36 451 Uitvoering van verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Uitvoeringswet datagovernanceverordening)

Nr. 3 MEMORIE VAN TOELICHTING

I. Algemeen

1. Inleiding

Dit wetsvoorstel (hierna: de Uitvoeringswet) strekt tot implementatie van de verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende de Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Datagovernanceverordening) (hierna: de verordening). Zoals gebruikelijk is, wordt bij de implementatie van een Europese verordening een volledig beeld gegeven van die verordening. Daarom bestrijkt deze memorie van toelichting de hele verordening.

De verordening dient uiterlijk 24 september 2023 volledig geïmplementeerd te zijn in Nederlandse wet- en regelgeving of door middel van feitelijk handelen. De verordening is alleen van toepassing op het grondgebied van Nederland binnen de Europese Unie en heeft geen gevolgen voor Bonaire, Sint Eustatius en Saba.

De beleidsverantwoordelijkheid voor de onderwerpen uit de verordening en de uitvoeringswet ligt bij de Minister van Economische Zaken en Klimaat en de Staatssecretaris van Binnenlandse Zaken Koninkrijksrelaties. In paragraaf 4 wordt hier nader op in gegaan.

In paragraaf 2 wordt de Nederlandse en Europese beleidscontext geschetst. In paragraaf 3 worden de hoofdlijnen van de verordening uiteengezet. In paragraaf 4 wordt nader ingegaan op het onderhavige wetsvoorstel. In paragraaf 5 worden de gevolgen, o.a. voor regeldruk, beschreven. In paragraaf 6 wordt ingegaan op de uitvoering en het toezicht. In paragraaf 7 worden de uitkomsten van de toetsen en consultaties gedeeld. In paragraaf 8 wordt ingegaan op de inwerkingtreding en het overgangsrecht.

2. Beleidscontext

Door toenemende digitalisering wordt het genereren, delen en gebruik van data (gegevens) steeds belangrijker voor onze maatschappij en economie. Data zijn een drijvende kracht in innovatie en onderzoek, denk bijvoorbeeld aan het trainen van AI, medisch onderzoek en slimme apparaten. Om de kansen die data brengen te verzilveren en de risico’s ervan te mitigeren, ontwikkelen de Europese Unie en Nederland beleid rondom het genereren, delen en gebruik van data.

Een belangrijk aspect hierbij is dat dit data-gerelateerde beleid betrekking kan hebben op persoonsgegevens en niet-persoonsgegevens. Het risico op privacyschendingen wanneer het gaat om persoonsgegevens heeft al lang de aandacht van de Europese Commissie en de lidstaten van de Europese Unie, en daarom is in 2016 de Algemene Verordening Gegevensbescherming (verordening (EU) 2016/679) (hierna: AVG) in werking getreden om deze risico’s te mitigeren. De AVG is een belangrijke pijler van het Nederlandse en Europese databeleid, en blijft dat ook in de toekomst.

Daarnaast worden ook de kansen van data gezien om bij te dragen aan de oplossing voor maatschappelijke uitdagingen op het gebied van de zorg, klimaatverandering, mobiliteit en ons toekomstige verdienvermogen. Data zijn van grote waarde hiervoor omdat zij als economische grondstof kunnen worden hergebruikt zonder dat dit afbreuk doet aan de waarde ervan. Dezelfde data kunnen op verschillende plekken voor verschillende doelen worden gebruikt, zonder dat er iets verloren gaat, het gaat dus om een niet-rivaliserend goed.

In de Nederlandse «kabinetsvisie op datadeling tussen bedrijven»1 heeft het kabinet drie uitganspunten voor beleidsontwikkeling gericht op datadeling tussen bedrijven benoemd: datadeling is bij voorkeur vrijwillig, de overheid kan datadeling faciliteren en burgers en bedrijven houden grip op gegevens.

In de Nederlandse Data Agenda Overheid wordt datagedreven werken en het delen van kennis en data tussen verschillende overheidspartijen rondom maatschappelijk opgaves gestimuleerd. Maar bij datadeling moeten de bescherming van persoonsgegevens, rechten van derden en wettelijke doelbinding wel goed zijn geborgd. Onafhankelijke derde partijen kunnen een belangrijke rol spelen in technische ondersteuning en in het vergroten van vertrouwen tussen partijen.

