Chatcontrole - De EU-commissie Accepteert Hoge Foutenpercentages Bij Het Controleren Van Chats INDIGNATIE AI & Politiek

Spread the love en help Indignatie

Inhoud

Tijdens de geplande chatcontrole zullen onderzoekers foutieve treffers moeten zien, omdat zelfs de EU-commissie valse alarmen verwacht. Ze heeft achter gesloten deuren op de vragen van de lidstaten gereageerd. We publiceren het document in volledige tekst.

Chatcontrole Centrale kritiekpunten op de door de EU-commissie geplande chatcontrole lijken te worden bevestigd. De EU-commissie verwacht blijkbaar dat rechercheurs veel onschuldige opnames en chats van minderjarigen met eigen ogen zullen moeten controleren. Dat en meer staat in een Wire Report geclassificeerd als Official Use Only, dat we volledig vrijgeven. Het vat de antwoorden van de Europese Commissie op de vragen van de lidstaten samen. 61 vragen kwamen alleen uit Duitsland .

Chatcontrole maakt deel uit van een wetsontwerp van de Europese Commissie ter bestrijding van seksueel geweld tegen kinderen online. Het is onder meer de bedoeling dat providers op verzoek ook automatisch privéberichten doorzoeken op vermoedelijke criminele inhoud. IT-experts en vertegenwoordigers van het maatschappelijk middenveld bekritiseren dit als reden voor massasurveillance . Ook ministers van de federale regering , waaronder Lisa Paus (Groenen) en Volker Wissing (FDP) , wijzen mogelijke inmenging in vertrouwelijke communicatie af.

Tien procent foutenpercentage: geen probleem

Een punt van kritiek op de geplande chatcontrole is de gevoeligheid van detectiesoftware voor fouten. Geen enkele software is perfect. Bij vals-positieve treffers kunnen ongevaarlijke berichten, chats en foto’s van onschuldige mensen op de schermen van rechercheurs terechtkomen – met de verdenking van strafbare feiten zoals de zogenaamde verspreiding van kinderpornografie . De Europese Commissie is zich blijkbaar bewust van het probleem en aanvaardt het bewust.

Volgens het rapport is de nauwkeurigheid van de huidige detectietechnologie voor verzorging ongeveer 90 procent. Dat betekent: “9 van de 10 inhoud die door het systeem wordt herkend, is grooming.” Het wordt grooming genoemd wanneer volwassenen geseksualiseerd contact met minderjarigen beginnen. Dat komt overeen met 100.000 valse alarmen voor een miljoen berichten die als zogenaamd verdacht worden herkend.

Duitsland had de EU gevraagd of er een verplichting zou moeten komen om treffers te melden, zoals een trefferkans van 99,9 procent. Op deze manier kunnen vals-positieve treffers worden verminderd. De commissie “heeft echter niet zo’n numerieke beslissing genomen om openheid voor technologie en vooruitgang te garanderen.”

Onderzoekers moeten consensuele sexting doornemen

Als gevolg hiervan moeten mensen in het geplande EU-centrum valse positieve hits met de hand uitzoeken. Dit betekent dat onderzoekers mogelijk ook juridische beelden van minderjarigen kunnen zien. In familiechats circuleren bijvoorbeeld foto’s van hun eigen kinderen of kleinkinderen op het strand. Het is niet illegaal, maar de technische systemen kunnen zoiets niet zomaar contextualiseren. Duitsland wilde van de Europese Commissie weten of de technologie dergelijke niet-beledigende beelden zou herkennen. In haar antwoord verwijst de Commissie opnieuw naar het personeel van het geplande EU-centrum dat valse positieven zou controleren. En: “Algoritmen zouden dienovereenkomstig kunnen worden getraind”.

Tegen die tijd zouden de juridische beelden op de schermen van EU-rechercheurs terechtkomen. Voor veel tieners is het al lang onderdeel van het dagelijks leven om onderling naaktfoto’s uit te wisselen, het zogenaamde sexting. Dergelijke foto’s kunnen ook een alarm activeren tijdens chatcontrole. “Als dergelijke rapporten worden ontvangen, moet de strafrechtelijke aansprakelijkheid worden vastgesteld volgens de nationale wetgeving”, zegt het rapport.

Volgens het rapport mag het EU-centrum de respectieve wetshandhavingsinstanties in de lidstaten pas informeren na het uitzoeken van valse treffers. De wetshandhavingsinstanties mogen niet rechtstreeks toegang hebben tot de ongesorteerde hits. Het EU-centrum zou de EU-politieautoriteit Europol als “sleutelpartner” moeten hebben. Een “nauwe samenwerking” is essentieel. “Het is ook belangrijk dat Europol alle rapporten ontvangt om een beter overzicht te hebben”, aldus de samenvatting.

Chatcontrole ondanks encryptie

Op het eerste gezicht bijt de geplande chatcontrole met end-to-end versleutelde berichten. Deze berichten kunnen alleen worden ontcijferd door de afzender en ontvanger in hun messengers. Om het nieuws toch onder controle te krijgen, zou dit principe omgedraaid moeten worden. De commissie “probeert niet de codering te doorbreken”, aldus het rapport. Maar “versleuteling is niet alleen belangrijk om privécommunicatie te beschermen, maar zou ook daders helpen”.

Een mogelijke oplossing zou zijn dat software foto’s en video’s lokaal op je eigen apparaat controleert voordat ze versleuteld worden verzonden. Het gebruik van deze zogenaamde client-side scanning begint duidelijk te worden, maar IT-beveiligingsonderzoekers waarschuwen ervoor.

WhatsApp en Skype: de EU-commissie benoemt de eerste providers

Chatcontrole wordt massasurveillance zodra veel providers massa’s gebruikers screenen. In het wetsontwerp is bepaald dat providers alleen worden verplicht om chats te controleren als er een significant risico bestaat dat hun dienst wordt misbruikt voor seksueel geweld tegen kinderen. In haar antwoorden aan de lidstaten is de Europese Commissie nu nader ingegaan op wanneer dit risico zich voordoet. Dienovereenkomstig is het niet voldoende dat een aanbieder “kindergebruikers” heeft, d.w.z. door kinderen wordt gebruikt. Een maatregel om het risico te minimaliseren is dat vreemden geen direct contact kunnen maken met minderjarige gebruikers.

Het rapport noemt het carrièreplatform LinkedIn als concreet voorbeeld van een aanbieder zonder relevant groomingrisico. Daar wisselen vooral volwassenen informatie uit over hun professionele successen. Volgens het rapport vinden de initiaties vaak zowel via WhatsApp of Skype als via videogames plaats. De vermelding van WhatsApp en Skype betekent niet automatisch dat deze providers een chatcontroleopdracht mogen verwachten. Maar ze laten een trend zien.

