Europees recht en beleid

Laatste update: 1 november 2022

Contact:


Om dit te bewerkstelligen heeft de Commissie de Data Act voorgesteld. De Data Act is samen met de Data Governance Act (DGA) onderdeel van de Europese datastrategie. Het doel hiervan is om de EU een concurrentievoordeel te geven in een steeds verdergaande datagedreven samenleving en tegelijkertijd welvaart en welzijn in Europa te vergroten. Op deze pagina wordt verder in gegaan op het doel van de Data Act, de vergelijking met andere EU-wetgeving voor de bescherming van data en wat dit betekent voor decentrale overheden.

Het doel van de Data Act

Met de nieuwe regels hoopt de Commissie obstakels voor de toegang tot data weg te nemen. Het gaat hierbij om juridische, economische en technische obstakels. Op die manier beschikken consumenten en bedrijven over meer informatie en kunnen zij betere beslissingen nemen. De voorgestelde Data Act heeft tot doel om:

  • De toegang tot en het gebruik van gegevens door consumenten en bedrijven te versoepelen, met behoud van prikkels om te investeren in mogelijkheden om door middel van data waarde te creëren. Om dit voor elkaar te krijgen moet de rechtszekerheid rondom het delen van data worden vergroot. Het gaat hierbij om data dat is verkregen uit of gegenereerd door gebruik van producten of gerelateerde diensten;
  • Overheidsinstanties toegang te geven tot gegevens die in het bezit zijn van de particuliere sector en die noodzakelijk zijn voor specifieke doeleinden van algemeen belang. Dit geldt voor noodsituaties maar ook uitzonderlijke situaties waarin verplichte uitwisseling van gegevens tussen ondernemingen en de overheid gerechtvaardigd is, ter ondersteuning van empirisch onderbouwde, doeltreffende, efficiënte en prestatiegerichte beleidsmaatregelen en diensten van de overheid;
  • Het overstappen tussen verschillende aanbieders van cloudverwerkingsdiensten te vergemakkelijken. Een bloeiende data economie waarin gegevens eenvoudig kunnen worden gedeeld vereist namelijk toegang tot gegevensverwerkingsdiensten;
  • Waarborgen tegen onrechtmatige gegevensoverdracht zonder voorafgaande mededeling van de betreffende aanbieder van clouddiensten te introduceren. Reden hiervoor is de bezorgdheid die is ontstaan door de onrechtmatige toegang van overheden uit derde landen.

Maar wat wordt er nu onder data verstaan?

Data wordt in artikel 2 van de Data Act gedefinieerd als: “elke digitale weergave van handelingen, feiten of informatie en elke verzameling van dergelijke handelingen, feiten of informatie, ook in de vorm van een geluids-, beeld- of audiovisuele opname”.

Op basis van deze definitie lijkt het hier niet alleen te gaan om persoonlijke data zoals bij de Algemene Verordening Persoonsgegevens (AVG), maar ook om niet-persoonlijke data. Bij niet-persoonlijke data gaat het om data die geen enkele informatie bevatten om een individu te kunnen identificeren.

De Data Act heeft dus betrekking op het delen van zowel persoonlijke als niet-persoonlijke data. Daarbij komt dat het niet alleen gaat om data bij bedrijven maar ook om data bij overheidsinstellingen.

Andere termen in de Data Act hebben nieuwe definities gekregen terwijl deze al in andere EU wetgeving zijn gedefinieerd. Het gaat om termen die zowel in de AVG als de DGA voorkomen en in de Data Act een nieuwe definitie hebben gekregen. Momenteel wordt nog besproken of deze definities van dezelfde termen gerechtvaardigd zijn en of de bestaande definities geschikter zijn.

De Data Act en andere EU wetgeving

DGA

Zoals hierboven al aangegeven zijn de DGA en de Data Act onderdeel van de Europese datastrategie. De DGA richt zich op de doorgifte van niet-persoonlijke data. Daarnaast introduceert het een regime voor data intermediairs. Dit zijn neutrale en transparante bemiddelaars die helpen met gegevensbeheer en tegelijkertijd de privacy van betrokkenen garanderen. De DGA maakt het bovendien makkelijker om data te delen door het creëren van een wettelijk kader. Data Act bepaalt daarentegen wie en onder welke voorwaarde waarde kan creëren uit data.