De Europese Commissie heeft in 2020 een Europese Datastrategie gepubliceerd waarin ze aangaf met wetgevende initiatieven te komen rondom het delen en gebruik van data. Wat betreft datadeling constateerde de Commissie dat er meer gebruik van data zou kunnen worden gemaakt, op een verantwoorde manier, als deze meer gedeeld zouden worden tussen bedrijven, overheden en andere organisaties. De Europese Commissie constateerde echter ook dat deze datadeling door een gebrek aan vertrouwen vaak niet tot stand komt. Daarnaast maakt de Europese Commissie zich zorgen over de mogelijke concentratie van data bij een beperkt aantal grote techbedrijven. Daarom heeft de Commissie voorstellen gedaan voor een Datagovernanceverordening en een Dataverordening. Nederland deelt de observaties en zorgen van de Europese Commissie en is daarom overwegend positief over deze wetgevingsinitiatieven van de Commissie, aangezien hiermee de bestaande problemen op een effectieve manier worden geadresseerd.2

Veel van deze beleidsinitiatieven hebben een hoog abstractieniveau. Zo wordt er vaak gesproken over «data» als een homogene productiefactor terwijl data juist zeer heterogeen van aard is – de inhoud van de data zorgt juist voor de waarde en die inhoud kan bijna elk denkbaar onderwerp zijn. Er zijn dus heel veel soorten data die voor zeer verschillende doeleinden kunnen worden gebruikt. Maar er zijn ook aspecten aan data die, ongeacht de inhoud van de data, grotendeels gelijk zijn. Zo staan obstakels om data te delen vaak los van de inhoud van die data, maar gaat het bijvoorbeeld over de formats waarin deze data worden gedeeld, of het gebrek aan grip op datasets nadat ze zijn gedeeld, resulterende in zorgen over wie vervolgens toegang krijgt tot deze data. Dit soort obstakels gelden voor veel soorten van data en daarom kan generiek of «horizontaal» beleid wenselijk zijn.

3. Datagovernanceverordening

De verordening heeft als inzet om de beschikbaarheid van data te vergroten door het vertrouwen in databemiddelingsdiensten, data-altruïstische organisaties en de mechanismen voor datadeling te versterken. De Europese Commissie ziet dat nieuwe markten voor gegevensdeling ontstaan en wil bevorderen dat deze markten zich op een verantwoorde en betrouwbare manier ontwikkelen. Ook wil de Europese Commissie voorkomen dat er grote marktmachtsconcentraties ontstaan waarin een beperkt aantal «Big Tech» bedrijven grote controle hebben over datadeling en databeschikbaarheid. Daarnaast wil de Europese Commissie ook stimuleren dat data gedeeld worden voor «altruïstische» doeleinden zoals medisch onderzoek zonder dat dit afhankelijk is van organisaties met een winstoogmerk.

De verordening beoogt een kader te stellen voor onder andere de volgende vormen van datadelen:

  • het voor hergebruik beschikbaar stellen van overheidsgegevens, wanneer die gegevens onderworpen zijn aan rechten van anderen (hoofdstuk II);

  • het delen van gegevens door burgers of organisaties via een databemiddelingsdienst (hoofdstuk III);

  • het delen van data op altruïstische gronden (hoofdstuk IV).

Om er voor te zorgen dat vrijwillige gegevensdeling door de gehele unie mogelijk wordt gemaakt zonder al te grote belemmeringen voor de interne markt is er gekozen voor een verordening.

3.1 Hergebruik van beschermde gegevens die in het bezit zijn van openbare lichamen

Hoofdstuk II van de verordening gaat over het hergebruik van data in het bezit van openbare lichamen, en die beschermd zijn door commerciële vertrouwelijkheid, statistische vertrouwelijkheid, intellectuele eigendomsrechten van derden of op grond van bescherming van persoonsgegevens. Het sluit aan bij het beleid van de Europese Unie om gegevens die door openbare lichamen of andere entiteiten met overheidsmiddelen zijn gegenereerd of verzameld, aan de samenleving ten goede te doen komen. De Europese Open data richtlijn3 regelt dit voor veel gegevens, maar doorgaans niet voor beschermde gegevens. Met de Datagovernanceverordening wordt beoogd om het benutten van deze gegevens te faciliteren, met inachtneming van het beschermde karakter van deze gegevens. Concreet worden twee nieuwe rollen in het leven geroepen ter ondersteuning van dit hergebruik (zie paragraaf 4.1.2 en 4.1.3 van het algemeen deel van de toelichting) en worden exclusieve overeenkomsten voor deze categorieën gegevens verboden.