WhatsApp-moederbedrijf Meta lijkt volgens het rapport versoepeld over de maatregelen. Daar staat: “De ‘Meta’-groep juichte verplichte maatregelen toe – ook voor de industrie. Zelfregulering kent zijn grenzen.” Tegelijkertijd verwierp Meta in haar eigen onderzoek “client-side scanning” omdat het de rechten van gebruikers schendt.

Europese Commissie gelooft dat AI niet kan worden misbruikt

Een andere zorg van critici is dat chatcontrole de hoeksteen zou kunnen zijn voor nog meer informatiecontrole. Automatische herkenningssystemen kunnen immers worden getraind op elk type inhoud. Autoritaire staten zouden aanbieders bijvoorbeeld kunnen vragen ook te zoeken naar politiek ongewenste content. Volgens het rapport reageerde de Europese Commissie in dit verband: “Misbruik van technologie zou leiden tot sancties.” Nationale autoriteiten zouden ervoor moeten zorgen dat providers zich in overeenstemming met de regels gedragen.

“Bovendien zijn technologieën alleen geschikt om CSAM te identificeren”, vervolgt het rapport. CSAM staat voor “materiaal voor seksueel misbruik van kinderen”, d.w.z. opnames van seksueel geweld tegen minderjarigen. Maar beeldherkenning kan in principe op elke inhoud worden getraind – het kan zowel naar CSAM als naar foto’s van het bloedbad op Tiananmen zoeken .

Antwoorden “ontwijkend” en deels “tegenstrijdig”

We hebben het initiatief “Stop chat control” gevraagd om een eerste beoordeling van de antwoorden van de Europese Commissie. “De antwoorden van de Commissie zijn meestal ontwijkend en soms zelfs tegenstrijdig”, schrijft een woordvoerder van het initiatief. Veel van de problematische punten die door de federale overheid naar voren zijn gebracht, zoals de technische uitvoering, worden niet in detail besproken. “De Commissie geeft openlijk toe dat ze in sommige gevallen wetgeving wil eisen die technisch niet kan worden geïmplementeerd. Daarmee verzet het zich niet alleen tegen de grondrechten, maar ook tegen de werkelijkheid zelf.”

Dit versterkt de eis van het initiatief dat het ontwerp volledig moet worden ingetrokken. De federale regering kan niet tevreden zijn met deze antwoorden. Maatschappelijke organisaties uit heel Europa waarschuwen al maanden voor chatcontroles. In Duitsland hebben meer dan 160.000 mensen een petitie ondertekend en recentelijk zijn er op straat protesten geweest .

Hier is het document volledig:

Datum: 24/06/2022
Classificatie: Geclassificeerd – Alleen voor officieel gebruik
Door: Permanente Vertegenwoordiging EU Brussel
Naar: E11, lijn
Kopie: BKAMT, BMWK, BMDV, BMI, BMFSFJ, BMBF, BMG, BMJ
Betreft: RAG Wetshandhaving – Politie (LEWP-Police) bijeenkomst op 22 juni 2022

I. Samenvatting en evaluatie

De focus van de RAG-bijeenkomst was de presentatie en beantwoording van de vragen die werden gesteld over het COM-concept van een voorstel voor een verordening om seksueel misbruik van kinderen door de COM effectiever te bestrijden.

De volgende bijeenkomsten zijn gepland op 5 en 20 juli.

II. In detail

1. Aanneming van de agenda

De agenda wordt ongewijzigd goedgekeurd.

2. Informatie door het voorzitterschap

KOM rapporteerde over de Global Summit van de WeProtect Global Alliance (WPGA). De resultaten van de top omvatten de bevestiging van de gezamenlijke strijd tegen CSA, de oprichting van een taskforce en een vrijwillig kader voor transparantie in de sector (zie ppt-presentatie bijgevoegd).

Päs bracht verslag uit over het operationele CSA-seminar van 14-16 juni in Parijs (zie bijgevoegde ppt-presentatie). De focus lag op de digitale dimensie van CSA en de rechten van betrokkenen. Daarnaast was er aandacht voor het blootleggen van financiële stromen. Naast vertegenwoordigers van (operationele) nationale autoriteiten waren er ook vertegenwoordigers van de industrie. Tijdens de coronapandemie was er een sterke toename van het aantal spreads van CSAM. Vooral de toename op het gebied van Live Distant Child Abuse (LDCA of “live streaming”) was sterk. LDCA vindt meestal plaats tegen betaling van geld, de initiatie vindt plaats in het clearnet, vaak via Skype of Whatsapp, soms worden ook de ouders van de betreffende kinderen bij de acties betrokken. Criminelen gebruiken steeds vaker cryptocurrency om hun identiteit te versleutelen. Verzorging vindt steeds meer plaats via videogames. Präs presenteerde “undercover avatar” voor preventief contact met kinderen in Online Spelen (Fortnite) (project ondersteund door Europol).

Präs presenteerde een succesvol FRA- of BRA-onderzoek. Daders kunnen worden geïdentificeerd met behulp van geschikte indicatoren of geautomatiseerde processen op Google Drive of Google Foto’s.

De groep “Meta” verwelkomde verplichte maatregelen – ook voor de industrie. Zelfregulering kent zijn grenzen.

3. Regeling ter voorkoming en bestrijding van seksueel misbruik van minderjarigen

Europol bracht verslag uit over activiteiten in de strijd tegen CSA (zie ppt-presentatie bijgevoegd). Met een gespecialiseerd analyseteam (AP Twins) zouden rapporten van NCMEC worden ontvangen, verrijkt en doorgestuurd naar 19 MS + Noorwegen. NCMEC-rapporten worden momenteel ontvangen via ICE HSI. Met de inwerkingtreding van het nieuwe Europol-mandaat (Art. 26b) is Europol gemachtigd om persoonsgegevens rechtstreeks van particulieren te ontvangen, te verwerken en door te geven aan de lidstaten. De verrijking van de NCMEC-rapporten bij Europol gebeurt door het signaleren van nieuw of bekend materiaal en parallelle onderzoeksprocedures en, voor zover mogelijk, door metadata te analyseren. Processen zijn deels geautomatiseerd en ook het GRACE-project (gefinancierd in het kader van Horizon 2022), dat tot doel heeft de geautomatiseerde procesverwerking te verbeteren, is hieraan gerelateerd.

Europol stuurt ook operationele en strategische rapporten naar de lidstaten. Samenwerking met lidstaten zou plaatsvinden tijdens en na operationele onderzoeken (met name digitale forensische ondersteuning en taskforce voor slachtofferidentificatie). Publieke participatie door middel van het “Trace an Object”-initiatief waarmee plaats delict via sociale media kon worden geïdentificeerd.

De voorzitter gaf vervolgens een overzicht van de ontvangen vragen: 12 lidstaten hebben samen ongeveer 240 vragen ingediend. Benadrukt moet worden dat het COM-voorstel overwegend positief werd becommentarieerd in de ingediende opmerkingen. Dit werd gevolgd door hoofdstuk voor hoofdstuk mondelinge antwoorden op vragen door KOM.

