bewijs overeenkomstig het eenmaligheidsbeginsel moeten uiterlijk vijf jaar na de inwerkingtreding van deze verordening uitgevoerd zijn.

(75)

Deze verordening eerbiedigt de grondrechten en de beginselen die met name zijn vastgelegd in het Handvest van de grondrechten van de Europese Unie, en moet worden uitgevoerd overeenkomstig die rechten en beginselen.

(76)

Overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (29) is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 1 augustus 2017 heeft hij een advies uitgebracht (30),

(1)

De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie (het „Handvest”) en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van zijn persoonsgegevens. Dit recht wordt ook gewaarborgd door artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.

(2)

Bij Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (3) worden aan natuurlijke personen wettelijk afdwingbare rechten toegekend, worden de verplichtingen van verwerkingsverantwoordelijken binnen de instellingen en organen van de Unie met betrekking tot de verwerking van gegevens vastgesteld en wordt een onafhankelijke toezichthoudende autoriteit ingesteld, de Europese Toezichthouder voor gegevensbescherming, die belast wordt met het toezicht op de verwerking van persoonsgegevens door de instellingen en organen van de Unie. Die verordening is echter niet van toepassing op de verwerking van persoonsgegevens door instellingen en organen van de Unie in het kader van buiten de werkingssfeer van het Unierecht vallende activiteiten.

(3)

Verordening (EU) 2016/679 van het Europees Parlement en de Raad (4) en Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (5) zijn op 27 april 2016 vastgesteld. Bij de verordening worden algemene regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens in de Unie, terwijl bij de richtlijn specifieke regels worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens in de Unie op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

(4)

Verordening (EU) 2016/679 schrijft de aanpassing van Verordening (EG) nr. 45/2001 voor om de Unie een sterk en coherent kader inzake gegevensbescherming ter beschikking te stellen en om het mogelijk te maken dat de aanpassing ervan gelijktijdig met Verordening (EU) 2016/679 kan worden toegepast.

(5)

In het belang van een samenhangende aanpak van de bescherming van persoonsgegevens in de gehele Unie en het vrije verkeer van persoonsgegevens binnen de Unie dienen de gegevensbeschermingsvoorschriften voor de instellingen, organen en instanties van de Unie zo veel mogelijk op één lijn te worden gebracht met de gegevensbeschermingsvoorschriften die voor de overheidssector in de lidstaten zijn vastgesteld. Wanneer de bepalingen van deze verordening dezelfde principes volgen als de bepalingen van Verordening (EU) 2016/679, dienen beide bepalingen overeenkomstig de rechtspraak van het Hof van Justitie van de Europese Unie („het Hof van Justitie”) homogeen te worden uitgelegd, in het bijzonder omdat gezien de opzet van deze verordening, zij moet worden opgevat als de tegenhanger van Verordening (EU) 2016/679.

(6)

Personen van wie de persoonsgegevens om welke reden ook door de instellingen of organen van de Unie worden verwerkt, bijvoorbeeld omdat zij bij deze instellingen of organen werkzaam zijn, moeten worden beschermd. Deze verordening mag niet van toepassing zijn op de verwerking van persoonsgegevens van overledenen. Deze verordening heeft geen betrekking op de verwerking van persoonsgegevens over rechtspersonen en met name als rechtspersonen gevestigde ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de contactgegevens van de rechtspersoon.

(7)

Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technologieën.

(8)

Deze verordening dient van toepassing te zijn op de verwerking van persoonsgegevens door alle instellingen, organen en instanties van de Unie. Deze verordening dient van toepassing te zijn op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bedoeld zijn om daarin te worden opgenomen. Dossiers of een verzameling dossiers en de omslagen ervan die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze verordening vallen.

(9)

In Verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de justitiële samenwerking in strafzaken en de politiële samenwerking, op die gebieden specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens op basis van artikel 16 VWEU nodig zouden kunnen blijken. Een afzonderlijk hoofdstuk van deze verordening met algemene regels dient derhalve van toepassing te zijn op de verwerking van operationele persoonsgegevens, zoals persoonsgegevens die worden verwerkt met het oog op strafrechtelijk onderzoek door instellingen, organen of instanties van de Unie wanneer zij activiteiten uitvoeren op het gebied van justitiële samenwerking in strafzaken en de politiële samenwerking.

(10)

Richtlijn (EU) 2016/680 bevat geharmoniseerde voorschriften inzake de bescherming en het vrije verkeer van persoonsgegevens die verwerkt worden met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Teneinde ervoor te zorgen, dat voor natuurlijke personen in de hele Unie eenzelfde beschermingsniveau geldt door middel van in rechte afdwingbare rechten, en te voorkomen dat verschillen in dit verband de uitwisseling van persoonsgegevens tussen instellingen, organen of instanties van de Unie wanneer die activiteiten uitoefenen die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, en bevoegde autoriteiten hinderen, dienen de voorschriften betreffende de bescherming en het vrije verkeer van operationele persoonsgegevens die door dergelijke instellingen, organen of instanties van de Unie worden verwerkt, te stroken met Richtlijn (EU) 2016/680.

(11)

De in het afzonderlijke hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens opgenomen algemene regels dienen van toepassing te zijn zonder afbreuk te doen aan de specifieke regels die van toepassing zijn op de verwerking van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen. Dergelijke specifieke regels moeten worden beschouwd als een „lex specialis” ten opzichte van de bepalingen in het hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens (lex specialis derogat legi generali). Om juridische versnippering te verminderen dienen specifieke gegevensbeschermingsregels die van toepassing zijn op de verwerking van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, in overeenstemming te zijn met de beginselen die ten grondslag liggen aan het afzonderlijke hoofdstuk van deze verordening inzake de verwerking van operationele persoonsgegevens, alsook met de bepalingen van deze verordening met betrekking tot onafhankelijk toezicht, beroep, aansprakelijkheid en sancties.

(12)

Het hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens moet van toepassing zijn op instellingen, organen en instanties van de Unie bij de uitvoering van activiteiten die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, ongeacht of zij deze activiteiten als hun hoofd- of neventaken uitoefenen, met het oog op de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten. Het mag evenwel niet van toepassing zijn op Europol en het Europees Openbaar Ministerie voordat de rechtshandelingen tot oprichting van Europol en het Europees Openbaar Ministerie zijn gewijzigd, teneinde hierin het hierop toepasselijke hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens, in zijn aangepaste vorm, op te nemen.

(13)

De Commissie moet deze verordening evalueren, met name het afzonderlijke hoofdstuk van deze verordening inzake de verwerking van operationele persoonsgegevens. De Commissie moet eveneens andere op basis van de Verdragen vastgestelde rechtshandelingen evalueren waarin de verwerking wordt geregeld van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen. Om een eenvormige en consequente bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens te waarborgen, moet de Commissie na deze evaluatie passende wetgevingsvoorstellen kunnen indienen, waaronder nodige aanpassingen van het hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens, teneinde het toe te passen op Europol en op het Europees Openbaar Ministerie. Bij de aanpassingen moet rekening worden gehouden met bepalingen inzake onafhankelijk toezicht, beroep, aansprakelijkheid en sancties.

(14)

De verwerking van administratieve persoonsgegevens, zoals personeelsgegevens, door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, moeten door deze verordening worden bestreken.

(15)

Deze verordening dient van toepassing te zijn op de verwerking van persoonsgegevens door instellingen, organen of instanties van de Unie die activiteiten verrichten die onder hoofdstuk 2 van titel V van het Verdrag betreffende de Europese Unie (VEU) vallen. Deze verordening mag niet van toepassing zijn op de verwerking van persoonsgegevens door missies bedoeld in artikel 42, lid 1, en de artikelen 43 en 44 van het VEU, waarbij het gemeenschappelijk veiligheids- en defensiebeleid ten uitvoer wordt gelegd. Waar passend moeten relevante voorstellen worden gedaan om de verwerking van persoonsgegevens op het gebied van het gemeenschappelijk veiligheids- en defensiebeleid verder te reguleren.

(16)

De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs te verwachten valt dat zij door de verwerkingsverantwoordelijke of door een andere persoon zullen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, zoals selectietechnieken. Om uit te maken of redelijkerwijs te verwachten valt dat middelen zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd die nodig zijn voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.

(17)

De toepassing van pseudonimisering op persoonsgegevens kan de risico’s voor de betrokkenen verminderen en de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen. De uitdrukkelijke invoering van „pseudonimisering” in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten.

(18)

Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Eventueel achtergelaten sporen kunnen, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te identificeren.

