Digitalisering

Afbeeldingsbanner - Digitalisering

© Loes van der Meer

Digitalisering

Op deze pagina:

 

Inleiding

De Europese Commissie heeft in februari 2020 een mededeling uitgebracht waarin de strategie voor het bereiken van de digitale toekomst van de Europese Unie wordt vormgegeven (hierna: digitaliseringsstrategie). De digitaliseringsstrategie heeft de volgende doelstellingen: bedrijven nieuwe mogelijkheden bieden, de ontwikkeling van betrouwbare technologie stimuleren, een open en democratische samenleving bevorderen, een duurzame economie mogelijk maken en bij te dragen aan de klimaatbescherming door middel van digitale oplossingen en wetgeving. 

De voornaamste Europese wetgeving op het gebied van digitalisering is vastgesteld op grond van artikel 114 EU-Werkingsverdrag. Dit artikel voorziet in de vaststelling van maatregelen om de werking van de interne markt te waarborgen. De interne markt van de EU omvat ook de digitale markt. Daarnaast bieden de artikelen 179 en 180 van het EU-Werkingsverdrag belangrijke rechtsgrondslagen voor activiteiten van de Europese Unie – aan te vullen door de lidstaten - op het gebied van de (ontwikkeling en verspreiding van) (informatie)technologie.

In dit ECER-dossier wordt ingegaan op een aantal voorname maatregelen die de EU heeft vastgesteld om de digitale markt te reguleren. Ten eerste wordt de bestaande EU-wetgeving op het gebied van digitalisering besproken, zoals de EU-Verordeningen over de digitale toegangspoort (SDG), het vrij verkeer van niet-persoonsgebonden gegevens, cyberbeveiliging en de EU-richtlijn open data. Daarna volgt een toelichting op Europese wetgevingsvoorstellen op het gebied van digitalisering, zoals het voorstel voor een verordening over interoperabiliteit tussen overheidsdiensten.

Naar boven

 

De EU-digitaliseringsstrategie: drie pijlers

In de digitaliseringsstrategie uit 2020 beschrijft de Commissie dat zij voornemens is om de komende jaren wetsvoorstellen in te dienen ter bevordering van de digitale agenda. De Commissie deelt deze wetsvoorstellen in onder drie pijlers: 

De eerste pijler draagt de titel ‘Technologie die werkt voor mensen'. De Commissie zal onder meer investeren in de digitale vaardigheden van EU-burgers en wil EU-burgers beschermen tegen cyberdreigingen. Daarnaast wil de Commissie ervoor zorgen dat kunstmatige intelligentie op verantwoorde manier wordt ontwikkeld op een wijze die in overeenstemming met de mensenrechten is, dat supersnelle breedband sneller zal worden uitgerold binnen de EU en dat de Europese supercomputercapaciteit zal worden uitgebreid ter behoeve van wetenschappelijk onderzoek en verdere innovatie.

De tweede pijler draagt de titel 'Een eerlijke en concurrerende digitale economie'. De Commissie wil startups en kleine ondernemingen helpen bij het verkrijgen van financiering op dit vlak. Ook wil de Commissie de aansprakelijkheid van online platforms vergroten en de regels voor online diensten verduidelijken. Daarnaast wil de Commissie garanderen dat de EU-regels geschikt zijn voor de digitale economie, ervoor zorgen dat de concurrentie eerlijk blijft op het digitale vlak en de toegang tot hoogwaardige data tegelijkertijd vergroten en de daarbij behorende gegevens beschermen.

De derde pijler draagt de titel 'Een open, democratische en duurzame samenleving'. De Commissie wil de EU (ook) door middel van (informatie)technologie tegen 2050 klimaatneutraal maken. Daarnaast beoogt de Commissie de koolstofemissies van de digitale sector terug te dringen en de burgers meer controle te geven over hun data en gegevens. Ook wil de Commissie een Europese ruimte voor gezondheidsgegevens creëren en online-desinformatie bestrijden. 

Bij de uitrol en uitvoering van de Digitale strategie spelen verschillende partijen en belangen een rol en het onderwerp digitalisering staat steeds prominenter op de agenda. Meer specifiek brengt dit voor overheidspartijen onder meer met zich mee dat ook de digitalisering van overheidsdiensten (e-government) een steeds belangrijker aandachtspunt zal worden.

ECER-berichten:

  • ECER-bericht: Europese Commissie presenteert verklaring met digitale rechten en beginselen voor iedereen in de EU (27 januari 2022)
  • ECER-bericht: Nieuwe EU-Verordening tot vaststelling van de doelstellingen, begroting en financiering van het programma Digitaal Europa (1 juni 2021)

Naar boven

 

Het Digitaal Kompas 2030 en digitalisering overheidsdiensten

In maart 2021 presenteerde de Europese Commissie haar visie op de digitale transitie van de EU richting 2030. In de mededeling “Digitaal kompas 2030: de Europese aanpak voor het digitale decennium” wordt onder meer aangegeven dat de Commissie samen met de lidstaten overeenstemming wil bereiken over een reeks digitale beginselen, dat meerlandenprojecten worden opgestart en dat een wetgevingsvoorstel zal worden opgesteld (het digitale kompas) dat een governancekader zal bieden om de verdere digitale transformatie te kunnen monitoren. 

Eén van de hoofdpunten bij de digitale ambities betreft de digitalisering van overheidsdiensten, waarbij bijvoorbeeld ook de verdere implementatie van de eIDAS-verordening (EU-Verordening 910/2014) - over de erkenning van een Europese digitale ID - een rol speelt. 

