Verordening 2021/1232 - Tijdelijke afwijking van sommige bepalingen van Richtlijn 2002/58/EG ten aanzien van het gebruik van technologieën door aanbieders van nummeronafhankelijke interpersoonlijke communicatiediensten voor de verwerking van persoonsgegevens en andere gegevens ten behoeve van de bestrijding van online seksueel misbruik van kinderen - Hoofdinhoud

NL

Publicatieblad van de Europese Unie

L 274/41

In Richtlijn 2002/58/EG van het Europees Parlement en de Raad (3) zijn regels vastgesteld ter waarborging van het recht op een persoonlijke levenssfeer en vertrouwelijkheid met betrekking tot de verwerking van persoonsgegevens bij de uitwisseling van gegevens in de sector elektronische communicatie. Die richtlijn vormt een nadere specificatie van en aanvulling op Verordening (EU) 2016/679 van het Europees Parlement en de Raad (4).

Richtlijn 2002/58/EG is van toepassing op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten. Tot 21 december 2020 gold de definitie van elektronische-communicatiedienst als bepaald in artikel 2, punt c), van Richtlijn 2002/21/EG van het Europees Parlement en de Raad (5). Op die datum werd Richtlijn 2002/21/EG bij Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad (6) ingetrokken. De definitie van elektronische-communicatiedienst in artikel 2, punt 4, van Richtlijn (EU) 2018/1972 omvat nummeronafhankelijke interpersoonlijke communicatiediensten zoals gedefinieerd in artikel 2, punt 7, van die richtlijn. Nummeronafhankelijke interpersoonlijke communicatiediensten, waartoe Voice over Internet Protocol, berichtendiensten en webgebaseerde e-maildiensten behoren, vallen derhalve sinds 21 december 2020 onder het toepassingsgebied van Richtlijn 2002/58/EG.

In overeenstemming met artikel 6, lid 1, van het Verdrag betreffende de Europese Unie (VEU) erkent de Unie de in het Handvest van de grondrechten van de Unie (het “Handvest”) vervatte rechten, vrijheden en beginselen. Artikel 7 van het Handvest beschermt het grondrecht van eenieder op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie, met inbegrip van het vertrouwelijke karakter van communicatie. Artikel 8 van het Handvest bevat het recht op bescherming van persoonsgegevens.

In artikel 3, lid 1, van het Verdrag van de Verenigde Naties van 1989 inzake de rechten van het kind (VRK) en in artikel 24, lid 2, van het Handvest is bepaald dat bij alle handelingen met betrekking tot kinderen, ongeacht of deze door overheidsinstanties of particuliere instellingen worden verricht, het belang van het kind voorop moet staan. Artikel 3, lid 2, van het VRK en artikel 24, lid 1, van het Handvest voorzien bovendien in het recht van kinderen op een dergelijke bescherming en zorg die nodig zijn voor hun welzijn.

De bescherming van kinderen, zowel offline als online, is een van de prioriteiten van de Unie. Seksueel misbruik en seksuele uitbuiting van kinderen vormen ernstige schendingen van de mensenrechten en grondrechten, met name van de rechten van kinderen om te worden beschermd tegen alle vormen van geweld, misbruik en verwaarlozing, mishandeling of uitbuiting, met inbegrip van seksueel misbruik, zoals bepaald in het VRK en het Handvest. De digitalisering heeft veel voordelen opgeleverd voor de samenleving en de economie, maar heeft ook nadelige gevolgen met zich meegebracht, waaronder een toename van online seksueel misbruik van kinderen. Op 24 juli 2020 heeft de Commissie een mededeling aangenomen met als titel “EU-strategie voor een doeltreffender bestrijding van seksueel misbruik van kinderen” (de “strategie”). De strategie is erop gericht op het niveau van de Unie een doeltreffende aanpak te bieden van misdrijven op het vlak van seksueel misbruik van kinderen.

Overeenkomstig Richtlijn 2011/93/EU van het Europees Parlement en de Raad (7) is deze verordening niet van toepassing op het beleid van de lidstaten betreffende seksuele activiteiten met onderlinge instemming waarbij kinderen betrokken kunnen zijn en die kunnen worden beschouwd als uiting van de normale ontdekking van de seksualiteit in de loop van de menselijke ontwikkeling, waarbij rekening wordt gehouden met verschillende culturele en juridische tradities en met nieuwe vormen van het aanknopen en onderhouden van betrekkingen tussen kinderen en adolescenten, ook via informatie- en communicatietechnologie.

