Een waterschap dient de ruimtelijke gegevens die worden verzameld voor de Kaderrichtlijn Water (KRW) in overeenstemming met de INSPIRE-richtlijn en de Implementatiewet EG-richtlijn infrastructuur ruimtelijke informatie op te slaan en te verstrekken. De gegevens moeten in een type systeem worden opgeslagen dat uitwisseling van deze gegevens op Europees niveau mogelijk maakt. Uit de INSPIRE-richtlijn en de Nederlandse implementatiewet vloeit voort dat deze werkwijze geldt voor alle ruimtelijke gegevens die op grond van een wettelijke plicht worden verzameld. De Nederlandse implementatie van de KRW legt deze wettelijke verplichting om gegevens te verzamelen op aan de waterschappen.

INSPIRE-richtlijn

In 2007 werd de Europese INSPIRE-richtlijn (Richtlijn 2007/2/EG) gepubliceerd om een gezamenlijke Europese infrastructuur voor ruimtelijke informatie op te richten. Het achterliggende doel is een hogere kwaliteit van Europese milieuregelgeving en een betere afstemming van die regelgeving op regionaal en lokaal niveau in de EU. Met andere woorden: één Europese infrastructuur voor het uitwisselen van gegevens over de leefomgeving. Formeel gezien is de implementatie van de INSPIRE-richtlijn in 2021 al afgerond, maar het INSPIRE-aanbod blijft zich verder ontwikkelen.

De INSPIRE-richtlijn heeft dus betrekking tot de uitwisseling van, toegang tot en het gebruik van interoperabele ruimtelijke gegevens en diensten over de grenzen van diverse sectoren en overheidsniveaus heen. Maar wat wordt er verstaan onder ruimtelijke gegevens? Ruimtelijke gegevens zijn gegevens die direct of indirect verwijzen naar een specifieke locatie of een specifiek geografisch gebied. Dit kan in het geval van de KRW bijvoorbeeld gaan om (meet)gegevens over waterkwaliteit in bepaalde stromingsgebieden, drinkwateronttrekkingspunten of over de chemische toestand van waterlichamen.

Nederlandse Implementatiewetgeving INSPIRE

De INSPIRE-richtlijn is in Nederland ondergebracht in de Implementatiewet EG-richtlijn infrastructuur ruimtelijke informatie. Deze implementatiewet is bevat verplichtingen voor Nederlandse decentrale overheden met betrekking tot het inzamelen van gegevens.In Nederland is de wet van toepassing op ruimtelijke gegevens die worden ingezameld door het Rijk, gemeenten, provincies en waterschappen en formuleert de eisen waaraan overheden moeten voldoen. Van de 34 thema’s uit de drie bijlagen van de INSPIRE-richtlijn, zijn er een aantal van belang voor waterschappen. De Implementatiewet bepaalt echter dat de waterschappen niet álle door hen verzamelde gegevens in overeenstemming met de INSPIRE-richtlijn hoeven op te slaan. INSPIRE is door middel van de Nederlandse Implementatiewet namelijk alleen van toepassing op gegevens die worden verzameld of verspreid op grond van een bij of krachtens een wet gestelde norm. Gegevens die met een andere reden worden verzameld hoeven niet aan de INSPIRE-richtlijn te worden opgeslagen.

Gevolgen voor de waterschappen

Dit betekent dat alle ruimtelijke gegevens die de waterschappen verzamelen op basis van een wet, zoals bijvoorbeeld de implementatiewetgeving van de KRW, in overeenstemming met de INSPIRE-richtlijn moeten worden opgeslagen. Waterschappen verzamelen veel informatie die topografische elementen bevatten en krijgen daardoor snel te maken met de INSPIRE-richtlijn wanneer er sprake is van een wettelijke informatietaak.

Naast het feit dat waterschappen zelf informatie verzamelen, hebben zij ook belang bij de informatie van andere waterschappen. Waterschappen worden bij het uitwisselen van gegevens ondersteund door het Waterschapshuis en het Informatiehuis Water. Zij beheren bijvoorbeeld Data Modellen (DAMO’s), het Gegevensknooppunt Waterschappen (GkW) en de Aquo-standaard.

De INSPIRE-richtlijn verplicht de lidstaten om van al deze ruimtelijke gegevens ook metadatasets beschikbaar te stellen die informatie bevatten over de data die verzameld is. Metadata is informatie over informatie die is verzameld in een systeem, zoals een catalogus, om vindbaarheid en hergebruik te bevorderen. Denk hierbij bijvoorbeeld aan een omschrijving van de dataset, de categorieën waarin gegevens zijn geordend, de instantie die de dataset heeft aangelegd of de verzamelperiode. Metadata maakt snel duidelijk of de beschikbare informatie de benodigde nauwkeurigheid en actualiteit bevat. Hierdoor hoeft het databestand zelf niet bekeken te worden of gedownload te worden.

INSPIRE wordt als onderwerp besproken in de subwerkgroep geo-informatie van de Unie van Waterschappen. De waterschappen moeten in lijn met de INSPIRE-richtlijn wel zelf de data aanleveren aan het Europese INSPIRE-portaal.

Relatie Kaderrichtlijn Water en INSPIRE-richtlijn

Zoals hierboven benoemd, bepaalt de Implementatiewet EG-richtlijn infrastructuur ruimtelijke informatie dat waterschappen door hen verzamelde ruimtelijke gegevens in overeenstemming met de INSPIRE-richtlijn moeten opslaan of verspreiden wanneer er sprake is van een wettelijke informatietaak. De KRW-implementatiewet bepaalt op haar beurt dat waterschappen gegevens moeten verzamelen, analyseren en beoordelen. De resultaten hiervan moeten ze verstrekken aan het Ministerie van Infrastructuur en Waterstaat. Deze gegevens dienen, doordat ze op grond van deze wet worden verzameld, in overeenstemming met de INSPIRE-richtlijn te worden opgeslagen en verspreid.