De Europese eIDAS-verordening is sinds 29 september 2018 volledig van toepassing (zie ook artikel 52 van de verordening over de stapsgewijze toepassing). Vanaf dat moment moeten publieke organisaties en private organisaties met een publieke taak Europees erkende inlogmiddelen accepteren binnen de digitale dienstverlening.

ECER-berichten

  •  ECER-bericht: Europese Commissie presenteert het Digitale kompas naar 2030 (12 maart 2021)
  • ECER-bericht: Europese Commissie presenteert voorstel voor een Europese digitale identiteit (16 juni 2021)

Meer informatie:

Naar boven

 

Wetgeving

Een digitale toegangspoort: de SDG-verordening

In verordening 2018/1724 heeft de EU voorschriften vastgesteld voor het opzetten van één digitale toegangspoort tot (informatie over) overheidsprocedures. Het gaat om een online loket waar burgers en bedrijven bijvoorbeeld informatie kunnen vinden over vergunningen, wonen, werken, reizen, onderwijs en andere administratieve procedures. Deze verordening wordt ook wel de Single Digital Gateway (SDG)-verordening genoemd. 

De SDG-verordening beoogt de eenvoudige onlinetoegang van burgers en bedrijven tot informatie, administratieve procedures en diensten voor ondersteuning en probleemoplossing die zij nodig hebben om hun rechten op de interne markt uit te kunnen oefenen, te vergemakkelijken. De toegang tot diensten voor ondersteuning en probleemoplossing wordt vergemakkelijkt in het geval burgers en bedrijven bijvoorbeeld problemen ondervinden bij die uitoefening van hun rechten met betrekking tot de interne markt wanneer zij in een andere EU-lidstaat wonen of zakendoen. 

De toegangspoort zou kunnen bijdragen tot meer transparantie van regels en voorschriften voor verschillende zakelijke en levensgebeurtenissen op gebieden zoals reizen, pensioen, onderwijs, werkgelegenheid, gezondheidszorg, consumentenrechten en de rechten van het gezin. Bovendien kan de toegangspoort bijdragen aan versterking van het consumentenvertrouwen, de aanpak van het gebrek aan kennis over consumentenbeschermings- en interne marktregels en de nalevingskosten voor bedrijven kunnen verminderen. Door middel van verordening 2018/1724 wordt een toegangspoort opgericht die gebruikersvriendelijk en interactief is en die de gebruikers, op basis van hun behoeften, naar de meest geschikte diensten moet leiden. 

Naar boven

De digitale toegangspoort: toegang tot wat?

De te realiseren digitale toegangspoort moet ten eerste toegang bieden tot informatie over de verplichtingen en rechten die van toepassing zijn op  EU-burgers, natuurlijke personen met een verblijfsplaats in een EU-lidstaat of een rechtspersoon met statutaire zetel in een EU-lidstaat (hierna: gebruikers; zie artikel 3). 
Ten tweede moet de digitale toegangspoort toegang bieden tot informatie over online- en offlineprocedures (artikel 2, sub b) die gebruikers in staat stellen om hun rechten uit te oefenen en verplichtingen na te leven (sub a). Tenslotte moet de digitale toegangspoort ook toegang bieden tot  informatie over diensten voor ondersteuning als gebruikers vragen hebben over hun rechten en plichten (sub c) (artikel 2). 

De informatie die de toegangspoort aanbiedt betreft zowel informatie over het nationale recht als het EU-recht (artikel 4). Gepaard met deze informatiediensten moeten er via de poort ook diensten voor ondersteuning en probleemoplossing aangeboden worden (artikel 7).

Sommige procedures moeten geheel digitaal worden aangeboden. Dit zijn bijvoorbeeld procedures zoals de aanvraag van een bewijs van verblijf, de registratie van een adreswijziging of de kennisgeving van bedrijfsactiviteiten (artikel 6 & bijlage II). Dergelijke procedures worden onder andere als ‘volledig online aangeboden’ beschouwd wanneer de identificatie van de gebruikers, het leveren van informatie, de ondertekening en de indiening van documenten allemaal elektronisch en volledig op afstand kunnen worden verricht. Gebruikers dienen - waar relevant - automatische en elektronische ontvangstbevestigingen of kennisgevingen te ontvangen en resultaten moeten ook elektronisch worden geleverd (artikel 6).

Naar boven

Kwaliteitsvereisten

De SDG-verordening bevat kwaliteitsvereisten voor de toegangspoort voor zowel de EU-lidstaten als de Europese Commissie. Informatie over de rechten en plichten van gebruikers (artikel 2, sub b) moet onder andere accuraat en gebruiksvriendelijk zijn. Ook moet duidelijk worden gemaakt wie de bevoegde instantie is voor de inhoud van de informatie, en hoe ondersteuningsdiensten gecontacteerd kunnen worden (artikel 9).

Daarnaast zijn er ook kwaliteitsvereisten in de SDG-verordening opgenomen voor de online- en offlineprocedures (artikel 2, sub b) die gebruikers in staat stellen hun EU-rechten op het gebied van de interne markt uit te oefenen en verplichtingen na te leven. Zo moet onder andere duidelijk en gebruiksvriendelijk worden uitgelegd welke relevante stappen gevolgd moeten worden, welke autoriteit verantwoordelijk is voor de procedure, hoe men zichzelf kan identificeren, zaken kan ondertekenen en hoe bewijs kan worden verstrekt (artikel 10).

