Ruimtelijke gegevens, ook wel geografische gegevens of geo-informatie genoemd, zijn gegevens met een locatie. Deze informatie kan worden gebruikt om verschillende soorten informatie over een locatie aan elkaar te verbinden. Analyses en beoordelingen van nieuw en bestaand beleid zijn vaak gebaseerd op een combinatie van verschillende soorten (milieu)gegevens. Deze gegevens kunnen het ontwerpen van beleidsmaatregelen ondersteunen. Het is daarom belangrijk dat deze ruimtelijke gegevens gedeeld worden.

Europees beleid voor geografische datadeling

Om ervoor te zorgen dat geo-informatie van goede kwaliteit over de landsgrenzen van de Europese Unie beschikbaar, vindbaar en bruikbaar is, heeft de EU stappen ondernomen. Hierdoor wordt het delen van lokale tot Europese data mogelijk.

INSPIRE-richtlijn

De Richtlijn inzake Infrastructuur voor Ruimtelijke Informatie in de Europese Gemeenschap (INSPIRE-richtlijn (Richtlijn 2007/2/EC)) uit 2007 verplicht overheidsinstanties in de EU tot het delen van milieugegevens in het ruimtelijke domein. Het doel van de richtlijn is het opzetten van een infrastructuur voor ruimtelijke gegevens ter ondersteuning van het Europees milieubeleid. Deze data-infrastructuur maakt het mogelijk om ruimtelijke informatie over het milieu uit te wisselen tussen organisaties in de publieke sector. Daarnaast moet de INSPIRE-richtlijn de toegang van het publiek tot ruimtelijke informatie in heel Europa vergemakkelijken en biedt de richtlijn ondersteuning bij grensoverschrijdende beleidsvorming.

De verzamelde milieu gerelateerde geografische gegevens worden op een EU-breed internetportaal beschikbaar gesteld voor verschillende overheidsinstanties. Op dit portaal zijn de gemeenschappelijke normen voor het verzamelen van gegevens over grondwater of luchttemperatuur te vinden. Het portaal geeft iedereen een toegankelijk en actueel overzicht in de stand van zaken voor de implementatie van INSPIRE. Daarnaast publiceert de Europese Commissie vanaf 2020 jaarlijks een zogenaamd country fiche per lidstaat. Dit fiche vat de stand van zaken rondom de implementatie van de INSPIRE-richtlijn in de lidstaat samen.

Nederlands beleid voor geografische datadeling

Alle INSPIRE-standaarden zijn in Europese werkgroepen ontwikkeld. Hierin hebben ook Nederlandse organisaties hebben bijgedragen voor het Nederlandse belang. Hoe heeft de Nederlandse overheid de Europese INSPIRE-richtlijn verder geïmplementeerd? 

Implementatiewet INSPIRE

In Nederland is de INSPIRE-richtlijn al grotendeels geïmplementeerd in de Implementatiewet INSPIRE en in het Besluit INSPIRE uit 2009. Het beschikbaar stellen van data die onder één van de 34 INSPIRE-thema’s vallen moet volgens de bepalingen in deze wetgeving gebeuren. De gedeelde data moet te vinden, te raadplegen en te downloaden zijn. Het volledig implementeren van de INSPIRE-bepalingen in Nederland moet volgens de Roadmap voor eind 2021 gebeuren

Nederlandse visie op INSPIRE

De Nederlandse overheid heeft een duidelijke visie als het gaat om het bijdragen aan milieudoelstellingen via INSPIRE. Zo vindt de Nederlandse overheid dat milieuvraagstukken sneller en beter kunnen worden opgelost door het makkelijker maken van het vinden, gebruiken en interpreteren van gegevens. Maar wat als de INSPIRE-infrastructuur in 2021 geheel is geïmplementeerd? Die vraag wordt behandeld in de Nederlandse visie op INSPIRE. In de visie komt naar voren dat de focus wordt verlegd van de implementatie naar het beheer en gebruik van INSPIRE. Dat betekent dat de Nederlandse inspanningen zich meer gaan richten op de (Europese) vraag naar INSPIRE-data. Via het Geo-informatieberaad wordt de overheid geadviseerd over de verdere ontwikkelingen bij INSPIRE. In het Geo-informatieberaad zijn alle stakeholders van de overheid vertegenwoordigd. Verder is het Tactisch Beraad EU Informatie opgericht om onder andere de ontwikkelingen binnen INSPIRE te vertalen naar voor Nederland relevante activiteiten.

Registers voor INSPIRE

In Nederland is een nationaal georegister opgezet, waardoor geïnteresseerden data met koppelingen naar INSPIRE-datasets kunnen ophalen. Op dit register vind je dus de Nederlandse INSPIRE-data. De INSPIRE-data van alle lidstaten samen vind je op het Europese INSPIRE-portaal. Verder is per INSPIRE-thema bepaald welke partijen in Nederland de relevante informatie leveren, zogenoemde INSPIRE-dataproviders. In het INSPIRE aanmerkingsregister kan gecontroleerd worden welke ruimtelijke informatie door welke overheidsinstantie of dataprovider bijgehouden moet worden. Het aanmerkingsregister is ook de plek waar instanties datasets kunnen aanmelden.

Wat heeft mijn gemeente, provincie of waterschap te maken met het delen van geografische gegevens?

Decentrale overheden delen ook geografische gegevens. Burgers en bedrijven hebben namelijk recht op toegang tot deze informatie. Zo houdt een waterschap bij wat het waterpeil is en houdt een provincie de geluidscontouren op de provinciale wegen in de gaten. Hier worden verschillende soorten datasets voor gebruikt. Deze datasets moeten worden ingevoerd in het Nederlandse INSPIRE-aanmerkingsregister. Daarnaast is het belangrijk voor beleidsmakers van (decentrale) overheden om zicht te hebben op het INSPIRE-werkproces. Zo kunnen (decentrale) overheden een begeleidende en adviserende rol hebben bij het toepassen van INSPIRE. Om INSPIRE-dataproviders en decentrale overheden te ondersteunen bij de in- en uitvoering van INSPIRE zijn er een aantal tools ontwikkeld.

Hoe houdt mijn decentrale overheid zicht op de toepassing van INSPIRE?

• Toolkit: Stichting Geonovum, de organisatie die het ministerie van Binnenlandse Zaken en Koninkrijkrelaties ondersteunt bij de implementatie van INSPIRE, heeft voorlichtingsmateriaal verzameld om het gebruik van INSPIRE te vergemakkelijken voor INSPIRE-dataproviders. Daarnaast organiseert Geonovum geregeld werk- en voorlichtingssessies over de toepassing van INSPIRE.
• INSPIRE standaarden: In de Geonovum-handreiking wordt per processtap die dataproviders doorlopen uitleg gegeven over welke Nederlandse INSPIRE-standaard erop van toepassing is en welke stappen er daarnaast nog moeten worden uitgevoerd door de betreffende dataprovider. Er worden voorbeelden gegeven en er kan een checklist worden doorlopen.
• Metadata: Metadata-standaarden zijn belangrijk voor het zoeken, vinden, bekijken en downloaden van geografische data. Deze metadata wordt opgenomen in het nationaal georegister en moet van goede kwaliteit zijn. In de handreiking metadata staan de grondbeginselen voor metadatering beschreven. De handreiking legt uit wat de Nederlandse metadata-standaarden zijn en hoe ze moeten worden toegepast. Verder kunnen INSPIRE-dataproviders met behulp van de handleiding metadatakwaliteit de kwaliteit van hun metadata beoordelen.
• Validatie: Validatie helpt INSPIRE-dataproviders hun data en services te laten voldoen aan de vereisten in de INSPIRE-richtlijn, bijvoorbeeld in het geval van de publicatie van een nieuwe dataset. Hiervoor zijn verschillende validators ontwikkeld. Deze worden uitgebreid uitgelegd op de INSPIRE wiki. 

Maar wat is nu precies overheidsinformatie? Onder overheidsinformatie vallen alle documenten die overheidsondernemingen en openbare lichamen van EU-lidstaten verzamelen, produceren en verspreiden in het kader van hun publieke taak. Denk daarbij bijvoorbeeld aan statistieken of geografische informatie. Overheidsinformatie gaat dus om informatie waarvan de overheidsorganisatie zelf over de intellectuele eigendomsrechten beschikt. Overheden zijn verplicht deze informatie beschikbaar te stellen als hier door burgers of bedrijven om gevraagd wordt. Overheidsinstellingen hoeven gegevens dus niet ongevraagd actief openbaar te maken, alhoewel dit wel toegestaan is.

Europees beleid voor hergebruik overheidsinformatie

In de Europese Unie is de overheidssector een van de meest data-intensieve sectoren. Overheidsinstanties in de hele EU produceren en verzamelen enorme hoeveelheden gegevens. Om een gemeenschappelijk EU-breed beleid voor hergebruik van overheidsinformatie mogelijk te maken heeft de EU door de jaren heen verschillende initiatieven gepubliceerd, waaronder de Open Data Richtlijn.