KOM heeft de vragen samengevat en gepresenteerd zonder enige verwijzing naar de respectieve lidstaten. Voor zover in het kader van de KOM-presentatie nog een directe verwijzing naar DEU-vragen kon worden gemaakt, wordt dit hieronder weergegeven.

Algemene vragen:

COM legde eerst een algemene verklaring af over de interactie van het ontwerp met DSA/TCO/GDPR. DSA is een horizontale reeks voorschriften voor het creëren van een veilige online omgeving, waarvoor ook artikel 114 VWEU de wettelijke basis is. COM-concept van een CSA-VO is hierop gebaseerd. D.w.z. tenzij de CSA-VO nadere bepalingen stelt, blijven bijvoorbeeld de artikelen 14 en 19 Wv van toepassing. Content die hierna wordt gemarkeerd houdt geen verplichting in om deze te verwijderen, maar kan als basis dienen voor bestellingen onder CSA-VO-E. De AVG blijft van toepassing. COM-concept zorgt voor een continue en vroege betrokkenheid van de gegevensbeschermingsautoriteiten, bijvoorbeeld bij het evalueren van geschikte technologieën en bij het gebruik ervan in het kader van bestellingen. Vooral in de strijd tegen grooming gaat het COM-concept verder dan de AVG, aangezien de betrokkenheid van de gegevensbeschermingsautoriteit absoluut noodzakelijk is. KOM benadrukte dat geautomatiseerde processen geen directe impact hebben op natuurlijke personen. In plaats daarvan leidden deze alleen tot doorzending naar het EU-centrum. Daarnaast bevat de concept-COM tal van waarborgen (o.a. bevelen van de bevoegde autoriteit of rechtbank, herstelprocedures, VHMK, betrokkenheid van de gegevensbeschermingsautoriteit).

COM legde uit dat het ontwerp in overeenstemming is met artikel 15 van de eCommerce-richtlijn in samenhang met EC 47 en relevante jurisprudentie. Gerichte identificatie van duidelijk illegaal materiaal op basis van nationale bevelen valt niet onder het verbod. De ontwerp-COM is bijzonder evenredig, aangezien bevelen alleen in individuele gevallen kunnen worden uitgevaardigd (waar veiligheid door ontwerp niet voldoende is), bevelen zo specifiek mogelijk moeten worden uitgevaardigd, waarborgen zijn getroffen en een strikte evenredigheidstoets vereist is. Tot slot benadrukte KOM dat CSAM sowieso duidelijk illegaal is – een beoordeling is niet contextafhankelijk.

Net als het COM-concept is TCO-VO een sectorale verordening. De definitie van “hostingserviceprovider” van de TCO-VO is ook van toepassing op het COM-concept. Artikel 39 van het COM-concept is gebaseerd op artikel 14 TO VO en artikel 67 Wv.

Bij DEU-vraag 20: Op pagina 10 van het voorstel staat: “Verplichtingen om online seksueel misbruik van kinderen op te sporen hebben de voorkeur boven afhankelijkheid van vrijwillige acties van aanbieders, niet alleen omdat die acties tot nu toe onvoldoende zijn gebleken om online seksueel misbruik van kinderen effectief te bestrijden( …)” Wat is het bewijs van COM dat aantoont dat deze vrijwillige opties ontoereikend zijn?

KOM verwees naar de effectbeoordeling en benadrukte vier hoofdpunten: Ten eerste zijn vrijwillige maatregelen zeer heterogeen (in 2020 moesten meer dan 1600 bedrijven rapporteren aan NCMEC, waarbij slechts 10% van de bedrijven überhaupt rapporteerde, 95% van de meldingen kwam van “Meta”). Ten tweede zijn vrijwillige maatregelen niet continu, aangezien ze deel uitmaken van het bedrijfsbeleid. Ten derde tasten vrijwillige maatregelen ook de grondrechten van particulieren aan, waarvan beslissingen niet aan particuliere (marktkrachtige) bedrijven mogen worden overgelaten. Ten vierde lieten vrijwillig actieve bedrijven de betrokkenen ook met rust om CSAM-inhoud die op hen van invloed was, te verwijderen. Betrokkenen en meldpunten missen een wettelijke basis voor het zoeken naar CSAM en KOM wil hier verandering in brengen.

Bij DEU Vraag 10: Kan COM bevestigen dat aanbieders vrijwillig zoeken naar CSAM (wettelijk) mogelijk blijft? Zijn er plannen om de interim-regeling, die het voor aanbieders mogelijk maakt om naar CSAM te zoeken, te verlengen?

Er is een permanente en duidelijke rechtsgrond nodig. Hiaten in de regelgeving na afloop van de Interimregeling moeten worden voorkomen. Het is nog te vroeg om te bepalen hoe de overgangsperiode tot aan de inwerkingtreding van een CSA-VO eruit kan gaan zien, een verlenging van de InterimsVO is ook mogelijk. Aanbieders van hostingdiensten die niet onder de e-Privacy Verordening vallen en dus niet worden geraakt door het aflopen van de Interimverordening kunnen vrijwillige maatregelen blijven nemen.

Er zijn verschillende vragen over versleutelde inhoud ontvangen. Ook voor DEU-vragen 4 en 5: Deelt de COM de mening dat overweging 26, waarin wordt aangegeven dat het gebruik van end-to-end-coderingstechnologie een belangrijk instrument is om de veiligheid en vertrouwelijkheid van de communicatie van gebruikers te garanderen, betekent dat technologieën die worden gebruikt om kindermishandeling end-to-end encryptie niet ondermijnt?

Kan de COM een gedetailleerde beschrijving geven van technologie die end-to-end-codering niet doorbreekt, de eindapparatuur beschermt en toch CSA-materiaal kan detecteren? Zijn er technische of juridische grenzen (bestaand of toekomstig) voor het gebruik van technologieën om online seksueel misbruik van kinderen op te sporen?

COM-concept is niet gericht tegen encryptie. KOM streeft er niet naar om encryptie te doorbreken, maar heeft eerder het belang van encryptie erkend. Encryptie is niet alleen belangrijk om privécommunicatie te beschermen, maar zou ook daders helpen en verdoezelen, daarom wilde KOM encryptie niet uitsluiten van het concept. COM verwees in dit verband naar bijlage 8 van de effectbeoordeling, waarin verschillende technologieën worden beschreven. KOM staat ook in contact met bedrijven die de gepresenteerde technologieën willen gebruiken of al gebruiken. COM benadrukte dat altijd de minst ingrijpende technologie moet worden gekozen en dat wanneer er geen technologie beschikbaar is die voldoet aan de COM-ontwerpvereiste,

Er zijn ook verschillende vragen over het MKB ontvangen. Hoewel KMO’s niet kunnen worden uitgesloten van het toepassingsgebied van het ontwerp, voorziet het ontwerp in een breed scala aan ondersteuning. Onder andere door het centrum en nationale autoriteiten door ondersteuning te bieden in het kader van risicobeoordeling en het gebruik van technologieën. De opleiding van medewerkers wordt samen met Europol en organisaties als WPGA gepland. In het bijzonder neemt het EU-centrum de controle van de meldingen over.