Op grond van artikel 11 zorgen de lidstaten en de Commissie ervoor dat gebruikers, voordat zij een verzoek indienen voor een dienst tot ondersteuning en probleemoplossing (artikel 2 sub c), toegang hebben tot kwalitatieve informatie met een duidelijke, gebruiksvriendelijke uitleg over onder meer de aard, het doel en de te verwachten resultaten van de geboden dienst, de eventueel verschuldigde vergoedingen en de in acht te nemen termijnen.

De SDG-verordening legt tevens een verplichting op aan de Commissie om samen met de EU-lidstaten een technisch systeem voor de automatische uitwisseling van bewijs op te stellen (artikel 14). Daarnaast moeten procedures die beschikbaar zijn voor niet-grensoverschrijdende gebruikers ook beschikbaar zijn voor grensoverschrijdende gebruikers of moet er een alternatieve oplossing zijn. Dit moet allemaal gebeuren op niet-discriminatoire wijze (artikel 13).

De kwaliteitsvereisten worden gecontroleerd door nationale coördinatoren en de Commissie. Indien de kwaliteit verslechtert, kan de Commissie de nationale coördinator vragen corrigerende maatregelen te nemen, aanbevolen maatregelen bespreken in een coördinatiegroep, een brief met aanbevelingen sturen of de verbinding van de informatie met de digitale toegangspoort tijdelijk verbreken (artikel 17).

Naar boven

Gefaseerde toepassing

Op grond van artikel 39 treedt de SDG-Verordening per 12 december 2018 in werking en zullen verschillende bepalingen van deze verordening op verschillende momenten van toepassing worden. Zo geldt voor de bepalingen over de inrichting van het platform en de informatie die op dat platform moet komen, dat deze met ingang van 12 december 2020 van toepassing zijn. De bepalingen met betrekking tot vertaalde informatie en instructies over procedures op het platform zijn per 12 december 2022 van toepassing. Bepalingen over het grensoverschrijdend aanbieden van online procedures zijn vanaf 12 december 2023 van toepassing.

Meer informatie:

Naar boven

Verordening over vrij verkeer van niet-persoonsgebonden gegevens

In EU-verordening 2018/1807 – die als onderdeel van de digitaliseringsstrategie van de Europese Commissie is aangenomen - zijn voorschriften opgenomen om het vrij verkeer van niet-persoonsgebonden gegevens te waarborgen. Niet-persoonsgebonden gegevens zijn gegevens die niet gekoppeld zijn aan een identificeerbare of geïdentificeerde persoon (artikel 3, onder 1, verordening 2018/1807 en artikel 4, lid 1, verordening 2016/679 over de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens; zie hierover ook het ECER-dossier over Privacy). 

Om het vrij verkeer van niet-persoonsgebonden gegevens te verzekeren en om bestaande belemmeringen in dat verband weg te nemen, zijn in verordening 2018/1807 regels vastgesteld met betrekking tot gegevenslokalisatievereisten, de beschikbaarheid van gegevens voor bevoegde autoriteiten en de portabiliteit (dat wil zeggen de overdraagbaarheid; zie hierover ook overwegingen 29 en 30 van de verordening) van gegevens voor professionele gebruikers. Op deze drie onderwerpen wordt hieronder ingegaan.

Naar boven 

Gegevenslokalisatievereisten

Een gegevenslokalisatievereiste is elke verplichting, verbodsbepaling, voorwaarde, beperking of ander vereiste die de gegevensverwerking op het grondgebied van een bepaalde lidstaat verplicht stelt of die gegevensverwerking in een andere lidstaat belemmert (artikel 3, onder 5 van verordening 2018/1807). Dergelijke gegevenslokalisatievereisten zijn verboden, behalve wanneer zij in overeenstemming met het evenredigheidsbeginsel om redenen van openbare veiligheid gerechtvaardigd zijn . De lidstaten moeten ontwerphandelingen waarbij gegevenslokalisatievereisten worden ingevoerd of gewijzigd melden bij de Commissie. De lidstaten moeten daarnaast de details van de geldende wettelijke of bestuursrechtelijke bepalingen - waarin gegevenslokalisatievereisten op hun grondgebied zijn vastgelegd -beschikbaar stellen in een centraal nationaal (online-)informatiepunt (artikel 4).

Naar boven

Beschikbaarheid van gegevens voor bevoegde autoriteiten

Verordening 2018/1807 doet echter geen afbreuk aan de bevoegdheid van de nationale autoriteiten om gegevens te verzoeken en om deze te verkrijgen. De toegang tot gegevens mag een nationale autoriteit dan ook niet worden geweigerd op de enkele grond dat de gegevens in een andere lidstaat worden verwerkt. Een nationale autoriteit van een lidstaat die een andere lidstaat om gegevens heeft verzocht, mag sancties opleggen wanneer de andere lidstaat nalaat om de gegevens te verstrekken (artikel 5).