De Open Data Richtlijn

Om een gelijk speelveld te creëren op het gebied van het hergebruik van overheidsinformatie is in 2013 de Richtlijn hergebruik van overheidsinformatie (Richtlijn 2013/37/EU) in werking getreden. Deze richtlijn wordt ook wel de PSI-richtlijn genoemd. In 2019 is de PSI-richtlijn herzien en vervangen door de Richtlijn inzake open data en hergebruik van overheidsinformatie (Richtlijn 2019/1024/EU), oftewel: de Open Data Richtlijn. De nieuwe regels zorgen ervoor dat meer overheidsinformatie gemakkelijk beschikbaar is voor hergebruik. Dit komt de economie en de samenleving ten goede. Daarnaast moeten de nieuwe regels transparantie van overheidsinformatie vergroten en nieuwe digitale technologieën, zoals Artificial Intelligence, ondersteunen. De Data Governance Wet bevat bovendien aanvullende regels die van toepassing zijn op het hergebruik van overheidsinformatie, maar niet binnen het bereik van de Open Data Richtlijn valt.

Stand van zaken

De Open Data Richtlijn heeft betrekking op materiaal dat in het bezit is van openbare lichamen in EU-lidstaten. Dit omvat materiaal van ministeries, overheidsagentschappen, decentrale overheden en organisaties die grotendeels onder toezicht staan van overheidsinstanties. Daarnaast is de reikwijdte van de richtlijn uitgebreid naar overheidsbedrijven. Het gaat hierbij alleen om bedrijven die actief zijn in bepaalde sectoren en om informatie die zij hebben vergaard ten behoeve van een dienst van algemeen belang. Daarnaast wordt een overheidsbedrijf niet verplicht een verzoek tot hergebruik van de informatie in te willigen.

De Open Data Richtlijn moest op 17 juli 2021 in nationale wetgeving zijn omgezet. In september 2021 is de Commissie een inbreukprocedure gestart tegen een aantal lidstaten die deze regels niet tijdig hebben omgezet. Nederland is hier één van. Tussen april en juni 2022 zijn er met redenen omklede adviezen naar deze lidstaten verstuurd. Het is Nederland echter nog niet gelukt de Open Data Richtlijn om te zetten naar nationale wetgeving. Daarom moet Nederland nu verantwoording afleggen aan het Hof van Justitie. Lees meer over de inbreukprocedure in dit nieuwsartikel.

Wat staat er in de Open Data Richtlijn?

• Uitbreiding begrip open data:
  De uitbreiding van het begrip ‘open data’ met onderzoeksgegevens in de Open Data Richtlijn heeft gevolgen voor (decentrale) overheden. Wanneer een overheidsorganisatie een onderzoeksbureau inschakelt om onderzoek te doen, moet de data die tijdens het onderzoek is verzameld aan de overheidsorganisatie geleverd worden. De overheidsorganisatie kan de data dan beschikbaar stellen voor hergebruik als hierom wordt gevraagd. Dat geldt ook voor gegevens die zijn verzameld bij een onderzoek van de overheidsorganisatie zelf.
• Kosteloze beschikbaarstelling overheidsinformatie:
  Alle overheidsinformatie waarvan de betreffende overheidsorganisatie zelf over de intellectuele eigendomsrechten beschikt, moet in principe kosteloos beschikbaar worden gesteld voor hergebruik. Alleen in zeer beperkte gevallen kunnen overheidsinstanties nog marginale kosten in rekening brengen voor het openbaar maken van de informatie, bijvoorbeeld wanneer een overheidsinstelling dure wijzigingen aan het formaat van de opgevraagde informatie moet doen. Het is wel mogelijk om kosten voor de vermenigvuldiging, verstrekking, en verspreiding van de overheidsinformatie terug te vorderen. Maar, volgens de richtlijn mogen de inkomsten niet groter zijn dan de kosten van het openbaar maken van overheidsinformatie.
• Dynamische gegevens:
  De Open Data Richtlijn bevat ook regels voor overheidsorganisaties met betrekking tot het beschikbaar stellen van dynamische gegevens via Application Program Interfaces (API’s). Dynamische gegevens zijn gegevens of documenten in digitale vorm die continu en in real-time worden geactualiseerd. Denk hierbij aan sensoren voor luchtkwaliteit of waterstand. De dynamische gegevens moeten onmiddellijk nadat ze zijn verzameld beschikbaar worden gesteld voor hergebruik. Mocht dit door financiële of technische problemen niet onmiddellijk lukken, mogen de gegevens later beschikbaar gesteld worden. Dat moet dan wel binnen een redelijke termijn.
• Hoogwaardige datasets:
  Datasets met een hoge waarde, zoals statistieken of geografische gegevens, krijgen meer aandacht in de Open Data Richtlijn. Deze datasets kunnen de opkomst van informatieproducten en -diensten namelijk versnellen. Of een dataset van hoge waarde is wordt bepaald door de mate waarbij de data bijdraagt aan transparantie, de wettelijke plicht, kostenbesparing, de doelgroep en de mate waarop de data potentie van hergebruik heeft. De Commissie werkt samen met de lidstaten aan de vaststelling van een lijst met hoogwaardige datasets: de Europese High Value Datasets List (HVDL). Deze datasets moeten kosteloos, in machinaal leesbaar format en via API’s door overheidsorganisaties beschikbaar worden gesteld. Momenteel zijn alleen de thematische categorieën van hoogwaardige datasets nog bekend, namelijk; geospatiale data, aardobservatie- en milieudata, meteorologische data, statistiek, bedrijven en eigendom van bedrijven, en mobiliteitsdata.Op 21 december 2022 heeft de Europese Commissie de uitvoeringsverordening voor High Value Datasets (HVD) gepresenteerd. Deze uitvoeringsverordening bevat een lijst van waardevolle datasets die bij hergebruik grote voordelen voor de samenleving en de economie kunnen hebben.
• Exclusieve overeenkomsten:
  Sommige overheidsinstanties sluiten complexe gegevensovereenkomsten met particuliere ondernemingen. Dit kan ervoor zorgen dat overheidsinformatie mogelijk ‘opgesloten’ raakt. De Open Data Richtlijn bevat bepalingen om de ‘opsluiting’ van die data te beperken. Zo moeten overheidsorganisaties transparant zijn over het feit dat een dergelijke overeenkomst met een private partij is gesloten. Dit betekent dat de gemaakte afspraken over de geleverde gegevens publiekelijk kenbaar moeten zijn. Daarnaast moet de overeenkomst elke drie jaar opnieuw beoordeeld worden.

Europese Data Portaal

Het Europese Data Portaal is een opslagplaats voor open gegevens waar geïnteresseerden datasets van de Commissie en van de andere EU-instellingen en -agentschappen kunnen vinden. Ook nationale, regionale en lokale datasets van de EU-lidstaten zijn op het portaal te vinden. De informatie die op het Europese Data Portaal staat is overheidsinformatie die openstaat voor hergebruik in de EU. Het portaal wordt sinds 2015 door de Commissie gefinancierd via het Europese Connecting Europe Facility fonds. Het Data Portaal bevat ook een opleidingscentrum over het hergebruik van open data en een database met verhalen van Europese hergebruikers van overheidsinformatie.

Nederlands beleid voor hergebruik overheidsinformatie

De Nederlandse overheid wil meer transparantie over wat zij doet. Veel overheidsinformatie is daarom openbaar en kan vrij verspreid en gebruikt worden. Om een transparantere overheid te waarborgen zijn er al verschillende initiatieven genomen op het gebied van hergebruik en openheid van overheidsinformatie. Zo staan op deze website bijvoorbeeld beschikbare open datasets van de Nederlandse overheid.

Wet hergebruik overheidsinformatie

In Nederland is de (oude) Richtlijn hergebruik van overheidsinformatie geïmplementeerd in de Wet hergebruik overheidsinformatie (Who). Deze wet verplicht overheden om overheidsinformatie beschikbaar te stellen aan burgers en bedrijven. Aangezien de Richtlijn hergebruik van overheidsinformatie is herzien en vervangen door de Open Data Richtlijn, moet de Open Data Richtlijn worden omgezet in nationale wetgeving. Dit moest uiterlijk 17 juli 2021 gebeuren. Aangezien de Open Data Richtlijn niet is omgezet, kan de richtlijn tijdens nationale rechterlijke procedures door particulieren worden ingeroepen. Het is dan aan de rechter om te beoordelen of de bepalingen uit de richtlijn directe werking hebben.

De Nederlandse overheid wil met de Wet implementatie Open data richtlijn (Wiodr) de regels uit de richtlijn in de Who opnemen. Hiermee wordt de Who aangepast naar de laatste Europese regels voor de hergebruik van overheidsinformatie.

