Op deze pagina:
In februari 2020 publiceerde de Europese Commissie de Europese datastrategie. De strategie bevat initiatieven om de data-economie in de periode 2020 tot en met 2024 te ondersteunen. Een groot deel van die initiatieven zijn inmiddels uitgevoerd of vertaald in EU-wetgeving. In dit dossier wordt ingegaan op de EU-wetgeving op het gebied van data.
Naar boven
Verordening (EU) 2023/2854 - de Dataverordening - verplicht fabrikanten en dienstverleners onder meer om hun gebruikers, zowel bedrijven als particulieren, toegang te geven tot de data die zijn ontstaan door het gebruik van hun producten of diensten – van koffiemachines tot windturbines – en deze te hergebruiken. De verordening beoogt ook het overstappen tussen aanbieders van dataverwerkingsdiensten te vergemakkelijken, voorziet in waarborgen tegen onrechtmatige data-overdracht en in de ontwikkeling van interoperabiliteitsnormen voor data die tussen sectoren kunnen worden hergebruikt. De Dataverordening heeft tot doel om geharmoniseerde regels voor een eerlijke toegang tot- en een eerlijk gebruik van- gegevens vast te stellen. Daartoe stelt de verordening een kader voor onder meer de volgende situaties: - het beschikbaarstellen van productgegevens en gegevens van gerelateerde diensten aan gebruikers van een verbonden product of gerelateerde dienst; - het beschikbaar stellen van gegevens door gegevenshouders aan gegevensontvangers; - oneerlijke contractuele bedingen met betrekking tot de toegang tot- en het gebruik van- gegevens tussen ondernemingen; - het beschikbaar stellen van gegevens door gegevenshouders aan overheidsinstanties, de Europese Commissie, de Europese Centrale Bank en organen van de Unie, indien er sprake is van een uitzonderlijke noodzaak aan die gegevens voor de uitvoering van een specifieke taak in het algemeen belang; - het vergemakkelijken van het overstappen tussen dataverwerkingsdiensten (aanbieders van cloud- en edgediensten); - het invoeren van waarborgen tegen ongeoorloofde toegang van derde landen tot niet-persoonsgebonden gegevens; - de ontwikkeling van interoperabiliteitsnormen voor dataruimten, dataverwerkingsdiensten en slimme contracten. Gebruik van gegevens uit verbonden producten Hoofdstuk II van de Dataverordening heeft betrekking op verbonden producten en gerelateerde diensten. Onder verbonden producten worden producten verstaan die gegevens over hun prestaties, gebruik of omgeving genereren of verzamelen, bijvoorbeeld door middel van een sensor, en die deze gegevens via een netwerk kunnen communiceren. Hieronder kunnen een breed scale aan producten vallen, zoals consumentengoederen als koelkasten, horloges, maar ook medische apparatuur en industriele machines. Gerelateerde diensten zijn diensten, zoals software, die noodzakelijke zijn voor een product om een of meer van diens functies uit te voeren. Gebruikers moeten makkelijk, veilig en kosteloos toegang kunnen krijgen tot gegevens die verbonden producten genereren en deze met derden kunnen delen. Overstappen tussen dataverwerkingsdiensten Hoofdstuk VI van de Dataverordening stelt regels vast voor aanbieders van cloud- en edgediensten (dataverwerkingsdiensten). Hieronder valt een breed spectrum aan diensten die via cloud- of edgetechnologie worden aangeboden, zowel cloudinfrastructuurdiensten als cloudsoftwarediensten. Het doel van dit hoofdstuk is om concurrentie in de markt voor dataverwerkingsdiensten te stimuleren en de transparantie en controle voor gebruikers van dataverwerkingsdiensten te vergroten. De verordening legt de oorspronkelijke aanbieders van dataverwerkingsdiensten, klanten en bestemmingsaanbieders van dataverwerkingsdiensten verschillende plichten en verantwoordelijkheden op in het proces van overstap. Samen zijn zij verplicht te goeder trouw samen te werken om het overstapproces doeltreffend te laten verlopen en zij moeten zich inzetten voor een tijdige overstap en voor het waarborgen van de continuiteit van de dataverwerkingsdienst. Beschikbaar stellen van gegevens door gegevenshouders aan overheidsinstanties In het geval van een 'uitzonderlijke noodzaak' krijgen overheidsinstanties