Naar boven

Gegevensportabiliteit 

Het zonder belemmeringen kunnen overdragen van gegevens (portabiliteit) is cruciaal voor de keuze van de gebruiker en voor de doeltreffende mededinging op de markt voor gegevensverwerkingsdiensten. Daarom regelt de verordening dat de Europese Commissie het opstellen van zelfregulerende gedragscodes moet bevorderen en faciliteren. Bij deze gedragscodes moeten de volgende aspecten worden meegenomen:

  • beste praktijken om het veranderen van dienstverlener en gegevensportabiliteit te vergemakkelijken;
  • minimale informatievereisten om ervoor te zorgen dat professionele gebruikers voor de sluiting van een gegevensverwerkingsovereenkomst voldoende gedetailleerde, duidelijke en transparante informatie krijgen over de toepasselijke processen, technische vereisten, termijnen en kosten wanneer professionele gebruikers bijvoorbeeld van dienstverlener willen veranderen;
  • benaderingen van certificeringsregelingen voor producten en diensten op het gebied van gegevensverwerking, om zo professionele gebruikers de mogelijkheid te geven om de kwaliteit van deze producten en diensten beter te vergelijken,  en waarbij rekening wordt gehouden met gevestigde nationale of internationale normen en; 
  • multidisciplinaire stappenplannen voor communicatie om  de gedragscodes bij de betrokken belanghebbenden onder de aandacht te brengen (artikel 6).

Naar boven

Procedure voor de samenwerking tussen nationale autoriteiten

Tenslotte verplicht verordening 2018/1807 de lidstaten om centrale aanspreekpunten aan te wijzen die voor de uitvoering van deze verordening samenwerken met aanspreekpunten van andere lidstaten en de Commissie. Indien autoriteiten dan toegang willen krijgen tot gegevens in een andere lidstaat, moet er een gemotiveerd verzoek bij het aanspreekpunt van die lidstaat worden ingediend. Het centrale aanspreekpunt stuurt vervolgens het verzoek door naar de bevoegde autoriteit in die lidstaat (artikel 7).

Naar boven

Meer informatie:

  • Richtsnoeren van de Commissie over de verordening inzake vrij verkeer van niet-persoonsgebonden gegevens

Verordening over cyberbeveiliging

Verordening 2019/881 voorziet in een uitbreiding van de bevoegdheden van het EU-agentschap voor cyberbeveiliging (hierna: Enisa) en een kader voor de vaststelling van Europese cyberbeveiligings-certificeringsregelingen om daarmee een toereikend niveau van cyberbeveiliging van ICT-producten, -diensten en –processen te waarborgen. Deze verordening wordt ook wel de cyberbeveiligingsverordening genoemd. 

Naar boven

EU-agentschap voor cyberbeveiliging (Enisa)

De belangrijkste verandering ten aanzien van Enisa is dat het agentschap een permanente status heeft gekregen. Het oorspronkelijke mandaat van Enisa zou op 19 juni 2020 aflopen (zie artikel 36, verordening 526/2013). Voorheen werd het mandaat van Enisa om de zoveel jaar verlengd door de Raad en het Europees Parlement. Met de inwerkingtreding van verordening 2019/881 is dat verlengingssysteem afgeschaft. 

Enisa heeft - naast een permanente status - ook nieuwe taken gekregen. De volledige takenlijst in de nieuwe verordening focust op verschillende zaken:

  • ten eerste moet Enisa bijdragen aan de ontwikkeling en uitvoering van het EU-beleid en het EU-recht op het gebied van cyberbeveiliging. Onder andere door bijstand en advies te verlenen bij de ontwikkeling en de herziening van dit EU-beleid en EU-recht. Daarnaast dient Enisa de lidstaten en de EU te helpen bij de consistente uitvoering en bij de ontwikkeling van EU-beleid over cyberbeveiliging (artikel 5);
  • ten tweede moet Enisa bijstand verlenen aan de lidstaten en de EU-instellingen bij de capaciteitsopbouw. Onder meer door de capaciteit van lidstaten om te reageren op cyberdreigingen-, kwetsbaarheden en incidenten te verbeteren  en door te helpen bij de ontwikkeling van strategieën voor de beveiliging van netwerk- en informatiesystemen (artikel 6);
  • ten derde moet Enisa operationele samenwerking op EU-niveau ondersteunen, door onder andere kennis van beste praktijken uit te wisselen, advies en richtsnoeren te verstrekken en praktische regelingen voor de uitvoering van specifieke taken vast te stellen. Daarnaast ondersteunt Enisa de operationele samenwerking door lidstaten advies te verstrekken over de versterking van de cybercapaciteiten, te helpen met de beoordeling van incidenten, het analyseren van kwetsbaarheden en incidenten en steun te verlenen met technische onderzoeken (artikel 7);
  • ten vierde dient Enisa de ontwikkeling van EU-beleid omtrent cyberbeveiligingscertificering te ondersteunen door onder andere ontwikkelingen op dit gebied te volgen, certificatieregelingen voor te bereiden en vastgestelde certificeringsregelingen te evalueren (artikel 8);
  • ten vijfde moet Enisa kennis en informatie verstrekken over opkomende technologieën, strategische lange-termijnanalyses van cyberbedreigingen en –incidenten verrichten, richtsnoeren en advies verstrekken over de beveiliging van specifieke infrastructuur en daarnaast een informatieportaal opzetten en publiek beschikbare informatie over significante incidenten verzamelen (artikel 9);
  • ten zesde dient Enisa bij te dragen aan het voorlichten van instanties en burgers over cyberbeveiliging (artikel 10);
  • ten zevende moet Enisa advies verlenen over onderzoeksbehoeften en prioriteiten omtrent cyberbeveiliging en ten slotte moet het agentschap bijdragen aan internationale samenwerking op het gebied van cyberbeveiliging door als waarnemer actief te zijn, beste praktijken uit te wisselen en de Commissie op verzoek van expertise te voorzien (artikel 11 en artikel 12).