Op 24 oktober 2022 heeft de Raad van State advies gegeven over het voorstel. Het adviesorgaan heeft verschillende opmerkingen bij het wetsvoorstel en adviseert hierdoor om het wetsvoorstel niet in te dienen bij de Tweede Kamer, tenzij de regering het voorstel aanpast.

Leer- en Expertisepunt Open Overheid

Het Leer en Expertisepunt Open Overheid (LEOO) ondersteunt (decentrale) overheden bij het uitvoeren van open overheidsbeleid- en regelgeving. Het fungeert onder andere als platform om de zichtbaarheid en het belang van een open overheid te vergroten.

Wat hebben gemeenten, provincies en waterschappen met open data en hergebruik van overheidsinformatie te maken?

De Open Data Richtlijn verplicht decentrale overheden om op verzoek overheidsinformatie als open data beschikbaar te stellen voor hergebruik. Dat hergebruik kan zowel maatschappelijke als commerciële doelstellingen hebben.

Rekenen van kosten

Onder de oude PSI-richtlijn was het voor overheidsorganisaties mogelijk om kosten in rekening te brengen voor hergebruik van overheidsinformatie. Met ingang van de Open Data Richtlijn is het niet meer toegestaan om een vergoeding hiervoor aan te rekenen. Overheidsorganisaties mogen wel kosten voor de vermenigvuldiging, verstrekking en verspreiding van overheidsinformatie terugvorderen. Daarnaast kunnen kosten voor speciale administratieve lasten teruggevorderd worden. Denk hierbij aan het anonimiseren van persoonsgegevens of het treffen van maatregelen ter bescherming van commercieel vertrouwelijke informatie. Voor hergebruik van hoogwaardige datasets en onderzoeksgegevens geldt een uitzondering. Hier mogen geen kosten voor in rekening worden gebracht.

Hulpmiddelen

Er zijn verschillende tools om (decentrale) overheden te begeleiden bij hun publieke taken voor open data en hergebruik van overheidsinformatie. Zo is er een Toolkit Open Data ontwikkeld waar in stappen wordt ingegaan op hoe decentrale overheden kunnen omgaan met het openbaar maken van overheidsinformatie voor hergebruik. Daarnaast is er ook een Handreiking Open Data gepubliceerd die zich richt op alle aspecten van het publiekelijk beschikbaar stellen van datasets vanuit de overheid.

Ook voor de omgang met de Wet hergebruik van overheidsinformatie zijn hulpmiddelen opgesteld. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelatie heeft een Handleiding Wet hergebruik van overheidsinformatie gepubliceerd. Daarnaast heeft de VNG een Handreiking inzake de Who ontwikkeld. Hierin wordt onder andere uitgelegd wat gemeenten moeten doen bij het behandelen van een verzoek om hergebruik. Beiden handreikingen worden geactualiseerd wanneer de Wiodr van kracht is gegaan.

High Value Datasets

Ook in Nederland zijn er high value datasets vastgesteld. De huidige Nederlandse datasets zijn op deze website te raadplegen. Daarnaast is er een gemeentelijke lijst met high value datasets ontwikkeld om gemeenten ondersteuning te bieden bij het (starten met) openen van data. Daarnaast is er ook een provinciale lijst met high value datasets opgesteld. Deze lijsten helpen decentrale overheden bijvoorbeeld bij de keuze welke data ze met prioriteit moeten openen. De lijst kan ook als leidraad dienen voor decentrale overheden om tot gezamenlijke gestandaardiseerde datasets te komen.

Europa Decentraal heeft eerder ook een praktijkvraag gepubliceerd over het hergebruik van overheidsinformatie. Hierin wordt de vraag behandeld of een stichting die gemeentelijke sportaccommodaties verhuurt onder de Open Data Richtlijn valt.

Valt onze stichting onder de Open Data Richtlijn?

De Data Governance Verordening (DGA) is een Europese verordening voor gegevensbeheer. Het is onderdeel van een groter strategisch beleidsplan om de EU een concurrentievoordeel te geven in een steeds verdergaande datagedreven samenleving en tegelijkertijd welvaart en welzijn in Europa te vergroten. De Commissie wil bijvoorbeeld meer data in Europa beschikbaar stellen en het vertrouwen in neutrale data-aanbieders versterken. Door regels in gegevensbeheer op te stellen, hoopt de Commissie dat data op een optimale en betrouwbare manier in de EU benut kan worden. De verordening kent de volgende speerpunten:

• Het hergebruik van overheidsinformatie faciliteren.
• Verplichtingen voor aanbieders van data. Deze aanbieders moeten transparant en neutraal te werk gaan;
• Het stimuleren van data delen op altruïstische wijze. Daarmee wil de Commissie het makkelijker maken voor bijvoorbeeld organisaties of burgers om vrijwillig data te delen voor algemeen belang;
• Het aanstellen van de ‘European Data Innovation Board’. Deze groep van experts ziet toe op het gebruik van de verordening in de EU en levert advies.

Neutrale data-intermediairs

De Commissie hoopt het vertrouwen in datagebruik in de EU te vergroten door neutrale en transparante bemiddelaars in te zetten die helpen met gegevensbeheer en tegelijkertijd de privacy van betrokkenen garanderen. Deze bemiddelaars worden ook wel data-intermediairs genoemd. De intermediairs mogen gegevens niet op eigen initiatief verhandelen en moeten voldoen aan strenge eisen om de neutraliteit te garanderen. Hiermee functioneren zij als neutrale partij die datahouders en datagebruikers met elkaar verbindt. Intermediairs die van plan zijn om zulke diensten aan te bieden zullen dit op grond van de verordening gegevensbeheer bij de bevoegde overheidsinstantie moeten melden. Deze overheidsinstanties zullen toezicht houden op de naleving van de regels omtrent de neutrale dienstverlening.

Europese dataruimten

Met de nieuwe regels uit de verordening worden grote hoeveelheden data opgeslagen in Europese dataruimten verdeeld over negen domeinen, van industrie en gezondheid tot energie en de Europese Green Deal. De dataruimten dragen zo bijvoorbeeld bij aan de groene transitie door een beter beheer van het energieverbruik of tot een betere dienstverlening bij de overheid. De dataruimten moeten ervoor zorgen dat gegevens vanuit de hele EU, van zowel overheden als bedrijven, op een betrouwbare en betaalbare manier uitgewisseld kunnen worden. Daarnaast bieden de Europese dataruimten een alternatief voor de diensten van grote techplatformen, die een groot marktaandeel hebben door de enorme hoeveelheden data die ze kunnen controleren.

Voor wie geldt de Data Governance Verordening?

De verordening stelt regels op verschillende niveaus: in de publieke sector, voor ondernemingen en voor Europese burgers. Daarmee wordt het makkelijker voor deze partijen om hun data beschikbaar te stellen voor algemeen maatschappelijk belang, maar waarbij zij ook volledige controle over de data behouden.

Ook voor bedrijven in de EU biedt de verordening zakelijke kansen. Kleine en grote bedrijven kunnen makkelijk toegang krijgen tot data uit verschillende lidstaten. Deze data kunnen bedrijven zo goedkoper verwerven, integreren en verwerken zodat zij sneller nieuwe diensten en producten op de markt kunnen brengen. Hierbij houdt de verordening rekening met eerlijke concurrentie en consumentenbescherming.

Data-altruïsme

Met een nieuw bedrijfs­model, ‘de gegevensbemiddelings­diensten’, zal de verordening een kader scheppen zodat burgers en bedrijven in een veilige omgeving hun gegevens kunnen delen. De aanbieders van deze gegevens mogen dit niet voor andere doeleinden gebruiken. Ook mogen zij er geen voordeel uit halen, bijvoorbeeld via doorverkoop. Wel mogen ze uitgevoerde transacties in rekening brengen. Organisaties die gegevens willen verzamelen voor doeleinden van algemeen belang kunnen zich laten opnemen in een nationaal register van erkende organisaties op het gebied van data-altruïsme. Geregistreerde organisaties zullen in de hele EU worden erkend.

Wat betekent de Data Governance Verordening voor mijn gemeente, provincie of waterschap?

Decentrale overheden kunnen gebruik maken van data om nieuwe besluiten en beleidsmaatregelen op te stellen en beter te onderbouwen, maar ook om grote hoeveelheden data op te slaan, te beheren en te ontsluiten. Door de verordening wordt gegevensbeheer makkelijker voor overheden. Met het oog op de nabije toekomst kan de verordening daarmee voordelig zijn, omdat de hoeveelheid data die overheidsinstanties genereren naar verwachting tegen 2025 vervijfvoudigd is ten opzichte van 2018.

Impact

Kenniscentrum Europa Decentraal heeft onderzoek gedaan naar de daadwerkelijke impact van de Data Governance Verordening. Na dit onderzoek bleek dat de impact voor decentrale overheden geringer zal zijn dan in eerste instantie werd verwacht.