Openbaar lichaam

Opgemerkt moet worden dat in de context van de Datagovernanceverordening met «openbaar lichaam» iets anders wordt bedoeld dan gebruikelijk is in de bestuurlijke indeling van Nederland. Het begrip komt inhoudelijk overeen met wat in de Wet hergebruik van overheidsinformatie is gedefinieerd als «met een publieke taak belaste instelling». Om hierop aan te sluiten, is ervoor gekozen om deze definitie ook in deze Uitvoeringswet op te nemen. Zie de memorie van toelichting bij de Wet hergebruik van overheidsinformatie voor een nadere uitwerking4. In de onderhavige memorie van toelichting wordt het begrip «openbaar lichaam» nog gebruikt om het begrip uit de verordening aan te duiden. In de praktijk vallen hier in ieder geval bestuursorganen onder, inclusief entiteiten die op grond van artikel 1:1, tweede lid, van Algemene wet bestuursrecht (hierna: «de Awb») zijn uitgesloten van het bestuursorgaanbegrip. Maar daarnaast ook andere organisaties die door de overheid worden gefinancierd of op een bepaalde manier onder leiding staan van overheidsorganisaties. Het begrip omvat geen overheidsbedrijven of andere organisaties die zijn opgericht voor industriële of commerciële doeleinden. Daarnaast wordt hoofdstuk II van de verordening ook niet van toepassing verklaard op openbare omroepen, culturele instellingen en onderwijsinstellingen.

Beschermde categorieën van data

Het soort beschermde categorieën van data waarop hoofdstuk II betrekking heeft, betreft persoonsgegevens (voor zover die buiten het toepassingsgebied van de Europese Open data richtlijn vallen), data waarop intellectuele-eigendomsrechten van derden rusten, data die commercieel vertrouwelijk zijn (in de verordening aangeduid als «gegevens die beschermd zijn op grond van het handelsgeheim, waaronder bedrijfs- of beroepsgeheim») en data waarop het statistisch geheim rust, die zich bevinden bij openbare lichamen. Het hergebruik van deze data valt buiten het toepassingsgebied van de Europese Open data richtlijn, omdat ze in de regel te gevoelig zijn om als open data voor een ieder algemeen beschikbaar te stellen. Ze zijn echter niet zo gevoelig dat er elke vorm van hergebruik principieel moet worden uitgesloten. De verordening is niet van toepassing op gegevens die beschermd zijn om redenen van openbare veiligheid, defensie en nationale veiligheid, omdat die gegevens wel zo gevoelig zijn dat hergebruik principieel moet worden uitgesloten en omdat die sectoren vallen buiten de werking van artikel 114 van het Verdrag betreffende de werking van de Europese Unie, waar deze verordening op is gebaseerd.

Grondslagen hergebruik

De verordening schept overigens op zichzelf geen verplichting om enig hergebruik toe te staan, maar biedt slechts een kader waarbinnen dergelijke gegevens moeten worden aangeboden als daar in nationale wetgeving een grondslag voor bestaat, de verstrekking niet in strijd is met de regelgeving op grond waarvan de gegevens beschermd zijn en de verstrekking onder de openbare taken van de betrokken openbare lichamen valt. Het kader van de verordening is dus dwingend ten aanzien van de manier waarop gegevens beschikbaar worden gesteld, maar dat kader is alleen van toepassing als er naar nationaal recht een verplichting of bevoegdheid bestaat om de gegevens in kwestie überhaupt voor hergebruik beschikbaar te stellen. Lidstaten wordt ook veel vrijheid geboden in het bepalen van toegestane doeleinden en het stellen van voorwaarden aan dat hergebruik.