Sommige aanbieders van bepaalde nummeronafhankelijke interpersoonlijke communicatiediensten (“aanbieders”), zoals webmail en berichtendiensten, maken al gebruik van specifieke technologieën om op vrijwillige basis online seksueel misbruik van kinderen op hun diensten op te sporen en te melden aan rechtshandhavingsinstanties en organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen; dat doen zij door de inhoud, zoals beelden en tekst, of de verkeersgegevens van communicatie te scannen, waarbij zij in sommige gevallen gebruikmaken van historische gegevens. De technologie die voor die activiteiten wordt gebruikt, kan bestaan uit hashingtechnologie voor beelden en video’s en uit classificatoren en kunstmatige intelligentie voor het analyseren van tekst- of verkeersgegevens. Bij het gebruik van hashingtechnologie wordt onlinemateriaal betreffende seksueel misbruik van kinderen gemeld wanneer er een positieve treffer optreedt, wat betekent dat er in dat geval een overeenkomst wordt gevonden door een beeld of een video te vergelijken met een unieke, niet-omkeerbare digitale handtekening (“hash”) uit een databank met geverifieerd onlinemateriaal betreffende seksueel misbruik van kinderen, die wordt onderhouden door een organisatie die in het algemeen belang optreedt tegen seksueel misbruik van kinderen. Die aanbieders maken hiervan melding bij nationale hotlines voor het melden van onlinemateriaal betreffende seksueel misbruik van kinderen alsook bij — in de Unie of in derde landen gevestigde — organisaties die tot doel hebben kinderen te identificeren, seksuele uitbuiting en seksueel misbruik van kinderen tegen te gaan, en victimisatie van kinderen te voorkomen. Dergelijke organisaties vallen mogelijk niet binnen het toepassingsgebied van Verordening (EU) 2016/679. Dergelijke vrijwillige activiteiten spelen gezamenlijk een waardevolle rol bij het identificeren en het redden van slachtoffers, wier grondrecht op menselijke waardigheid en op lichamelijke en geestelijke integriteit ernstig wordt geschonden. Dergelijke vrijwillige activiteiten zijn ook belangrijk bij het beperken van de verdere verspreiding van onlinemateriaal betreffende seksueel misbruik van kinderen, en dragen tevens bij tot de identificatie van en het onderzoek naar daders alsmede tot de preventie, de opsporing, het onderzoek en de vervolging van strafbare feiten in verband met seksueel misbruik van kinderen.

Hoewel hun doel legitiem is, vormen vrijwillige activiteiten van aanbieders om online seksueel misbruik van kinderen op hun diensten op te sporen en dit te melden, een inbreuk op het grondrecht op eerbiediging van het privéleven en van het familie- en gezinsleven en het grondrecht op de bescherming van persoonsgegevens van alle gebruikers van nummeronafhankelijke interpersoonlijke communicatiediensten (“gebruikers”). Beperkingen van de uitoefening van het grondrecht op eerbiediging van het privéleven en van het familie- en gezinsleven, met inbegrip van de vertrouwelijkheid van communicatie, kunnen niet louter worden gerechtvaardigd op grond van het feit dat de aanbieders bepaalde technologieën toepasten in een tijd waarin nummeronafhankelijke interpersoonlijke communicatiediensten niet onder de definitie van “elektronische-communicatiedienst” vielen. Dergelijke beperkingen zijn slechts onder bepaalde voorwaarden toegestaan. Krachtens artikel 52, lid 1, van het Handvest moeten dergelijke beperkingen bij wet worden gesteld en de wezenlijke inhoud van het recht op een privéleven en een familie- en gezinsleven en op bescherming van persoonsgegevens eerbiedigen, en moeten zij, met inachtneming van het evenredigheidsbeginsel, noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen. Indien deze beperkingen permanent een algemene en willekeurige monitoring en analyse van de communicatie van alle gebruikers omvatten, gaan zij in tegen het recht op de vertrouwelijkheid van communicatie.