De Data Governance Verordening biedt namelijk een raamwerk voor het hergebruik van specifieke categorieën van gegevens. De huidige versie van de DGA brengt een klein aantal verplichtingen met zich mee, waarvan er slechts een beperkt aantal van toepassing zijn op decentrale overheden. De redenen voor de beperkte impact kunnen in de volgende drie punten worden samengevat:

• De DGA is van toepassing op een relatief beperkt aantal gegevenscategorieën.
• De verplichtingen en mogelijkheden gaan uit van nationale grondslagen en kunnen zonder deze grondslagen niet uitgevoerd en benut worden. Het aantal grondslagen blijkt binnen het Nederlandse stelsel minimaal te zijn, waardoor de DGA momenteel slechts in beperkte mate kan worden toegepast.
• De verplichtingen in de DGA richten zich niet direct tot decentrale overheden.

In de DGA Impact Analyse wordt er tevens een vergelijking getrokken tussen de DGA, de Open Data Richtlijn en de Algemene Verordening Gegevensbescherming. Dit is met name van belang omdat de twee verordeningen en de richtlijn sterk aan elkaar gerelateerd zijn, in het bijzonder de Open Data Richtlijn en de DGA. Zo vangt de DGA een deel van de data op die uitgezonderd is van de Open Data Richtlijn. Om verwarring in de decentrale praktijk te voorkomen, wordt in de DGA Impact Analyse nauwkeurig uiteengezet welke data onder de Open Data Richtlijn vallen en welke data onder het toepassingsgebied van de DGA vallen.

De Data Governance Verordening Impact Analyse is hier te vinden.

Vervolgstappen Data Governance Verordening

Op 3 juni 2022 is de definitieve versie van de Data Governance Verordening in het Publicatieblad van de EU gepubliceerd. Volgens de tekst in de verordening zijn de regels van de DGA met ingang van 24 september 2023 van toepassing in alle lidstaten. De verordening heeft rechtstreekse werking, waardoor de regels directe doorwerking hebben in de lidstaten. Wel heeft een lidstaat de mogelijkheid om door middel van een Uitvoeringswet bepaalde normen en regels uit de verordening verder zelf in te vullen. Het Ministerie van Economische Zaken en Klimaat is primair verantwoordelijk voor de Uitvoeringswet voor de DGA. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties werkt mee aan specifieke delen van de wet. In de Uitvoeringswet worden onder meer een aantal organisaties, een centraal informatiepunt en de toezichthouders aangewezen.

De verordening is van toepassing op het verwerken van elektronische niet-persoonsgebonden gegevens van een natuurlijk- of rechtspersoon gevestigd in de Europese Unie. De regels gaan dus niet over alle soorten gegevens (artikel 2). Wanneer het bijvoorbeeld gaat om de verwerking van persoonsgegevens moeten decentrale overheden zich aan de Algemene verordening gegevensbescherming (AVG) blijven houden. Ook gaat het alleen om elektronische gegevens, bijvoorbeeld de gegevens in een database of digitaal overheidsarchief. Dit betekent dat decentrale overheden of overheidsarchieven die hun niet-persoonsgebonden, elektronische gegevens laten verwerken of zelf verwerken (bijvoorbeeld door zelf de clouddienst te leveren waar de gegevens in worden opgeslagen) onder de regels van deze verordening vallen.

Bepalingen verordening

De Verordening betreffende vrij verkeer van niet-persoonsgebonden gegevens ziet erop toe dat gegevenslokalisatievereisten verboden zijn, tenzij dit om redenen van openbare veiligheid toch noodzakelijk blijkt. Gegevenslokalisatievereisten zijn juridische of administratieve maatregelen waarin staan dat gegevensverwerking moet plaatsvinden op een specifiek EU-grondgebied. In de verordening is dit dus verboden. Dit betekent dat overheden in principe geen (wettelijke) bepaling mogen opnemen, ook op het gebied van overheidsopdrachten en aanbestedingen, om gegevens binnen de grenzen van een bepaalde lidstaat te laten verwerken. De Commissie zal daarnaast zelfregulerende gedragscodes opstellen om het vrij verkeer van gegevens te bevorderen en faciliteren.

Elke lidstaat zal bovendien een centraal aanspreekpunt aanstellen dat voor de uitvoering van de verordening samenwerkt met alle andere aanspreekpunten van de lidstaten.

Belangrijk om te vermelden is dat het verbieden van gegevenslokalisatievereisten niet betekent dat een decentrale overheid er niet voor mag kiezen om gegevens bijvoorbeeld binnen Nederland op te slaan (overweging 4). Dit mag alleen niet wettelijk of bestuursrechtelijk verplicht worden gesteld, of als voorwaarde worden opgenomen in een aanbesteding. Organisaties moeten de keuze behouden om de gegevens in alle EU-landen te kunnen verwerken. Deze verordening waarborgt enkel de keuzevrijheid om ervoor te zorgen dat een overeengekomen locatie zich in de Europese Unie bevindt.

AVG & niet-persoonsgebonden gegevens

In veel gevallen bestaan gegevenssets uit persoonsgegevens en niet-persoonsgebonden gegevens. In dit geval is de Verordening niet-persoonsgebonden gegevens van toepassing op het deel niet-persoonsgebonden gegevens en is de AVG van toepassing op het deel persoonsgegevens. Wanneer deze delen ‘onlosmakelijk’ met elkaar verbonden zijn, is de AVG van toepassing op de gehele dataset. Zelfs wanneer de persoonsgegevens maar een klein deel beslaan van de gegevensset is de AVG op de gehele set van toepassing. Voor meer informatie kunt u terecht bij de richtsnoeren die de Commissie hiervoor heeft gepubliceerd.

Decentrale relevantie

In principe mogen er in de toekomst dus geen belemmeringen meer bestaan voor het opslaan en verwerken van niet-persoonsgebonden gegevens in andere EU-lidstaten. De enige uitzondering waarbij dit verbod niet geldt is wanneer de openbare veiligheid in het geding is. Bij een dergelijke uitzondering moet wel het evenredigheidsbeginsel in acht worden genomen. De lokalisatievereisten moeten dan geschikt zijn en niet verder gaan dan nodig om het nagestreefde doel van openbare veiligheid te bereiken. Wanneer een lidstaat besluit toch een gegevenslokalisatievereiste in te voeren of een bestaand gegevenslokalisatievereiste wijzigt, moet dit bij de Commissie worden aangegeven. Deze ontwerphandelingen worden dan eerst door de Commissie beoordeeld.

De Europese Commissie moet uiterlijk op 29 november 2022 de verordening evalueren en verslag uitbrengen aan het Europees Parlement, de Europese Raad en het Europees Economisch en Sociaal Comité.

Volgens de Europese Commissie is er nieuwe regelgeving nodig om gegevensbescherming rond elektronische communicatie in Europa te waarborgen. Het uitgangspunt daarbij is dat de inhoud van berichten alleen toegankelijk is voor de partijen die direct bij de communicatie betrokken zijn. Hierdoor krijgen gebruikers meer controle over hun digitale persoonsgegevens.

De ePrivacy Verordening is een aanvulling op de Algemene verordening gegevensbescherming (AVG) die de bescherming van persoonsgegevens in de Europese Unie reguleert. De wetgeving rond de ePrivacy Verordening richt zich specifiek op de bescherming van persoonsgegevens rond elektronische communicatie. Onder elektronische communicatie wordt verstaan: ‘informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronische communicatiedienst’. Denk hierbij aan bijvoorbeeld het versturen van een e-mailadres of telefoonnummer via sociale mediakanalen. Alhoewel de ePrivacy Verordening zich richt op elektronische communicatie, is het toepassingsbereik van de verordening groot. Het geldt onder andere bij online marketing, e-mail en sociale media kanalen, het ophalen van gegevens door middel van het plaatsen van cookies en openbare WiFi-netwerken.

De verordening moet bijdragen aan meer vertrouwen en veiligheid binnen de digitale interne markt en balans creëren tussen de gebruikers en aanbieders van elektronische communicatiediensten. De nieuwe regels van de verordening zijn dus belangrijk voor zowel aanbieders van elektronische communicatiediensten, zoals providers en online platforms, maar ook voor de gebruikers van de diensten. De gebruikers kunnen onder meer decentrale overheden zijn.

Europese wetgevingsproces

De ePrivacy Verordening moet de momenteel geldende Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie gaan vervangen. Er is om twee redenen behoefte aan een nieuwe verordening. Ten eerste is het door de nieuwe technologische ontwikkelingen belangrijk om passende regelgeving te realiseren. Ten tweede is het van belang dat de nieuwe regels beter worden afgestemd op de geldende wetgeving.