Voor meer informatie over de DGA verwijzen wij u graag deze pagina.

AVG

De Data Act heeft naast verschillen, nog een aantal overeenkomsten met de AVG. Een van deze overeenkomsten is dat het, net als bij de AVG, van toepassing is op alle ondernemingen. Dit betekent dat een onderneming geen zetel hoeft te hebben in de EU, maar slechts diensten of producten op de EU markt plaats. Ook het beschikbaar maken van data in de EU is voldoende.

Eind mei vond binnen de commissie voor Digitale Zaken een debat over verschillende wetgevingsvoorstellen, waaronder de Data Act, plaats. Tijdens het debat hebben verschillende Kamerleden verwezen naar een gezamenlijk advies van begin mei. In het advies hebben de European Data Protection Board (Europees Comité voor gegevensbescherming) en de European Data Protection Supervisor (Europese Toezichthouder voor gegevensbescherming) aangegeven dat de Data Act geen afbreuk moet doen aan de bescherming van persoonsgegevens en dat de AVG boven de Data Act staat. Reden hiervoor is dat bij het delen van data ook persoonlijke data wordt bedoeld. Volgens deze toezichthouders moet in de Data Act duidelijk worden aangegeven dat de AVG altijd van toepassing is bij het delen van persoonsgegevens.

Meer informatie over de AVG vindt u op de betreffende webpagina.

Andere EU wetgeving

De Data Act heeft daarnaast raakvlakken met andere EU wetgeving, zoals de Richtlijn Open Data en hergebruik overheidsinformatie en de INSPIRE-richtlijn. Beide richtlijnen hebben betrekking op het delen van data. INSPIRE staat voor Infrastructuur voor Ruimtelijke Informatie in de Europese Gemeenschap. Deze richtlijn maakt het mogelijk om een data infrastructuur op te zetten zodat vervolgens ruimtelijke informatie tussen organisaties in de publieke sector over het milieu kan worden uitgewisseld. De Richtlijn Open Data en hergebruik overheidsinformatie stelt bedrijven, burgers en onderzoeksinstellingen in staat om een verzoek in te dienen voor het beschikbaar maken van overheidsinformatie. Het kan hierbij, bijvoorbeeld, gaan om statistieken of geografische informatie.

Op de webpagina INSPIRE-richtlijn en de webpagina hergebruik overheidsinformatie kunt u meer lezen over beide richtlijnen.

Toegang tot data in uitzonderlijke situaties van groot openbaar belang

Zoals hierboven aangegeven maakt de Data Act het mogelijk voor overheidsinstanties om toegang te krijgen tot data die in het bezit is van de particuliere sector en die noodzakelijk is voor specifieke doeleinden van algemeen belang. Het betreft dus data die in het bezit is van een houder van data. Dit is een rechtspersoon of natuurlijke persoon die het recht of de plicht heeft om bepaalde data beschikbaar te stellen. Dat recht en die plicht heeft de houder op grond van deze verordening, het toepasselijke recht van de Unie of nationale wetgeving tot uitvoering van het recht van de Unie, of in het geval van niet-persoonsgebonden gegevens op basis van de controle over het technisch ontwerp van het product en de bijbehorende diensten.

Het beschikbaar stellen van data voor het algemeen belang wordt geregeld in hoofdstuk vijf van het voorstel voor de Data Act. De plicht om data beschikbaar te stellen geldt in het geval van een uitzonderlijke behoefte. Hiervan is sprake wanneer:

  • de gevraagde data noodzakelijk is om te kunnen reageren op een noodsituatie;
  • het verzoek om data beperkt is in tijd en omvang en noodzakelijk is om een openbare noodsituatie te voorkomen of om te kunnen herstel van een openbare noodsituatie;
  • het gebrek aan beschikbare data de openbare (EU-)instantie verhindert in het vervullen van een bepaalde taak in het algemeen belang die uitdrukkelijk bij wet is geregeld en:
    • de openbare (EU-)instantie niet in staat is geweest om de data op een alternatieve wijze te verkrijgen en het vaststellen van nieuwe wetgevende maatregelen de tijdige beschikbaarheid van data niet kunnen waarborgen. Het verkrijgen van data op een alternatieve wijze omvat onder meer het kopen van de data tegen marktprijzen of door een beroep te doen op bestaande verplichtingen om data beschikbaar te stellen, of;
    • het verkrijgen van data op grond van deze procedure verlaagt de administratieve lasten voor de houders van data of andere ondernemingen.