Tot en met 20 december 2020 was alleen Verordening (EU) 2016/679 van toepassing op de verwerking van persoonsgegevens door aanbieders door middel van vrijwillige maatregelen die ertoe strekten online seksueel misbruik van kinderen op hun diensten op te sporen en dit te melden, en onlinemateriaal betreffende seksueel misbruik van kinderen te verwijderen uit hun diensten. Richtlijn (EU) 2018/1972, die tegen 20 december 2020 moest zijn omgezet, bracht aanbieders binnen het toepassingsgebied van Richtlijn 2002/58/EG. Om dergelijke vrijwillige maatregelen na 20 december 2020 te kunnen blijven gebruiken, moeten aanbieders voldoen aan de voorwaarden van deze verordening. Verordening (EU) 2016/679 blijft van toepassing op de verwerking van persoonsgegevens door middel van dergelijke vrijwillige maatregelen.

Richtlijn 2002/58/EG bevat geen specifieke bepalingen betreffende de verwerking van persoonsgegevens door aanbieders in verband met het aanbieden van elektronische-communicatiediensten met het oog op het opsporen van online seksueel misbruik van kinderen op hun diensten en het melden ervan, alsook het verwijderen van onlinemateriaal betreffende seksueel misbruik van kinderen uit hun diensten. Overeenkomstig artikel 15, lid 1, van Richtlijn 2002/58/EG kunnen de lidstaten echter wetgevingsmaatregelen treffen ter beperking van de reikwijdte van de onder meer in de artikelen 5 en 6 van die richtlijn bedoelde rechten en plichten die betrekking hebben op de vertrouwelijkheid van communicatie en verkeersgegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van strafbare feiten in verband met seksueel misbruik van kinderen. Zonder dergelijke nationale wetgevingsmaatregelen en in afwachting van de vaststelling van een rechtskader voor de langere termijn om seksueel misbruik van kinderen op het niveau van de Unie aan te pakken, kunnen aanbieders zich niet langer baseren op Verordening (EU) 2016/679 om na 21 december 2020 vrijwillige maatregelen te gebruiken teneinde online seksueel misbruik van kinderen op hun diensten te blijven opsporen en melden en onlinemateriaal betreffende seksueel misbruik van kinderen uit hun diensten te blijven verwijderen. Deze verordening voorziet niet in een rechtsgrondslag voor de verwerking van persoonsgegevens door aanbieders met als enig doel online seksueel misbruik van kinderen op hun diensten op te sporen en dit te melden en onlinemateriaal betreffende seksueel misbruik van kinderen te verwijderen uit hun diensten, maar voorziet in een afwijking van sommige bepalingen van Richtlijn 2002/58/EG. In deze verordening worden aanvullende waarborgen vastgesteld die door de aanbieders moeten worden geëerbiedigd als zij zich op deze verordening willen beroepen.

Verwerking van gegevens in het kader van deze verordening kan leiden tot de verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in Verordening (EU) 2016/679. De verwerking van beelden en video’s met specifieke technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken, wordt beschouwd als de verwerking van bijzondere categorieën van persoonsgegevens.

Deze verordening voorziet in een tijdelijke afwijking van artikel 5, lid 1, en artikel 6, lid 1, van Richtlijn 2002/58/EG, die de vertrouwelijkheid van communicatie en verkeersgegevens beschermen. Het vrijwillige gebruik door aanbieders van technologieën voor de verwerking van persoonsgegevens en andere gegevens voor zover dat nodig is om online seksueel misbruik van kinderen op hun diensten op te sporen en te melden, en om onlinemateriaal betreffende seksueel misbruik van kinderen te verwijderen uit hun diensten, valt onder de afwijking waarin deze verordening voorziet, op voorwaarde dat een dergelijk gebruik voldoet aan de in deze verordening vastgelegde voorwaarden en derhalve onderworpen is aan de in Verordening (EU) 2016/679 vastgelegde waarborgen en voorwaarden.

Richtlijn 2002/58/EG is vastgesteld op basis van artikel 114 van het Verdrag betreffende de werking van de Europese Unie (VWEU). Bovendien hebben niet alle lidstaten overeenkomstig richtlijn 2002/58/EG wetgevingsmaatregelen genomen om de reikwijdte te beperken van de rechten en plichten met betrekking tot de vertrouwelijkheid van communicatie en verkeersgegevens als vastgesteld in die richtlijn, en brengt de vaststelling van dergelijke maatregelen een aanzienlijk risico van versnippering met zich mee, hetgeen waarschijnlijk negatieve gevolgen voor de interne markt zal hebben. Bijgevolg moet deze verordening worden gebaseerd op artikel 114 VWEU.