De data van waterschappen worden via het Gegevensknooppunt Waterschappen (GkW) geleverd aan het Nationaal Georegister: de vindplaats van geo-informatie van Nederland. Voorheen werden deze gegevens aangeleverd via de Centrale Distributie Laag (CDL); het GkW is de vervanger.

Stand van zaken

Er liggen plannen op tafel om de INSPIRE-richtlijn te herzien. Dit moet gebeuren onder de naam GreenData4All. In het werkprogramma 2022 van de Europese Commissie stond dat dit initiatief al eind 2022 gepresenteerd zou worden, maar dit is tot op heden nog niet gebeurd.

Meer informatie

INSPIRE-richtlijn, Kenniscentrum Europa Decentraal

Milieu-informatie, Kenniscentrum Europa Decentraal

Gegevensknooppunt Waterschappen, Waterschapshuis

Helpdesk Water, Rijkswaterstaat Water, Verkeer en Leefomgeving

Uitvoering Kaderrichtlijn Water, Rijkswaterstaat Water, Verkeer en Leefomgeving

EU toolbox voor 5G-cyberbeveiliging

De Aanbeveling voor cyberbeveiliging van 5G netwerken is al in maart 2019 aangenomen. Reden hiervoor is dat een gecoördineerde aanpak van de cyberbeveiliging van 5G netwerken noodzakelijk was. Deze netwerken spelen namelijk een centrale rol in het behalen van de Europese digitale transitie doelen, het beschermen van Europese economieën en samenlevingen en de technologische soevereiniteit van de EU. Daarnaast waarborgt het de kansen die 5G netwerken creëren. Het gaat hierbij om kansen op het gebied van de Europese digitale transitie, bescherming van economie en samenlevingen, technologische soevereiniteit van de EU en het faciliteren van nieuwe mogelijkheden en ontwikkelingen die 5G-netwerken bieden

De lidstaten worden als onderdeel van de Aanbevelingen opgeroepen om op EU niveau aan een gecoördineerde risicoanalyse te werken en een toolbox met gemeenschappelijke maatregelen voor de Europese aanpak op te stellen. De toolbox voor 5G-cyberbeveiliging werd vervolgens in januari 2020 gepresenteerd. Met deze maatregelen moeten de belangrijkste cyberveiligheidsrisico’s van 5G-netwerken kunnen worden beperkt. Verder biedt de toolbox richtsnoeren voor maatregelen waar op nationaal en Europees niveau over moet worden nagedacht bij het beperken van de risico’s van 5G.

Dergelijke risico’s zijn, onder andere, een gebrek aan toegangscontrole, afhankelijkheid van één leverancier binnen individuele netwerken, massale uitval van netwerken door onderbreking van de elektriciteitsvoorziening of andere ondersteunende systemen. Strategische maatregelen die hiertegen kunnen worden genomen zijn onder andere het beoordelen van het risicoprofiel van leveranciers en het toepassen van beperkingen voor leveranciers die als hoog risico worden beschouwd voor belangrijke activa. Ook het zorgen voor diversiteit onder leveranciers en het versterken van weerbaarheid op nationaal niveau zijn geschikte maatregelen.

Commissie over toolbox implementatie

De Commissie dringt er bij de lidstaten die de toolbox nog niet hebben geïmplementeerd op aan dat zij dit zo snel mogelijk doen. Verder neemt zij maatregelen om blootstelling van haar communicatienetwerken door mobiele netwerken zoals Huawei en ZTW te voorkomen.

Tweede voortgangsrapport over de 5G toolbox

In het verslag wordt vermeld dat er meer vooruitgang is geboekt bij de uitvoering van de belangrijkste maatregelen van de EU-toolbox. De meeste lidstaten hebben de beveiliging versterkt of zijn bezig met het opstellen van vereisten voor 5G-netwerken op basis van de EU Toolbox. Toch concludeert het rapport ook dat er een aanhoudende afhankelijkheid van ‘hoog risico’ leveranciers is op de interne markt. Dit zou ernstige negatieve gevolgen voor de veiligheid van gebruikers en bedrijven in de hele EU en de kritieke infrastructuur van de EU kunnen hebben. Het rapport bevat daarom ook aanbevelingen voor lidstaten:

• Uitgebreide en gedetailleerde informatie van mobiele exploitanten over de 5G-apparatuur die momenteel wordt ingezet en over hun plannen voor het inzetten of aanschaffen van nieuwe apparatuur;
• Lidstaten moeten rekening houden met de objectieve criteria in de EU-toolbox en aanwijzingen van andere lidstaten bij de beoordeling van het risicoprofiel van leveranciers;
• Op basis van de beoordeling van leveranciers moeten de lidstaten onmiddelijk beperkingen opleggen aan leveranciers met een hoog risico;
• Voor bepaalde apparaten die onder de beperkingen vallen, mogen de exploitanten niet worden toegestaan om nieuwe apparaten te installeren;
• Bespreek verder de toepasbaarheid van maatregelen met betrekking tot het zorgen voor een diverse groep leveranciers en hoe dit niet verder leidt tot nieuwe of verhoogde beveiligingsrisico’s, maar bijdraagt aan veiligheid en veerkracht;
• Dwing technische maatregelen af en zorg voor een sterk niveau van toezicht.

Decentrale relevantie

Door de toename en intensiteit van het dataverbruik is er een snel, stabiel en betrouwbaar netwerk nodig. 5G kan hierbij een oplossing bieden, omdat de capaciteit van een 5G-netwerk groter is dan dat van een 4G-netwerk. Dat betekent dat veel meer data kunnen worden verzonden tussen apparaten, deze apparaten sneller kunnen communiceren en hierdoor meer toepassingen ondersteund kunnen worden.