(19)

Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie. Tegelijkertijd moet de betrokkene het recht hebben de toestemming te allen tijde in te trekken zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking die gebaseerd werd op toestemming vóór de intrekking daarvan. Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er een duidelijke onevenwichtigheid bestaat tussen de betrokkene en de verwerkingsverantwoordelijke, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend. Op het moment van gegevensverzameling is het vaak niet mogelijk om het doel van de gegevensverwerking ten behoeve van wetenschappelijk onderzoek volledig te omschrijven. Daarom moet de betrokkenen worden toegestaan hun toestemming te geven voor bepaalde terreinen van wetenschappelijk onderzoek, mits erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen. Betrokkenen moeten een mogelijkheid gelegenheid krijgen om hun toestemming alleen te geven voor bepaalde onderzoeksterreinen of onderdelen van onderzoeksprojecten, voor zover het voorgenomen doel zulks toelaat.

(20)

Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt. Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt. Natuurlijke personen moeten bewust worden gemaakt van de risico’s, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Met name dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt expliciet en legitiem te zijn, en te worden vastgesteld op het ogenblik dat de persoonsgegevens worden verzameld. De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist met name dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt. Om ervoor te zorgen dat de persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van de gegevens of voor een periodieke toetsing ervan. Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of ongeoorloofd gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt en ter voorkoming van ongeoorloofde bekendmaking tijdens de doorzending van.

(21)

Overeenkomstig het verantwoordingsbeginsel dienen instellingen en organen van de Unie, wanneer zij persoonsgegevens doorzenden binnen dezelfde instelling of hetzelfde orgaan van de Unie en de ontvanger geen deel uitmaakt van de verwerkingsverantwoordelijke, of naar andere instellingen of organen van de Unie, na te gaan of die persoonsgegevens noodzakelijk zijn voor de rechtmatige uitoefening van taken die onder de bevoegdheid van de ontvanger vallen. Met name dient de verwerkingsverantwoordelijke, indien hij een verzoek om doorzending van persoonsgegevens krijgt, na te gaan of er een relevante grondslag voor de rechtmatige verwerking van de persoonsgegevens door de ontvanger daarvan bestaat en wat de bevoegdheid van de ontvanger is. De verwerkingsverantwoordelijke dient ook een voorlopige beoordeling te verrichten van de noodzaak van de doorzending van de gegevens. Bij twijfel over de noodzaak dient de verwerkingsverantwoordelijke de ontvanger om nadere toelichting te vragen. De ontvanger dient er zorg voor te dragen dat de noodzaak van de doorzending van de gegevens achteraf kan worden geverifieerd.

(22)

De verwerking van persoonsgegevens is slechts rechtmatig indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang door de instellingen of organen van de Unie of de uitoefening van hun openbaar gezag, dan wel voor de vervulling van een wettelijke verplichting van de verwerkingsverantwoordelijke, of indien er voor de verwerking een andere gerechtvaardigde grondslag op grond van deze verordening bestaat, zoals de toestemming van de betrokkene, indien de verwerking noodzakelijk is om een overeenkomst uit te voeren waarbij de betrokkene partij is of om op verzoek van de betrokkene voorafgaand aan het aangaan van een overeenkomst maatregelen te nemen. De verwerking van persoonsgegevens voor de vervulling van de taken die door de instellingen of organen van de Unie in het algemeen belang worden verricht, omvat de verwerking van de voor het beheer en de werking van die instellingen en organen benodigde persoonsgegevens. De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd indien zij noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is. Verwerking van persoonsgegevens op grond van het vitale belang van een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Sommige typen persoonsgegevensverwerking kunnen zowel gewichtige redenen van algemeen belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld wanneer de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen.

(23)

De Unierechtelijke bepaling waarnaar in deze verordening wordt verwezen, moet duidelijk en nauwkeurig zijn en de toepassing ervan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, overeenkomstig de vereisten in het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.

(24)

De in deze verordening bedoelde interne voorschriften moeten duidelijke en precieze handelingen van algemene strekking zijn, waarmee rechtsgevolgen jegens betrokkenen worden beoogd. Zij moeten zijn vastgesteld op het hoogste beheerniveau van de instellingen en organen van de Unie binnen hun bevoegdheidssfeer en in aangelegenheden die verband houden met hun werking. Zij moeten worden bekendgemaakt in het Publicatieblad van de Europese Unie. De toepassing van deze voorschriften moet voorspelbaar zijn voor degenen op wie zij van toepassing zijn, overeenkomstig de vereisten in het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. Interne voorschriften kunnen de vorm aannemen van besluiten, met name wanneer zij zijn vastgesteld door instellingen van de Unie.

(25)

De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. In dat geval is er geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan. Indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, kan in het Unierecht worden vastgesteld en gespecificeerd voor welke taken en doeleinden de verdere verwerking als rechtmatig en verenigbaar met de aanvankelijke doeleinden moet worden beschouwd. De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, moet als een met aanvankelijke doeleinden verenigbare rechtmatige verwerkingen worden beschouwd. De Unierechtelijke bepaling die als rechtsgrond voor de verwerking van persoonsgegevens dient, kan ook als rechtsgrond voor verdere verwerking dienen. Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, onder meer rekening houden met: een eventueel verband tussen die doeleinden en de doeleinden van de voorgenomen verdere verwerking; het kader waarin de gegevens zijn verzameld, met name de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan; de aard van de persoonsgegevens; de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen, en passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen.

(26)

Indien de verwerking plaatsvindt op grond van de toestemming van de betrokkene, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. Met name in de context van een schriftelijke verklaring over een andere zaak dient te worden gewaarborgd dat de betrokkene zich ervan bewust is dat hij toestemming geeft en hoever deze toestemming reikt. In overeenstemming met Richtlijn 93/13/EEG van de Raad (6) stelt de verwerkingsverantwoordelijke vooraf een verklaring van toestemming op in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal; deze verklaring mag geen oneerlijke bedingen bevatten. Van geïnformeerde toestemming van de betrokkene kan slechts sprake zijn indien deze ten minste bekend is met de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens. Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen werkelijke of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.

(27)

Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich wellicht minder bewust zijn van de betrokken risico’s, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens. Die specifieke bescherming moet met name gelden voor het opstellen van persoonlijkheidsprofielen en het verzamelen van persoonsgegevens over kinderen bij diensten die op websites van instellingen of organen van de Unie rechtstreeks aan kinderen worden aangeboden, zoals diensten voor interpersoonlijke communicatie of de onlineverkoop van tickets, en de verwerking van persoonsgegevens op toestemming berust.

(28)

Wanneer in de Unie gevestigde ontvangers, die geen instellingen of organen van de Unie zijn, wensen dat instellingen of organen van de Unie persoonsgegevens aan hen doorzenden, moeten die ontvangers aantonen dat de doorzending van gegevens noodzakelijk is voor de uitvoering van hun taak die wordt verricht in het openbaar belang of bij de uitoefening van het hun verleende openbaar gezag. Een andere optie is dat de ontvangers moeten aantonen dat de doorzending noodzakelijk is voor een specifiek doel in het openbaar belang, terwijl de verwerkingsverantwoordelijke moet vaststellen of er reden bestaat om aan te nemen dat de legitieme belangen van de betrokkene zouden worden geschaad. In dit geval dient de verwerkingsverantwoordelijke de verschillende belangen die aan de orde zijn aantoonbaar tegen elkaar af te wegen om te beoordelen of de gevraagde doorzending van persoonsgegevens noodzakelijk en evenredig is. Het specifiek doel in het openbaar belang kan verband houden met de transparantie van de instellingen en organen van de Unie. Overeenkomstig het beginsel van transparantie en goed bestuur dienen instellingen of organen van de Unie die noodzaak voorts aan te tonen indien zijzelf het initiatief nemen voor de doorzending. De in deze verordening vastgestelde vereisten voor doorzendingen aan in de Unie gevestigde ontvangers die geen instellingen of organen van de Unie zijn, moeten worden begrepen als aanvulling op de voorwaarden voor rechtmatige verwerking.

(29)

Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden verdienen specifieke bescherming aangezien de context van de verwerking ervan aanzienlijke risico’s voor de grondrechten en fundamentele vrijheden kan meebrengen. Dergelijke persoonsgegevens mogen niet verwerkt worden tenzij aan de in deze verordening vastgelegde specifieke voorwaarden is voldaan. Die persoonsgegevens dienen ook persoonsgegevens te omvatten waaruit ras of etnische afkomst blijkt, waarbij het gebruik van de term „ras” in deze verordening niet impliceert dat de Unie theorieën aanvaardt die erop gericht zijn vast te stellen dat er verschillende menselijke rassen bestaan. De verwerking van foto’s mag niet systematisch worden beschouwd als verwerking van bijzondere categorieën persoonsgegevens, aangezien foto’s alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. Naast de specifieke voorschriften voor de verwerking van gevoelige gegevens dienen de algemene beginselen en andere regels van deze verordening te worden toegepast, met name wat betreft de voorwaarden voor rechtmatige verwerking. Er moet onder meer uitdrukkelijk in afwijkingen van het algemene verbod op de verwerking van die bijzondere categorieën persoonsgegevens worden voorzien ingeval de betrokkene zijn uitdrukkelijke toestemming geeft of in geval van specifieke behoeften, met name wanneer de verwerking wordt verricht in het kader van gerechtvaardigde activiteiten door bepaalde verenigingen of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden mogelijk te maken.

