Europees recht en beleid

Laatste update: 26 maart 2024

Contact:

Om een interne datamarkt te realiseren heeft de Commissie de Dataverordening (Dv) voorgesteld. Deze verordening is samen met de Datagovernanceverordening (Dgv) onderdeel van de Europese datastrategie. Hiermee zet de Commissie de lijn in om de EU een wereldleider in datagedreven handelsactiviteiten te maken, en tegelijkertijd welvaart en welzijn binnen Europa te vergroten. Op deze pagina wordt verder ingegaan op de betekenis van de Dataverordening, de vergelijking met andere EU-wetgeving voor gegevensbescherming en de betekenis voor decentrale overheden.

Doelstellingen Dataverordening

Met de nieuwe regels beoogt de Commissie obstakels voor de toegang tot data weg te nemen. Het gaat hierbij om juridische, economische en technische obstakels. Bij minder obstakels kunnen consumenten en bedrijven meer geïnformeerd beslissingen nemen. De voorgestelde Dataverordening heeft tot doel om:

  • De toegang tot en het gebruik van gegevens door consumenten en bedrijven te stimuleren, met behoud van prikkels om te investeren in datagestuurde innovaties. Om dit voor elkaar te krijgen moet de rechtszekerheid rondom het delen van data worden verstevigd;
  • Overheidsinstanties toegang te geven tot gegevens in het bezit van particulieren bij noodsituaties en andere uitzonderlijke situaties waarin verplichte uitwisseling van gegevens tussen ondernemingen en de overheid gerechtvaardigd is, ter ondersteuning van empirisch onderbouwde, doeltreffende, efficiënte en prestatiegerichte beleidsmaatregelen en overheidsdiensten;
  • Overstap tussen verschillende aanbieders van cloudverwerkingsdiensten te vergemakkelijken. Een bloeiende data-economie waarin alle betrokkenen eenvoudig gegevens kunnen delen vereist toegang tot gegevensverwerkingsdiensten;
  • Bezorgdheid wegnemen van Europese inwoners omtrent onrechtmatige gegevenstoegang door overheden. Hiertoe zal de Dataverordening waarborgen introduceren tegen onrechtmatige gegevensoverdracht zonder voorafgaande mededeling van de betreffende aanbieder van clouddiensten.
  • Belemmeringen wegnemen voor datadeling tussen domeinspecifieke gemeenschappelijke Europese dataruimten. Hiertoe zal de Verordening interoperabiliteitsnormen introduceren voor hergebruik van data en normen vaststellen voor normen voor ‘slimme contracten’, computerprogramma’s die werken met e-registers om transacties af te wikkelen op basis van vooraf ingestelde voorwaarden..

Hoe definieert de Dataverordening data?

Artikel 2 van de Dataverordening definieert data als: “elke digitale weergave van handelingen, feiten of informatie en elke verzameling van dergelijke handelingen, feiten of informatie, ook in de vorm van een geluids-, beeld- of audiovisuele opname”. Op basis van deze definitie lijkt het hier niet alleen te gaan om persoonsgegevens zoals onder de Algemene Verordening Gegevensbescherming (AVG), maar ook om niet-persoonlijke data. Niet-persoonlijke data omvat gegevens waarmee je op geen enkele manier een individu kunt identificeren. Verder zullen zowel gegevens van bedrijven, als die van overheidsinstellingen onder de voorgestelde verordening vallen.

Enkele termen uit de AVG en de Dgv hebben in de Dataverordening een nieuwe definitie gekregen. Momenteel wordt nog besproken of deze definities van dezelfde termen gerechtvaardigd zijn en of de bestaande definities geschikter zijn.

De Dataverordening en andere EU wetgeving

Datagovernanceverordening (Dgv)

Zowel de Dgv als de Dv zijn onderdeel van de Europese datastrategie. De Dgv is al in werking getreden en richt alleen de kaders en procedures in om datahergebruik mogelijk te maken. Daarnaast introduceert het een regime voor databemiddelingsdiensten die commerciële relaties tot stand brengen voor het uitwisselen van gegevens en tegelijkertijd de privacy van betrokkenen garanderen. De Dataverordening gaat verder en reguleert wie onder welke voorwaarden toegang moet geven tot gegenereerde data door het gebruik van een product of gerelateerde dienst.