Het Europese wetsproces van de verordening is in 2017 van start gegaan en nog steeds in volle gang. Lidstaten konden het maar niet eens worden over cruciale punten in de regelgeving, waaronder de bepalingen omtrent cookies. Op 10 februari 2021 heeft de Europese Raad haar standpunt over de ePrivacy-conceptverordening bepaald. De belangrijkste punten in de conceptverordening zijn:

• De regels zijn van toepassing op gebruikers die zich in de EU bevinden, ook als de verwerking van gegevens buiten de EU plaatsvindt. Deze verbreding van de reikwijdte zorgt voor een betere samenhang met de AVG;
• Het algemene uitgangspunt van de verordening is dat elektronische communicatiedata vertrouwelijk is. Dit betekent dat afluisteren, monitoren en verwerken van data verboden is. Hierop zijn wel uitzonderingen van toepassing, zoals bij het verzekeren van de betrouwbaarheid van de communicatie service, het checken op virussen of in verband met strafrechtelijk onderzoek;
• Het gebruik van cookies en metadata is toegestaan, indien de doeleinden verenigbaar zijn met het oorspronkelijke doel. Metadata zijn gegevens die data beschrijven, zoals de plaats en het tijdstip, maar ook de auteur en het aantal pagina’s van een document.

De conceptverordening bevat nog een aantal punten die onduidelijk zijn, zoals de regels omtrent metadata en het toestemmingsvereiste omtrent de toegang tot content. Dit komt onder andere door de vele aanpassingen die door de jaren heen zijn gedaan.

Nu de Raad een gezamenlijk standpunt heeft bereikt, is in mei 2021 de zogeheten ‘triloog’ begonnen. Hierbij onderhandelt een vertegenwoordiging van de Raad met een vertegenwoordiger van het Parlement en de Commissie over de definitieve tekst van de verordening. Zoals bij Europese wetgeving gebruikelijk is, krijgen de lidstaten daarna nog een bepaalde periode de tijd voor de nieuwe regels van toepassing worden. In het huidige voorstel is dat een periode van 2 jaar. Het Europese wetsproces van de ePrivacy Verordening is te volgen via deze link.

Decentrale relevantie

Decentrale overheden komen in aanraking met de verordening als zij cookiegegevens ophalen van bezoekers op hun websites of via sociale media kanalen. Een cookie is een tekstbestandje dat een website op een apparaat (computer, laptop of smartphone) zet wanneer een website bezocht wordt. Daarmee kan informatie opgehaald worden die deel uitmaakt van de persoonlijke levenssfeer van de gebruiker, bijvoorbeeld over de locatie van de gebruiker of het tijdstip en duur van het websitebezoek. Voor cookies die persoonsgegevens verwerken, geldt ook de AVG.

De verordening zal het makkelijker maken om cookie instellingen bij te houden in de privacy instellingen. Hiermee hoeft een gebruiker niet telkens toestemming te geven bij een bezoek aan dezelfde overheidswebsite en geeft automatisch toestemming.

ePrivacy verordening

Om persoonsgegevens binnen elektronische communicatie te kunnen beschermen komt er nieuwe Europese regelgeving aan: de ePrivacy Verordening. Met dit voorstel introduceert de Europese Commissie strengere privacyregels bij elektronische communicatiediensten. Het uitgangspunt daarbij is dat de inhoud van berichten alleen toegankelijk is voor de partijen die direct bij de communicatie betrokken zijn. De verordening geldt onder andere bij online marketing, e-mail en sociale media kanalen, het ophalen van gegevens door middel van het plaatsen van cookies en openbare wifi-netwerken. Decentrale overheden komen in aanraking met de verordening als zij cookiegegevens ophalen van bezoekers op hun websites of via sociale media kanalen. De verordening zal het bijvoorbeeld makkelijker maken om cookie instellingen bij te houden in de privacy instellingen. Het Europese wetsproces van de ePrivacy Verordening is momenteel nog steeds in volle gang. 

Lees meer over de ePrivacy Verordening op deze pagina.

Verordening vrij verkeer van niet-persoonsgebonden gegevens

Sinds 28 mei 2019 is de Verordening betreffende vrij verkeer van niet-persoonsgebonden gegevens in werking. De verordening verwijdert de obstakels voor het vrij verkeer van elektronische niet-persoonsgegevens tussen de lidstaten bijvoorbeeld door het verbieden van gegevenslokalisatievereisten of faciliteren van zelfregulerende gedragscodes. Bij niet-persoonsgebonden gegevens kunt u bijvoorbeeld denken aan een algemeen telefoonnummer, aangezien dit niet herleidbaar is naar een natuurlijk persoon. Doordat niet-persoonsgegevens vrij tussen de lidstaten kunnen stromen met de verordening, draagt het bij aan de totstandkoming van de digitale interne markt. Decentrale overheden zullen onder de regels van de verordening vallen als zij hun niet-persoonsgebonden, elektronische gegevens laten verwerken of zelf verwerken (bijvoorbeeld door zelf de clouddienst te leveren waar de gegevens in worden opgeslagen). 

Op deze pagina kunt u meer lezen over de Verordening betreffende vrij verkeer van niet-persoonsgebonden gegevens.

De Autoriteit Persoonsgegevens houdt op verschillende manieren toezicht op de naleving van de regels rondom gegevensbescherming. Zij geven bijvoorbeeld voorlichting, kunnen onderzoeken starten, behandelen klachten en adviseren over nieuwe regelgeving.

Decentrale overheden kunnen op verschillende manieren met de AP in aanraking komen. De AP kan hen bijvoorbeeld vragen documenten te overleggen zoals het verwerkingsregister of register van datalekken, of om een toelichting te geven op klachten die bij de AP zijn binnengekomen. Ook kan het zo zijn dat een decentrale overheid de AP zelf moet benaderen, wanneer zij bijvoorbeeld een datalek moeten melden.

De AP kan naast overtredingen op de AVG en de bijbehorende Uitvoeringswet ook boetes opleggen voor overtredingen uit andere wetten zoals de Telecommunicatiewet en de eIDAS-verordening. Meer informatie kunt u vinden op de website van de AP.

Sancties

De AP kan verschillende sancties opleggen wanneer er sprake is van een overtreding van de AVG. Bijvoorbeeld een boete of dwangsom, maar ook door alternatieve interventies. Dan wordt een organisatie bijvoorbeeld gewezen op de inbreuk op de AVG en gaat de toezichthouder in gesprek om tot een oplossing te komen.

Boetes

In de AVG is per artikel vastgelegd hoe hoog de maximale administratieve boete mag zijn die een toezichthouder mag opleggen.

• Voor het niet nakomen van verschillende verplichtingen onder de AVG door een verwerkingsverantwoordelijke kan de AP een boete opleggen van € 10 miljoen, of 2% van de wereldwijde jaaromzet van een onderneming. In deze groep vallen bijvoorbeeld de regels omtrent het register van verwerkingen, het melden van datalekken of het afsluiten van verwerkersovereenkomsten.
• Ten tweede kan een verwerkingsverantwoordelijke ook de beginselen of grondslagen van de AVG overtreden, of de privacy-rechten van de betrokkene schenden, dat is degen van wie de persoonsgegevens worden verwerkt. Dit is bijvoorbeeld het geval indien een decentrale overheid geen grondslag heeft voor het verwerken van persoonsgegevens, of niet (juist) omgaat met het recht op inzage . In dat geval kan de AP zelfs een boete van € 20 miljoen, of 4% van de wereldwijde jaaromzet opleggen.

Boetebeleidsregels

De AP heeft verder ook boetebeleidsregels vastgesteld. Daarin hebben zij voor elke overtreding van de AVG vastgesteld wat de minimale en maximale hoogte is van de boete die zij voor de overtreding opleggen.

De basisboete voor het onrechtmatig verwerken van persoonsgegevens is bijvoorbeeld € 525.000. Afhankelijk van een aantal factoren beslist de AP dan of zij de boete bijstellen tot een bedrag tussen € 300.000 en € 750.000. Zij kijken bijvoorbeeld naar de ernst en de duur van een overtreding, en in hoeverre de overtreder iets te verwijten valt.

European Data Protection Board

Alle toezichthouders in de EU nemen hiernaast ook deel in de European Data Protection Board. Als EDPB kunnen de toezichthouders onder andere richtsnoeren uitgeven over de interpretatie van de AVG en aanbevelingen doen, bijvoorbeeld voor datalekken of het vaststellen van bindende bedrijfsvoorschriften omtrent gegevensbescherming.

Alle richtlijnen, aanbevelingen en best practices van de EDPB zijn op de website te vinden.

Voorziening in rechten

Daarnaast kan een betrokkene ook naar de rechter stappen. Dit kan bijvoorbeeld wanneer hij het niet eens is met een besluit van de AP dat op hem betrekking heeft (artikel 78 AVG) of wanneer hij van mening is dat zijn rechten zijn geschonden door een verwerkingsverantwoordelijke of een verwerker (artikel 79 AVG).