Hoofdstuk 1

KOM lichtte de verwachte positieve effecten van het ontwerp toe. Deze omvatten: effectieve opsporing en verwijdering van CSAM, verbetering van rechtszekerheid, aansprakelijkheid en bescherming van aangetaste grondrechten, evenals harmonisatie van maatregelen. Het concept heeft grote impact op de offline dimensie van CSA, met name op het gebied van preventie en ondersteuning van getroffenen. Online en offline aspecten zijn nauwelijks van elkaar te scheiden.

Artikel 2 f vat de eerder gepresenteerde definities samen voor een betere leesbaarheid.

Wat betreft het toepassingsgebied: zoekmachines vallen momenteel niet onder het concept, tenzij ze hostingserviceproviders zijn, hoewel ze een rol spelen bij de verspreiding van CSAM. COM staat open voor een discussie over het opnemen van zoekmachines in het concept. Live streaming maakt deel uit van de definitie van CSAM. Gerubriceerde communicatie en bedrijfs-/overheidscommunicatie vallen niet onder het toepassingsgebied.

Bij DEU Vraag 34: Vallen aanbieder van file/image-hosting, die geen toegang heeft tot de inhoud die zij opslaan, onder het toepassingsgebied van de verordening?

Hostingserviceproviders worden geregistreerd, het is een kwestie van proportionaliteit om de serviceprovider aan te spreken die toegang heeft tot de gegevens. D.w.z. Clouddiensten die alleen infrastructuur leveren maar geen toegang hebben, zijn mogelijk geen geschikte adressaten van identificatiebevelen.

Met betrekking tot artikel 2 g) verwees de COM naar EG 11.

Wat betreft artikel 2, onder j), “kindergebruiker”, is de relevante leeftijd voor “seksuele toestemming” bepalend, maar dit varieert in de lidstaten. In het concept zijn in principe ook minderjarige daders opgenomen. Aanbieders kunnen niet bepalen of er sprake is van “toestemming in peers”. Na ontvangst van dergelijke rapporten moet de strafrechtelijke aansprakelijkheid worden vastgesteld volgens het nationale recht. Als er bij een wijziging van de CSA-RL (vanaf 2011) wijzigingen in de definities zouden worden aangebracht, zou dit ook leiden tot wijzigingen voor het COM-concept van een CSA-VO.

In artikel 2m) verwijst “mogelijk” naar het overlaten van de uiteindelijke beslissing over wat illegaal is aan de nationale autoriteiten.

Artikel 2 u) is gebaseerd op de regelgeving van de DSA.

PRT verzoekt om schriftelijke reacties. KOM antwoordde dat het dit niet kon beloven.

Hoofdstuk 2

Ad DEU Vraag 6: Welke (technologische) maatregelen acht COM nodig voor aanbieders van hostingdiensten en aanbieders van interpersoonlijke communicatie bij risicobeoordeling? Met name hoe kan een aanbieder een risicobeoordeling uitvoeren zonder technologie als bedoeld in de artikelen 7 en 10 toe te passen? Hoe kunnen deze providers aan de verplichting voldoen als hun dienst end-to-end versleuteld is?

Het gebruik van technologieën is afhankelijk van de betreffende dienst en de respectievelijke risico’s. Identificatietechnologieën zijn niet verplicht en encryptie mag providers er niet van weerhouden een analyse uit te voeren. Aanbieders hebben echter meestal een goede kennis van het risico van hun diensten, bijvoorbeeld door gebruikersrapporten. EU-centrum zal (niet-limitatieve) richtlijnen geven.

Ad DEU-vraag 9: Kan COM details geven over relevante “gegevensmonsters” en de praktische reikwijdte van risicobeoordelingsverplichtingen? Met name onderscheid maken tussen aanbieders van hostingdiensten en aanbieders van interpersoonlijke communicatiediensten.

Relevante gegevensvoorbeelden waren afhankelijk van de respectieve service, het respectieve gebruikersgedrag. Voor risicobeperkende maatregelen zou het bijvoorbeeld een rol kunnen spelen of er een mogelijkheid is dat vreemden direct contact kunnen maken met minderjarige gebruikers.

Betreffende GER Vraag 11: In artikel 3 par. 2 (e) ii het voorstel beschrijft kenmerken die typerend zijn voor socialemediaplatforms. Kan COM scenario’s beschrijven waarin voor die platforms een risicoanalyse niet tot een positief resultaat leidt?

Op professionele platforms zoals LinkedIn of sociale media zonder verzorgingsgeschiedenis zou er bijvoorbeeld geen relevant risico moeten zijn.

Ad DEU Vraag 2: Kan de COM voorbeelden geven van mogelijke mitigerende maatregelen met betrekking tot de verspreiding van CSAM en verzorging die geschikt zijn om een opsporingsbevel te voorkomen?

Voorbeelden zijn leeftijdsgrenzen of de beperking van bepaalde functies voor kinderaccounts zoals het delen van foto’s (foto’s met veel blote huid) of de mogelijkheid tot direct contact door externe gebruikers.

Bij DEU-vraag 3: Kan de COM uitleggen hoe leeftijdsverificatie door providers respectievelijk App Stores moet worden ontworpen? Wat voor soort informatie moet een gebruiker verstrekken? Met betrekking tot grooming is uw voorstel specifiek gericht op communicatie met een minderjarige gebruiker. Zal de identificatie van een minderjarige gebruiker alleen plaatsvinden via leeftijdsverificatie? Als een risico is gedetecteerd, zijn zorgverleners dan verplicht om gebruikersregistratie en leeftijdsverificatie te implanteren? Zal er ook een verificatie zijn om volwassen gebruikers te identificeren die misbruik maken van apps die zijn ontworpen voor kinderen?

COM-concept staat open voor technologie, ook voor leeftijdsbeheersing. Aanbieders zijn vrij om passende maatregelen te kiezen. Ook de informatie die gebruikers nodig hadden, was hiervan afhankelijk. Maatregelen variërend van “eenvoudige bevestiging” tot legitimatiebewijs zijn mogelijk. KOM ondersteunt leeftijdsbeheersingsprojecten en innovaties zonder dat er bewijs van persoonlijke gegevens nodig is. Het COM-ontwerp voorziet nog niet in de identificatie van volwassenen die misbruik maken van kinderaccounts/-diensten; dergelijke gebruikers zouden worden erkend in het kader van identificatiebevelen.

Bij DEU-vraag 14: Kan COM verduidelijken “bewijs van een aanzienlijk risico”? Is het voldoende dat er meer kindgebruikers op de platforms zijn en dat zij communiceren in de mate zoals beschreven in artikel 3?