(30)

Bijzondere categorieën persoonsgegevens waarvoor betere bescherming is vereist, mogen alleen voor gezondheidsdoeleinden worden verwerkt indien dat nodig is om die doeleinden te verwezenlijken in het belang van natuurlijke personen en de samenleving als geheel, met name bij het beheer van gezondheidszorgdiensten en -stelsels of sociale diensten en stelsels van sociale diensten. Derhalve dient deze verordening te voorzien in geharmoniseerde voorwaarden voor de verwerking van bijzondere categorieën van persoonsgegevens over de gezondheid, in geval van specifieke behoeften, met name indien deze gegevens met het oog op bepaalde gezondheidsdoeleinden worden verwerkt door personen die wettelijk aan het beroepsgeheim gebonden zijn. Het Unierecht moet voorzien in specifieke en passende maatregelen voor de bescherming van grondrechten en de persoonsgegevens van natuurlijke personen.

(31)

Het kan om redenen van algemeen belang op het gebied van de volksgezondheid nodig zijn om bijzondere categorieën persoonsgegevens zonder toestemming van de betrokkene te verwerken. Die verwerking moet worden onderworpen aan passende en specifieke maatregelen ter bescherming van de rechten en vrijheden van natuurlijke personen. In dit verband dient „volksgezondheid” overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad (7) te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die een effect hebben op die gezondheidstoestand, de behoeften aan gezondheidszorg, middelen ten behoeve van de gezondheidszorg, de verstrekking van en de universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de financiering van de gezondheidszorg, en de doodsoorzaken. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang mag er niet toe leiden dat persoonsgegevens voor andere doeleinden worden verwerkt.

(32)

Indien een verwerkingsverantwoordelijke aan de hand van de door hem verwerkte persoonsgegevens geen natuurlijke persoon kan identificeren, mag hij niet worden verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende gegevens te verkrijgen ter identificatie van de betrokkene. De verwerkingsverantwoordelijke mag evenwel niet weigeren de door de betrokkene tot staving van de uitoefening van zijn rechten verstrekte aanvullende gegevens aan te nemen. Onder identificatie wordt ook de digitale identificatie van de betrokkene verstaan, bijvoorbeeld door middel van een authenticatiemechanisme zoals dezelfde persoonlijke beveiligingsgegevens die de betrokkene gebruikt voor het aanmelden op de door de verwerkingsverantwoordelijke aangeboden onlinedienst.

(33)

De verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, dient onderworpen te zijn aan passende waarborgen voor de rechten en vrijheden van de betrokkenen op grond van deze verordening. Die waarborgen dienen ervoor te zorgen dat technische en organisatorische maatregelen worden getroffen om met name de inachtneming van het beginsel van gegevensminimalisering te verzekeren. Voorafgaand aan de verdere verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden dient de verwerkingsverantwoordelijke te hebben beoordeeld of deze doeleinden te verwezenlijken zijn door persoonsgegevens te verwerken op basis waarvan de betrokkenen niet of niet meer geïdentificeerd kunnen worden, op voorwaarde dat passende waarborgen bestaan, zoals de pseudonimisering van de persoonsgegevens. instellingen en organen van de Unie dienen in het Unierecht passende waarborgen te bieden voor de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, hetgeen door instellingen of organen van de Unie vastgestelde interne voorschriften in aangelegenheden die verband houden met hun werking kan omvatten.

(34)

Er dienen regelingen voorhanden te zijn om de betrokkene in staat te stellen zijn rechten uit hoofde van deze verordening gemakkelijker uit te oefenen, zoals mechanismen om te verzoeken om met name inzage in en rectificatie of wissing van persoonsgegevens en deze in voorkomend geval kosteloos te verkrijgen, alsmede om het recht van bezwaar uit te oefenen. De verwerkingsverantwoordelijke dient ook middelen beschikbaar te stellen om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. De verwerkingsverantwoordelijke dient te worden verplicht onverwijld, en ten laatste binnen een maand, op verzoeken van de betrokkene te reageren, en de redenen op te geven voor een eventuele voorgenomen weigering om aan dergelijke verzoeken gehoor te geven.

(35)

Overeenkomstig de beginselen van behoorlijke en transparante verwerking moet de betrokkene op de hoogte worden gesteld van het feit dat verwerking plaatsvindt en van de doeleinden daarvan. De verwerkingsverantwoordelijke dient de betrokkene alle nadere informatie te verstrekken die noodzakelijk is om behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. Voorts moet de betrokkene worden geïnformeerd over het bestaan van profilering en de gevolgen daarvan. Indien de persoonsgegevens van de betrokkene worden verkregen, moet hem worden meegedeeld of hij verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens. Die informatie kan met behulp van gestandaardiseerde iconen worden verstrekt, teneinde op goed zichtbare, begrijpelijke en duidelijk leesbare wijze een overzicht van de voorgenomen verwerking te geven. Elektronisch weergegeven iconen moeten machineleesbaar zijn.

(36)

De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem te worden meegedeeld bij het verzamelen van de gegevens bij de betrokkene of, indien de gegevens uit een andere bron zijn verkregen, binnen een redelijke termijn, die afhangt van de omstandigheden van het geval. Wanneer persoonsgegevens rechtmatig aan een andere ontvanger kunnen worden verstrekt, dient de betrokkene te worden meegedeeld wanneer de persoonsgegevens voor het eerst aan de ontvanger worden verstrekt. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens te verwerken met een ander doel dan dat waarvoor zij zijn verzameld, moet de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken. Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrekt.

(37)

Betrokkenen moeten het recht hebben om de persoonsgegevens die over hen zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat zij zich van de verwerking op de hoogte kunnen stellen en de rechtmatigheid daarvan kunnen controleren. Dit houdt ook in dat betrokkenen het recht dienen te hebben op inzage in gegevens betreffende hun gezondheid, zoals de gegevens in hun medisch dossier, dat informatie bevat over bijvoorbeeld diagnosen, onderzoeksresultaten, beoordelingen door behandelende artsen en verrichte behandelingen of ingrepen. Betrokkenen dienen dan ook het recht te hebben om te weten en te worden meegedeeld voor welke doeleinden de persoonsgegevens worden verwerkt, indien mogelijk hoe lang zij worden bewaard, wie de persoonsgegevens ontvangt, welke logica er ten grondslag ligt aan een eventuele automatische verwerking van de persoonsgegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen van een dergelijke verwerking zijn. Dat recht mag geen afbreuk doen aan de rechten of vrijheden van anderen, met inbegrip van bedrijfsgeheimen of intellectuele eigendom en met name het auteursrecht dat de software beschermt. Die overwegingen mogen echter niet ertoe leiden dat betrokkenen alle informatie wordt onthouden. Wanneer de verwerkingsverantwoordelijke een grote hoeveelheid gegevens betreffende de betrokkene verwerkt, moet hij de betrokkene voorafgaand aan de informatieverstrekking kunnen verzoeken om te preciseren op welke informatie of welke verwerkingsactiviteiten het verzoek betrekking heeft.

(38)

Betrokkenen moeten het recht hebben om hen betreffende persoonsgegevens te laten rectificeren en dienen te beschikken over een „recht op vergetelheid” wanneer de bewaring van dergelijke gegevens inbreuk maakt op deze verordening of op Unierecht dat op de verwerkingsverantwoordelijke van toepassing is. Dit houdt in dat betrokkenen het recht moeten hebben hun persoonsgegevens te laten wissen en niet verder te laten verwerken wanneer de persoonsgegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt, wanneer de betrokkenen hun toestemming hebben ingetrokken of bezwaar maken tegen de verwerking van hun persoonsgegevens, of wanneer de verwerking van hun persoonsgegevens op een ander punt niet met deze verordening in overeenstemming is. Dit recht is met name relevant wanneer de betrokkene toestemming heeft gegeven als kind, toen hij zich nog niet volledig bewust was van de risico’s van de verwerking, en hij dergelijke persoonsgegevens later wil verwijderen, met name van internet. Betrokkenen dienen dat recht te kunnen uitoefenen niettegenstaande het feit dat zij geen kind meer zijn. Het dient echter rechtmatig te zijn persoonsgegevens langer te bewaren wanneer dat noodzakelijk is voor de uitoefening van het recht op vrijheid van meningsuiting en van informatie, voor de nakoming van een wettelijke verplichting, voor de uitvoering van een taak in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, om redenen van algemeen belang op het vlak van volksgezondheid, met het oog op archivering in het algemeen belang, voor wetenschappelijk of historisch onderzoek of statistische doeleinden of voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering.