De AVG is met name van toepassing op gegevensverwerkingen binnen de EU omdat het een Europese verordening is. Er zijn echter ook situaties waarin de regels van de AVG nageleefd moeten worden ondanks dat de verwerking buiten de EU plaatsvindt. Artikel 3 van de AVG bepaalt wanneer dit het geval is. De regels van de AVG zijn van toepassing in drie situaties:

1. De verwerkingsverantwoordelijke of de verwerker van de persoonsgegevens is in de EU gevestigd. Dit geldt ook wanneer de daadwerkelijke verwerking van de gegevens buiten de EU wordt uitgevoerd;
2. De betrokkene bevindt zich in de EU, dat is degene van wie de persoonsgegevens worden verwerkt. Als de betrokkene zich in de EU bevindt, vallen zijn persoonsgegevens onder de AVG. Het kan echter zo zijn dat de verwerkingsverantwoordelijke buiten de EU is gevestigd. Dan moet er alsnog aan de AVG worden voldaan bij persoonsgegevens die:
   • worden verwerkt in het kader van het aanbieden van goederen of diensten aan de betrokkene in de EU, of
   • worden verwerkt in verband met het monitoren van het gedrag van een betrokkene in de EU;
3. De verwerkingsverantwoordelijke is gevestigd in een gebied dat gebonden is aan EU-recht. De AVG is dus ook van toepassing op een verwerkingsverantwoordelijke die geen onderdeel is van een EU-lidstaat maar wel gevestigd is in een gebied die gebonden is aan het EU-recht. Hierbij kan bijvoorbeeld gedacht worden aan een diplomatieke vertegenwoordiging of consulaire post.

Meer informatie over het toepassingsgebied vindt u in de Richtsnoeren over het territoriale toepassingsgebied van de AVG die door de European Data Protection Board (EDPB) zijn gepubliceerd.

Ook voor persoonsgegevens die in landen buiten de EU worden opgeslagen of verwerkt kan de AVG dus van toepassing zijn. Deze landen worden namelijk gezien als een ‘derde land’. Het doorgeven van persoonsgegevens aan derde landen door decentrale overheden mag alleen onder bepaalde voorwaarden. Derde landen bieden namelijk niet altijd voldoende bescherming aan de persoonsgegevens.

Adequaatheidsbesluit derde landen

Doorgifte is alleen mogelijk wanneer het derde land een passend beschermingsniveau biedt. Voor een aantal derde landen, of sectoren binnen die landen, heeft de Europese Commissie daarom een adequaatheidsbesluit genomen. Daarmee geeft de Commissie aan dat dit land of de sector een passend beschermingsniveau van persoonsgegevens waarborgt volgens artikel 45 van de AVG. In dergelijke gevallen is er geen specifieke toestemming nodig voor de doorgifte en kunnen persoonsgegevens gewoon worden uitgewisseld. Tot dusver heeft de Commissie voor dertien landen een adequaatheidsbesluit genomen, waaronder voor Canada, Japan en Zwitserland. De procedure voor een adequaatheidsbesluit voor Zuid-Korea is nog onderweg.

Bij de beoordeling of een derde land een voldoende beschermingsniveau waarborgt, kijkt de Commissie onder andere naar:

• Rechtsstatelijkheid;
• De effectiviteit van onafhankelijke toezichthoudende autoriteiten die toezien op de naleving van gegevensbeschermingsregels;
• De internationale toezeggingen die het land heeft gedaan ten aanzien van de bescherming van persoonsgegevens.

Nu het Verenigd Koninkrijk geen onderdeel meer uitmaakt van de EU wordt het gezien als een derde land. Hierdoor is de AVG daar niet meer van toepassing en heeft de Europese Commissie twee adequaatheidsbesluiten aangenomen voor het VK. Lees hier meer over in deze praktijkvraag.

Privacy Shield Verenigde Staten

Voor gegevensuitwisseling met de Verenigde Staten had de Europese Commissie in 2016 een besluit genomen. Dit besluit gold niet voor het gehele land maar enkel voor organisaties die zich bij het zogeheten Privacy Shield hebben aangesloten.

Het adequaatheidsbesluit is in juli 2020 in de Schrems II-uitspraak echter ongeldig verklaard door het Europese Hof van Justitie. Dit betekent dat doorgifte van gegevens op basis van het Privacy Shield sinds de uitspraak van het Hof niet meer is toegestaan. Het Hof stelt dat het besluit onvoldoende bescherming biedt voor de gegevens van EU-burgers die op grond van het besluit naar de VS worden overgedragen.

De uitspraak van het Europese Hof betekent niet dat doorgifte van gegevens naar de VS is uitgesloten. Decentrale overheden kunnen nog steeds gegevens overgedragen in specifieke situaties zoals genoemd in artikel 49 AVG. Ook is het mogelijk om gegevens door te geven op grond van een modelcontract of bindende bedrijfsvoorschriften mits er sprake is van een beschermingsniveau dat gelijk is aan de bescherming in de EU. Meer informatie hier over staat ook op de website van de Autoriteit Persoonsgegevens (AP).

Hiervan is bijvoorbeeld sprake indien de Europese Commissie in een adequaatheidsbesluit vaststelt dat het betreffende derde land, of één of meerdere sectoren van dat land, een passend beschermingsniveau van de verwerking van persoonsgegevens biedt (artikel 45 AVG). In dergelijke gevallen is er geen specifieke toestemming nodig voor de doorgifte. Bij de beoordeling of een derde land een voldoende beschermingsniveau waarborgt, kijkt de Commissie onder andere naar rechtsstatelijkheid, de effectiviteit van onafhankelijke toezichthoudende autoriteiten en de internationale toezeggingen die het land heeft gedaan ten aanzien van de bescherming van persoonsgegevens.

Passende waarborgen derde landen

Wanneer voor een derde land geen adequaatheidsbesluit is genomen, is doorgifte mogelijk indien er passende waarborgen getroffen worden. Deze passende waarborgen moeten een adequaat beschermingsniveau verzekeren bij de doorgifte van persoonsgegevens. Daarnaast moeten de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. In artikel 46 AVG worden de volgende passende waarborgen genoemd:

• Een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen, zoals een overeenkomst of verdrag (artikel 46 lid 2 sub a AVG);
• Standaardcontractbepalingen, ook wel modelcontracten genoemd (artikel 46 lid 2 sub c en d AVG);
• Goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen gecombineerd met bindende en afdwingbare toezeggingen in het derde land om passende waarborgen toe te passen (artikel 46 lid 2 sub e en f AVG);
• Bindende bedrijfsvoorschriften waarin organisaties waarborgen vastleggen voor bescherming van persoonsgegevens. Deze bedrijfsvoorschriften vereisen vooraf goedkeuring van een bevoegde toezichthouder in de EU, bijvoorbeeld de AP (artikel 47 AVG).

Standaardcontractbepalingen

Standaardcontractbepalingen worden vastgesteld door de Europese Commissie of de AP en bieden bescherming aan persoonsgegevens bij doorgifte. In 2021 is er een nieuw modelcontract vastgesteld dat bestaat uit een algemeen gedeelte en de volgende vier modules:

• Doorgifte van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke;
• Doorgifte van verwerkingsverantwoordelijke naar verwerker;
• Doorgifte van (sub)verwerker naar (sub)verwerker;
• Doorgifte van (sub)verwerker naar verwerkingsverantwoordelijke.

Schrems II-uitspraak standaardcontractbepalingen

Het modelcontract houdt rekening met de Schrems II-uitspraak. Hierin heeft het Europees Hof van Justitie bepaald wanneer standaardcontractbepalingen een passend niveau bieden. Volgens het Hof moet er bij doorgifte van gegevens op basis van standaardcontractbepalingen sprake zijn van een beschermingsniveau dat in grote lijnen overeenkomt met het beschermingsniveau dat door EU-recht wordt geboden. De exporteur van gegevens moet dus per geval nagaan of het derde land voldoende passende bescherming biedt. Is dit niet het geval, dan kan de exporteur aanvullende maatregelen toevoegen aan de standaardcontractbepalingen. Ook kan de exporteur de overeenkomst opschorten of beëindigen bij ontoereikende bescherming.

Uitzonderingen

Wanneer er geen adequaatheidsbesluit is en passende waarborgen geen uitkomst bieden, kan doorgifte naar derde landen soms op grond van artikel 49 AVG plaatsvinden. Dit artikel bevat een lijst van uitzonderingen die doorgifte van gegevens naar derde landen in specifieke situaties mogelijk maken. Doorgifte is bijvoorbeeld mogelijk als de betrokkene uitdrukkelijk met de doorgifte heeft ingestemd of wanneer doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang.