De beslissing over het bestaan van een “aanzienlijk risico” wordt genomen door de coördinerende instantie. COM zal ook richtsnoeren op dit gebied uitvaardigen. Het enkele feit van gebruik door “kindergebruikers” is niet voldoende om aan de vereisten te voldoen.

Ad DEU Vraag 17: Hoe worden de redenen voor het uitvaardigen van het identificatiebevel afgewogen tegen de rechten en legitieme belangen van alle betrokken partijen op grond van artikel 7, lid 4, onder b)? Is dit gebaseerd op een concrete maatregel of abstract?

Er moet per geval een beslissing worden genomen, waarin alle relevante informatie is opgenomen en een zo gericht mogelijk bevel moet worden uitgevaardigd. D.w.z. Er zijn ook scenario’s denkbaar (relatief laag risico, zeer ingrijpende techniek) waarin een bevel – na afweging van het individuele geval – niet mag worden gegeven.

Bij DEU Vraag 13: Moeten de vereisten van artikel 7 lid 5 / lid 6 / lid 7 cumulatief worden begrepen?

Elke paragraaf is van toepassing op verschillende categorieën van CSAM, als een order van toepassing is op alle categorieën dan gelden de vereisten cumulatief, anders zijn ze afzonderlijk van toepassing.

Bij DEU-vraag 16: Kan COM verduidelijken over de vereisten van paragrafen 5b, 6a, 7b – welke toetsingsnorm wordt toegepast? Hoe kan de waarschijnlijkheid in artikel 7, lid 7 (b) worden gemeten? Geldt het principe in dubio per reo in het voordeel van de hostingdienst?

In dubio pro reo is niet van toepassing, aangezien het geen kwestie is van strafrechtelijke procedurele vragen, maar van een beoordeling op het gebied van risicominimalisatie. De toetsingsnorm moet in elk afzonderlijk geval worden bepaald en in dit verband zouden ook richtlijnen volgen.

Artikel 9 voorziet niet in een vast tijdsbestek. Als u echter alle benodigde processtappen bij elkaar optelt, kunt u rekenen op ongeveer 12 maanden.

Bij DEU Vraag 23: Omvat “alle betrokken partijen” in artikel 9 ook gebruikers die CSAM hebben verspreid of kinderen hebben gevraagd, maar die toch zijn gecontroleerd?

Alle gebruikers die CSAM verspreiden, worden geregistreerd. Het is niet aan de aanbieders om juridische toetsingen uit te voeren.

Bij DEU Vraag 7: Hoe volwassen zijn state-of-the-art technologieën om valse positieve treffers te voorkomen? Welk deel van de vals-positieve treffers kan worden verwacht wanneer technologieën worden gebruikt om grooming te detecteren? Acht COM het nodig om te bepalen dat treffers alleen openbaar worden gemaakt als de methode aan bepaalde parameters voldoet (bijvoorbeeld een trefferkans van 99,9% dat de inhoud in kwestie geschikt is) om vals-positieve treffers te verminderen?

KOM benadrukte dat er geschikte technologieën zijn, waarvan sommige al jaren in gebruik zijn (bijvoorbeeld PhotoDNA). De nauwkeurigheid van de technologie voor verzorgingsdetectie is ongeveer 90%. Dit betekent dat 9 van de 10 inhoud die door het systeem wordt herkend, verzorgd is. Vals-positieve rapporten zouden dan worden herkend en uitgefilterd door het EU-centrum. KOM heeft geen numerieke vaststellingen gedaan om openheid voor technologie en vooruitgang te waarborgen.

Bij DEU Vraag 24: Welke technologieën kunnen in principe worden toegepast? Voldoet Microsoft Photo ID aan de vereisten?

De VO-E specificeert geen verplichte technologieën. Het EU-centrum zal aanbieders voorzien van een lijst met geschikte technologieën en gratis technologieën.

Bij DEU Vraag: 25: Moeten technologieën die worden gebruikt met betrekking tot clouddiensten ook toegang tot versleutelde inhoud mogelijk maken?

KOM legde uit dat orders alleen konden worden uitgegeven als er geschikte technologieën beschikbaar waren.

Bij DEU Vraag 26: Hoe wordt de kwaliteit van de technologieën geborgd of gevalideerd? Hoe verhoudt het CSA-voorstel zich tot de conceptwet AI?

In het EU-centrum zal een technologiecomité worden opgericht. Zowel de EU-functionaris voor gegevensbescherming als de Europol Innovation Hub zijn hierbij betrokken. Betreffende de KI-VO: De technologieën die onder de CSA-VO zullen worden gebruikt, vertegenwoordigen waarschijnlijk risicovolle AI in de zin van de KI-VO. D.w.z. zij zullen waarschijnlijk het voorwerp uitmaken van een ex-ante conformiteitsbeoordeling in het kader van de KI-VO. Dit zou dan worden toegevoegd aan de gegevensbeschermingscontrole en de controle door het EU-centrum als een verdere waarborg.

Ad DEU Vraag 27: Hoe wordt de gelijkwaardigheid van de eigen technologieën van aanbieders beoordeeld op grond van artikel 10, lid 2 en hoe verhoudt zich dit tot het vermogen van aanbieders om handelsgeheimen in te roepen?

De compatibiliteit wordt gecontroleerd/vastgesteld door de bevoegde autoriteit of rechtbanken.

Over DEU-vraag 28: Kan de technologie worden ontworpen om onderscheid te maken tussen foto’s van kinderen in een normale/niet-agressieve omgeving (bijv. op het strand) en CSAM?

COM was het ermee eens dat algoritmen dienovereenkomstig kunnen worden getraind en dat eventuele fout-positieven in het EU-centrum worden gecontroleerd (zie bijlage 8 effectbeoordeling).

Langs DEU-vragen 31 en 31: Hoe wilt u ervoor zorgen dat aanbieders alleen de technologie – vooral die van het EU Center – gebruiken voor het uitvoeren van het opsporingsbevel? Hoe gaan we om met een fout? Hoe moeten eventuele gevallen van misbruik worden opgespoord?

Misbruik van technologie zou leiden tot sancties. De naleving door de aanbieders moet worden gewaarborgd door de nationale autoriteiten. Technologieën zijn overigens alleen geschikt om CSAM te identificeren.

Ad DEU Vraag 32: Kunt u nader ingaan op het menselijk toezicht en hoe het fouten door de gebruikte technologieën kan voorkomen?

Aanbieders zijn niet verplicht om elk rapport op humane wijze te beoordelen. Het EU-centrum garandeert echter menselijk toezicht op meldingen van bekende CSAM. Het centrum zet zich in voor menselijk toezicht op nieuwe CSAM en verzorging. Het centrum fungeert daarmee als filter tussen LEA’s en aanbieders.

Over DEU-vraag 33: Hoe verwacht u dat providers gebruikers informeren over “de impact op de vertrouwelijkheid van de communicatie van gebruikers”? Is het een plicht vanwege de afgifte van een opsporingsbevel? Of kan het onderdeel zijn van de algemene voorwaarden?