Decentrale overheden spelen een grote rol in de uitrol van 5G. Gemeenten moeten namelijk in gesprek gaan met mobiele operators over mogelijke locaties voor het plaatsen van 5G-antennes. De gemeente maakt hierbij de lokale afweging tussen het ruimtelijk belang en het belang van digitale connectiviteit in de omgeving. Antennes die hoger zijn dan vijf meter kunnen slechts na het verlenen van een omgevingsvergunning worden geplaatst. De gemeente zal vervolgens de aanvraag van de vergunning checken, beoordelen en ten slotte publiceren. Bovendien ziet de gemeente toe op een goede ruimtelijke ordening als de antenne eenmaal wordt geplaatst.

Bron

Commissie kondigt vervolgstappen voor cybersecurity en 5G netwerken aan in opvolging van het laatste voortgangsrapport van de lidstaten, Europese Commissie

Tweede verslag over de vorderingen van de lidstaten bij de uitvoering van de EU-toolbox voor 5G-cyberbeveiliging, Europese Commissie

Meer informatie

Connectiviteit, Kenniscentrum Europa Decentraal

Cybersecurity, Kenniscentrum Europa Decentraal

AI Verordening

In april 2021 heeft de Commissie de AI Verordening voorgesteld omdat zij vindt dat de huidige Europese regelgeving de (toekomstige) risico’s van AI onvoldoende adresseren. Deze verordening heeft een op risico gebaseerde aanpak; dus hoe meer risico de technologie met zich meebrengt, hoe strikter de regels die ervoor gelden.

Wat is het standpunt van het Parlement?

De regels moeten verzekeren dat Artificial Intelligence die in Europa wordt ontwikkeld en gebruikt, volledig in overeenstemming is met de rechten en waarden van de EU, waaronder menselijk toezicht, veiligheid, privacy, transparantie, non-discriminatie en sociaal en milieuwelzijn.

Zo vindt het Parlement dat de lijst met verboden op opdringerige en discriminerende AI-systemen verder moet worden uitgebreid. Denk hierbij aan een verbod op biometrische identificatiesystemen, biometrische categorisatie systemen, voorspellende politiesystemen gebaseerd op profilering, locatie of voorgaand crimineel gedrag.

Daarnaast wil het Parlement een uitbreiding van de hoog-risico classificatie. De leden van het Parlement vinden dat hier het risico op schade aan gezondheid, fundamentele rechten en het milieu aan moet worden toegevoegd. Ook AI-systemen die kiezers tijdens verkiezingen proberen te beïnvloeden moeten daaronder vallen.

Wat is het standpunt van de Raad?

Het standpunt van de Raad werd in december 2022 al aangenomen. De Raad en het Parlement verschillen flink van standpunt rondom biometrische identificatiesystemen. De Raad vindt namelijk dat dit in publieke ruimtes voor handhavingsdoeleinden moet worden toegestaan.

Decentrale relevantie

Artificial Intelligence is voor decentrale overheden in toenemende mate relevant. Door slim gebruik te maken van AI bij onder andere infrastructuur, afval en toezicht kunnen steden bijvoorbeeld efficiënter en duurzamer ingericht worden. Denk bijvoorbeeld aan hoe AI decentrale overheden kan ondersteunen in watermanagement. Nederland heeft op dit moment nog geen wetgeving omtrent AI. Wel wordt het gebruikt in producten, diensten en processen die al gereguleerd zijn. De benoeming van AI in sectorale wetgeving betekent echter niet dat het algemeen regelgevend kader voldoende voorbereid is op de inzet van AI. Daarom zijn er nieuwe regels en instrumenten nodig. De AI Verordening zal hier een grote verandering in brengen.

Vervolgstappen

Het onderhandelingsmandaat van het Parlement is nu goedgekeurd. Nu kunnen de onderhandelingen met de Raad en de Commissie over de definitieve vorm van de wet beginnen. Naar verwachting volgt begin 2024 een definitieve overeenkomst.

Bron

EP klaar om te onderhandelen over eerste regels voor veilige en transparante AI, Europees Parlement

Meer informatie

Artificial Intelligence, Kenniscentrum Europa Decentraal
Parlementaire Commissies keuren nieuwe AI regels goed, Kenniscentrum Europa Decentraal
Artificial Intelligence Act: Council calls for promoting safe AI that respects fundamental rights, Europese Raad

Wat is ITS?

De huidige Richtlijn Intelligente Vervoerssystemen richt zich op regels en algemene voorwaarden voor de invoering van Intelligente Transportsystemen (ITS) in lidstaten van de EU. Een intelligent vervoerssysteem is een systeem waarin communicatie- en informatietechnologie toegepast wordt voor wegvervoer, -infrastructuur, -voertuigen en -gebruikers. Deze technologie wordt in ITS ook gebruikt voor de aansluiting op andere vervoersmethoden. Door middel van deze informatieuitwisseling kunnen files worden verminderd, veiligheids- en andere digitale toepassingen in auto’s beter werken en mensen gemakkelijker hun reis met het openbaar vervoer uitstippelen.

Het nieuwe ITS-voorstel

Er wordt op dit moment gewerkt aan een nieuwe ITS-Richtlijn om de verkeersveiligheid en doorstroom verder te verbeteren en een multimodaal vervoerssysteem te realiseren. Het gebruik van ITS in Europa groeit, maar is vaak nog beperkt in geografische uitrol en dekking. Daarom heeft de Commissie een voorstel tot herziening van de ITS-richtlijn (Richtlijn 2010/40/EU) gedaan in 2021. In dit voorstel wordt het toepassingsgebied uitgebreid, de rol van en coördinatie tussen stakeholders verbeterd en wordt het voorstel in lijn gebracht met relevante Europese wetgeving van na 2010 waaronder de Algemene Verordening Gegevensbescherming en de voorgestelde ePrivacy Verordening.