Aangezien gegevens die betrekking hebben op elektronische communicatie waarbij natuurlijke personen zijn betrokken, gewoonlijk als persoonsgegevens worden beschouwd, moet de verordening ook worden gebaseerd op artikel 16 VWEU, dat voorziet in een specifieke rechtsgrondslag voor de vaststelling van voorschriften betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en door de lidstaten bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede voorschriften betreffende het vrij verkeer van die gegevens.

Verordening (EU) 2016/679 is van toepassing op de verwerking van persoonsgegevens in verband met het aanbieden van elektronische-communicatiediensten door aanbieders met als enig doel online seksueel misbruik van kinderen op hun diensten op te sporen en te melden en onlinemateriaal betreffende seksueel misbruik van kinderen uit hun diensten te verwijderen, voor zover die verwerking onder het toepassingsgebied van de bij deze verordening vastgestelde afwijking valt.

De soorten technologieën die voor de doeleinden van deze verordening worden toegepast, moeten overeenkomstig de stand van de techniek in de sector zo min mogelijk inbreuk op de privacy maken. Die technologieën mogen niet worden gebruikt voor het systematisch filteren en scannen van tekst in communicatie, tenzij dit uitsluitend gebeurt om patronen op te sporen die kunnen wijzen op concrete redenen om online seksueel misbruik van kinderen te vermoeden, en zij mogen niet de mogelijkheid bieden de inhoud van de communicatie af te leiden. Bij het gebruik van technologie om het benaderen van kinderen te identificeren, moeten dergelijke concrete redenen om misbruik te vermoeden, gebaseerd zijn op objectief vastgestelde risicofactoren zoals leeftijdsverschillen en de waarschijnlijkheid dat bij de gescande communicatie een kind betrokken is.

Er moeten passende procedures en verhaalmechanismen in het leven worden geroepen zodat individuen klachten kunnen indienen bij aanbieders. Dergelijke procedures en mechanismen zijn met name relevant wanneer inhoud die geen online seksueel misbruik van kinderen vormt, is verwijderd of gemeld aan rechtshandhavingsinstanties of aan een organisatie die in het algemeen belang optreedt tegen seksueel misbruik van kinderen.

Om de nauwkeurigheid en betrouwbaarheid zo veel mogelijk te waarborgen, moet de technologie die voor de toepassing van deze verordening wordt gebruikt, overeenkomstig de stand van de techniek in de sector, het aantal fouten en de foutverhoudingen (fout-positieve resultaten) zo veel mogelijk beperken en, indien nodig, eventuele fouten die zich toch voordoen onverwijld corrigeren.

De verwerkte inhoudelijke gegevens en verkeersgegevens en de persoonsgegevens die worden gegenereerd bij de uitvoering van de activiteiten die onder deze verordening vallen, alsook de periode gedurende welke de gegevens vervolgens worden bewaard in geval van de vaststelling van vermoedelijk online seksueel misbruik van kinderen, moeten worden beperkt tot wat strikt noodzakelijk is om deze activiteiten uit te voeren. Gegevens moeten onmiddellijk en onherroepelijk worden gewist zodra zij niet langer strikt noodzakelijk zijn voor een van de in deze verordening genoemde doeleinden, inclusief in gevallen waarin geen vermoedelijk online seksueel misbruik van kinderen is vastgesteld, en hoe dan ook niet later dan twaalf maanden na de datum waarop het vermoedelijk online seksueel misbruik van kinderen is vastgesteld. Dit mag geen afbreuk doen aan de mogelijkheid om relevante inhoudelijke gegevens en verkeersgegevens op te slaan overeenkomstig Richtlijn 2002/58/EG. Deze verordening doet geen afbreuk aan de toepassing van wettelijke verplichtingen uit hoofde van het Unierecht of nationale recht betreffende het bewaren van gegevens die van toepassing zijn op aanbieders.

Deze verordening belet een aanbieder die bij de rechtshandhavingsinstanties melding heeft gemaakt van online seksueel misbruik van kinderen, niet om van die autoriteiten een bewijs van ontvangst van de melding te vragen.