(39)

Ter versterking van het recht op vergetelheid in de onlineomgeving, dient het recht op wissing te worden uitgebreid door de verwerkingsverantwoordelijke die persoonsgegevens openbaar heeft gemaakt te verplichten de verwerkingsverantwoordelijken die deze persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene heeft verzocht om het wissen van links naar, of kopieën of reproducties van die persoonsgegevens. Die verwerkingsverantwoordelijke dient daarbij, met inachtneming van de beschikbare technologie en de middelen waarover hij beschikt, redelijke maatregelen te nemen, waaronder technische maatregelen, om de verwerkingsverantwoordelijken die de persoonsgegevens verwerken, over het verzoek van de betrokkene te informeren.

(40)

Tot de methoden ter beperking van de verwerking van persoonsgegevens zou kunnen behoren dat de geselecteerde persoonsgegevens tijdelijk naar een ander verwerkingssysteem worden overgebracht, dat de geselecteerde gegevens voor gebruikers niet beschikbaar worden gemaakt of dat gepubliceerde gegevens tijdelijk van een website worden verwijderd. In geautomatiseerde bestanden moet in beginsel met technische middelen worden gezorgd voor een zodanige beperking van de verwerking van persoonsgegevens dat de persoonsgegevens niet verder kunnen worden verwerkt en niet kunnen worden gewijzigd. Het feit dat de verwerking van persoonsgegevens beperkt is, moet duidelijk in het bestand zijn aangegeven.

(41)

Om de zeggenschap over hun eigen gegevens verder te versterken, dienen betrokkenen wanneer de persoonsgegevens via geautomatiseerde procedés worden verwerkt, ook de mogelijkheid te hebben de hen betreffende persoonsgegevens die zij aan een verwerkingsverantwoordelijke hebben verstrekt, in een gestructureerd, gangbaar, machineleesbaar en interoperabel formaat te verkrijgen en die aan een andere verwerkingsverantwoordelijke door te zenden. Verwerkingsverantwoordelijken dienen ertoe te worden aangemoedigd interoperabele formaten te ontwikkelen die gegevensoverdraagbaarheid mogelijk maken. Dit recht dient te gelden wanneer betrokkenen persoonsgegevens hebben verstrekt door hun toestemming te geven of wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst. Derhalve mag dit recht niet gelden indien de verwerking van de persoonsgegevens nodig is voor de vervulling van een op de verwerkingsverantwoordelijke rustende wettelijke verplichting, dan wel voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Het recht van betrokkenen om hen betreffende persoonsgegevens door te zenden of te ontvangen, mag voor verwerkingsverantwoordelijken geen verplichting doen ontstaan om technisch compatibele systemen voor gegevensverwerking op te zetten of bij te houden. Wanneer een bepaalde verzameling persoonsgegevens op meer dan één betrokkene betrekking heeft, moet het recht om de persoonsgegevens te ontvangen de rechten en vrijheden van andere betrokkenen overeenkomstig deze verordening onverlet laten. Voorts mag dit recht niet afdoen aan het recht van betrokkenen om hun persoonsgegevens te laten wissen en aan de beperkingen die in deze verordening aan dat recht zijn gesteld, en mag het in het bijzonder niet inhouden dat de hen betreffende persoonsgegevens die betrokkenen ter uitvoering van een overeenkomst hebben verstrekt, voor zover en zolang de persoonsgegevens noodzakelijk zijn voor de uitvoering van die overeenkomst, worden gewist. Voor zover dit technisch haalbaar is, moeten betrokkenen het recht hebben om de gegevens direct van een verwerkingsverantwoordelijke naar een andere verwerkingsverantwoordelijke te laten doorzenden.

(42)

Wanneer persoonsgegevens rechtmatig mogen worden verwerkt omdat de verwerking nodig is ter vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, dienen betrokkenen niettemin bezwaar te kunnen maken tegen de verwerking van gegevens die op hun specifieke situatie betrekking hebben. Verwerkingsverantwoordelijken moeten aantonen dat hun dwingende gerechtvaardigde belangen wellicht zwaarder wegen dan de belangen of de grondrechten en de fundamentele vrijheden van betrokkenen.

(43)

Betrokkenen dienen het recht te hebben niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit — dat een maatregel kan behelzen — over persoonlijke hen betreffende aspecten, waaraan voor hen rechtsgevolgen zijn verbonden of dat hen op vergelijkbare wijze aanmerkelijk treft, zoals verwerking van sollicitaties via internet zonder menselijke tussenkomst. Een verwerking van die aard omvat „profilering”, waaronder wordt verstaan de geautomatiseerde verwerking van persoonsgegevens ter beoordeling van persoonlijke aspecten van een natuurlijke persoon, met name om kenmerken betreffende beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van de betrokkene te analyseren of te voorspellen, wanneer daaraan voor hem rechtsgevolgen zijn verbonden of dat hem op vergelijkbare wijze aanmerkelijk treft.

Besluitvorming op basis van een dergelijke verwerking, met inbegrip van profilering, dient echter wel mogelijk te zijn wanneer deze uitdrukkelijk is toegestaan bij het Unierecht. In ieder geval moeten voor dergelijke verwerking passende waarborgen worden geboden, waaronder specifieke informatie aan de betrokkene en het recht op menselijke tussenkomst, om zijn standpunt kenbaar te maken, om uitleg over de na een dergelijke beoordeling genomen besluit te krijgen en om het besluit aan te vechten. Een dergelijke maatregel mag geen betrekking hebben op een kind. Teneinde een voor de betrokkene behoorlijke en transparante verwerking te garanderen waarbij rekening wordt gehouden met de concrete omstandigheden en de context waarin de persoonsgegevens worden verwerkt, dient de verwerkingsverantwoordelijke voor de profilering passende wiskundige en statistische procedures te hanteren en technische en organisatorische maatregelen te treffen waarmee factoren die aanleiding geven tot onjuistheden van persoonsgegevens worden gecorrigeerd en het risico op fouten wordt geminimaliseerd, en de persoonsgegevens zodanig te bewaren dat rekening wordt gehouden met de potentiële risico’s voor de belangen en rechten van de betrokkene en dat onder meer wordt voorkomen dat zulks voor natuurlijke personen discriminerende gevolgen zou hebben op grond van ras of etnische afkomst, politieke overtuiging, godsdienst of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische of gezondheidsstatus, of seksuele gerichtheid, of gevolgen zou hebben die leiden tot maatregelen met een vergelijkbaar effect. Geautomatiseerde besluitvorming en profilering op basis van bijzondere categorieën persoonsgegevens mogen uitsluitend op specifieke voorwaarden worden toegestaan.

(44)

Bij rechtshandelingen die gebaseerd zijn op Verdragen of bij interne voorschriften die zijn vastgesteld door instellingen en organen van de Unie in aangelegenheden die verband houden met hun werking, kunnen beperkingen worden gesteld aan de specifieke beginselen en het recht op informatie, inzage en rectificatie of wissing van persoonsgegevens, het recht op gegevensoverdraagbaarheid, de vertrouwelijkheid van elektronischecommunicatiegegevens en de melding aan de betrokkene van een inbreuk in verband met persoonsgegevens en bepaalde daarmee verband houdende verplichtingen van de verwerkingsverantwoordelijken, voor zover dat in een democratische samenleving noodzakelijk en evenredig is voor de bescherming van de openbare veiligheid, voor de voorkoming, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, waaronder de bescherming van het menselijk leven, met name bij natuurrampen of door de mens veroorzaakte rampen, voor de interne veiligheid van de instellingen en organen van de Unie, voor de bescherming van andere belangrijke doelstellingen van algemeen en openbaar belang in de Unie of een lidstaat, met name de doelstellingen van het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie of een gewichtig economisch of financieel belang van de Unie of een lidstaat, voor het houden van openbare registers die nodig zijn om redenen van algemeen belang, en voor de bescherming van betrokkenen of de rechten en vrijheden van anderen, met inbegrip van sociale bescherming, volksgezondheid en humanitaire doeleinden.

(45)

Voor elke verwerking van persoonsgegevens die door of namens de verwerkingsverantwoordelijke wordt uitgevoerd, moeten de verantwoordelijkheid en de aansprakelijkheid van de verwerkingsverantwoordelijke worden vastgesteld. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.

(46)

Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personen kan voortvloeien uit persoonsgegevensverwerking die kan resulteren in lichamelijke, materiële of immateriële schade, met name: wanneer de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid, seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen; wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt, of wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.

(47)

De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald onder verwijzing naar de aard, de omvang, de context en de doeleinden van de verwerking. Het risico moet worden bepaald op basis van een objectieve beoordeling van de vraag of de verwerking van gegevens gepaard gaat met een risico of een hoog risico.