Vorderingen in de zaak

Op dit moment is het aan de Parlementaire Commissie van Transport en Toerisme om te stemmen over de amendementen. Zo is er recent een overeenkomst bereikt over amendementen die gaan over het beter delen van mobiliteitsdata om deze veiliger, efficiënter en duurzamer te maken. Dus naast snelheid, wegversperringen of wegwerkzaamheden, data over eenrichtingsverkeerstraten in steden, verkeersdrukte, lengte en breedte en hoogte restricties, worden ook de voorwaarden voor verkeercirculatie/doorstroom in gereguleerde verkeerszones in nationale databases opgenomen. Zo kunnen deze gedeeld worden tussen lidstaten, bedrijven en consumenten.

De deal moet nog goedgekeurd worden door de Transport en Toerisme Commissie van het Parlement en de permanente vertegenwoordigers van de Raad en daarna door het Parlement en de Raad in het geheel.

Digitale Mobiliteitsdiensten Pakket

In het licht van het bevorderen van een multimodaal vervoerssysteem en het delen van mobiliteitsdata presenteert de Commissie op 21 juni het Digitale Mobiliteitsdiensten pakket. Dit pakket bouwt verder op de digitalisering, verduurzaming en het efficiënter maken van vervoer. ITS zal worden gebruikt om reizen en operaties op specifieke en gecombineerde vervoerswijzen te verbeteren.

Zo is één van de onderdelen van het pakket de Multimodale Digitale Mobiliteitsdiensten (MDMS). De MDMS hebben betrekking op het aankopen van tickets voor en het plannen van multimodale reizen. Op dit moment is dat omslachtig omdat er geen gunstig kader voor EU-brede, geïntegreerde, multimodale informatie, kaartverkoop en betalingsdiensten bestaat.

Een ander onderdeel is een voorstel voor een gemeenschappelijke Europese Dataruimte Mobiliteit. Een gemeenschappelijke Europese ruimte voor mobiliteitsgegevens heeft betrekking op het makkelijker maken van het delen van gegevens in de vervoerssector. Het doel is gegevens te verzamelen, aan elkaar te koppelen en beschikbaar te stellen om de EU-doelstellingen te verwezenlijken, van duurzaamheid tot multimodaliteit.

Decentrale relevantie

Digitalisering en data bieden veel kansen voor de decentrale mobiliteitsopgaven. Zo kan informatie over de vervoersmodaliteit die mensen kiezen in bepaalde gebieden nuttig zijn bij het bepalen welke aansluit- en overstapmogelijkheden er beschikbaar gesteld moeten worden. Diverse Europese regels op het gebied van digitalisering zijn van belang voor mobiliteit:

• De Open Data Richtlijn, waardoor overheden hun data (zoals mobiliteitsdata) toegankelijk moeten maken voor het hergebruik van derden.
• De Data Wet, die het eigenaarschap en gebruik van door de gebruiker geproduceerde data reguleert waardoor bijvoorbeeld data uit voertuigen kan worden gebruikt als input voor gegevensapps. Publieke en private partijen combineren hun gegevens, zodat gebruikers kunnen worden gewaarschuwd wanneer er een voertuig met zwaailicht en sirene nadert.
• De Digitale Marktenwet, welke serviceproviders reguleert, zoals van navigatiesystemen, reis- en parkeerapps.

Decentrale overheden spelen een belangrijke rol bij het vormgeven van het Europese vervoersbeleid en het aanbieden van mobiliteitsdiensten en -infrastructuur. Het betreft onder meer het toepassen van digitale oplossingen om meer geïntegreerde en duurzame mobiliteit op regionaal niveau te realiseren.

Voor de ITS-richtlijn zijn decentrale overheden bovendien verantwoordelijk voor het aanleveren van veel van de gegevens waar de richtlijn om draait. De gegevens die zij hiervoor verzamelen moeten ze delen via een nationaal toegangspunt. In het geval van Nederland is dat de Nationale Databank Wegverkeersgegevens.

Bron

Akkoord over regels omtrent digitaal vervoer, Europees Parlement

Meer informatie

Mobiliteit en vervoer, Kenniscentrum Europa Decentraal

Intelligente Transportsystemen, Kenniscentrum Europa Decentraal

Digitale Mobiliteitsdiensten, Tijdlijn Kenniscentrum Europa Decentraal

De CER-richtlijn is op 27 december 2022 in het Publicatieblad van de EU gepubliceerd. In januari 2023 is de implementatietermijn van 21 maanden gestart. Lidstaten moeten dus binnen die tijd de richtlijn opnemen in de nationale wetgeving.

CER richtlijn

Onder kritieke entiteiten wordt een publieke of particuliere entiteit verstaan die essentiële diensten uitvoert, zoals drinkwatervoorziening. De CER-richtlijn heeft als doel om deze kritieke entiteiten, die van cruciaal belang zijn voor vitale maatschappelijke functies en economische activiteiten, te beschermen en hun weerbaarheid te vergroten. De risico’s die de levering van deze essentiële diensten kunnen verstoren moeten volgens de richtlijn in kaart worden gebracht. Ook moeten deze entiteiten passende maatregelen nemen om hun weerbaarheid te waarborgen. Onder het toepassingsgebied vallen onder andere de sectoren energie, drinkwater en gezondheid. Daarnaast gelden er regels voor overheidsinstanties.

Opeenvolgend aan artikel 5 en de evaluatie voorwaarden uit artikel 23 van de richtlijn heeft de Commissie als doel om een gedelegeerde verordening aan te nemen voor 17 november 2023. Deze verordening moet de richtlijn ondersteunen door verdere invulling te geven aan de lijst van essentiële diensten in de (sub)sectoren. Het is de bedoeling dat deze lijst gebruikt gaat worden door bevoegde autoriteiten van lidstaten met als doel het uitvoeren van risico analyses. Het identificeren van kritieke entiteiten overeenkomstig de richtlijn wordt op deze manier verbeterd.