Aanbevelingen voor doorgifte derde landen

Om hulp te bieden bij veilige doorgifte van persoonsgegevens aan derde landen heeft de EDPB aanbevelingen opgesteld. Hierin worden verschillende maatregelen genoemd die een aanvulling zijn op de passende waarborgen uit de AVG. Sinds de Schrems II-uitspraak moet namelijk per geval bekeken worden of een adequaat beschermingsniveau wordt geboden. Ontoereikende bescherming kan soms met behulp van aanvullende maatregelen opgelost worden. De aanbevelingen bevatten ook een stappenplan om na te gaan of er sprake is van adequate bescherming. Bovendien worden hierin enkele informatiebronnen genoemd die behulpzaam kunnen zijn bij het beoordelen van het beschermingsniveau in een derde land.

Het EDPB heeft ook richtsnoeren aangenomen voor de internationale doorgifte van persoonsgegevens. Deze richtsnoeren benoemen drie cumulatieve criteria die gegevensverwerking als een overdracht van persoonsgegevens naar een derde land of internationale organisatie kwalificeren:

1. De verwerkingsverantwoordelijke is onderworpen aan de AVG voor de gegevensverwerking;
2. Deze verwerkingsverantwoordelijke of verwerker (exporteur) openbaart door verzending of maakt op andere wijze persoonsgegevens onderworpen aan deze verwerking beschikbaar voor een andere verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke of verwerker (importeur);
3. De importeur bevindt zich in een derde land of is een internationale organisatie, ongeacht of deze importeur al dan niet onderworpen is aan de AVG met betrekking tot de gegeven verwerking in overeenstemming met artikel 3.

Hoofdstuk III van de AVG bevat de volgende rechten van de betrokkene:

• Recht op informatie (artikel 12–14 AVG;
• Recht van inzage (artikel 15 AVG);
• Recht op rectificatie en aanvulling (artikel 16 AVG);
• Recht op gegevenswissing (artikel 17 AVG);
• Recht op beperking (artikel 18 AVG);
• Recht op dataportabiliteit (artikel 20 AVG);
• Recht van bezwaar (artikel 21 AVG);
• Geautomatiseerde individuele besluitvorming (profilering) (artikel 22 lid 1 AVG).

Recht op informatie

Het recht op informatie is vastgelegd in artikel 12-14 van de AVG. Via dit recht moet de verwerkingsverantwoordelijke ervoor zorgen dat de betrokkene op behoorlijke, begrijpelijke en transparante wijze wordt geïnformeerd wanneer zijn persoonsgegevens worden verwerkt, en wat de doelen van deze verwerking zijn. Ook dient de verwerkingsverantwoordelijke onder meer de identiteit en de contactgegevens van de verwerkingsverantwoordelijke door te geven, evenals de bewaartermijnen van de persoonsgegevens. De informatie die aan een betrokkene moet worden verstrekt wordt vaak opgenomen in de privacyverklaring op een website.

De precieze informatie die verstrekt moet worden hangt af van of de persoonsgegevens bij de betrokkene zelf worden verzameld of dat deze via een andere bron zijn verkregen (artikel 13-14 AVG). Uit deze artikelen blijkt ook dat de betrokkene niet geïnformeerd hoeft te worden wanneer deze bijvoorbeeld al over de betreffende informatie beschikt, of indien dit onevenredig veel inspanning zou vergen.

Het verwerken van persoonsgegevens is dus alleen toegestaan wanneer er sprake is van transparantie. Daarom is transparantie als een apart verwerkingsbeginsel opgenomen in de AVG. Het transparantiebeginsel houdt in dat de betrokkene op de hoogte moet zijn van de verwerking en begrijpt welke persoonsgegevens worden verwerkt om wat voor redenen.

Recht van inzage

Het recht op inzage is vastgelegd in artikel 15 van de AVG. Via dit recht kan een betrokkene bij een verwerkingsverantwoordelijke inzicht krijgen in de persoonsgegevens die een organisatie van hem verwerkt. Het recht op inzage is voor een betrokkene een belangrijke eerste stap om de andere rechten van de betrokkene uit te kunnen oefenen, bijvoorbeeld om de persoonsgegevens te corrigeren of te laten verwijderen.

De verwerkingsverantwoordelijke moet bij het verstrekken van de persoonsgegevens onder meer laten weten waarom bepaalde persoonsgegevens worden verwerkt, welke soort persoonsgegevens bewaard worden (bijvoorbeeld NAW-gegevens of locatiegegevens) en aan wie deze eventueel zijn doorgestuurd.

Kopie persoonsgegevens

Nieuw onder de AVG is dat de verwerkingsverantwoordelijke ook kosteloos een kopie van de persoonsgegevens die worden verwerkt moet overhandigen. Dit recht om een kopie te verkrijgen mag geen afbreuk doen aan de rechten en vrijheden van anderen. Een decentrale overheid moet er dus voor zorgen dat in deze kopieën geen persoonsgegevens van anderen onrechtmatig aan de betrokkene worden verstrekt. Dit kan bijvoorbeeld door de betreffende persoonsgegevens van anderen op de kopie weg te lakken.

Recht op rectificatie en aanvulling

Artikel 16 AVG bepaalt dat, wanneer er sprake is van onjuistheden in de gegevensverwerking, de betrokkene het recht heeft om incorrecte gegevens te rectificeren en waar nodig aan te vullen. Als de incorrecte persoonsgegevens ook aan een derde zijn verstrekt, dient de verwerkingsverantwoordelijke de aangevulde en/of gerectificeerde persoonsgegevens ook aan deze derde partij toe te sturen.

Recht op gegevenswissing

Het recht op gegevenswissing wordt ook wel het recht om vergeten te worden genoemd. In artikel 17 van de AVG staat dat organisaties in bepaalde gevallen, op verzoek van de betrokkene waarvan zij gegevens verwerken, persoonsgegevens moeten wissen.

Zo’n verzoek van de betrokkene moet in een aantal gevallen ingewilligd worden, bijvoorbeeld wanneer de betrokkene de toestemming waarop de verwerking plaatsvond intrekt, of in situaties waarin de persoonsgegevens onrechtmatig worden verwerkt.

Als de verwerkingsverantwoordelijke de persoonsgegevens moet wissen, heeft hij de plicht om andere verwerkingsverantwoordelijken die de persoonsgegevens ook verwerken hiervan op de hoogte te stellen.

Uitzonderingen

In sommige situaties kan het recht op gegevenswissing niet ingeroepen worden. Dit is bijvoorbeeld het geval wanneer de verwerking van deze persoonsgegevens nodig is voor het nakomen van een wettelijke verplichting, het vervullen van een taak van algemeen belang of openbaar gezag, of wanneer de persoonsgegevens bewaard moeten blijven wegens archivering in het algemeen belang.

Recht op beperking

Onder bepaalde omstandigheden kan de betrokkene zijn recht op beperking inroepen om het gebruik van persoonsgegevens te beperken. In artikel 18 van de AVG staan vier mogelijkheden:

• De betrokkene betwist de juistheid van de persoonsgegevens;
• De verwerking is onrechtmatig;
• De verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig, maar de betrokkene wel voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
• De betrokkene heeft bezwaar gemaakt tegen de verwerking.

Uitzonderingen

Een verwerkingsverantwoordelijke kan de persoonsgegevens nog wel blijven verwerken wanneer er toestemming is van de betrokkene, wanneer dit nodig is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of om gewichtige redenen van algemeen belang.

Recht op dataportabiliteit

Volgens artikel 20 AVG krijgt de betrokkene het recht om gegevens over te (laten) dragen. Dit heet het recht op dataportabiliteit en houdt in dat een betrokkene zijn persoonsgegevens bij een verwerkingsverantwoordelijke kan opvragen, om deze daarna in een passend format door te kunnen geven aan een andere organisatie.

Het gaat bij het recht op dataportabiliteit alleen om persoonsgegevens die geautomatiseerd worden verwerkt op basis van ofwel toestemming van de betrokkene (artikel 6 lid 1 onder a en artikel 9 lid 2 onder a AVG) of die noodzakelijk zijn om een overeenkomst met de betrokkene uit te voeren (artikel 6 lid 1 onder b AVG).

Recht van bezwaar

Artikel 21 AVG behandelt het recht van de betrokkene om bezwaar in te dienen tegen een verwerking. Dit kan wanneer een organisatie persoonsgegevens verwerkt op grondslag van hun gerechtvaardigd belang of een taak van algemeen belang. De verwerkingsverantwoordelijke maakt in dit geval namelijk een afweging tussen deze belangen en die van de rechten en vrijheden van de betrokkene.

Een betrokkene kan in twee situatie bezwaar aantekenen. Ten eerste in het geval van direct marketing, zonder dat de betrokkene toestemming heeft gegeven voor de reclamepost. Ten tweede vanwege de specifieke situatie van de betrokkene.