(48)

Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan. Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Dergelijke maatregelen kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, het zorgen voor transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren. De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen moeten ook bij openbare aanbestedingen in aanmerking worden genomen.

(49)

In Verordening (EU) 2016/679 is bepaald dat verwerkingsverantwoordelijken de naleving van die verordening moeten aantonen door zich aan te sluiten bij een goedgekeurde certificeringsregeling. Ook de instellingen en organen van de Unie moeten de naleving van deze verordening kunnen aantonen door certificering te verkrijgen overeenkomstig artikel 42 van Verordening (EU) 2016/679.

(50)

Voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers is het noodzakelijk dat de bij deze verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegewezen, ook wanneer de verwerkingsverantwoordelijke de doeleinden en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt, of wanneer een verwerking ten behoeve van een verwerkingsverantwoordelijke wordt uitgevoerd.

(51)

Teneinde te waarborgen dat met betrekking tot de verwerking die door de verwerker ten behoeve van de verwerkingsverantwoordelijke moet worden verricht, aan de voorschriften van deze verordening wordt voldaan, mag de verwerkingsverantwoordelijke, wanneer hij een verwerker verwerkingsactiviteiten toevertrouwt, alleen een beroep doen op verwerkers die voldoende garanties bieden, met name op het gebied van deskundigheid, betrouwbaarheid en middelen, om ervoor te zorgen dat de technische en organisatorische maatregelen beantwoorden aan de voorschriften van deze verordening, mede wat de beveiliging van de verwerking betreft. Het feit dat verwerkers, andere dan instellingen en organen van de unie, zich aansluiten bij een goedgekeurde gedragscode of bij een goedgekeurde certificeringsregeling kan worden gebruikt als een element om aan te tonen dat aan de verplichtingen van de verwerkingsverantwoordelijke wordt voldaan. De uitvoering van de verwerking door een verwerker die geen instelling of orgaan van de Unie is, dient te worden geregeld in een overeenkomst of, ingeval instellingen of organen van de Unie als verwerkers optreden, door een overeenkomst of andere rechtshandeling krachtens het Unierecht waardoor de verwerker aan de verwerkingsverantwoordelijke gebonden is, en die een nadere omschrijving omvat van het onderwerp en de duur van de verwerking, de aard en de doeleinden van de verwerking, het soort persoonsgegevens en de categorieën betrokkenen, en dient rekening te houden met de specifieke taken en verantwoordelijkheden van de verwerker in het kader van de te verrichten verwerking en het risico in verband met de rechten en vrijheden van betrokkenen. De verwerkingsverantwoordelijke en de verwerker dienen te kunnen kiezen voor het gebruik van een individuele overeenkomst of standaardcontractbepalingen, die hetzij rechtstreeks door de Commissie, hetzij door de Europese Toezichthouder voor gegevensbescherming en vervolgens door de Commissie worden vastgesteld. Na de voltooiing van de verwerking ten behoeve van de verwerkingsverantwoordelijke dient de verwerker, naargelang de wens van de verwerkingsverantwoordelijke, de persoonsgegevens terug te geven of te wissen, tenzij het Unierecht of het lidstatelijke recht dat op de verwerker van toepassing is, de verplichting oplegt die persoonsgegevens op te slaan.

(52)

Om de naleving van deze verordening aan te kunnen tonen, dienen verwerkingsverantwoordelijken een register bij te houden van verwerkingsactiviteiten die onder hun verantwoordelijkheid hebben plaatsgevonden en dienen verwerkers een register bij te houden van de categorieën verwerkingsactiviteiten die onder hun verantwoordelijkheid hebben plaatsgevonden. De instellingen en organen van de Unie dienen ertoe te worden verplicht medewerking te verlenen aan de Europese Toezichthouder voor gegevensbescherming en deze desgevraagd hun registers te verstrekken met het oog op het gebruik daarvan voor het toezicht op die verwerkingen. De instellingen en organen van de Unie dienen in staat te worden gesteld een centraal register van hun verwerkingsactiviteiten op te zetten, tenzij dit gezien de omvang van de instelling of het orgaan van de Unie niet passend is. Omwille van de transparantie moeten zij dit register openbaar kunnen maken.

(53)

Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico’s te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico’s te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico’s dient aandacht te worden besteed aan risico’s die zich voordoen bij persoonsgegevensverwerking, zoals vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of ongeoorloofde inzage in de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, met name indien daaruit lichamelijke, materiële of immateriële schade kan voortkomen.

(54)

De instellingen en organen van de Unie dienen de vertrouwelijkheid van de elektronische communicatie te waarborgen, zoals bepaald in artikel 7 van het Handvest. Met name dienen de instellingen en organen van de Unie de beveiliging van hun elektronische communicatienetwerken te waarborgen. Zij dienen de informatie betreffende de eindapparatuur van eindgebruikers die voor het publiek toegankelijke, door de instellingen en organen van de Unie aangeboden websites bezoeken en gebruikmaken van door die instellingen en organen aangeboden mobiele toepassingen te beschermen overeenkomstig Richtlijn 2002/58/EG van het Europees Parlement en de Raad (8). Zij dienen ook de persoonsgegevens te beschermen die in gebruikerslijsten zijn opgeslagen.

(55)

Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen. Daarom moet de verwerkingsverantwoordelijke, zodra hij weet dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de Europese Toezichthouder voor gegevensbescherming onverwijld, zo mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen, in kennis stellen van de inbreuk in verband met persoonsgegevens, tenzij de verwerkingsverantwoordelijke conform het verantwoordingsbeginsel kan aantonen dat het onwaarschijnlijk is dat deze inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengt. Wanneer die kennisgeving niet binnen 72 uur kan worden gerealiseerd, dient de kennisgeving vergezeld te gaan van een verklaring voor de vertraging en mag de informatie zonder onredelijke verdere vertraging in fasen worden verstrekt. Indien vertraging gerechtvaardigd is, moet minder gevoelige of minder specifieke informatie over de inbreuk zo spoedig mogelijk worden vrijgegeven in plaats van te wachten totdat het desbetreffende incident volledig is opgelost.

(56)

De verwerkingsverantwoordelijke moet de betrokkene zonder onredelijke vertraging in kennis stellen van de inbreuk in verband met persoonsgegevens wanneer die inbreuk in verband met persoonsgegevens kan leiden tot hoge risico’s voor de rechten en vrijheden van de betrokken natuurlijke persoon, zodat deze de nodige voorzorgsmaatregelen kan treffen. De kennisgeving dient zowel de aard van de inbreuk in verband met persoonsgegevens te vermelden als aanbevelingen over hoe de natuurlijke persoon in kwestie mogelijke negatieve gevolgen kan beperken. Dergelijke kennisgevingen aan betrokkenen dienen zo snel als redelijkerwijs mogelijk te worden gedaan, in nauwe samenwerking met de Europese Toezichthouder voor gegevensbescherming en met inachtneming van de door deze zelf of door andere relevante autoriteiten, zoals rechtshandhavingsautoriteiten, aangereikte richtsnoeren.

(57)

In Verordening (EG) nr. 45/2001 wordt bepaald dat de verwerkingsverantwoordelijke de algemene verplichting heeft om van de verwerking van persoonsgegevens kennisgeving te doen aan de functionaris voor gegevensbescherming. De verwerkingsverantwoordelijke houdt een register bij van de verwerkingen van persoonsgegevens waarvan kennisgeving is gedaan, tenzij dit gezien de omvang van de instelling of het orgaan van de Unie niet passend is. Naast deze algemene verplichting moeten doeltreffende procedures en mechanismen worden ingesteld voor het toezicht op de verwerkingen die vanwege hun aard, reikwijdte, context en doeleinden waarschijnlijk hoge risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengen. Dergelijke procedures moeten met name ook worden ingesteld wanneer de soorten verwerkingen van nieuwe technologieën gebruikmaken, of van een nieuw type zijn waarvoor de verwerkingsverantwoordelijke vooraf geen gegevensbeschermingseffectbeoordeling heeft verricht of waarvoor die noodzakelijk is geworden, gelet op de tijd die sinds de aanvankelijke verwerking is verstreken. In dergelijke gevallen dient de verwerkingsverantwoordelijke voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling te verrichten om de specifieke waarschijnlijkheid en de ernst van de hoge risico’s te beoordelen, rekening houdend met de aard, omvang, context en doeleinden van de verwerking en de bronnen van de risico’s. Bij deze effectbeoordeling moet met name worden gekeken naar de geplande maatregelen, waarborgen en mechanismen om dat risico te beperken, de persoonsgegevens te beschermen en aan te tonen dat aan deze verordening is voldaan.