Lidstaten kunnen deze lijst aanvullen met bijkomende essentiële diensten op nationaal niveau, met name door rekening te houden met specifieke nationale kenmerken bij de verlening van essentiële diensten.

Decentrale relevantie

Onder het toepassingsgebied van de richtlijn vallen entiteiten uit diverse sectoren, zoals energie, vervoer, gezondheid, drinkwater, afvalwater en ruimtevaart. Sommige bepalingen van de richtlijn zullen ook gelden voor decentrale overheden. Denk hierbij aan zaken rondom de digitale infrastructuur, drinkwater sectoren en publieke administratie sectoren.

Bron

CER-richtlijn – lijst van essentiële diensten die door kritieke entiteiten worden verleend, Europese Commissie

Meer informatie

Cybersecurity, Kenniscentrum Europa Decentraal

Richtlijn inzake de veerkracht van kritieke entiteiten, Kenniscentrum Europa Decentraal

Algemeen AVG

Op 25 mei 2023 bestond de AVG vijf jaar. De AVG is mede ingevoerd als gevolg van de digitalisering van de samenleving. De digitalisering zorgde voor meer dataverkeer en het ontstaan van nieuwe technologieën. Dit leidde tot een toename van het verzamelen en delen van gegevens, een vergroot risico op cybercrime en een groeiende vraag van de gewone burger wat er met zijn of haar persoonsgegevens wordt gedaan. Onder een persoonsgegeven wordt verstaan: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’ (artikel 4 lid 1 AVG). Een persoon kan direct en indirect geïdentificeerd worden. Lees hier meer over persoonsgegevens.

De AVG betreft een Europese verordening. Dit betekent dat deze regels een directe werking hebben. Wel laat de AVG ruimte aan de lidstaten om zelf bepaalde keuzes te maken. Deze keuzes zijn in Nederland uitgewerkt in de Uitvoeringswet AVG.

Ook decentrale overheden moeten de regels van de AVG toepassen wanneer zij persoonsgegevens verwerken. Zij worden namelijk aangemerkt als verwerkingsverantwoordelijke en in dat geval gelden er enkele verplichtingen. Hierbij kan gedacht worden aan het aanstellen van een Functionaris voor Gegevensbescherming, het uitvoeren van een gegevensbeschermingseffectbeoordeling of opvolging geven aan de uitoefening van de rechten van betrokkenen, zoals het recht op inzage of verwijdering van gegevens. Een decentrale overheid die zich niet aan de regels van de AVG houdt, loopt het risico om een boete te krijgen van de Autoriteit Persoonsgegevens (AP).

Ontwikkelingen van de laatste vijf jaar

Datalekken melden

Om schade, zoals identiteitsfraude, voor slachtoffers te beperken moeten organisaties een datalek zo snel mogelijk melden (artikel 32 AVG). In Nederland moet een datalek gemeld worden bij de AP, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor ‘de rechten en vrijheden van betrokkenen’. Zo werden er in 2021 24.866 datalekken gemeld bij de AP. Dit volgt uit de Datalekkenrapportage 2021. Dat is een stijging van 4% ten opzichte van 2020. Het aantal meldingen van cyberaanvallen steeg met 88% procent ten opzichte van 2020. De Datalekkenrapportage van 2022 is op 6 juni 2023 gepubliceerd.

Doorgifte van persoonsgegevens naar derde landen

Voor de doorgifte van persoonsgegevens naar landen buiten de EU (derde landen) gelden op grond van de AVG aparte regels. Persoonsgegevens mogen alleen doorgegeven worden naar derde landen met een passend beschermingsniveau, zo volgt uit artikel 45 lid 3 AVG. Is dit er niet, dan kan de doorgifte alleen plaatsvinden op grond van een wettelijke bepaling uit de AVG. De AVG noemt een aantal mogelijkheden om dit te bewerkstelligen, bijvoorbeeld op basis van een adequaatheidsbesluit.

De Verenigde Staten is een van de landen die geen passend beschermingsniveau heeft. Voorheen konden persoonsgegevens doorgegeven worden op grond van het EU-VS Privacy Shield. Deze werd in 2020 door het Hof van Justitie van de Europese Unie ongeldig verklaard. Op dit moment werkt de Europese Commissie aan een nieuw adequaatheidsbesluit: het EU-US Data Privacy Framework (DPF).

Digitaal toezicht

De laatste jaren ontwikkelt de digitale technologie zich ook op andere vlakken, zoals bij Artificial Intelligence, cybersecurity en digitale diensten. Dit heeft invloed op de bescherming van persoonsgegevens. Decentrale overheden hebben regelmatig met deze onderwerpen te maken, bijvoorbeeld wanneer bepaalde beslissingen met Artificial Intelligence worden geautomatiseerd. Het is daarom van belang dat hier goed toezicht op wordt gehouden. De AP is aangewezen als toezichthouder voor de AVG, maar is ook verantwoordelijk voor digitaal toezicht wanneer het bijvoorbeeld gaat om online platforms of kunstmatige intelligentie. Daarom is de AP in 2021 samen met de Autoriteit Consument & Markt, de Autoriteit Financiële Markten en het Commissariaat voor de Media het Samenwerkingsplatform Digitale Toezichthouders gestart. Onlangs is deze samenwerking uitgebreid, om te zorgen voor een nog betere bescherming van de digitale samenleving.

Meer informatie

Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal

Rapportages datalekken, Autoriteit Persoonsgegevens

Doorgifte binnen en buiten de EER, Autoriteit Persoonsgegevens

Samenwerkingsplatform Digitale Toezichthouders (SDT), Autoriteit Consument & Markt

AI-verordening

De AI verordening is in 2021 voorgesteld omdat er in de huidige regelgeving onvoldoende rekening met de risico’s wordt gehouden. De AI verordening heeft een op risico gebaseerde aanpak. Hoe risicovoller de technologie, hoe strenger de regels. Daarin wordt onderscheid gemaakt tussen vier AI-systemen:

• Onaanvaardbaar risico
• Hoog risico
• Beperkt risico
• Minimaal risico

Lees hier de uitgebreide toelichting over de verschillende systemen.