en bepaalde EU-instanties onder hoofdstuk V van de Dataverordening de bevoegdheid om gegevens op te vragen bij gegevenshouders (niet zijnde overheidsorganisaties). De verordening beoogt te voorkomen dat overheidsinstanties in onvoorziene situaties door een gebrek aan gegevens worden belemmerd in het uitvoeren van hun wettelijke taken. Een uitzonderlijke noodzaak om bepaalde gegevens op te vragen wordt bepaald door specifieke omstandigheden en is altijd beperkt in tijd en reikwijdte. Er zijn twee soorten situaties te onderscheiden waarin sprake is van een dergelijke uitzonderlijke noodzaak: 1) wanneer een overheidsinstantie bepaalde gegevens nodig heeft om te reageren op een algemene noodsituatie (bijvoorbeeld pandemieen, natuurrampen en cyberincidenten) en de instantie deze gegevens niet op een andere manier, en in gelijkwaardige omstandigheden tijdig en doeltreffend kan verkrijgen, en 2) wanneer het ontbreken van de specifieke gegevens een overheidsinstantie ervan weerhoudt een wettelijke taak van algemeen belang te vervullen. Denk aan het opstellen van officiele statistieken, beperking van- of herstel na een algemene noodsituatie. In deze situaties kan een overheidsinstantie alleen gegevens opvragen als het alle andere manieren om de gegevens tijdig te verkrijgen heeft uitgeput. De verordening bevat een uitgebreide procedure voor het opvragen van gegevens, inclusief regels over privacy, gegevensbeveiliging, financiele compensatie, het informeren van de datacoordinator en mogelijkheden voor gegevenshouders om bezwaar te maken.
Richtlijn (EU) 2019/1024 betreft een update van eerdere EU-hergebruikrichtlijnen en bevat een juridisch kader voor het hergebruik van overheidsinformatie die in het bezit is van openbare lichamen of overheidsondernemingen en voor het hergebruik van door de overheid gefinancierde onderzoeksgegevens. Hergebruik houdt in dat de informatie of onderzoeksgegevens worden gebruikt door natuurlijke personen (burgers) of rechtspersonen (ondernemingen). De richtlijn wordt ook wel de Open Data-richtlijn genoemd, en is sinds 17 juli 2021 van toepassing. Implementatie van de richtlijn heeft plaatsgevonden via de Nederlandse Wet hergebruik overheidsinformatie (Who), die per juni 2024 in werking is getreden. Hergebruik als bedoeld in de richtlijn en de Who ziet op mogelijkheden voor burgers om openbare (niet-gevoelige) overheidsgegevens te gebruiken voor secundair gebruik en sluit daarmee grotendeels aan op de Nederlandse Wet open overheid (Woo; opvolger van de Wet Openbaarheid van Bestuur (Wob)). Overheidsorganisaties moeten in dat verband openbare gegevens zo gemakkelijk, goedkoop en vindbaar mogelijk beschikbaar stellen. Nieuw is sinds de Open Data-richtlijn dat gegevens niet alleen maar op verzoek beschikbaar moeten worden gesteld, maar ook zoveel mogelijk actief. Voor sommige gegevenscategorieen is er zelf een verplichting tot actieve openbaarmaking. Daarnaast moeten ingevolge richtlijn en implementatiewetgeving dynamische gegevens (zoals sensorgegevens, liveverkeersinformatie etc.) waar mogelijk ook dynamisch beschikbaar worden gesteld. Achterliggende gedachte hierbij is dat met al deze gegevens nieuwe innovatieve producten kunnen worden ontwikkeld die economie en wetenschap stimuleren.
Naast dit hergebruik van openbare ongevoelige gegevens, bevat de Datagovernanceverordening ook een mechanisme om het hergebruik van bepaalde niet-openbare gegevens onder bepaalde omstandigheden te stimuleren. Zie hierna meer informatie.
Verordening (EU) 2022/868 - de Datagovernanceverordening - heeft tot doel de beschikbaarheid van gegevens voor gebruik te bevorderen door het vertrouwen in gegevensbemiddelaars te vergroten en door de mechanismen voor gegevensdeling in de hele EU te versterken. De verordening voorziet in een kader voor: - hergebruik van beschermde overheidsgegevens; - het delen van gegevens door burgers of organisaties via een databemiddelingsdienst; - het delen van data op altruistische gronden; - de oprichting van het Europees Comite voor gegevensinnovatie; - internationale toegang tot- en doorgifte van niet-persoonsgebonden gegevens.