Bij het doen van een verzoek tot het verkrijgen data moet de openbare instantie op grond van artikel 17 onder meer specificeren om welke data het gaat, de uitzonderlijke behoefte aantonen en de termijn vermelden waarbinnen de data beschikbaar moeten worden gesteld. Een verzoek om data moet daarnaast zo veel mogelijk zien op niet-persoonlijke data, evenredig zijn en zonder vertraging openbaar worden gemaakt.

Stand van zaken: Wetgevingsproces

De Data Act is tijdens de Telecomraad van juni 2022 door de betrokken ministers besproken. Hiervoor is het, zoals hierboven aangegeven, ook binnen de commissie voor Digitale Zaken aan bod gekomen. De ministers steunden de belangrijkste doelstellingen. Er zal echter nog verder gewerkt worden aan het voorstel. Een belangrijk punt dat nog voor het aannemen van de Data Act moet worden geanalyseerd, is de bevoegdheid van de toekomstige op nationaal niveau aangewezen instanties op zaken die onder meerdere regelingen vallen.

De Data Act treedt, nadat het wordt aangenomen, 20 dagen na bekendmaking in het Publicatieblad van de Europese Unie in werking. Pas 12 maanden hierna is het van toepassing in alle lidstaten.

Ondanks dat de datum van inwerkingtreding van de Data Act nog in de toekomst ligt, is de Autoriteit Consument & Markt (ACM) bezig met het beoordelen van de impact die de wet heeft. Na marktonderzoek heeft de organisatie geconcludeerd dat er aanpassingen nodig zijn in de Data Act om concurrentie tussen cloudaanbieders te stimuleren.

Wat betekent de Data Act voor decentrale overheden?

De Data Act betekent voor decentrale overheden dat zij toegang kunnen krijgen tot data die momenteel in eigendom zijn van particulieren bedrijven. Decentrale overheden kunnen in het geval van openbare noodsituaties deze data gebruiken voor doeleinden die het algemeen belang dienen. Wanneer sprake is van het aanpakken van een dergelijke noodsituatie, zal de data gratis worden verstrekt. In het geval van het voorkomen of herstellen van openbare noodsituaties, kan de houder van de data een vergoeding vragen. Dit is geregeld in artikel 20 van de verordening.

Ook clouddiensten vallen onder de Data Act. Decentrale overheden maken door de toenemende digitalisering van diensten steeds meer gebruik van clouddiensten. Omdat de Data Act de gebruiksvoorwaarden verbetert, wordt het gemakkelijker om gegevens en toepassingen over te brengen van de ene aanbieder naar de andere. Bovendien versterkt de Data Act het vertrouwen door het invoeren van verplichte waarborgen op cloudinfrastructuren.

Daarnaast krijgen overheidsinstanties meer ruimte om gebruik te maken van commerciële clouddiensten. Dat heeft staatssecretaris Van Huffelen aangekondigd in een brief aan de Tweede Kamer over een Rijksbreed cloudbeleid. Tot nu toe mochten overheidsinstanties alleen eigen clouddiensten gebruiken. De nieuwe cloudstrategie vervangt het huidige beleid, dat dateert uit 2011.

Volgens Van Huffelen kan de cloud bij goed en veilig gebruik zorgen voor een innovatieve, transparante en flexibele digitale Rijksoverheid. De overheid werkte momenteel nog niet met commerciële clouddiensten omdat er ook risico’s aan kunnen kleven, zoals hackaanvallen. De staatssecretaris stelt voor het gebruik van de cloud strikte voorwaarden op het gebied van beveiliging en privacy. Zo zijn overheidsinstellingen verplicht vooraf een risicoanalyse te maken, mag de cloud niet gebruikt worden voor het opslaan of verwerken van Informatie met betrekking tot staatsgeheimen en mogen er geen diensten worden afgenomen van leveranciers met een actief cyberprogramma  gericht tegen Nederlandse belangen.