Aanpassingen

Beide commissies willen een overal toepasbare, technologie neutrale definitie van AI-systemen. Op die manier is de definitie van toepassing op alle soorten AI. De EP-leden hebben onder andere verboden op bepaalde vormen van AI toegevoegd. Ook zijn de systemen die worden aangemerkt als hoog risico zijn uitgebreid. Verder zijn er regels voor AI-modellen voor algemeen gebruik en aanvullende transparantie eisen voor content producerende basismodellen zoals GPT toegevoegd. Er blijft ook ruimte voor het onderzoeken van nieuwe vormen van kunstmatige intelligentie.

Verbieden en uitbreiding hoog risico

De EP-leden willen dat er een verbod komt op opdringerig en discriminerend gebruik van AI-systemen. Voorbeelden hiervan zijn het verbieden van biometrische surveillance, emotieherkenning en voorspellende politiesystemen die gebaseerd zijn op profilering of locatie.

Verder is de classificatie van systemen die als hoog risico kunnen worden aangemerkt uitgebreid. EP-leden willen dat schade aan de gezondheid, veiligheid, grondrechten of het milieu van mensen ook daaronder valt. Daarnaast worden systemen die kiezers beïnvloeden in politieke campagnes en aanbevelingssystemen, zoals algoritmen, gebruikt door sociale mediaplatforms (met meer dan 45 miljoen gebruikers onder de Digital Services Act) toegevoegd aan de lijst met hoge risico systemen.

Modellen voor algemeen gebruik

De commissies hebben ook nieuwe regels voor AI-modellen voor algemeen gebruik toegevoegd. Deze modellen moeten een robuuste bescherming van grondrechten, gezondheid, veiligheid, milieu, democratie en de rechtstaat garanderen. Risico’s van deze modellen moeten worden beoordeeld en beperkt. Verder moeten deze modellen voldoen aan ontwerp-, informatie- en milieueisen en geregistreerd worden in de EU-databank.

Voor content producerende basismodellen zoals GPT gelden aanvullende transparantie-eisen. Denk hierbij aan een disclaimer waarmee wordt benadrukt dat de inhoud door AI is gegenereerd en dat wordt voorkomen dat illegale inhoud en het publiceren van samenvattingen van auteursrechtelijk beschermde gegevens voor trainingen worden gebruikt.

Om AI-innovatie te stimuleren voegden EP-leden vrijstellingen toe voor onderzoeksactiviteiten en AI-componenten die worden geleverd onder open-sourcelicenties. De nieuwe wet promoot gecontroleerde omgevingen die door de overheid zijn opgezet om AI te testen voordat deze wordt ingezet. Tenslotte willen EP-leden dat burgers het recht hebben om klachten over AI-systemen in te kunnen dienen.

Decentrale relevantie

AI is voor decentrale overheden in toenemende mate relevant. Door slim gebruik te maken van AI bij onder andere infrastructuur, afval en toezicht kunnen steden bijvoorbeeld efficiënter en duurzamer ingericht worden. Nederland heeft op dit moment nog geen wetgeving omtrent AI. Wel wordt het gebruikt in producten, diensten en processen die al gereguleerd zijn. De benoeming van AI in sectorale wetgeving betekent echter niet dat het algemeen regelgevend kader voldoende voorbereid is op de inzet van AI. Daarom zijn er nieuwe regels en instrumenten nodig. De AI-verordening zal hier een grote verandering in brengen.

Vervolgstappen

De goedkeuring door de parlementaire commissies is een belangrijke stap voor de AI Verordening. Het concept-onderhandelingsmandaat moet nu door het hele Parlement worden goedgekeurd. Deze zitting wordt verwacht tussen 12 en 15 juni. Daarna kunnen de onderhandelingen met de Raad over de definitieve vorm van de wet beginnen. Naar verwachting volgt begin 2024 een overeenkomst.

Bron

AI Verordening: een stap dichter bij de eerste regels op het gebied van kunstmatige intelligentie, Europees Parlement

Concept Compromisamendementen op het voorstel van het Europees Parlement en de Raad voor geharmoniseerde regels voor Artificial Intelligence (AI Verordening), Europees Parlement

Meer informatie

Artificial Intelligence, Kenniscentrum Europa Decentraal

Hoe kan het waterschap Artificial Intelligence inzetten?, Kenniscentrum Europa Decentraal

In het werkprogramma 2023 werd al aangegeven dat er instrumenten voorgesteld zouden worden voor het ontwikkelen van virtuele werelden. Deze instrumenten moeten open, interoperabel en mensgericht zijn. Een visie op de toekomstige ontwikkelingen is nodig om ervoor te zorgen dat alle burgers en bedrijven toegang houden tot dit onderdeel van de interne markt. Belanghebbenden kunnen reageren op de raadpleging tot 3 mei 2023.

Virtuele werelden

Virtuele werelden, ook wel de metaverses genoemd, worden steeds geavanceerder. Maar wat zijn het? De virtuele wereld is een onderling verbonden digitale wereld met de focus op het sociale. Hypothetisch gezien moeten burgers erin kunnen werken, vrienden kunnen ontmoeten, studeren, of concerten bezoeken. Het biedt dus enorm veel kansen voor de maatschappij. De EU telt een aantal belangrijke factoren op het gebied van virtuele werelden. Denk hierbij aan industriële digitale tweelingen, het in kaart brengen van locatiegegevens, fotonica, connectiviteit, online betalingen. Voor meer informatie over digitale tweelingen kunt u dit artikel in FOCUS op Europa: Special Digitalisering raadplegen.