Naar boven

Certificeringsysteem

Verordening 2019/881 voorziet ook in een kader voor de vaststelling van Europese cyberbeveiligingscertificeringsregelingen. Dergelijke certificeringsregelingen worden opgesteld en vastgesteld door Enisa op verzoek van de Commissie en de Europese Groep voor cyberbeveiligingscertificering (artikel 49). 

De Europese Commissie dient een voortschrijdend werkprogramma te publiceren met strategische prioriteiten voor toekomstige Europese certificeringsregelingen. Dit werkprogramma omvat een lijst van ICT-producten, diensten en processen die kunnen worden opgenomen binnen de toepassing van de certificeringsregeling. Deze opname gebeurt op basis van onder andere de nationale certificeringsregeling, marktvraag en ontwikkelingen in cyberdreigingen (artikel 47).

Het doel van een dergelijke cyberbeveiligingscertificeringsregeling is om onder andere vast te stellen dat gegevens beschermd zijn tegen onbedoelde verwerking, opslag, toegang, vernietiging of wijziging, evenals dat alleen bevoegden toegang hebben tot die gegevens en dat kwetsbaarheden worden opgespoord (artikel 51). Een dergelijke certificeringsregeling bevat onder andere het onderwerp en het toepassingsgebied van de regeling, het doel, de normen die bij de evaluatie worden gevolgd en - indien van toepassing - het zekerheidsniveau (artikel 54). 

Een ICT-product, dienst of proces kan drie verschillende zekerheidsniveaus krijgen. Het gaat om een basis, substantieel of hoog zekerheidsniveau. De keuze voor een zekerheidsniveau is afhankelijk van het risiconiveau. Voor zaken met een laag risiconiveau is het basiszekerheidsniveau voldoende. Elk zekerheidsniveau heeft eigen beveiligingsvoorschriften en procedures. Een basiszekerheidsniveau brengt mee dat technische documenten moeten worden getoetst. Een substantieel zekerheidsniveau brengt met zich mee dat geverifieerd moet worden dat er geen algemeen bekende kwetsbaarheden zijn en dat de benodigde beveiligingsfuncties goed zijn toegepast. Ten slotte houdt een hoog zekerheidsniveau in dat er getest moet worden op algemene bekende kwetsbaarheden, of de beveiligingsfuncties correct zijn, en de weerbaarheid tegen deskundige aanvallers moet getest worden door penetratietests (artikel 52). 

De controle op de conformiteit aan in een specifieke Europese cyberbeveiligingscertificeringsregeling opgenomen voorschriften gebeurt op verschillende wijzen. Allereerst kan worden bepaald dat de fabrikant of aanbieder van het ICT-product, dienst of proces zichzelf mag beoordelen op conformiteit, hoewel dit enkel is toegestaan wanneer er een laag risico is of het zekerheidsniveau basis is toegekend (artikel 53). De Commissie beoordeelt echter periodiek ook de efficiëntie van de vastgestelde certificeringsregelingen, evenals of bepaalde certificeringsregelingen verplicht zouden moeten worden gesteld voor bepaalde niveaus van cyberbeveiliging (artikel 56). Verder moeten er ook nog nationale certificeringsautoriteiten worden aangewezen die controleren op conformiteit, algemeen overzicht houden en certificaten kunnen afgeven (artikel 58 en artikel 60).

Naar boven

Meer informatie:

  • Europese Commissie: cybersecurity (EN)
  • Website Raad van de Europese Unie: cybersecurity
  • Website ENISA (EN)
  • Publicatiebureau van de Europese Unie: European Union Agency for Cybersecurity, Arcus, R., Sarri, A., Raising awareness of cybersecurity – A key element of national cybersecurity strategies, Arcus, R.(editor), Sarri, A.(editor), 2021, https://data.europa.eu/doi/10.2824/363629
  • ECER-bericht: Europese Cybersecurity Act van kracht (2 juli 2019)
  • ECER-bericht: Nieuwe wetgevingsvoorstellen voor betere cyber- en informatiebeveiliging binnen EU-instellingen, organisaties en instanties (23 maart 2022)
  • ECER-bericht: Europese Rekenkamer brengt verslag uit over cyberbeveiliging van Europese instellingen (31 maart 2022)

Hergebruik van overheidsinformatie: open data richtlijn

In richtlijn 2019/1024 wordt het juridische kader vastgesteld voor het hergebruik van overheidsinformatie die in het bezit is van openbare lichamen of overheidsondernemingen en voor het hergebruik van door de overheid gefinancierde onderzoeksgegevens. Hergebruik houdt in dat de informatie of onderzoeksgegevens worden gebruikt door natuurlijke personen (burgers) of rechtspersonen (ondernemingen). De richtlijn wordt ook wel de Open Data-richtlijn genoemd. Deze richtlijn vervangt richtlijn 2003/98, zoals gewijzigd bij richtlijn 2013/37 (PSI-richtlijn) inzake het hergebruik van overheidsinformatie. De Open Data-richtlijn is per 17 juli 2021 van toepassing.

Naar boven

Algemene regels

Richtlijn 2019/1024 bepaalt dat openbare lichamen verzoeken tot hergebruik dienen te behandelen en documenten - indien mogelijk- via elektronische weg verstrekken. De openbare lichamen moeten de documenten binnen een termijn van 20 werkdagen verstrekken indien er geen regels over termijnen zijn opgesteld. Bij uitgebreide of ingewikkelde verzoeken kan de termijn met 20 werkdagen worden verlengd (artikel 4). 