Voor meer informatie over de Dgv verwijzen wij u graag naar deze pagina.

Algemene Verordening Gegevensbescherming (AVG)

De Dataverordening heeft verschillen en overeenkomsten met de AVG. Een van deze overeenkomsten is dat zij beide van toepassing zijn op alle ondernemingen. Dit betekent dat een onderneming geen zetel hoeft te hebben in de EU, maar onder de Dv valt wanneer zij goederen of diensten op de interne markt levert. Ook het beschikbaar maken van data in de EU is voldoende.

In mei 2022 vond binnen de commissie voor Digitale Zaken een debat over verschillende wetgevingsvoorstellen, plaats, waaronder de Dataverordening, met verwijzing naar een gezamenlijk advies van begin mei. In het advies hebben de European Data Protection Board (Europees Comité voor gegevensbescherming) en de European Data Protection Supervisor (Europese Toezichthouder voor gegevensbescherming) aangegeven dat de Dataverordening geen afbreuk moet doen aan de bescherming van persoonsgegevens en dat de AVG boven de Dv staat. Reden hiervoor is dat bij het delen van data ook persoonlijke data wordt bedoeld. Volgens deze toezichthouders moet in de Data Act duidelijk worden aangegeven dat de AVG altijd van toepassing is bij het delen van persoonsgegevens.

Meer informatie over de AVG vindt u op de betreffende webpagina.

Andere EU wetgeving

De Dataverordening heeft daarnaast raakvlakken met andere EU wetgeving, zoals de Richtlijn Open Data en hergebruik overheidsinformatie en de INSPIRE-richtlijn. Beide richtlijnen hebben betrekking op het delen van data. INSPIRE staat voor Infrastructuur voor Ruimtelijke Informatie in de Europese Gemeenschap. Deze richtlijn maakt het mogelijk om een data infrastructuur op te zetten zodat vervolgens ruimtelijke informatie tussen organisaties in de publieke sector over het milieu kan worden uitgewisseld. De Richtlijn Open Data en hergebruik overheidsinformatie stelt bedrijven, burgers en onderzoeksinstellingen in staat om een verzoek in te dienen voor het beschikbaar maken van overheidsinformatie. Het kan hierbij bijvoorbeeld gaan om statistieken of geografische informatie.

Op de webpagina van de INSPIRE-richtlijn en die van hergebruik overheidsinformatie kunt u meer lezen over beide richtlijnen.

Toegang tot data in uitzonderlijke situaties van groot openbaar belang

Zoals hierboven aangegeven maakt de Dataverordening het mogelijk voor overheidsinstanties om toegang te krijgen tot data die in het bezit zijn van de particuliere sector en die noodzakelijk zijn voor specifieke doeleinden van algemeen belang. Het betreft dus data die in het bezit is van een houder van data. Dit is een rechtspersoon of natuurlijke persoon die het recht of de plicht heeft om bepaalde data beschikbaar te stellen. Dat recht en die plicht heeft de houder op grond van deze verordening, het toepasselijke recht van de Unie of nationale wetgeving tot uitvoering van het recht van de Unie, of in het geval van niet-persoonsgebonden gegevens op basis van de controle over het technisch ontwerp van het product en de bijbehorende diensten.