(58)

Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat de verwerking, bij afwezigheid van de waarborgen, beveiligingsmaatregelen en risicobeperkende mechanismen, met een hoog risico voor de rechten en vrijheden van natuurlijke personen gepaard zou gaan, en de verwerkingsverantwoordelijke van mening is dat het niet mogelijk is dat risico te beperken door middel van maatregelen die met het oog op de beschikbare technologie en uitvoeringskosten redelijk zijn, dient de Europese Toezichthouder voor gegevensbescherming te worden geraadpleegd voordat met de verwerking wordt begonnen. Een dermate hoog risico vloeit allicht voort uit bepaalde soorten persoonsgegevensverwerking en uit de omvang en frequentie van de verwerking, hetgeen kan leiden tot schade of aantasting van de rechten en vrijheden van natuurlijke personen. De Europese Toezichthouder voor gegevensbescherming dient binnen een nader bepaalde termijn op het verzoek om raadpleging te reageren. Het uitblijven van een reactie van de Europese Toezichthouder voor gegevensbescherming binnen die termijn dient evenwel een optreden van de Europese Toezichthouder voor gegevensbescherming overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden onverlet te laten, onder meer de bevoegdheid om verwerkingen te verbieden. In het kader van die raadplegingsprocedure dient het mogelijk te zijn het resultaat van een gegevensbeschermingseffectbeoordeling die voor de verwerking in kwestie wordt uitgevoerd, aan de Europese Toezichthouder voor gegevensbescherming voor te leggen, meer bepaald wat betreft de voorgenomen maatregelen om het risico voor de rechten en vrijheden van natuurlijke personen te beperken.

(59)

De Europese Toezichthouder voor gegevensbescherming dient te worden ingelicht over bestuurlijke maatregelen en geraadpleegd over door instellingen of organen van de Unie vastgestelde interne voorschriften in aangelegenheden die verband houden met hun werking, die voorzien in verwerking van persoonsgegevens, beperking van de rechten van betrokkenen of passende waarborgen voor betrokkenen, teneinde ervoor te zorgen dat de voorgenomen verwerking strookt met deze verordening, en met name om de risico’s daarvan voor betrokkenen te beperken.

(60)

Bij Verordening (EU) 2016/679 wordt het Europees Comité voor gegevensbescherming ingesteld als orgaan van de Unie met rechtspersoonlijkheid. Het Comité dient bij te dragen aan de consequente toepassing van Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680 in de Unie, onder meer door de Commissie advies te verlenen. Tegelijkertijd dient de Europese Toezichthouder voor gegevensbescherming zijn toezichthoudende en raadgevende taken te blijven uitoefenen ten aanzien van alle instellingen en organen van de Unie, op eigen initiatief of op verzoek. Met het oog op de samenhang van de voorschriften inzake gegevensbescherming in de Unie dient de Commissie bij het opstellen van voorstellen of aanbevelingen ernaar te streven de Europese Toezichthouder voor gegevensbescherming te raadplegen. Raadpleging door de Commissie dient verplicht te zijn na de vaststelling van wetgevingshandelingen of bij het opstellen van gedelegeerde handelingen en uitvoeringshandelingen, als bedoeld in de artikelen 289, 290 en 291 VWEU, alsmede na de vaststelling van aanbevelingen en voorstellen in verband met overeenkomsten met derde landen en internationale organisaties, als bedoeld in artikel 218 VWEU, wanneer deze gevolgen hebben voor het recht op de bescherming van persoonsgegevens. In dergelijke gevallen dient de Commissie verplicht te zijn de Europese Toezichthouder voor gegevensbescherming te raadplegen, behalve in de gevallen waarvoor Verordening (EU) 2016/679 verplichte raadpleging van het Europees Comité voor gegevensbescherming voorschrijft, bijvoorbeeld bij adequaatheidsbesluiten of gedelegeerde handelingen betreffende gestandaardiseerde iconen en eisen voor certificeringsmechanismen. Indien dergelijke handelingen van bijzonder belang zijn voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens, dient de Commissie ook het Europees Comité voor gegevensbescherming te kunnen raadplegen. In zulke gevallen dient de Europese Toezichthouder voor gegevensbescherming als lid van het Europees Comité voor gegevensbescherming zijn werkzaamheden te coördineren met die van het Comité met het oog op het uitbrengen van een gezamenlijk advies. De Europese Toezichthouder voor gegevensbescherming en in voorkomend geval het Europees Comité voor gegevensbescherming dienen hun schriftelijk advies binnen acht weken kenbaar te maken. Die termijn kan worden bekort in spoedeisende gevallen of in andere omstandigheden waarin dat geboden is, bijvoorbeeld als de Commissie gedelegeerde handelingen of uitvoeringshandelingen opstelt.

(61)

In overeenstemming met artikel 75 van Verordening (EU) 2016/679 dient de Europese Toezichthouder voor gegevensbescherming het secretariaat van het Europees Comité voor gegevensbescherming te verzorgen.

(62)

Binnen elke instelling en elk orgaan van de Unie dient een functionaris voor gegevensbescherming toe te zien op de toepassing van de bepalingen van deze verordening en de verwerkingsverantwoordelijken en verwerkers te adviseren bij de vervulling van hun verplichtingen. Het vereiste niveau van deskundigheid van deze functionaris op het gebied van de wetgeving en de praktijk inzake gegevensbescherming dient met name te worden bepaald op grond van de door de verwerkingsverantwoordelijke of de verwerker uitgevoerde gegevensverwerkingen en de bescherming die vereist is voor de betrokken gegevens. Deze functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk uit te voeren.

(63)

Wanneer persoonsgegevens vanuit de instellingen en organen van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of aan internationale organisaties worden doorgegeven, moet het beschermingsniveau waarvan natuurlijke personen in de Unie door deze verordening verzekerd zijn, worden gewaarborgd. Dezelfde waarborgen moeten gelden bij verdere doorgifte van persoonsgegevens vanuit het derde land of de internationale organisatie aan verwerkingsverantwoordelijken, verwerkers in hetzelfde of een ander derde land of in dezelfde of een andere internationale organisatie. Doorgifte naar derde landen en aan internationale organisaties mag in ieder geval alleen plaatsvinden in volledige overeenstemming met deze verordening en met eerbied voor de in het Handvest verankerde grondrechten en fundamentele vrijheden. Doorgifte kan alleen plaatsvinden indien de verwerkingsverantwoordelijke of de verwerker, onder voorbehoud van de andere bepalingen van deze verordening, de bepalingen van deze verordening met betrekking tot de doorgifte van persoonsgegevens naar derde landen of aan internationale organisaties naleeft.

(64)

De Commissie kan vaststellen op grond van artikel 45 van Verordening (EU) 2016/679 of artikel 36 van Richtlijn (EU) 2016/680, dat een derde land, een gebied of een nader bepaalde sector in een derde land, of een internationale organisatie een passend beschermingsniveau waarborgt. In dergelijke gevallen mag een instelling of orgaan van de Unie persoonsgegevens naar dat derde land of aan die internationale organisatie doorgeven zonder dat verdere toestemming noodzakelijk is.

(65)

Indien er geen adequaatheidsbesluit is genomen, dient de verwerkingsverantwoordelijke of de verwerker maatregelen te nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen door middel van passende waarborgen voor de betrokkene. Dergelijke passende waarborgen kunnen worden gegeven door gebruik te maken van standaardbepalingen inzake gegevensbescherming die door de Commissie zijn vastgesteld, standaardbepalingen inzake gegevensbescherming die door de Europese Toezichthouder voor gegevensbescherming zijn vastgesteld of contractbepalingen die door de Europese Toezichthouder voor gegevensbescherming zijn toegestaan. Is de verwerker geen instelling of orgaan van de Unie, dan kunnen passende waarborgen ook bestaan in bindende bedrijfsvoorschriften, gedragscodes en certificeringsmechanismen overeenkomstig Verordening (EU) 2016/679. De waarborgen moeten de naleving van de gegevensbeschermingsvereisten en de eerbiediging van de rechten van de betrokkenen ten aanzien van verwerkingen binnen de Unie garanderen, waaronder de beschikbaarheid van afdwingbare rechten van betrokkenen en van doeltreffende voorzieningen in rechte, zoals het instellen van administratief beroep of beroep in rechte en de mogelijkheid om in de Unie of in een derde land schadevergoeding te eisen. Zij moeten met name betrekking hebben op de naleving van de algemene beginselen inzake de verwerking van persoonsgegevens, de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Doorgiften kunnen ook worden verricht door instellingen of organen van de Unie aan overheidsinstanties of -organen in derde landen of aan internationale organisaties met overeenkomstige taken en functies, onder meer op basis van in administratieve regelingen op te nemen bepalingen zoals een memorandum van overeenstemming met afdwingbare en doeltreffende rechten voor betrokkenen. De toestemming van de Europese Toezichthouder voor gegevensbescherming zou moeten worden verkregen wanneer de waarborgen worden geboden in niet juridisch bindende administratieve regelingen.