Naar boven

Voorwaarden voor hergebruik

Allereerst dienen openbare lichamen hun documenten beschikbaar te stellen in reeds bestaande formaten en talen, evenals in een formaat dat gemakkelijk bruikbaar is (artikel 5). Verder mogen openbare lichamen geen vergoeding rekenen voor hergebruik, tenzij het een terugvordering van de marginale kosten voor de benodigde maatregelen omtrent verspreiding van de documenten is. Deze regel geldt echter niet voor openbare lichamen die inkomsten moeten genereren om een groot deel van hun kosten te dekken, en voor bibliotheken, musea, archieven en overheidsondernemingen (artikel 6). Wanneer er echter wel een standaardvergoeding voor hergebruik is, moeten de voorwaarden en het bedrag vooraf worden vastgesteld en bekendgemaakt. Indien er geen sprake is van een standaardvergoeding, worden de relevante factoren voor de prijsberekening van tevoren aangegeven en wordt op verzoek de berekening van de vergoeding geleverd (artikel 7).

Overige voorwaarden die gesteld worden voor hergebruik moeten verder objectief, evenredig, niet-discriminerend zijn en gerechtvaardigd worden door een doel van algemeen belang. Ook mogen ze niet gebruikt worden om de mogelijkheden tot hergebruik nodeloos te beperken of de mededinging te beperken (artikel 8). Daarnaast mogen de voorwaarden voor hergebruik van documenten niet discriminerend zijn voor vergelijkbare categorieën van hergebruik (artikel 11).  

Met betrekking tot de mededinging mag er geen exclusiviteitsrecht worden verleend, tenzij het noodzakelijk is voor het verlenen van een dienst van algemeen belang. In dat geval moet echter om de drie jaar worden nagegaan of de redenen voor de exclusiviteitsregeling nog steeds geldig zijn. Een uitzondering daarop geldt wanneer een exclusief recht betrekking heeft op de digitalisering van culturele hulpbronnen, waarbij de periode van exclusiviteit in het algemeen niet langer dan tien jaar duurt. Indien die periode meer dan tien jaar bedraagt, wordt de duur ervan tijdens het elfde jaar en, indien van toepassing, daarna om de zeven jaar, getoetst (artikel 12).

Hergebruik moet verder gefaciliteerd worden door de lidstaten, die praktische regelingen moeten vaststellen die het zoeken naar voor hergebruik beschikbare documenten vereenvoudigen. Ook moeten de lidstaten de beschikbaarheid van onderzoeksgegevens ondersteunen door openaccessbeleid (het ondersteunen van de beschikbaarheid van onderzoeksgegevens middels nationale beleidsmaatregelen en relevante acties om met overheidsmiddelen gefinancierde onderzoeksgegevens beschikbaar te stellen) (artikel 9 en artikel 10).

Naar boven

Hoogwaardige datasets

In richtlijn 2019/1024 is ook een regeling opgenomen voor specifieke hoogwaardige datasets. Hoogwaardige datasets zijn documenten waarvan het hergebruik belangrijke voordelen biedt voor de samenleving, het milieu en de economie, met name vanwege hun geschiktheid voor het ontwikkelen van diensten en toepassingen met toegevoegde waarde en voor het scheppen van nieuwe, hoogwaardige en fatsoenlijke banen. Ook kunnen de op basis van die datasets ontwikkelde diensten of toepassingen met toegevoegde waarde vanwege het aantal potentiële begunstigden hoogwaardig zijn (zie artikel 2, lid 10). 

Met betrekking tot die hoogwaardige datasets kan de Commissie nadere uitvoeringshandelingen vaststellen. Die uitvoeringshandelingen kunnen de regelingen voor de publicatie en het hergebruik van de hoogwaardige datasets bepalen. Daarnaast kunnen de regelingen voorwaarden bevatten betreffende het hergebruik,  de formaten van data en metadata en de technische regelingen voor de verspreiding ervan. 

De vaststelling van hoogwaardige datasets gebeurt op basis van de beoordeling van hun potentieel om:

  • belangrijke sociaaleconomische of ecologische baten en innovatieve diensten te genereren; 
  • een groot aantal gebruikers – met name kleine en middelgrote ondernemingen- ten goede te komen; 
  • bij te dragen aan het genereren van inkomsten en; 
  • gecombineerd te worden met andere datasets (artikel 13 en artikel 14).

Een lijst van thematische categorieën van die hoogwaardige datasets kan gevonden worden in de eerste bijlage bij de richtlijn, en bevat categorieën zoals geospatiale en meteorologische data, statistiek en mobiliteit. De Commissie stelt een lijst vast met specifieke hoogwaardige datasets die onder de categorieën in bijlage I vallen en die in het bezit zijn van openbare lichamen en overheidsondernemingen. Die specifieke hoogwaardige datasets dienen kosteloos beschikbaar te zijn, machinaal leesbaar, via API’s (Applicatie Programma Interface) beschikbaar te worden gesteld en in voorkomend geval in de vorm van bulksgewijze downloads te worden verstrekt. 

Naar boven

Meer informatie:

Datagovernance

De datagovernanceverordening heeft tot doel de beschikbaarheid van gegevens voor gebruik te bevorderen door het vertrouwen in gegevensbemiddelaars te vergroten en door de mechanismen voor gegevensdeling in de hele EU te versterken. De verordening voorziet in de volgende elementen: 

Ruimer hergebruik van beschermde overheidsgegevens

De datagovernanceverordening voorziet in een mechanisme voor veilig hergebruik van bepaalde categorieën overheidsgegevens waarop rechten van anderen van toepassing zijn. Voorbeelden zijn bedrijfsgeheimen, persoonsgegevens die buiten het toepassingsgebied van de richtlijn open data vallen en door intellectuele-eigendomsrechten beschermde gegevens (artikel 3, lid 1). Openbare instanties die dit soort hergebruik toestaan, zullen de nodige technische maatregelen moeten nemen om privacy en vertrouwelijkheid volledig te kunnen waarborgen. In dat opzicht is de datagovernanceverordening een aanvulling op de richtlijn open data, (zie vorige paragraaf hierboven), die niet van toepassing is op dergelijke gegevenscategorieën.