De verplichtingen in artikel 10 zijn gekoppeld aan eventuele identificatiebevelen.

Bij DEU-vraag 15 of 19: Hoe gedetailleerd specificeert het opsporingsbevel de technische maatregel die van de aanbieder wordt verlangd?

Hoe concreet specificeert het identificatiebevel de vereiste maatregel van de aanbieder? Wat volgt in dit verband uit artikel 7, lid 8 (“zal zich richten op en specificeren [de detectiebevel]”), wat uit artikel 10, lid 2 (“De aanbieder is niet verplicht om een specifieke technologie te gebruiken”)?

Een detectieopdracht specificeert niet de te gebruiken technologie; maar specificeer de omvang van de verplichting. COM verwees naar artikel 7, lid 8.

KOM stelt dat aanbieders een uitvoeringsplan moeten opstellen als onderdeel van de afgifte van een identificatiebevel. De AVG zou worden gewaarborgd door nationale autoriteiten (geen aanbieders). In het geval van grooming zijn aanbieders verplicht gegevensbeschermingsautoriteiten in te schakelen.

Over het onderscheid tussen coördinerende autoriteiten en rechtbanken: De coördinerende autoriteiten hebben meestal speciale (professionele) expertise, vooral op het gebied van risicominimalisatie, die rechtbanken meestal niet hebben. Gezien de aangetaste grondrechten moeten rechtbanken (of bevoegde nationale autoriteiten) worden opgenomen als een verder niveau van bescherming in het kader van evenredigheid.

Bij DEU Vraag 18: Heeft COM al feedback gekregen van de providers, met name met betrekking tot artikel 7? Zo ja, kunt u de algemene feedback toelichten?

KOM betrok providers vanaf het begin (bijvoorbeeld via EU IF, directe discussies, de reis van KOM Johansson naar Silicon Valley) en kreeg positieve feedback. Bedrijven juichten de verplichtingen van aanbieders toe, evenals rechtszekerheid en duidelijkheid.

Ter voorkoming van dubbele meldingen en mogelijkheden tot deconflictering: Er dient onderscheid te worden gemaakt tussen meldingen van aanbieders en van gebruikers/meldpunten. Aanbieders zijn verplicht zich te melden bij het EU-centrum. Indien er aanvullende nationale rapportageverplichtingen zijn, dient dit aangegeven te worden, bijvoorbeeld in rapportages aan het EU-centrum. Aan de andere kant konden meldingen van gebruikers/meldpunten nog wel door de aanbieders worden ontvangen. Als gebruikers/meldpunten tegelijkertijd ook de nationale autoriteiten op de hoogte stellen, vereist dit geschikte deconflicterende processen.

Bij DEU Vraag 36: Welke rol moet de Coördinerende Autoriteit spelen bij de meldingsplicht?

De coördinerende instantie zou toezicht houden op de naleving van aanbieders, maar zou niet dezelfde actieve rol hebben als in het kader van het bestellen van maatregelen.

Bij DEU Vraag 38: Hoeveel gevallen verwacht COM voor de meldingen aan EU CSA? Hoeveel zaken zullen worden doorgestuurd naar de bevoegde nationale rechtshandhavingsinstanties en/of Europol?

KOM kan het exacte aantal niet noemen. Als de huidige rapporten aan NCMEC als basis voor een schatting worden gebruikt, moet er rekening mee worden gehouden dat de Amerikaanse wetgeving niet specifiek is. Op dit moment zijn veel rapporten niet uitvoerbaar omdat ze geen CSAM zijn volgens de EU-wetgeving of omdat er informatie ontbreekt. Er is ook een gebrek aan filters om valse positieven te voorkomen. Al met al is niet alleen een toename van het aantal meldingen te verwachten, maar ook een verbetering van de kwaliteit van de meldingen aan LEA’s.

Bij DEU Vraag 40: Op welk punt kan worden aangenomen dat kennis van de inhoud door de aanbieder is verkregen, is menselijke kennis vereist?

De ontwerp-COM schrijft niet voor dat menselijke kennis vereist is. Het kan nodig zijn om hier nader te specificeren.

Met betrekking tot de verschillen in verwijderingsbevelen tussen TCO en CSAM stelt KOM: In tegenstelling tot de TCO VO is CSAM illegaal materiaal ongeacht de context, TCO is gericht op zoveel mogelijk gebruikers en wordt over het algemeen openbaar verspreid via hostingdiensten. CSAM daarentegen streeft naar gerichte verspreiding, vaak via interpersoonlijke communicatiediensten (2/3 van de rapporten van vandaag komt van interpersoonlijke communicatiediensten). Aangezien andere soorten diensten in het algemeen misbruikt zouden worden, zouden ook andere waarborgen nodig zijn. De concept-KOM voorziet niet in grensoverschrijdende verwijderingsbevelen (in tegenstelling tot TCO), aangezien de concept-KOM landelijk georiënteerd is.

Eén lidstaat verzocht om aanpassing van de termijn aan de TCO VO op 1 uur (COM-concept: 24 uur). KOM legde uit dat hierover discussie mogelijk is. Gezien de verplichtingen van de aanbieders is 24 uur vanuit hun oogpunt passend.

Bij DEU-vraag 39: Wordt het recht op effectief verhaal aangetast door de verplichting op grond van art. 14 om een verhuisopdracht binnen 24 uur uit te voeren?

Klachten van Aanbieder tegen verwijderingsbevelen hebben geen opschortende werking. Klachtenprocedures ontslaan niet van de verwijderingsplicht.

Met betrekking tot artikel 15 lid 4: COM verwijst naar artikel 12 lid 2, als 6 weken niet voldoende zijn, is verlenging met nog eens 6 weken mogelijk.

Bij DEU Vraag 43: Hoe kan het blokkeren van bestellingen in de praktijk worden beperkt tot specifieke inhoud of delen van een dienst, of kan alleen de toegang tot de dienst als geheel worden geblokkeerd?

“URL’s die naar een specifieke afbeelding/video verwijzen” worden opgenomen om zo gericht mogelijk opdrachten te kunnen geven.

Over DEU-vraag 44: Moeten cloudservices de toegang tot versleutelde inhoud blokkeren als ze een rapport over verdachte activiteiten over specifieke gebruikers ontvangen?

KOM zei nee, omdat blokkeringsbevelen alleen betrekking hebben op openbaar toegankelijk materiaal.

COM legde uit dat de aansprakelijkheidsregeling van het ontwerp in overeenstemming is met de aansprakelijkheidsregeling van de DSA.

Hoofdstuk 3

Over het algemeen is hoofdstuk 3 heel nauw in de lijn van de DSA ontworpen. Het staat de lidstaten vrij om overeenkomstig artikel 26 coördinerende autoriteiten aan te wijzen, in de best mogelijke overeenstemming met de nationale wetgeving. Dit kan overeenkomen met de betreffende DSA-coördinator. Onafhankelijkheid moet hoe dan ook worden gewaarborgd.