Met het oog op de transparantie en verantwoordingsplicht met betrekking tot de activiteiten die in het kader van de in deze verordening voorziene afwijking worden ondernomen, moeten de aanbieders uiterlijk op 3 februari 2022 en daarna elk jaar uiterlijk op 31 januari een verslag uitbrengen en bij de overeenkomstig Verordening (EU) 2016/679 aangewezen bevoegde toezichthoudende autoriteit (“toezichthoudende autoriteit”) en de Commissie indienen. Dat verslag moet betrekking hebben op de verwerking die binnen het toepassingsgebied van deze verordening valt, met inbegrip van het type en de volumes van de verwerkte gegevens, de specifieke redenen voor de verwerking van persoonsgegevens overeenkomstig Verordening (EU) 2016/679, de redenen voor het doorgeven van persoonsgegevens naar landen buiten de Unie overeenkomstig hoofdstuk V van Verordening (EU) 2016/679, indien van toepassing, het aantal geconstateerde gevallen van online seksueel misbruik van kinderen, waarbij een onderscheid wordt gemaakt tussen onlinemateriaal betreffende seksueel misbruik van kinderen en het benaderen van kinderen, het aantal gevallen waarin een gebruiker een klacht heeft ingediend bij het interne verhaalmechanisme of een voorziening in rechte heeft ingesteld en de uitkomst van dergelijke klachten en gerechtelijke procedures, het aantal fouten en de foutverhoudingen (fout-positieve resultaten) van de verschillende gebruikte technologieën, de maatregelen die zijn toegepast om het foutenpercentage te beperken, het bereikte foutenpercentage, het bewaringsbeleid, de toegepaste waarborgen inzake gegevensbescherming overeenkomstig Verordening (EU) 2016/679, en de namen van in het algemeen belang tegen seksueel misbruik van kinderen optredende organisaties waarmee uit hoofde van deze verordening gegevens zijn gedeeld.

Om de toezichthoudende autoriteiten bij te staan bij hun taken, moet de Commissie het Europees Comité voor gegevensbescherming verzoeken richtsnoeren uit te vaardigen inzake de naleving van Verordening (EU) 2016/679 bij verwerking die binnen het toepassingsgebied van de in deze verordening vastgestelde afwijking valt. Wanneer de toezichthoudende autoriteiten beoordelen of een bestaande of nieuwe technologie die moet worden gebruikt, in overeenstemming is met de stand van de techniek in de sector, zo min mogelijk inbreuk op de privacy maakt en wordt gebruikt op een toereikende rechtsgrondslag uit hoofde van Verordening (EU) 2016/679, moeten deze richtsnoeren die toezichthoudende autoriteiten met name ondersteunen bij het verlenen van advies in het kader van de voorafgaande raadplegingsprocedure zoals uiteengezet in die verordening.

Deze verordening beperkt het recht op bescherming van de vertrouwelijkheid van communicatie en wijkt af van het krachtens Richtlijn (EU) 2018/1972 vastgestelde besluit dat voor nummeronafhankelijke interpersoonlijke communicatiediensten wat betreft privacy dezelfde regels gelden als voor alle andere elektronische-communicatiediensten, maar uitsluitend om online seksueel misbruik van kinderen op die diensten op te sporen en dit te melden aan rechtshandhavingsinstanties of organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen en om onlinemateriaal betreffende seksueel misbruik van kinderen te verwijderen uit die diensten. De toepassingsperiode van deze verordening mag daarom slechts lopen tot drie jaar na de datum van toepassing ervan, met als doel voldoende tijd te voorzien voor de vaststelling van een nieuw rechtskader voor de lange termijn. Indien het rechtskader voor de lange termijn vóór die datum wordt vastgesteld en in werking treedt, moet deze verordening bij dat rechtskader worden ingetrokken.

Met betrekking tot alle andere activiteiten die binnen het toepassingsgebied van Richtlijn 2002/58/EG vallen, moeten aanbieders onderworpen zijn aan de specifieke verplichtingen van die richtlijn en bijgevolg aan de monitoring- en onderzoeksbevoegdheden van de overeenkomstig die richtlijn aangewezen bevoegde instanties.

Eind-tot-eindversleuteling is een belangrijk instrument om de veiligheid en vertrouwelijkheid van communicatie van gebruikers te waarborgen, waaronder die van kinderen. Een eventuele verzwakking van de versleuteling zou kunnen worden misbruikt door kwaadwillige derden. Niets in deze verordening mag derhalve worden uitgelegd als een verbod op of een verzwakking van de eind-tot-eindversleuteling.