Het beschikbaar stellen van data voor het algemeen belang wordt geregeld in hoofdstuk vijf van het voorstel voor de Dataverordening. De plicht om data beschikbaar te stellen geldt in het geval van een uitzonderlijke situatie. Hiervan is sprake wanneer:

  • de gevraagde data noodzakelijk is om te kunnen reageren op een noodsituatie;
  • het verzoek om data beperkt is in tijd en omvang en noodzakelijk is om een openbare noodsituatie te voorkomen of om te kunnen herstellen van een openbare noodsituatie;
  • het gebrek aan beschikbare data de openbare (EU-)instantie verhindert in het vervullen van een bepaalde taak in het algemeen belang die uitdrukkelijk bij wet is geregeld en:
    • de openbare (EU-)instantie niet in staat is geweest om de data op een alternatieve wijze te verkrijgen en het vaststellen van nieuwe wetgevende maatregelen de tijdige beschikbaarheid van data niet kunnen waarborgen. Het verkrijgen van data op een alternatieve wijze omvat onder meer het kopen van de data tegen marktprijzen of door een beroep te doen op bestaande verplichtingen om data beschikbaar te stellen, of;
    • het verkrijgen van data op grond van deze procedure verlaagt de administratieve lasten voor de houders van data of andere ondernemingen.

Bij het doen van een verzoek tot het verkrijgen van data moet de openbare instantie op grond van het voorstel onder meer specificeren om welke data het gaat, de uitzonderlijke behoefte aantonen en de termijn vermelden waarbinnen de data beschikbaar moeten worden gesteld. Een verzoek om data moet daarnaast zo veel mogelijk zien op niet-persoonlijke data, evenredig zijn en zonder vertraging openbaar worden gemaakt.

Stand van zaken

De Raad van de EU heeft op 27 november 2023 de Dataverordening aangenomen. De Dataverordening treedt 20 dagen na bekendmaking in het Publicatieblad van de Europese Unie in werking. De regels zullen pas van toepassing zijn vanaf twintig maanden na de datum van inwerkingtreding. Voor producten volgens artikel 3, lid 1 van de Dataverordening geldt een langere termijn voor inwerkingtreding, namelijk 32 maanden.

Wat betekent de Dataverordening voor decentrale overheden?

De Dataverordening betekent voor decentrale overheden dat zij toegang kunnen krijgen tot data die momenteel in eigendom zijn van particulieren en bedrijven. Decentrale overheden zullen namelijk in het geval van noodsituaties deze data kunnen gebruiken voor doeleinden die het algemeen belang dienen. Wanneer sprake is van het aanpakken van een dergelijke noodsituatie, zal de data gratis worden verstrekt. In het geval van het voorkomen of herstellen van openbare noodsituaties, kan de houder van de data een vergoeding vragen. Dit is geregeld in artikel 20 van de verordening.

Ook clouddiensten vallen onder de Dataverordening. Decentrale overheden maken door de toenemende digitalisering van diensten steeds meer gebruik van clouddiensten. Omdat de Dataverordening de gebruiksvoorwaarden verbetert, wordt het gemakkelijker om gegevens en toepassingen over te brengen van de ene aanbieder naar de andere. Bovendien versterkt de Dataverordening het vertrouwen door het invoeren van verplichte waarborgen op cloudinfrastructuren.

Daarnaast krijgen overheidsinstanties meer ruimte om gebruik te maken van commerciële clouddiensten. Staatssecretaris Van Huffelen kondigde dit aan in een brief van 29 augustus 2022 aan de Tweede Kamer over een Rijksbreed cloudbeleid. Tot dan toe mochten overheidsinstanties alleen eigen clouddiensten gebruiken.

Volgens Van Huffelen kan de cloud bij goed en veilig gebruik zorgen voor een innovatieve, transparante en flexibele digitale Rijksoverheid. De overheid werkte momenteel nog niet met commerciële clouddiensten omdat er ook risico’s aan kunnen kleven, zoals hackaanvallen. De staatssecretaris stelt voor het gebruik van de cloud strikte voorwaarden op het gebied van beveiliging en privacy. Zo zijn overheidsinstellingen verplicht vooraf een risicoanalyse te maken, mag de cloud niet gebruikt worden voor het opslaan of verwerken van Informatie met betrekking tot staatsgeheimen en mogen er geen diensten worden afgenomen van leveranciers met een actief cyberprogramma  gericht tegen Nederlandse belangen.