Er zou een duidelijke scheiding van taken komen tussen de coördinerende autoriteiten en de nationale PEA’s. Nadat de bevelen zijn uitgevaardigd, kunnen LEA’s helpen bij de handhaving.

Met betrekking tot de verwachte noodzakelijke middelen in de lidstaten: De omvang van de middelen van de coördinerende autoriteiten hangt af van het aantal rapporten.

IRL betwijfelde of, gezien de beperkingen in artikel 26, 2 e), de aanwijzing van de “DSA-coördinator” als coördinerende autoriteit mogelijk was. Ook is het de vraag of de Coördinerende Autoriteit ook in de “offline wereld” de door de COM beoogde “centrale rol in de preventie van CSA” kan krijgen.

COM erkende dat deze bepaling misleidend kan zijn gezien de beoogde rol van de coördinerende autoriteit. Dit moet vooral gaan over online aspecten en zou daarom dicht bij de taken van de DSA-coördinator liggen.

Bij DEU-vraag 45. Waarom heeft u voor een beoordelingsvrijheid gekozen met betrekking tot straffen?

Het voorstel laat het aan de lidstaten over om de concrete sancties vast te stellen, voortbouwend op het nationale systeem en vergelijkbaar met DSA en TCO.

Ad DEU-vraag 46. Is artikel 35 van toepassing op gevallen van misbruik van technologie of het nalaten om effectieve maatregelen te treffen om dergelijk misbruik te voorkomen (art. 10 lid 4)?

Artikel 35 is ook van toepassing op artikel 10, lid 4. De COM zal richtsnoeren ontwikkelen die bedoeld zijn om de lidstaten te helpen bij het bepalen van de specifieke sancties.

Bij DEU-vraag 47. Waarom volgt het voorstel niet de sancties die zijn vastgelegd in de TCO-verordening?

De sancties in artikel 35 zijn “geïnspireerd” door TCO en DSA. In tegenstelling tot TCO wordt er echter geen definitieve lijst van overtredingen gemaakt.

Ad DEU-vraag 48. Kan artikel 35, lid 2, worden beperkt tot schendingen van een centrale verplichting of een klein aantal centrale verplichtingen?

De paragraaf spreekt alleen van “een inbreuk”.

COM legde ook uit dat artikel 38 geen conflict creëert met JIT’s (Eurojust), aangezien het artikel zich alleen beperkt tot onderzoeken op het gebied van de verordening en niet tot andere strafzaken. Het Coördinatieorgaan heeft geen aanspreekpunten voor opsporingsonderzoeken.

Ad DEU-vraag 49. Artikel 39, lid 2, bepaalt niet dat de nationale rechtshandhavingsinstanties rechtstreeks zijn aangesloten op de informatie-uitwisselingssystemen. Op welke manier worden meldingen doorgegeven aan nationale LEA’s?

In feite worden wetshandhavingsinstanties hier niet expliciet genoemd, dit moet mogelijk worden aangevuld. Overweging 55 vermeldt echter de noodzaak tot samenwerking. SIENA wordt hier niet uitdrukkelijk genoemd om geen beslissing te nemen met het oog op mogelijke verdere ontwikkelingen/naamswijzigingen. Feit is echter dat het centrum de rapporten doorstuurt naar Europol en de nationale rechtshandhavingsinstanties. Indien nodig moet hier een overeenkomstige tekst worden ingevoegd.

Bij DEU-vraag 50. Wat omvat het systeem voor het delen van informatie? Hoe kunnen effectiviteit en gegevensbescherming het beste worden afgewogen?

KOM verwees hier naar overweging 58 en naar het feit dat systemen voor het uitwisselen van informatie in principe efficiënt, veilig en in volledige overeenstemming met de voorschriften voor gegevensbescherming moeten worden beheerd.

Met betrekking tot artikel 39 verklaarde de COM ook dat het voorstel de samenwerking van de lidstaten met derde landen niet beperkt, maar deze juist wil faciliteren via het EU-centrum.

Hoofdstuk 4 – EU-centrum

In het algemeen stelde KOM dat het centrum moet worden opgevat als een “facilitator”. Wat de aanbieders betreft, moet het centrum met name de databank creëren van indicatoren op basis van CSAM die volgens de EU-wetgeving als illegaal zijn geclassificeerd, en een lijst met technologische oplossingen voor detectie verstrekken.

Wat de nationale vervolgingsautoriteiten betreft, is de primaire taak van het centrum om de “false positives” uit de rapporten van de provider te filteren en om “actiegerichte” rapporten met daadwerkelijke criminele inhoud door te sturen naar de vervolgingsautoriteiten.

De lidstaten moeten het centrum ondersteunen als kenniscentrum en bij het ondersteunen van slachtoffers. De taak als hub moet ook helpen om middelen te besparen.

Wat betreft het ondersteunen van slachtoffers, zou het belangrijkste zijn om hen te helpen hun afbeeldingen te vinden en te verwijderen. Slachtoffers kunnen er ook voor kiezen om op de hoogte te worden gehouden van meldingen van CSAM die hen betreffen.

Het centrum wordt niet in een vacuüm gebouwd, maar geïntegreerd in een bestaande omgeving van actoren. Europol is een van de belangrijkste partners en nauwe samenwerking is essentieel. Het is ook belangrijk dat Europol alle rapporten ontvangt om een beter overzicht te hebben en zo de lidstaten een betere dienstverlening te kunnen bieden. Europol ontvangt momenteel slechts ongeveer een derde van de EU-relevante rapporten van NCMEC.

Het centrum zal echter geen enkele verantwoordelijkheid van Europol op zich nemen op het gebied van onderzoeken of de coördinatie van onderzoeken.

De beslissing voor een agentschap is genomen omdat alleen een dergelijk agentschap het recht heeft om EU-wetgeving uit te voeren. Dit was bijvoorbeeld niet mogelijk met een fundering.

Ad DEU Vraag 35: Hoe verhouden de rapportageverplichtingen onder dit voorstel zich tot de huidige NCMEC rapportage? Hoe kunnen beide processen het beste worden gestroomlijnd? Hoe kan men er zeker van zijn dat er geen dubbele meldingen of verlies van meldingen plaatsvindt?

Een mogelijke dubbel werk veroorzaakt door meldingen van zowel het NCMEC als het EU-centrum aan de vervolgingsautoriteiten moet worden voorkomen door een gegevensveld voor meldingen aan het centrum aan te bieden waarin de meldplichtige kan noteren of de zaak al is gemeld aan het NCMEC. Er moet software worden ontwikkeld voor automatische filtering. Het is echter belangrijk om onafhankelijk te worden van een “particuliere aanbieder in een derde land”, juist omdat er met gevoelige gegevens moet worden omgegaan.