Het recht op eerbiediging van het privéleven en van het familie- en gezinsleven, met inbegrip van de vertrouwelijkheid van communicatie, is een grondrecht dat wordt gewaarborgd door artikel 7 van het Handvest. Dit recht is daarom ook een voorwaarde voor de veilige communicatie tussen slachtoffers van seksueel misbruik van kinderen en een volwassene die zij vertrouwen of organisaties die actief zijn in de strijd tegen seksueel misbruik van kinderen, en voor de communicatie tussen slachtoffers en hun advocaten.

Deze verordening mag geen afbreuk doen aan de voorschriften inzake het beroepsgeheim in het nationale recht, zoals voorschriften inzake de bescherming van professionele communicatie tussen artsen en hun patiënten, journalisten en hun bronnen, of advocaten en hun cliënten. Met name de vertrouwelijkheid van communicatie tussen advocaten en hun cliënten is essentieel voor een effectieve uitoefening van het recht van verweer, dat een cruciaal onderdeel vormt van het recht op een eerlijk proces. Deze verordening mag ook geen afbreuk doen aan de nationale voorschriften inzake registers van overheidsinstanties of organisaties die advies verstrekken aan personen in nood.

Aanbieders moeten de Commissie de namen meedelen van de organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen en waaraan zij uit hoofde van deze verordening melding maken van mogelijk online seksueel misbruik van kinderen. Hoewel het uitsluitend de verantwoordelijkheid is van als verwerkingsverantwoordelijke optredende aanbieders om te beoordelen met welke derde partijen zij uit hoofde van Verordening (EU) 2016/679 persoonsgegevens kunnen delen, moet de Commissie transparantie waarborgen met betrekking tot de overdracht van mogelijke gevallen van online seksueel misbruik van kinderen door op haar website een lijst openbaar te maken van de aan de Commissie gemelde organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen. Die openbare lijst moet gemakkelijk toegankelijk zijn. Aanbieders moeten die lijst ook kunnen gebruiken voor het identificeren van relevante organisaties in de wereldwijde strijd tegen online seksueel misbruik van kinderen. Die lijst mag geen afbreuk doen aan de verplichtingen van de aanbieders die als verwerkingsverantwoordelijke optreden uit hoofde van Verordening (EU) 2016/679, onder meer wat betreft hun verplichting om bij het doorgeven van persoonsgegevens naar landen buiten de Unie hoofdstuk V van die Verordening na te leven, en hun verplichting om alle verplichtingen uit hoofde van hoofdstuk IV van die verordening na te komen.

De statistieken die uit hoofde van deze verordening aan de lidstaten moeten worden verstrekt, zijn belangrijke indicatoren voor de evaluatie van beleidsmaatregelen, met inbegrip van wetgevingsmaatregelen. Daarnaast is het belangrijk de impact te erkennen van secundaire victimisatie, die niet volledig tot uiting komt in dergelijke statistieken maar die inherent is aan het delen van beelden en video’s van slachtoffers van seksueel kindermisbruik die mogelijk jaren hebben gecirculeerd.

Overeenkomstig de vereisten van Verordening (EU) 2016/679, en met name het vereiste voor de lidstaten om ervoor te zorgen dat toezichthoudende autoriteiten over de nodige personele, technische en financiële middelen beschikken om hun taken en bevoegdheden doeltreffend te kunnen uitvoeren respectievelijk uitoefenen, moeten de lidstaten ervoor zorgen dat de toezichthoudende autoriteiten over voldoende middelen beschikken voor de doeltreffende uitvoering van hun taken en uitoefening van hun bevoegdheden uit hoofde van deze verordening.

Wanneer een aanbieder voorafgaand aan de inwerkingtreding van deze verordening een gegevensbeschermingseffectbeoordeling heeft uitgevoerd en de toezichthoudende autoriteiten overeenkomstig Verordening (EU) 2016/679 heeft geraadpleegd met betrekking tot een technologie, mag die aanbieder uit hoofde van deze verordening niet worden verplicht een aanvullende gegevensbeschermingseffectbeoordeling of raadpleging uit te voeren, mits de toezichthoudende autoriteiten hebben aangegeven dat gegevensverwerking middels die technologie niet zou resulteren in een groot risico voor de rechten en vrijheden van natuurlijke personen of dat de verwerkingsverantwoordelijke maatregelen heeft genomen om dat risico te beperken.