(66)

Het feit dat de verwerkingsverantwoordelijke of de verwerker gebruik kan maken van standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie of door de Europese Toezichthouder voor gegevensbescherming dient onverlet te laten dat hij de standaardbepalingen inzake gegevensbescherming in een bredere overeenkomst mag opnemen, zoals een overeenkomst tussen de verwerker en een andere verwerker, of andere bepalingen of aanvullende waarborgen mag toevoegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie of de Europese Toezichthouder voor gegevensbescherming vastgestelde standaardcontractbepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen. Verwerkingsverantwoordelijken en verwerkers moeten worden aangemoedigd om via contractuele verplichtingen meer waarborgen te bieden in aanvulling op de standaardclausules inzake gegevensbescherming.

(67)

Sommige derde landen stellen wettelijke en bestuursrechtelijke bepalingen en andere rechtshandelingen vast waarmee wordt beoogd de gegevensverwerkingsactiviteiten van instellingen en organen van de Unie rechtstreeks te regelen. Hierbij kan het onder meer gaan om rechterlijke uitspraken of besluiten van administratieve instanties van derde landen die van de verwerkingsverantwoordelijke of de verwerker verlangen dat hij persoonsgegevens doorgeeft of verstrekt, en die niet zijn gestoeld op een tussen het verzoekende derde land en de Unie geldende internationale overeenkomst. De extraterritoriale toepassing van deze wettelijke en bestuursrechtelijke bepalingen en andere rechtshandelingen kan in strijd zijn met het internationaal recht en een belemmering vormen voor de bij deze verordening gegarandeerde bescherming van natuurlijke personen in de Unie. Doorgiften mogen alleen kunnen plaatsvinden wanneer is voldaan aan de voorwaarden die in deze verordening worden gesteld aan doorgifte naar derde landen. Dit kan onder meer het geval zijn wanneer openbaarmaking nodig is voor een algemeen belang dat erkend is in het Unierecht.

(68)

Doorgifte dient mogelijk te zijn in bepaalde gevallen waarin de betrokkene daartoe uitdrukkelijk toestemming heeft gegeven, namelijk wanneer de doorgifte incidenteel en noodzakelijk is in het kader van een overeenkomst of van een rechtsvordering, ongeacht of het een gerechtelijke of een administratieve of buitengerechtelijke procedure betreft of een procedure bij een regelgevingsinstantie. Doorgifte dient ook mogelijk te zijn wanneer in het Unierecht vastgelegde gewichtige redenen van algemeen belang zulks vereisen, of wanneer het gaat om een doorgifte uit een bij de wet ingesteld register dat bedoeld is voor raadpleging door het publiek of personen met een gerechtvaardigd belang. In laatstgenoemd geval mogen bij een dergelijke doorgifte niet alle van de in dit register opgenomen persoonsgegevens of categorieën gegevens worden verstrekt, tenzij dat volgens het Unierecht is toegestaan; wanneer een register bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, mag de doorgifte slechts plaatsvinden op verzoek van deze personen of wanneer zij de beoogde ontvangers zijn, waarbij ten volle rekening wordt gehouden met de belangen en de grondrechten van de betrokkene.

(69)

Die afwijkingen dienen met name te gelden voor gegevensdoorgiften die nodig zijn op grond van gewichtige redenen van algemeen belang, zoals internationale gegevensuitwisselingen tussen instellingen of organen van de Unie en mededingingsautoriteiten, belasting- of douanediensten, financiële toezichthoudende autoriteiten of diensten met bevoegdheid op het gebied van de sociale zekerheid of de volksgezondheid, bijvoorbeeld bij het opsporen van contacten in het kader van de bestrijding van besmettelijke ziekten of met het oog op de terugdringing en/of uitbanning van doping in de sport. Doorgifte van persoonsgegevens dient ook als rechtmatig te worden beschouwd wanneer deze nodig is voor de bescherming van de vitale belangen van de betrokkene of een andere persoon, daaronder begrepen diens fysieke integriteit of leven, indien de betrokkene niet in staat is zijn toestemming te geven. Bij ontstentenis van een adequaatheidsbesluit kan het Unierecht om gewichtige redenen van algemeen belang uitdrukkelijk grenzen stellen aan de doorgifte van specifieke categorieën gegevens naar een derde land of aan een internationale organisatie. Iedere doorgifte aan een internationale humanitaire organisatie van persoonsgegevens van een betrokkene die lichamelijk of juridisch niet in staat is toestemming te geven, kan, indien zij plaatsvindt met het oog op de uitvoering van een opdracht die krachtens de Verdragen van Genève of met het oog op de naleving van het internationaal humanitair recht in gewapende conflicten, worden beschouwd als noodzakelijk in het kader van een gewichtige reden van algemeen belang of omdat het van vitaal belang is voor de betrokkene.

(70)

Wanneer de Commissie niet heeft besloten of het niveau van gegevensbescherming in een derde land passend is, dient de verwerkingsverantwoordelijke of de verwerker hoe dan ook gebruik te maken van middelen die de betrokkenen ook na de doorgifte van hun gegevens afdwingbare en doeltreffende rechten in de Unie verlenen met betrekking tot de verwerking ervan, opdat zij de grondrechten en waarborgen kunnen blijven genieten.

(71)

Bij grensoverschrijdend verkeer van persoonsgegevens naar landen buiten de Unie kan het voor natuurlijke personen moeilijker worden hun gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige openbaarmaking van die informatie. Bovendien is het mogelijk dat nationale toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming niet kunnen klachten behandelen of onderzoek verrichten met betrekking tot activiteiten die buiten hun rechtsmacht vallen. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden, inconsistente rechtskaders en praktische obstakels, zoals beperkte middelen. Daarom dient nauwere samenwerking tussen de Europese Toezichthouder voor gegevensbescherming en nationale toezichthoudende autoriteiten te worden bevorderd met het oog op de uitwisseling van informatie met soortgelijke instanties in het buitenland.

(72)

De instelling bij Verordening (EG) nr. 45/2001 van de Europese Toezichthouder voor gegevensbescherming, die bevoegd is zijn taken en bevoegdheden volstrekt onafhankelijk uit te oefenen, is van wezenlijk belang voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. Bij onderhavige verordening moeten diens taken en diens onafhankelijkheid verder worden versterkt en verduidelijkt. De Europese Toezichthouder voor gegevensbescherming moet een persoon zijn wiens onafhankelijkheid boven alle twijfel verheven is en die duidelijk over de ervaring en de bekwaamheid beschikt om de taken van Europese Toezichthouder voor gegevensbescherming uit te oefenen, bijvoorbeeld omdat hij heeft behoord tot een van de krachtens artikel 51 van Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten.

(73)

Met het oog op consequent toezicht en eenvormige handhaving van de voorschriften inzake gegevensbescherming in de gehele Unie dient de Europese Toezichthouder voor gegevensbescherming dezelfde taken en feitelijke bevoegdheden te hebben als de nationale toezichthoudende autoriteiten, waaronder bevoegdheden om onderzoek te verrichten, corrigerende maatregelen te nemen en sancties op te leggen, machtiging te verlenen en adviezen te verstrekken, in het bijzonder bij klachten van natuurlijke personen, bevoegdheden om inbreuken op deze verordening ter kennis van het Hof van Justitie te brengen en bevoegdheden om overeenkomstig het primaire recht gerechtelijke procedures in te leiden. Tot die bevoegdheden dient ook de bevoegdheid te behoren om een tijdelijke of definitieve beperking van de verwerking op te leggen, met inbegrip van een verwerkingsverbod. Teneinde voor personen die door een maatregel zouden kunnen worden benadeeld overbodige kosten en buitensporige ongemakken te vermijden, dient elke maatregel van de Europese Toezichthouder voor gegevensbescherming passend, noodzakelijk en evenredig te zijn met het oog op naleving van deze verordening, rekening te houden met de omstandigheden van elk individueel geval en het recht van iedere persoon te eerbiedigen om voorafgaand aan de vaststelling van een individuele maatregel te worden gehoord. Elke juridisch bindende maatregel van de Europese Toezichthouder voor gegevensbescherming dient schriftelijk te worden uitgevaardigd, duidelijk en ondubbelzinnig te zijn, de datum van uitvaardiging te vermelden, door de Europese Toezichthouder voor gegevensbescherming ondertekend te zijn, de redenen voor de maatregel te vermelden en naar het recht op een doeltreffende voorziening in rechte te verwijzen.

(74)

De toezichtsbevoegdheid van de Europese Toezichthouder voor gegevensbescherming mag zich niet uitstrekken tot de verwerking van persoonsgegevens door het Hof van Justitie wanneer het als rechtsprekende instantie optreedt, zulks teneinde de onafhankelijkheid van het Hof bij de uitoefening van zijn rechterlijke taken, waaronder besluitvorming, te waarborgen. Voor dergelijke verwerkingen moet het Hof overeenkomstig artikel 8, lid 3, van het Handvest onafhankelijk toezicht instellen, bijvoorbeeld door middel van een intern mechanisme.