KOM verklaarde ook dat de rol van gevestigde hotlines niet zou worden beperkt, ze konden hun taak als “trusted flaggers” blijven vervullen. CSAM, dat wordt geïdentificeerd via hotlines, kan bijdragen aan de indicatordatabase. Meldlijnen zijn ook een belangrijke toekomstige partner voor het Coördinerend Gezag.

De COM is van mening dat de voorafgaande vaststelling van de zetel van het agentschap (art. 42) in overeenstemming is met de “gemeenschappelijke aanpak”. Het is een ongebruikelijke stap, maar zal de samenwerking met Europol vergemakkelijken en de kosten verlagen. Ook de combinatie van directie/directie past in de “common approach”.

Wat betreft de indicatorendatabank (Art 44) zou het centrum moeten samenwerken met de lidstaten. De database dient gebaseerd te zijn op bestaande (hash)databases. Indicatoren moeten worden beperkt tot alleen CSAM en verzorgingsmateriaal. KOM is al gestart met de projectvoorbereiding en stelt 2 miljoen euro beschikbaar. De lidstaten worden aangemoedigd om individueel of als consortium een aanvraag in te dienen.

Wat betreft DEU-vraag 51: Alleen EU CSA en Europol hebben directe toegang tot de databank met indicatoren (Art. 46, lid 5), hoe kunnen nationale PWA’s/nationale coördinerende autoriteiten het beste deelnemen aan de informatie? Acht COM een nieuwe interface nodig om de nationale autoriteiten te laten weten dat er mogelijk meer informatie beschikbaar is?

De toegang tot de indicatorendatabank is geregeld in artikel 46 lid 4, dat toegang verschaft aan strafrechtelijke vervolgingsautoriteiten en de Coördinerende Autoriteit. Lid 5 regelt de toegang tot de database van rapporten. Er is bewust geen toegang voor de rechtshandhavingsautoriteiten en de Coördinerende Autoriteit, aangezien de meldingen eerst worden geverifieerd door het centrum en vervolgens worden doorgestuurd nadat de fout-positieve meldingen zijn opgelost.

Art 46, lid 8 bepaalt de noodzaak van veilige opslag. Het specifieke ontwerp moet gebaseerd zijn op de best practices van de relevante actoren.

Verordening (EU) 2018/1725 is uiteraard ook van toepassing op het EU-centrum.

Ad DEU-vraag: 53. We hebben opgemerkt dat in de effectbeoordeling van de Commissie niet verder wordt gekeken naar de mogelijkheid om de taken van preventie en slachtofferhulp in FRA en de taken die relevant zijn voor rechtshandhaving in Europol te integreren in plaats van een nieuwe entiteit op te richten. Integendeel, het lijkt erop dat deze mogelijkheid na voorlopig onderzoek wordt verworpen. Wij willen daarom graag weten waarom deze optie überhaupt niet verder is onderzocht? Bovendien verzoeken wij COM vriendelijk om uit te leggen welke voordelen zij verwacht van de oprichting van een nieuwe entiteit in plaats van de taken samen toe te wijzen aan FRA en Europol?

In dit verband verwees COM naar bijlage 10 van de effectbeoordeling. Hier is tegen opgetreden omdat dit zou betekenen dat het centrum zou worden opgesplitst met de bijbehorende risico’s op het gebied van coördinatie en eventuele geschillen over bevoegdheden. Het zou ook in tegenspraak zijn met de holistische benadering van de CSA-strategie. Ook werd gevreesd dat er bij FRA een probleem zou kunnen ontstaan met betrekking tot de basistaken op het gebied van grondrechten en een focus op CSA.

Ad DEU-vraag: 57. Artikel 53, lid 2, van het ontwerp heeft betrekking op wederzijdse toegang tot relevante informatie en informatiesystemen met betrekking tot Europol. Is het terecht dat we aannemen dat de bepaling de toegang tot informatie als zodanig niet regelt, omdat wordt verwezen naar de relevante bepalingen (“in overeenstemming met de wetten van het Unierecht die dergelijke toegang regelen”)? Wat is dan de specifieke regelgevende inhoud van de bepaling? Leg uit.

De bepaling regelt immers niet per se de toegang (dit wordt gedaan door andere EU-rechtsinstrumenten). Maar het is duidelijk dat het centrum en Europol elkaar toegang moeten verlenen als onderdeel van de samenwerking.

Ad DEU-vraag 60. Volgens artikel 64, lid 4, onder h, kan de uitvoerend directeur van de op te richten EU-CSA financiële sancties opleggen als er strafbare feiten zijn die de financiële middelen van de Unie schaden. Hoe verhoudt zich dit tot EOM-procedures?

Deze bepaling heeft alleen betrekking op EU-middelen voor het centrum. De bevoegdheid van de uitvoerend directeur beperkt op geen enkele manier de onderzoeksbevoegdheden van OLAF en EOM.

Ten slotte legde de COM aan artikel 90 (uitvoeringsperiode) uit dat was gekozen voor de aanzienlijk kortere uitvoeringsperiode van 6 maanden in vergelijking met TCO en DSA, aangezien de tijd kort was gezien het verstrijken van de “afwijking”.

In tegenstelling tot de TO onthoudt de voorzitter zich vanwege de vergevorderde tijd van de bespreking van hoofdstuk I van het VO-concept.

In de afsluitende discussie was het PRT zeer verrast over de locatie van het EU-centrum. Dit is een uitzonderlijk precedent (ook IRL).

POL vroeg vervolgens of er al een vergelijkbaar model (twee agentschappen met gedeelde middelen) in de EU bestond.

KOM legde uit dat deze optie deel uitmaakte van de gemeenschappelijke aanpak, werd gefinancierd door de KOM, maar in feite nog niet was geïmplementeerd.

We bedankten de COM voor de gedetailleerde antwoorden, die nu zouden worden meegenomen in de verdere overwegingen in DEU. Er zijn echter nog steeds onbeantwoorde vragen, vooral met betrekking tot de samenwerking met Europol. Het is essentieel dat bij het ontwerpen van het EU CSA-centrum de grootst mogelijke synergie-effecten met Europol worden gecreëerd en het ontstaan van dubbele structuren wordt vermeden.

We pleitten ook voor de implementatie van technische workshops (werd door de CZE opgepakt als een toekomstige PCY) en deden, net als de voorzitter, een beroep op de COM om een vergelijkende weergave te geven van CSA-TCO-DSA. De voorzitter vult dit aan met het verzoek om een stroomschema te sturen van de individuele procedures voorzien in de regeling.

CZE als de toekomstige PCY besloot met te zeggen dat het werk aan het CSA-voorstel een prioriteit is van het voorzitterschap; je wilt hier voldoende tijd voor nemen. Er zijn 10 sessies gepland, de eerste op 5 juli. Daarnaast wil CZE workshops houden over mogelijke technische oplossingen en over vergelijkbare rechtshandelingen.