De Datagovernanceverordening voorziet in een mechanisme voor veilig hergebruik van bepaalde categorieën overheidsgegevens waarop rechten van anderen van toepassing zijn. Voorbeelden zijn bedrijfsgeheimen, persoonsgegevens die buiten het toepassingsgebied van de richtlijn open data vallen en door intellectuele-eigendomsrechten beschermde gegevens (artikel 3, lid 1). Openbare instanties die dit soort hergebruik toestaan, zullen de nodige technische maatregelen moeten nemen om privacy en vertrouwelijkheid volledig te kunnen waarborgen. In dat opzicht is de datagovernanceverordening een aanvulling op de richtlijn open data, (zie vorige paragraaf hierboven), die niet van toepassing is op dergelijke gegevenscategorieën.
Exclusiviteitsregelingen voor het hergebruik van overheidsgegevens zullen mogelijk zijn als deze gerechtvaardigd en nodig zijn voor het verrichten van een dienst van algemeen belang (artikel 4, lid 2). De Commissie zet een Europees centraal toegangspunt op met een doorzoekbaar elektronisch register van overheidsgegevens (artikel 8, lid 4). Dit register zal beschikbaar zijn via nationale centrale informatiepunten.
De Datagovernanceverordening schept een kader ter bevordering van een nieuw bedrijfsmodel – 'databemiddelingsdiensten' – dat bedrijven of particulieren een veilige omgeving moet bieden voor het delen van gegevens. Voor bedrijven kan dat bijvoorbeeld digitale platforms betreffen, die vrijwillige gegevensuitwisseling tussen bedrijven ondersteunen of de nakoming faciliteren van de wettelijke verplichtingen voor gegevensdeling volgens deze of andere wetgeving, op Europees of nationaal niveau. Bedrijven moeten hun gegevens kunnen delen zonder vrees voor misbruik of verlies van concurrentievoordeel. Bij databemiddelingsdiensten gaat het om dienstverlening door partijen die gericht zijn op het tot stand brengen van commerciele relaties met het oog op het delen van data tussen datahouders (de partij die het recht heeft om toegang te verlenen tot data) en datasubjecten (geidentificeerde of identificeerbare natuurlijke personen op wie de persoonsgegevens betrekking hebben) enerzijds en datagebruikers (degene die toegang heeft tot data en die het recht heeft om data te gebruiken) anderzijds. Het gaat bijvoorbeeld om datamarktplaatsen waarbij potentiele datagebruikers gekoppeld worden aan partijen die hun data willen delen via een platform. Databemiddelingsdiensten zijn verplicht zich vooraf te melden bij de bevoegde autoriteit en zij moeten voldoen aan de eisen uit de Datagovernanceverordening (artikel 12).
Voor persoonsgegevens kunnen particulieren bij de databemiddelingsdiensten, en de aanbieders ervan, ondersteuning krijgen bij de uitoefening van hun rechten op grond van de algemene verordening gegevensbescherming (AVG). Dat moet hen helpen de volledige controle over hun gegevens te verschaffen en hen in staat stellen hun gegevens te delen met een bedrijf dat zij vertrouwen.
Aanbieders van databemiddelingsdiensten worden in een register opgenomen, zodat hun cliënten weten dat zij betrouwbaar zijn (artikel 10, lid 11 AVG). De aanbieders mogen gedeelde gegevens niet voor andere doeleinden gebruiken (artikel 12, onder a AVG). Ook mogen zij er geen voordeel uit halen, bijvoorbeeld via doorverkoop. Wel mogen ze uitgevoerde transacties in rekening brengen.
De Datagovernanceverordening maakt het voor particulieren en bedrijven ook makkelijker om vrijwillig gegevens beschikbaar te stellen voor het algemeen belang, zoals voor medische onderzoeksprojecten. Entiteiten die gegevens willen verzamelen voor doeleinden van algemeen belang, kunnen zich laten opnemen in een nationaal register van erkende organisaties op het gebied van data-altruïsme (artikel 19, lid 1). Geregistreerde organisaties zullen in de hele EU worden erkend. Dat zal het nodige vertrouwen in data-altruïsme scheppen en particulieren en bedrijven aanmoedigen gegevens aan deze organisaties te doneren zodat ze kunnen worden gebruikt voor het bredere maatschappelijke belang.
Als een organisatie in het kader van de datagovernanceverordening erkend wil worden als een data-altruïsme-organisatie, zal ze specifieke regels moeten naleven.