Exclusiviteitsregelingen voor het hergebruik van overheidsgegevens zullen mogelijk zijn als deze gerechtvaardigd en nodig zijn voor het verrichten van een dienst van algemeen belang (artikel 4, lid 2). De Commissie zet een Europees centraal toegangspunt op met een doorzoekbaar elektronisch register van overheidsgegevens (artikel 8, lid 4). Dit register zal beschikbaar zijn via nationale centrale informatiepunten.

Nieuw bedrijfsmodel voor gegevensbemiddeling

De datagovernanceverordening schept een kader ter bevordering van een nieuw bedrijfsmodel – "gegevensbemiddelingsdiensten" – dat bedrijven of particulieren een veilige omgeving moet bieden voor het delen van gegevens. Voor bedrijven kunnen dat digitale platforms zijn, die vrijwillige gegevensuitwisseling tussen bedrijven ondersteunen of de nakoming faciliteren van de wettelijke verplichtingen voor gegevensdeling volgens deze of andere wetgeving, op Europees of nationaal niveau. Zo kunnen bedrijven hun gegevens delen zonder vrees voor misbruik of verlies van concurrentievoordeel.

Voor persoonsgegevens kunnen particulieren van deze diensten en de aanbieders ervan hulp krijgen bij de uitoefening van hun rechten op grond van de algemene verordening gegevensbescherming (AVG). Dat moet hun de volledige controle over hun gegevens verschaffen en hen in staat stellen hun gegevens te delen met een bedrijf dat zij vertrouwen. Daarvoor kunnen ze bijvoorbeeld nieuwe tools voor het beheer van persoonsgegevens gebruiken, zoals apps in de vorm van persoonlijke gegevensruimten of gegevensportefeuilles die op basis van toestemming van de gegevenshouder gegevens uitwisselen.

Aanbieders van dergelijke diensten worden in een register opgenomen, zodat hun cliënten weten dat zij betrouwbaar zijn (artikel 10, lid 11). De aanbieders mogen gedeelde gegevens niet voor andere doeleinden gebruiken (artikel 12, onder a). Ook mogen zij er geen voordeel uit halen, bijvoorbeeld via doorverkoop. Wel mogen ze uitgevoerde transacties in rekening brengen.

Data-altruïsme voor het algemeen belang

De datagovernanceverordening maakt het voor particulieren en bedrijven ook makkelijker om vrijwillig gegevens beschikbaar te stellen voor het algemeen belang, zoals voor medische onderzoeksprojecten.

Entiteiten die gegevens willen verzamelen voor doeleinden van algemeen belang, kunnen zich laten opnemen in een nationaal register van erkende organisaties op het gebied van data-altruïsme (artikel 19, lid 1). Geregistreerde organisaties zullen in de hele EU worden erkend. Dat zal het nodige vertrouwen in data-altruïsme scheppen en particulieren en bedrijven aanmoedigen gegevens aan deze organisaties te doneren zodat ze kunnen worden gebruikt voor het bredere maatschappelijke belang.

Als een organisatie in het kader van de datagovernanceverordening erkend wil worden als een data-altruïsme-organisatie, zal ze specifieke regels moeten naleven.

Herkenbaarheid van aanbieders

Dankzij vrijwillige certificering in de vorm van een logo zullen aanbieders van gegevensuitwisselingsdiensten en data-altruïsme-organisaties die de regels naleven, gemakkelijk herkenbaar zijn (zie artikel 11, lid 9 en artikel 17, lid 2)

Europees Comité voor gegevensinnovatie

Er zal een nieuwe structuur worden opgezet – het Europees Comité voor gegevensinnovatie – die de Commissie onder meer moet adviseren en assisteren bij het interoperabeler maken van gegevensbemiddelingsdiensten, en richtsnoeren moet uitbrengen over het faciliteren van de ontwikkeling van gegevensruimten (artikelen 29 en 30)

Internationale toegang tot en doorgifte van niet-persoonsgebonden gegevens

Ten aanzien van overheidsgegevens, gegevensuitwisselingsdiensten en data-altruïsme-organisaties biedt de datagovernanceverordening waarborgen tegen onrechtmatige internationale doorgifte van niet-persoonsgebonden gegevens of raadpleging daarvan door de overheid. Voor persoonsgegevens beschikt de EU via de AVG reeds over soortgelijke waarborgen.

De Commissie kan met name – door middel van afgeleide wetgeving – adequaatheidsbesluiten aannemen waarin ze verklaart dat specifieke niet-EU-landen passende waarborgen bieden voor het gebruik van niet-persoonsgebonden gegevens die vanuit de EU worden doorgegeven. Deze besluiten zouden vergelijkbaar zijn met de adequaatheidsbesluiten over persoonsgegevens in het kader van de AVG. Dergelijke passende waarborgen moeten worden geacht te bestaan wanneer er in dat derde land gelijkwaardige maatregelen bestaan die een beschermingsniveau garanderen dat vergelijkbaar is met dat van het EU-recht of het recht van de lidstaat.