Gebruikers moeten het recht hebben op een doeltreffende voorziening in rechte wanneer hun rechten zijn geschonden als gevolg van de verwerking van persoonsgegevens of andere gegevens met het oog op het opsporen van online seksueel misbruik van kinderen op nummeronafhankelijke interpersoonlijke communicatiediensten en het melden ervan, alsook het verwijderen van onlinemateriaal betreffende seksueel misbruik van kinderen uit die diensten, bijvoorbeeld in gevallen waarin de inhoud of identiteit van een gebruiker is gemeld aan een organisatie die in het algemeen belang optreedt tegen seksueel misbruik van kinderen of aan rechtshandhavingsinstanties, of wanneer de inhoud van een gebruiker is verwijderd, de account van een gebruiker is geblokkeerd of een aan een gebruiker aangeboden dienst is opgeschort.

Overeenkomstig Richtlijn 2002/58/EG en het beginsel van minimale gegevensverwerking moet de verwerking van persoonsgegevens en andere gegevens beperkt worden tot inhoudelijke gegevens en bijbehorende verkeersgegevens, en voor zover dat strikt noodzakelijk is om het doel van deze verordening te verwezenlijken.

De afwijking waarin deze verordening voorziet, moet ook gelden voor de categorieën gegevens bedoeld in artikel 5, lid 1, en artikel 6, lid 1, van Richtlijn 2002/58/EG, die van toepassing zijn op de verwerking van zowel persoonsgegevens als niet-persoonsgebonden gegevens die worden verwerkt in het kader van het aanbieden van een nummeronafhankelijke interpersoonlijke communicatiedienst.

Deze verordening strekt ertoe tijdelijk af te wijken van sommige bepalingen van Richtlijn 2002/58/EG, zonder daarbij een versnippering van de interne markt te veroorzaken. Bovendien zouden nationale wetgevingsmaatregelen hoogstwaarschijnlijk niet op tijd in alle lidstaten worden vastgesteld. Daar de doelstelling van deze verordening niet voldoende door de lidstaten kan worden verwezenlijkt, maar beter door de Unie kan worden verwezenlijkt, kan de Unie overeenkomstig het in artikel 5 VEU neergelegde subsidiariteitsbeginsel maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstelling te verwezenlijken. De verordening voorziet in een tijdelijke en strikt beperkte afwijking van de toepasselijkheid van artikel 5, lid 1, en artikel 6, lid 1, van Richtlijn 2002/58/EG, met een reeks waarborgen om ervoor te zorgen dat de afwijking niet verder gaat dan wat nodig is om de gestelde doelstelling te bereiken.

De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (8) en heeft op 10 november 2020 een advies uitgebracht,

“nummeronafhankelijke interpersoonlijke communicatiedienst”: een nummeronafhankelijke interpersoonlijke communicatiedienst in de zin van artikel 2, punt 7, van Richtlijn (EU) 2018/1972;

“onlinemateriaal betreffende seksueel misbruik van kinderen”:

“het benaderen van kinderen”: iedere opzettelijke gedraging die een strafbaar feit oplevert krachtens artikel 6 van Richtlijn 2011/93/EU;

“online seksueel misbruik van kinderen”: onlinemateriaal betreffende seksueel misbruik van kinderen en het benaderen van kinderen.

deze verwerking:

de technologieën die voor het in punt a), i), van dit lid uiteengezette doel worden gebruikt, in overeenstemming zijn met de stand van de techniek in de sector en zo min mogelijk inbreuk maken op de privacy, ook met betrekking tot het beginsel van gegevensbescherming door ontwerp en door standaardinstellingen zoals vastgelegd in artikel 25 van Verordening (EU) 2016/679, en, voor zover ze worden gebruikt om communicatie met tekst te scannen, niet in staat zijn om de inhoud van de communicatie af te leiden maar uitsluitend patronen kunnen herkennen die kunnen wijzen op online seksueel misbruik van kinderen;

voor elke specifieke technologie die voor het in punt a), i), van dit lid uiteengezette doel wordt gebruikt, een voorafgaande gegevensbeschermingseffectbeoordeling als bedoeld in artikel 35 van Verordening (EU) 2016/679 en een procedure van voorafgaande raadpleging als bedoeld in artikel 36 van die verordening zijn uitgevoerd;