Tegen 2030 zullen veel mensen dagelijks gebruik maken van virtuele werelden. Met de consultatie wil de Commissie voorkomen dat de aankomende digitale transitie met betrekking tot virtuele werelden zich ongecoördineerd en ongereguleerd ontwikkelt. Zo kan de privacy en veiligheid van burgers namelijk in het gedrang komen.

Decentrale relevantie

Ook voor decentrale overheden is deze raadpleging relevant, aangezien de virtuele wereld voor hen in de toekomst een rol zal spelen. De technologie en connectiviteit van de virtuele werelden verandert de manier waar er wordt omgegaan met de digitale ruimte. Dit houdt ook in dat de manier waarop men contact heeft met elkaar verandert. Daarnaast heeft het invloed op de digitale economie. Omdat het concept van de virtuele wereld nu nog wat abstract is, is het nodig dat decentrale overheden op een rij zetten wat de impact van zo’n online leefomgeving zal zijn, bijvoorbeeld ten opzichte van de relatie tot de fysieke wereld.

De ontwikkeling van zo’n verbonden virtuele wereld staat momenteel nog in de kinderschoenen. Het biedt kansen en uitdagingen. Des te meer reden om vanaf een vroeg stadium de ontwikkeling in goede banen te leiden. Daarom wil de EU nu al beginnen met het vaststellen van een visie en de daar bijkomende normen, het bouwen van infrastructuur en het aanpakken van juridische, economische, maatschappelijke en ethische aspecten.

Via deze link kunnen belanghebbenden de consultatie vinden. De deadline om te reageren op de raadpleging is op 3 mei 2023.

Bron

Virtuele Werelden – een visie voor openheid, veiligheid en respect, Europese Commissie

Europese Werkprogramma 2023, Europese Commissie

Meer informatie

Digitale Overheid, Kenniscentrum Europa Decentraal

Connectiviteit, Kenniscentrum Europa Decentraal

Digital Twin ‘Samen aan de knoppen draaien’, FOCUS op Europa: Special Digitalisering

Cyber Solidariteit Verordening

In de Cyber Solidariteit Verordening gaat het om de gemeenschappelijke EU-detectie van cyberdreigingen en -incidenten en het versterken van bewustzijn, paraatheid en reactievermogen. Denk hierbij aan het testen van essentiële entiteiten die kritieke infrastructuur beheren op mogelijke kwetsbaarheden.

Cyberbeveiligingsschild

Om deze solidariteit te verhogen stelt de Commissie een Europees Cyberbeveiligingsschild voor. Dat is een pan-Europese infrastructuur die bestaat uit nationale en grensoverschrijdende centra voor beveiligingsoperaties (SOC’s) in de hele EU. De SOC’s hebben als taak om de cyberdreigingen op te sporen en doelgericht te reageren. De bedoeling is dat zij daarbij gebruik gaan maken van geavanceerde technologie, zoals Artificial Intelligence.

Cybernoodmechanisme

Ook benoemt de voorgestelde verordening het inzetten van een cybernoodmechanisme. Dit heeft als doel om de paraatheid te vergroten en de responscapaciteit bij incidenten in de EU te verbeteren. Dit zal gebeuren door paraatheidsacties, waarbij entiteiten in kritieke sectoren zoals de zorg worden getest op potentiële kwetsbaarheden. Ook wordt er een EU-cyberbeveiligingsreserve opgebouwd. Deze bestaat uit aanbieders die diensten die op verzoek van de lidstaten, instellingen of organen ingrijpen bij significante grensoverschrijdende incidenten. Daarnaast zal er gezorgd worden voor financiële steun voor wederzijdse bijstand.

De Cyber Solidariteit Verordening bouwt voort op de EU-strategie inzake cyberbeveiliging, de Cyberbeveiligingsverordening en de NIB2-Richtlijn. Hier kunt u meer over lezen op onze webpagina Cybersecurity.

EU-academie voor cyberbeveiligingsvaardigheden

Ook werd de EU-academie voor cyberbeveiligingsvaardigheden gepresenteerd. Dit, in het kader van het Europese Jaar van de Vaardigheden. Het initiatief heeft als doel om het aantal cyberbeveiligingsprofessionals te vergroten door particuliere en publieke initiatieven te bundelen. Dit komt ten goede van de cyberbeveiligingsvaardigheden op Europees en nationaal niveau. De academie bestaat uit vier pijlers: Het genereren van kennis en trainingen, financiering en projecten, betrokken stakeholders en het meten van vooruitgang.

De academie wordt gehost op het Platform voor digitale vaardigheden en banen van de Commissie. Daarnaast wordt de academie een gemeenschappelijke ruimte voor academici, onderwijsaanbieders en het bedrijfsleven. Hier kunnen zij hulp krijgen met bijvoorbeeld het opzetten van onderwijsprogramma’s of financieringsmogelijkheden coördineren. Ook worden zij aangemoedigd zelf input te geven.

Ook in Nederland wordt hard gewerkt aan dit initiatief. In de Nederlandse Werkagenda Waardengedreven Digitalisering wordt onder de hoofdlijn Digitale Overheid ingezet op het vergroten van het aantal I-Professionals. Onder de hoofdlijn Vertrouwen worden overheden bovendien getraind op het voorkomen van cyberincidenten.

Decentrale relevantie

Decentrale overheden zijn helaas nog altijd vrij frequent slachtoffer van cyberincidenten. Goede informatiebeveiliging is daarom ook voor decentrale overheden van groot belang. Deze nieuwe verordening ondersteunt de acties die al worden genomen op nationaal niveau. Zo moet elke lidstaat een publiek orgaan aanwijzen als SOC. Deze zullen fungeren als referentiepunt en toegangspoort op nationaal niveau voor deelname aan het Europees cyberschild. Ook moeten zij informatie over cyberdreigingen van openbare en particuliere entiteiten op nationaal niveau verzamelen en delen. Decentrale overheden zullen hierdoor regelmatig te maken krijgen met deze SOC.