Als een betrokkene bezwaar aantekent tegen de verwerking van zijn persoonsgegevens dient de verwerkingsverantwoordelijke te stoppen met het verwerken van de gegevens. De verwerking kan alleen doorgaan wanneer de organisatie hier dwingende gerechtvaardigde gronden voor aanvoert. Deze gerechtvaardigde gronden moeten belangrijker zijn dan de belangen, rechten en vrijheden van de betrokkene of moeten een rechtsvordering betreffen.

De informatieplicht vereist dat het recht van bezwaar duidelijk en apart van alle andere informatie aan de betrokkene moet worden meegedeeld.

Geautomatiseerde individuele besluitvorming (profilering)

Een betrokkene heeft volgens artikel 22 lid 1 AVG het recht om niet te worden onderworpen aan besluiten van gegevensverwerkende organisaties die uitsluitend berusten op geautomatiseerde verwerking (waaronder profilering). Door technologische ontwikkelingen zoals Artificial Intelligence wordt het steeds makkelijk om data te verzamelen dat profielen maakt en geautomatiseerde beslissingen neemt. De betrokkene kan er echter voor kiezen dat zijn gegevens niet mee worden genomen. Dit is het geval wanneer dit automatische besluit bijvoorbeeld rechtsgevolgen voor hem heeft of hem op een andere wijze treft, zoals de automatische weigering bij een sollicitatie zonder menselijke tussenkomst.

Een beroep op dit recht geldt niet:

• Wanneer het automatisch genomen besluit noodzakelijk is voor de totstandkoming of uitvoering van een overeenkomst;
• Wanneer dit is toegestaan bij een wettelijke bepaling op de verwerkingsverantwoordelijke;
• In geval van uitdrukkelijke toestemming van de betrokkene.

Passende maatregelen

Als een geautomatiseerd besluit wordt genomen wegens de totstandkoming of uitvoering van een overeenkomst of de toestemming van de betrokkene, moet de verwerkingsverantwoordelijke wel passende maatregelen treffen om de rechten en vrijheden van de betrokkene zo goed mogelijk te garanderen. De betrokkene moet in deze gevallen ten minste de mogelijkheid krijgen om:

• Menselijke tussenkomst van de verwerkingsverantwoordelijke te verkrijgen;
• Zijn standpunt kenbaar te maken;
• Het besluit aan te vechten.

Ingaan op een verzoek

Wanneer een verzoek wordt ingediend ter uitvoering van een van de rechten, moeten decentrale overheden die verwerkingsverantwoordelijke zijn binnen een maand na ontvangst van het verzoek een reactie geven over het gevolg dat aan het verzoek is gegeven. Wanneer er bij complexe verzoeken meer tijd nodig is, kan deze periode nog eens met twee maanden verlengd worden. De verlenging moet dan binnen de eerste maand kenbaar worden gemaakt bij de betrokkene. Ook moeten decentrale overheden verifiëren dat degene die het verzoek indient ook daadwerkelijk de betrokkene is.

In artikel 12 AVG leest u meer over het ingaan op een verzoek van een betrokkene.

Wanneer mogen deze rechten beperkt worden?

In bepaalde gevallen kunnen decentrale overheden als verwerkingsverantwoordelijke de rechten van de betrokkene inperken, bijvoorbeeld om de nationale of openbare veiligheid te waarborgen of om de rechten en vrijheden van anderen te beschermen.

De beperking moet gebaseerd zijn op wettelijke bepalingen en de verwerkingsverantwoordelijke moet waarborgen dat de wezenlijke inhoud van grondrechten en fundamentele vrijheden ongeschonden blijft.

Meer informatie over het beperken van de rechten van betrokkenen kunt u vinden in artikel 23 AVG.

Volgens de AVG is een verwerkingsverantwoordelijke: ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’ (artikel 4 lid 7 AVG).

Een verwerkingsverantwoordelijke stelt het doel en de middelen van de verwerking vast. Bij het vaststellen daarvan moet echter ook gekeken worden naar de feitelijke invloed die een partij op het doel van de verwerking uitoefent. Als een decentrale overheid bepaalt ‘waarom’ en ‘hoe’ persoonsgegevens moeten worden verwerkt, is zij de verwerkingsverantwoordelijke.

Een medewerker van een gemeente die bijvoorbeeld persoonsgegevens verwerkt om schuldhulp aan te bieden, doet dit om haar taken als verwerkingsverantwoordelijke uit te voeren. De bevoegdheid voor verwerkingsverantwoordelijke kan juridisch zijn vastgelegd.

Gezamenlijke verwerkingsverantwoordelijken

Volgens artikel 26 van de AVG kunnen twee (of meer) partijen ook samen verwerkingsverantwoordelijken zijn. Dan bepalen zij met elkaar het doel en de middelen van de verwerking. In dit geval moeten de verwerkingsverantwoordelijken een regeling treffen over de verwerking van persoonsgegevens. De belangrijkste aspecten van de regeling moeten worden meegedeeld aan de personen van wie de gegevens worden verwerkt. Daarnaast moeten zij vastleggen hoe ze de verplichtingen uit de AVG nakomen, tenzij dit al is vastgelegd in het Europees of lidstatelijk recht.

Let op: deze onderlinge afstemming is wat anders dan de verwerkersovereenkomst.

Verwerker

Volgens de AVG is een verwerker: ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt’ (artikel 4 lid 8 AVG).

Het gaat er in de praktijk dus om dat de verwerker de verwerking uitvoert voor de verwerkingsverantwoordelijke, zonder dat er daarbij invloed wordt uitgeoefend op het vaststellen van het doel en de middelen van de verwerking. Een verwerker staat ook niet onder direct gezag van de verwerkingsverantwoordelijke. De eigen medewerker van een organisatie die persoonsgegevens verwerkt wordt niet beschouwd als een verwerker in de zin van de AVG.

Een voorbeeld van een verwerker is een salarisadministratiekantoor of een ICT-bedrijf dat de systemen waar de persoonsgegevens in worden verwerkt beheert. Overheidsorganisaties kunnen echter ook optreden als verwerker voor (decentrale) overheden. Hier is sprake van wanneer er bepaalde bevoegdheden worden neergelegd waarbij ook persoonsgegevens verwerkt moeten worden, bijvoorbeeld wanneer een decentrale overheid voor een andere decentrale overheid de hosting verzorgt.

Verplichtingen verwerker

Volgens artikelen 23 tot en met 31 van de AVG moet een verwerker zich aan verschillende regels houden. De verwerker mag de persoonsgegevens alleen maar verwerken in opdracht van de verwerkingsverantwoordelijke. Indien zij een andere verwerker (ook wel: sub-verwerker) in willen schakelen moeten zij toestemming vragen van de verwerkingsverantwoordelijke.

Daarnaast moet de verwerker zich houden aan vergelijkbare verplichtingen als die op de verwerkingsverantwoordelijke liggen. Verwerkers moeten een verwerkingsregister bijhouden en soms een Functionaris voor gegevensbescherming aannemen. Ook is de verwerker verplicht om met de Autoriteit Persoonsgegevens samen te werken, wanneer het uitvoeren van de taken van de toezichthouder dit vereist.

Verwerkersovereenkomst

Als een verwerkingsverantwoordelijke een verwerker inschakelt om hem te ondersteunen bij het verwerken van persoonsgegevens, moeten zij hun samenwerking vastleggen in een overeenkomst. Dat staat in artikel 28 lid 3 van de AVG.

Volgens dit artikel hoort de verwerkersovereenkomst het volgende te bevatten:

• Het onderwerp van de verwerking;
• De duur van de verwerking;
• De aard en het doel van de verwerking;
• Het soort persoonsgegevens dat verwerkt wordt, zoals NAW-gegevens, contactgegevens of betaalgegevens;
• De categorieën van de betrokkene, dat is degene van wie de persoonsgegevens worden verwerkt. U kunt hierbij denken aan bijvoorbeeld klanten, websitebezoekers of werknemers;
• De rechten en verplichtingen van de verwerkingsverantwoordelijke.

In juni 2021 publiceerde de Europese Commissie een standaard verwerkersovereenkomst. Daarnaast heeft de VNG in 2019 een standaardovereenkomst voor gemeenten opgesteld.

Verwerkersovereenkomst in de praktijk

Het kan in de decentrale praktijk lastig zijn vast te stellen welke organisatie zich als verwerkingsverantwoordelijke of verwerker gedraagt, zeker als er meerdere partijen bij een complexe verwerking zijn betrokken. Dat kan het geval zijn bij samenwerkingsverbanden tussen overheidsorganisaties onderling of met private partijen. Het is dan niet altijd duidelijk met welke partijen wel en niet een verwerkersovereenkomst af moet worden gesloten.

U kunt daarom meer informatie over dit onderwerp vinden in onderstaande praktijkvragen:

• Wanneer moet er een verwerkersovereenkomst afgesloten worden?
• Met welke partijen moet een gemeente die deelneemt in een gemeenschappelijke regeling een verwerkersovereenkomst sluiten?