De Commissie kan ook modelcontractbepalingen uitvaardigen om overheidsinstanties en hergebruikers te ondersteunen bij de doorgifte aan derde landen van niet-persoonsgebonden gegevens die onder de datagovernanceverordening vallen.

ECER-berichten:

  • ECER-bericht - EU-wetgeving inzake datagovernance definitief vastgesteld (8 juni 2022)
  • ECER-bericht - Europees Parlement stemt in met nieuwe Europese Data Governance verordening (12 april 2022)

 

Digitale markten (DMA)

Verordening 2022/1925 (de DMA-verordening) bevat duidelijke regels voor grote onlineplatforms ("poortwachters").  Poortwachters moeten ervoor zorgen dat zich uitschrijven van kernplatformdiensten even gemakkelijk is als zich daarop abonneren en dat de basisfuncties van instantmessagingdiensten interoperabel zijn (dat wil zeggen dat berichten, spraakberichten of bestanden tussen verschillende berichtenapps kunnen worden verzonden). Daarnaast moeten poortwachters zakelijke gebruikers toegang geven tot hun marketing- of advertentieprestatiegegevens op het onlineplatform. Verder moeten poortwachters de Commissie in kennis stellen van hun overnames en fusies.

Op grond van de DMA-verordening mogen poortwachters hun eigen producten of diensten niet gunstiger klasseren dan die van andere marktdeelnemers ('self-preferencing'). Daarnaast mogen poortwachters bepaalde apps of software niet vooraf installeren of beletten dat deze gemakkelijk kunnen worden verwijderd. Ook mogen poortwachters private gegevens die voor de ene dienst zijn verzameld niet gebruiken voor een andere dienst.

ECER-berichten:

  • ECER-bericht - Digitalemarktenverordening (DMA) in het EU-Publicatieblad gepubliceerd (12 oktober 2022)
  • ECER-bericht - Politiek akkoord over voorstel voor een verordening inzake digitale markten bereikt (28 maart 2022)

 

Digitale diensten (DSA)

Verordening 2022/2065 (de DSA-verordening) legt duidelijke verantwoordelijkheden en een verantwoordingsplicht vast voor aanbieders van intermediaire diensten, zoals sociale media, online marktplaatsen, zeer grote online platforms (VLOP's) en zeer grote online zoekmachines (VLOSE's). De regels zijn assymetrisch van opzet, wat betekent dat voor grotere intermediaire diensten met een aanzienlijke maatschappelijke impact (VLOP's en VLOSE's) strengere regels gelden.

De DSA-verordening bevat speciale verplichtingen voor online marktplaatsen om de online verkoop van illegale producten en diensten te bestrijden. Daarnaast introduceert de DSA-verordening maatregelen om illegale inhoud tegen te gaan en verplichtingen voor platforms om snel te reageren, met inachtneming van de grondrechten. Ook beoogt de DSA-verordening minderjarigen beter te beschermen door platforms te verbieden gerichte reclame te maken op basis van het gebruik van persoonsgegevens van minderjarigen. Verder verbiedt de DSA-verordening ook misleidende interfaces, bekend als 'dark patterns', en praktijken gericht op misleiding.

ECER-berichten:

  • ECER-bericht - Digitale dienstenverordening (DSA) definitief vastgesteld (1 november 2022)
  • ECER-bericht - Politiek akkoord tussen Europees Parlement en EU-lidstaten over wet inzake digitale diensten (25 april 2022)

 

Voorstellen van wetgeving

Wet inzake cyberweerbaarheid

Op 15 september 2022 heeft de Europese Commissie een voorstel gepresenteerd voor een zogenoemde wet inzake cyberweerbaarheid. Het voorstel voorziet in vereisten op het gebied van cyberbeveiliging gedurende de hele levenscyclus van producten met digitale elementen. Het voorstel omvat regels voor het op de markt brengen van producten met digitale elementen, om de cyberbeveiliging ervan te waarborgen. Daarnaast bevat het voorstel essentiële vereisten voor het ontwerp, de ontwikkeling en de vervaardiging van producten met digitale elementen, en verplichtingen voor marktdeelnemers met betrekking tot deze producten. Verder omvat het voorstel essentiële vereisten voor de procedures die fabrikanten moeten volgen om kwetsbare punten aan te pakken, om de cyberbeveiliging van producten met digitale elementen gedurende de gehele levenscyclus te waarborgen, en verplichtingen voor marktdeelnemers met betrekking tot deze procedures. Tenslotte zijn in het voorstel regels inzake markttoezicht en handhaving opgenomen. 

  • ECER-bericht - Europese Commissie presenteert nieuwe EU-cyberbeveiligingsregels voor beter beveiligde hardware en software (22 september 2022)

Naar boven

Verordening over interoperabiliteit tussen overheidsdiensten

Op 18 november 2022 heeft de Europese Commissie een voorstel gepresenteerd voor een verordening tot vaststelling van maatregelen voor een hoog niveau van interoperabiliteit van de overheidssector in de EU. De verordening wordt ook wel de verordening Interoperabel Europa genoemd. De verordening heeft onder meer tot doel om een governancestructuur op te zetten die overheidsdiensten op alle niveau's en in alle sectoren, alsook particuliere belanghebbenden, in staat moet stellen samen te werken.

ECER-berichten:

  • ECER-bericht - Europese Commissie doet een voorstel voor een EU-verordening over interoperabiliteit tussen overheidsdiensten (25 november 2022)

Naar boven

 

Menuweergave