Omdat decentrale overheden te maken hebben met cyberincidenten en verwerkers zijn van gevoelige informatie, hebben zij veel belang bij goed getrainde (ICT-)medewerkers op het gebied van cyberveiligheid. Zij kunnen via de academie voor cyberbeveiligingsvaardigheden trainingen of opleidingen volgen om hun cybervaardigheden te verbeteren. Daarnaast kunnen decentrale overheden input leveren aan de academie.

Bron

Cyberbeveiliging: naar meer EU-capaciteit voor doeltreffende operationele samenwerking, solidariteit en weerbaarheid, Europese Commissie.

Meer informatie

Cybersecurity, Kenniscentrum Europa Decentraal

Wat betekent de NIB2-richtlijn voor onze decentrale overheid?, Kenniscentrum Europa Decentraal

Wat te doen bij een datalek na een hack?, Kenniscentrum Europa Decentraal

‘De grootste uitdaging blijft de mens.’ In gesprek met cyberburgemeester Kees van Rooij over cyberveiligheid, Kenniscentrum Europa Decentraal

SOC Inrichten, Nationaal Cyber Security Centrum

Achtergrond

De samenleving digitaliseert steeds meer. Om te zorgen dat dit veilig en betrouwbaar gebeurt stelt de Europese Unie, en ook Nederland, hier regelgeving voor in. Zo benoemt staatssecretaris Van Huffelen in de Werkagenda het belang van een betrouwbaar, hoogwaardig en privacy vriendelijk digitaal identiteitsstelsel. De Wdo bouwt voort op Europese ontwikkelingen en de eIDAs-verordening inzake elektronische identiteitsstelsels.

Ook verwijst de Wdo naar het Besluit digitale toegankelijkheid. Dit besluit is verwerkt de Europese Digitale Toegankelijkheidsrichtlijn. Zo wordt er gewezen op de toegankelijkheidsstandaarden van digitale identificeringsproducten.

De Wet Digitale Overheid

De wet verankert taken, verantwoordelijkheden en bevoegdheden met betrekking tot de voorzieningen voor de generieke digitale infrastructuur, verplichtingen voor bestuursorganen en aanspraken van burgers en bedrijven. Door de nieuwe wet zijn gegevens van burgers beter beschermd en hebben zij keuze uit meerdere inlogmiddelen.

Ook regelt de Wdo welke elektronische identificatiemiddelen geaccepteerd mogen worden. Dit zijn door Nederlandse toegestane identificatiemiddelen, maar ook identificatiemiddelen van een andere lidstaat die zijn aangemeld en goedgekeurd door de Europese Commissie als gevolg van de eIDAS-verordening. Dit betekent dat een Nederlandse burger ook een in het buitenland gekocht eIDAS erkend inlogmiddel mag gebruiken in Nederland. (Semi-)overheden zijn verplicht deze te accepteren.

Er wordt gewerkt in fases. Dit betekent dat de wet in samenhangende delen tot stand wordt gebracht. Dit eerste deel van de Wdo regelt onder meer de toegang tot digitale dienstverlening van de overheid door middel van elektronische identificatie/authenticatie, informatie veiligheid en standaarden.

Wat verandert er onder de Wdo?

De Wdo is een zogeheten kaderwet. Dit is een wet die algemene principes, verantwoordelijkheden en procedures vastlegt, dus het kader waarbinnen wettelijke regelingen tot stand komen. De wet bevat daarom geen gedetailleerde regels. In de Wdo staan:

• de taken en verantwoordelijkheden voor veilige toegang tot de digitale overheid;
• verplichtingen voor medeoverheden om veilig en betrouwbaar aan te sluiten en hun dienstverlening in te delen op een betrouwbaarheidsniveau;
• de regels over de bekostiging daarvoor;
• welke zekerheden voor burgers en bedrijven gelden;
• en de uitgangspunten voor informatiebeveiliging en de verwerking van persoonsgegevens.

Wanneer treedt de wet in werking?

Het is nog niet duidelijk wanneer de Wdo in werking treedt. Dit is afhankelijk van een bij koninklijk besluit te bepalen tijdstip. Wat wel bekend is, is dat dit gefaseerd zal gebeuren. Er wordt een schema opgesteld met data waarop specifieke onderdelen van de wet voor welke instantie van kracht worden.

Decentrale relevantie

De Wdo legt de basis voor de digitalisering van de Nederlandse overheid. Eén van de belangrijkste zaken is dat burgers veilig kunnen inloggen bij de (semi-)overheidsinstanties. Dit houdt in dat bestuursorganen zoals gemeenten en uitvoeringsorganisaties hiermee te maken krijgen, maar ook instellingen in de zorgsector of het onderwijs én de rechterlijke macht.

Deze (semi-)overheidsinstanties moeten hun digitale diensten na de inwerkingtreding van de Wdo indelen naar betrouwbaarheidsniveau. Heeft deze dienst een betrouwbaarheidsniveau van ‘substantieel’ of ‘hoog’? Dan zijn decentrale overheden verplicht om een identificatiemiddel te gebruiken dat een gelijkmatig of hoger betrouwbaarheidsniveau heeft dan de dienst vraagt. Dit kan gaan om het aanvragen van een uitkering of het vernieuwen van een rijbewijs.

Ook moeten decentrale overheden hun informatiebeveiliging op orde hebben. Denk hierbij aan het naleven van de Algemene Verordening Persoonsgegevens.

Bron

Eerste Kamer neemt Wet digitale overheid aan, Digitale Overheid

Meer informatie

Digitale Overheid, Kenniscentrum Europa Decentraal

Wet digitale overheid in het kort, Digitale Overheid