(75)

Besluiten van de Europese Toezichthouder voor gegevensbescherming met betrekking tot uitzonderingen, garanties, machtigingen en voorwaarden betreffende de verwerking van gegevens, zoals in deze verordening gedefinieerd, moeten in het activiteitenverslag worden bekendgemaakt. Naast de jaarlijkse publicatie van een activiteitenverslag kan de Europese Toezichthouder voor gegevensbescherming verslagen over specifieke onderwerpen uitbrengen.

(76)

De Europese Toezichthouder voor gegevensbescherming dient Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (9) na te leven.

(77)

De nationale toezichthoudende autoriteiten houden toezicht op de toepassing van Verordening (EU) 2016/679 en dragen bij tot de consequente toepassing daarvan in de gehele Unie teneinde natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de interne markt te vergemakkelijken. Met het oog op een consequentere toepassing van de voorschriften inzake gegevensbescherming van de lidstaten en de voorschriften inzake gegevensbescherming die op de instellingen en organen van de Unie van toepassing zijn, zou de Europese Toezichthouder voor gegevensbescherming doeltreffend moeten samenwerken met de nationale toezichthoudende autoriteiten.

(78)

Wat bepaalde gevallen betreft, voorziet het Unierecht in een model voor gecoördineerd toezicht door de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten. De Europese Toezichthouder voor gegevensbescherming is bovendien de toezichthoudende autoriteit voor Europol en er is daarom een specifiek model voor de samenwerking met de nationale toezichthoudende autoriteiten vastgesteld door een samenwerkingsorgaan met een adviserende functie. Met het oog op doeltreffender toezicht op en handhaving van de materiële voorschriften inzake gegevensbescherming, dient er in de Unie een samenhangend standaardmodel voor gecoördineerd toezicht tot stand te komen. De Commissie moet daarom, waar nodig, wetgevingsvoorstellen indienen tot wijziging van rechtshandelingen van de Unie die in een model voor gecoördineerd toezicht voorzien, zodat deze kunnen worden aangepast aan het model voor gecoördineerd toezicht dat in deze verordening is opgenomen. Het Europees Comité voor gegevensbescherming moet fungeren als centraal forum voor doeltreffend gecoördineerd toezicht over de hele linie.

(79)

Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming en het recht op een doeltreffende voorziening in rechte bij het Hof van Justitie overeenkomstig de Verdragen, indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening of indien de Europese Toezichthouder voor gegevensbescherming niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel verwerpt of afwijst, of niet optreedt wanneer een dergelijk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. Het onderzoek naar aanleiding van een klacht dient, onder voorbehoud van rechterlijke toetsing, niet verder te gaan dan in het specifieke geval passend is. De Europese Toezichthouder voor gegevensbescherming dient de betrokkene binnen een redelijke termijn te informeren over de voortgang en de resultaten van de klacht. Indien de zaak nadere coördinatie met een nationale toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt. De Europese Toezichthouder voor gegevensbescherming dient maatregelen te treffen om het indienen van klachten te faciliteren, zoals het ter beschikking stellen van een klachtenformulier dat tevens elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

(80)

Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, dient het recht te hebben om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade, met inachtneming van de in de Verdragen vastgestelde voorwaarden.

(81)

Ter versterking van de toezichthoudende rol van de Europese Toezichthouder voor gegevensbescherming en de doeltreffende handhaving van deze verordening dient de Europese Toezichthouder voor gegevensbescherming bevoegd te zijn om als sanctie in laatste instantie administratieve geldboeten op te leggen. Die geldboeten dienen te zijn gericht op bestraffing van de instelling of het orgaan van de Unie — in plaats van een natuurlijke persoon — wegens niet-naleving van deze verordening, teneinde verdere inbreuken op deze verordening te ontmoedigen en binnen de instellingen en organen van de Unie een cultuur van bescherming van persoonsgegevens te bevorderen. In deze verordening dienen de inbreuken te worden benoemd waarvoor administratieve geldboetes gelden, evenals de maxima en de criteria voor de vaststelling van de daaraan verbonden geldboeten. De Europese Toezichthouder voor gegevensbescherming dient de hoogte van de geldboete per afzonderlijk geval te bepalen, rekening houdend met alle relevante omstandigheden van de specifieke situatie, met inachtneming van de aard, de ernst en de duur van de inbreuk, de gevolgen ervan en de maatregelen die zijn genomen om naleving van de verplichtingen uit hoofde van deze verordening te waarborgen en de gevolgen van de inbreuk te voorkomen of te beperken. Wanneer de Europese Toezichthouder voor gegevensbescherming aan een instelling of een orgaan van de Unie een administratieve geldboete oplegt, dient hij de evenredigheid van het bedrag van de geldboete in overweging te nemen. De administratieve procedure voor het opleggen van geldboeten aan instellingen en organen van de Unie dient in overeenstemming te zijn met de algemene beginselen van het Unierecht, zoals deze zijn uitgelegd door het Hof van Justitie.

(82)

Wanneer een betrokkene van oordeel is dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening, moet hij het recht hebben organen, organisaties of verenigingen zonder winstoogmerk die overeenkomstig het Unierecht of het recht van een lidstaat zijn opgericht, die statutaire doelstellingen hebben die in het algemeen belang zijn en die actief zijn op het gebied van de bescherming van persoonsgegevens, te machtigen om namens hem een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming. Dergelijke organen, organisaties of verenigingen dienen tevens namens betrokkenen het recht op een voorziening in rechte of het recht op de ontvangst van een vergoeding te kunnen uitoefenen.

(83)

Een ambtenaar of een ander personeelslid van de Unie die de krachtens deze verordening op hem rustende verplichtingen niet nakomt, moet aan een tucht- of andere maatregel kunnen worden onderworpen overeenkomstig de bepalingen en procedures van het Statuut van de ambtenaren van de Europese Unie en de regeling welke van toepassing is op de andere personeelsleden van de Unie, vastgesteld bij Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (10) („het Personeelsstatuut”).

(84)

Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend waar dit in deze verordening is voorzien. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (11). De onderzoeksprocedure dient te worden toegepast voor de vaststelling van standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers en tussen verwerkers onderling, voor de vaststelling van lijsten van verwerkingen waarvoor verwerkingsverantwoordelijken die persoonsgegevens verwerken voor de vervulling van een taak van algemeen belang, tevoren de Europese Toezichthouder voor gegevensbescherming moeten raadplegen en voor de vaststelling van standaardcontractbepalingen die passende waarborgen voor internationale doorgiften bieden.

(85)

De vertrouwelijke gegevens die statistische autoriteiten van de Unie en de lidstaten voor de productie van officiële Europese en officiële nationale statistieken verzamelen, moeten worden beschermd. Europese statistieken moeten worden ontwikkeld, geproduceerd en verspreid overeenkomstig de statistische beginselen die zijn opgenomen in artikel 338, lid 2, VWEU. Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad (12) bevat nadere specificaties betreffende de statistische geheimhoudingsplicht voor Europese statistieken.

(86)

Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG van het Europees Parlement, de Raad en de Commissie (13) moeten worden ingetrokken. Verwijzingen naar de ingetrokken verordening en het ingetrokken besluit moeten gelden als verwijzingen naar deze verordening.

(87)

Teneinde de volledige onafhankelijkheid van de leden van de onafhankelijke toezichthoudende autoriteit te waarborgen, dient deze verordening de ambtstermijn van de huidige Europese Toezichthouder voor gegevensbescherming en de huidige adjunct-toezichthouder onverlet te laten. De huidige adjunct-toezichthouder dient in functie te blijven tot het verstrijken van zijn ambtstermijn, tenzij is voldaan aan een van de in deze verordening neergelegde voorwaarden voor het voortijdig beëindigen van de ambtstermijn van de Europese Toezichthouder voor gegevensbescherming. De desbetreffende bepalingen van deze verordening dienen op de adjunct-toezichthouder van toepassing te blijven tot het verstrijken van diens ambtstermijn.

(88)

Ter verwezenlijking van de basisdoelstellingen, namelijk het waarborgen van een gelijkwaardig niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en van het vrije verkeer van persoonsgegevens in de hele Unie, is het overeenkomstig het evenredigheidsbeginsel noodzakelijk en passend dat voorschriften worden vastgesteld inzake de verwerking van persoonsgegevens door de instellingen en organen van de Unie. Deze verordening gaat overeenkomstig artikel 5, lid 4, van het VEU niet verder dan nodig is om de beoogde doelstellingen te verwezenlijken.

(89)

De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 en heeft op 15 maart 2017 (14) advies uitgebracht,