met betrekking tot nieuwe technologie, dat wil zeggen technologie die wordt gebruikt voor de opsporing van onlinemateriaal betreffende seksueel misbruik van kinderen en die vóór 2 augustus 2021 door geen enkele aanbieder is gebruikt in verband met aan gebruikers van nummeronafhankelijke interpersoonlijke communicatiediensten (“gebruikers”) in de Unie verleende diensten, en met betrekking tot technologie die wordt gebruikt om het mogelijk benaderen van kinderen vast te stellen, brengt de aanbieder aan de bevoegde autoriteit verslag uit over de maatregelen die hij heeft genomen om te voldoen aan het schriftelijke advies dat de krachtens hoofdstuk VI, afdeling 1, van Verordening (EU) 2016/679 aangewezen bevoegde toezichthoudende autoriteit overeenkomstig artikel 36, lid 2, van die verordening heeft uitgebracht in de loop van de voorafgaande raadplegingsprocedure;

de gebruikte technologieën op zich voldoende betrouwbaar zijn, in die zin dat het foutenpercentage met betrekking tot het opsporen van inhoud die seksueel online misbruik van kinderen omvat, zo veel mogelijk wordt beperkt, en dat, wanneer dergelijke incidentele fouten zich voordoen, de gevolgen ervan onverwijld worden gecorrigeerd;

de technologieën die worden gebruikt om patronen van het mogelijk benaderen van kinderen op te sporen, beperkt zijn tot het gebruik van relevante kernindicatoren en objectief vastgestelde risicofactoren, zoals leeftijdsverschillen en de waarschijnlijkheid dat bij de gescande communicatie een kind betrokken is, onverminderd het recht op toetsing door mensen;

de aanbieders:

wanneer een vermoeden van online seksueel misbruik van kinderen is vastgesteld, de inhoudelijke gegevens en bijbehorende verkeersgegevens die worden verwerkt voor het in punt a), i), uiteengezette doel, en de door een dergelijke verwerking gegenereerde persoonsgegevens op een veilige manier worden opgeslagen, enkel en alleen voor de volgende doeleinden:

de gegevens niet langer worden opgeslagen dan strikt noodzakelijk is voor het in punt h) genoemde relevante doel en in geen geval langer dan twaalf maanden na de datum waarop het vermoede online seksueel misbruik van kinderen is vastgesteld;

elk gegrond en geverifieerd vermoeden van online seksueel misbruik van kinderen onmiddellijk wordt gemeld aan de bevoegde nationale rechtshandhavingsinstanties of aan organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen.

vóór 2 augustus 2021 een specifieke technologie gebruikten voor het in lid 1, punt a), i), uiteengezette doel, zonder een voorafgaande raadplegingsprocedure met betrekking tot die technologie te hebben afgerond;

een voorafgaande raadplegingsprocedure beginnen vóór 3 september 2021, en

in verband met de in punt b) bedoelde voorafgaande raadplegingsprocedure naar behoren samenwerken met de bevoegde toezichthoudende autoriteit.

vóór 2 augustus 2021 een in lid 1, punt d), bedoelde technologie gebruikten zonder een voorafgaande raadplegingsprocedure met betrekking tot die technologie te hebben afgerond;

een procedure zoals bedoeld in lid 1, punt d), beginnen vóór 3 september 2021, en

in verband met de in lid 1, punt d), bedoelde procedure naar behoren samenwerken met de bevoegde toezichthoudende autoriteit.

het totaal aantal meldingen van opgespoord online seksueel misbruik van kinderen die door aanbieders en organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen zijn gemaakt bij de bevoegde nationale rechtshandhavingsinstanties, waarbij (als dergelijke informatie beschikbaar is) een onderscheid wordt gemaakt tussen het absolute aantal gevallen en de gevallen die meermalen zijn gemeld en het type aanbieder op wiens dienst het online seksueel misbruik van kinderen is ontdekt;

het aantal kinderen dat is geïdentificeerd via maatregelen uit hoofde van artikel 3, uitgesplitst naar geslacht;

het aantal veroordeelde daders.

de voorwaarden voor de verwerking van persoonsgegevens en andere gegevens die zijn vermeld in artikel 3, lid 1, punt a), ii), en punten b), c) en d);

de evenredigheid van de afwijking waarin deze verordening voorziet, met inbegrip van een beoordeling van de door de lidstaten uit hoofde van artikel 8 ingediende statistieken;

ontwikkelingen in de technologische vooruitgang wat betreft de activiteiten die binnen het toepassingsgebied van deze verordening vallen, en de mate waarin die ontwikkelingen zorgen voor meer nauwkeurigheid en voor een vermindering van het aantal fouten en de foutverhoudingen (fout-positieve resultaten).