Dankzij vrijwillige certificering in de vorm van een logo zullen aanbieders van gegevensuitwisselingsdiensten en data-altruïsme-organisaties die de regels naleven, gemakkelijk herkenbaar zijn (zie artikel 11, lid 9 en artikel 17, lid 2)
Het Europees Comité voor gegevensinnovatie adviseert en assisteert de Europese Commissie onder meer bij verschillende aan de data-economie gerelateerde thema's en bij het interoperabeler maken van gegevensbemiddelingsdiensten. Het bestaat uit de (beoogde) toezichthouders op de Datagovernanceverordening en de Dataverordening. Het comite draagt bij aan de Europese coordinatie van dit toezicht.
Ten aanzien van overheidsgegevens, gegevensuitwisselingsdiensten en data-altruïsme-organisaties biedt de Datagovernanceverordening waarborgen tegen onrechtmatige internationale doorgifte van niet-persoonsgebonden gegevens of raadpleging daarvan door de overheid. Voor persoonsgegevens beschikt de EU via de AVG reeds over dergelijke waarborgen.
De Commissie kan met name – door middel van afgeleide wetgeving – adequaatheidsbesluiten aannemen waarin ze verklaart dat specifieke niet-EU-landen passende waarborgen bieden voor het gebruik van niet-persoonsgebonden gegevens die vanuit de EU worden doorgegeven. Deze besluiten zouden vergelijkbaar zijn met de adequaatheidsbesluiten over persoonsgegevens in het kader van de AVG. Dergelijke passende waarborgen moeten worden geacht te bestaan wanneer er in dat derde land gelijkwaardige maatregelen bestaan die een beschermingsniveau garanderen dat vergelijkbaar is met dat van het EU-recht of het recht van de lidstaat.
De Commissie kan ook modelcontractbepalingen uitvaardigen om overheidsinstanties en hergebruikers te ondersteunen bij de doorgifte aan derde landen van niet-persoonsgebonden gegevens die onder de Datagovernanceverordening vallen.
In de Europese datastrategie van 2020 wordt de oprichting van domeinspecifieke gemeenschappelijke Europese gegevensruimten voor het delen en bundelen van gegevens voorgesteld. Het betreft een interne gegevensmarkt waarin gegevens kunnen worden gebruikt, ongeacht de plaats in de Europese Unie waar ze zijn opgeslagen, in overeenstemming met het toepasselijke recht. De gemeenschappelijke Europese gegevensruimten moeten ervoor zorgen dat gegevens vindbaar, toegankelijk, interoperabel en herbruikbaar zijn (de zogenaamde FAIR-gegevensbeginselen) en tegelijkertijd een hoog niveau van cyberveiligheid waarborgen. Achterliggende gedachte is dat indien sprake is van een gelijk speelveld in de data-economie, ondernemingen concurreren op kwaliteit van diensten en niet op de hoeveelheid gegevens die onder hun beheer staan.
Verordening (EU) 2025/327 betreffende een Europese ruimte voor gezondheidsgegevens (de EHDS; European Health Data Space) is het eerste voorstel voor een dergelijk gemeenschappelijke gegevensruimte, en dan op het gebied van de gezondheidszorg en de zorgsector. De verordening beslaat drie onderdelen: primair en secundair datagebruik en regulering van de zorg-ICT-markt. Het primaire gebruik van gezondheidsgegevens stelt de burger centraal en geeft hen rechten waarmee zij meer controle en zeggenschap krijgen op de toegang en gebruik van elektronische gezondheidsgegevens over hen voor de levering van zorg. Het secundaire gebruik behelst het gebruik van elektronische gezondheidsgegevens voor andere maataschappelijke doelen zoals wetenschappelijk onderzoek, innovatie en beleidsvorming. Het derde onderdeel betreft de ontwikkeling van een interne markt voor digitale gezondheidsproducten en -diensten, zoals elektronische patientendossiersystemen. Met de EDHS worden de regels voor (product)veiligheid, beveiliging en interoperabiliteit binnen de EU geharmoniseerd, hetgeen onder meer moet bijdragen aan de effectiviteit en efficiency van de gezondheidszorg. Lidstaten moeten er voor zorgdragen dat gezondheidsgegevens voor primair en secundair gebruik op een veilige en verantwoorde manier toegankelijk worden gemaakt.
Voor overige (beoogde) gemeenschappelijke Europese gegevensruimten zijn (nog) geen specifieke Europese regels vastgesteld. Hier wordt geopereerd op basis van de kaders uit de Dataverordening en Datagovernanceverordening.
06-06-2025
Nederland heeft EU-richtlijn 2019/1024 inzake open data en hergebruik overheidsinformatie te laat omgezet in nationaal recht. De uiterste datum voor de implementatie was 17 juli 2021, terwijl de nieuwe Wet hergebruik van ...