Openbare lichamen die hergebruik als bedoeld in de verordening toestaan, zullen technische maatregelen moeten nemen om ervoor te zorgen dat gegevensbescherming, privacy en vertrouwelijkheid volledig worden geborgd en het beschermde karakter van de gegevens behouden blijft. Openbare lichamen kunnen daarvoor bijvoorbeeld vereisen dat de persoonsgegevens geanonimiseerd zijn of dat het hergebruik plaatsvindt in een beveiligde verwerkingsomgeving. De openbare lichamen behouden zich het recht voor het proces, de middelen en alle resultaten van gegevensverwerking door de hergebruiker te verifiëren teneinde de integriteit van de gegevensbescherming te vrijwaren, alsook het recht om het gebruik te verbieden van resultaten die informatie bevatten die de rechten en belangen van derden in gevaar brengt. Deze verordening doet geen afbreuk aan de intellectuele-eigendomsrechten van derde partijen en intellectuele-eigendomsrechten van openbare lichamen. Volgens overwegingen 17 en 18 bij de verordening, mogen gegevens die onderworpen zijn aan intellectuele-eigendomsrechten of die bedrijfsgeheimen bevatten alleen aan een derde partij worden doorgegeven indien dat is toegestaan krachtens het Unierecht of het nationale recht of mits de rechthebbende daarmee instemt. Openbare lichamen mogen een vergoeding vragen voor het beschikbaar stellen van deze data. Deze vergoedingen worden afgeleid van de kosten voor de procedure van het ter beschikking stellen.

Centraal informatiepunt

De lidstaten moeten één contactpunt oprichten om onderzoekers en innovatieve bedrijven te ondersteunen bij het identificeren van geschikte gegevens, en moeten structuren opzetten om openbare lichamen technische en juridische bijstand te bieden.

Verbod exclusieve overeenkomsten

Artikel 4 van de verordening verbiedt het sluiten van exclusieve overeenkomsten waarin deze data voor hergebruik exclusief met één of een beperkt aantal partijen worden gedeeld. Indien een overheid deze data op verantwoorde wijze deelt met een derde partij, dan moeten andere partijen, in principe, onder dezelfde voorwaarden ook toegang tot deze data krijgen, mits dat op verantwoorde wijze kan gebeuren. Daarbij moet overigens worden opgemerkt dat het uitwisselen van gegevens tussen openbare lichamen ten behoeve van het uitvoeren van openbare taken, niet als «hergebruik» wordt aangemerkt. Daarnaast kent het verbod op exclusieve overeenkomsten enkele andere uitzonderingen.

3.2 Databemiddelingsdiensten

Hoofdstuk III van de verordening stelt een kader voor databemiddelingsdiensten. Dit is een type dienstverlening dat recentelijk is ontstaan en nog in ontwikkeling is. Het gaat hierbij om dienstverlening door partijen die gericht zijn op het tot stand brengen van commerciële relaties met het oog op het delen van data tussen datahouders (degene die het recht heeft om toegang te verlenen tot data) en datasubjecten (geïdentificeerde of identificeerbare natuurlijk persoon op wie persoonsgegevens betrekking heeft) enerzijds en datagebruikers (degene die het toegang heeft tot data en het recht heeft om die data te gebruiken) anderzijds. In overweging 28 van de verordening wordt aangegeven welke diensten niet als databemiddelingsdienst worden gezien, namelijk cloudopslag, data-analyse, gegevensdelingsoftware, webbrowsers, browserplug-ins of e-maildiensten mits deze diensten alleen de technische instrumenten bieden om data te delen. Voorbeelden van databemiddelingsdiensten volgens deze overweging zijn datamarktplaatsen orkestratoren van ecosystemen voor het delen van gegevens die toegankelijk zijn voor alle belanghebbenden of datapools met de bedoeling data alle belanghebbenden (onder licentie) gebruik kunnen maken van de data en dat de deelnemers die aan de datapool bijdragen daarvoor een beloning ontvangen. De Europese Commissie heeft als voorbeeld datamarktplaatsen genoemd waarbij potentiële datagebruikers gekoppeld worden aan partijen die hun data willen delen via een platform. Er zijn op dit moment nog maar een beperkt aantal van dit soort aanbieders, maar de Commissie gaf als voorbeeld een Frans bedrijf dat diensten aanbiedt die hieronder lijken te vallen. Dit bedrijf koopt en verkoopt geen data maar biedt technologie aan waarmee potentiële datagebruikers en -aanbieders kunnen communiceren over de datasets zodat de kwaliteit en bruikbaarheid kunnen worden vastgesteld voordat de data wordt gedeeld. Ook biedt dit bedrijf ondersteuning aan bij onderhandelingen door geautomatiseerde contractgeneratie. Andere mogelijke voorbeeld is een bedrijf in een lidstaat dat functioneert als een neutrale vertrouwde derde partij om data te delen via het door hen beschikbaar gestelde platform. Belangrijk aspect van een databemiddelingsdienst is dus dat datahouders in contact worden gebracht met datagebruikers én dat de datahouder niet de rechten op de data overdraagt aan de dienstverlener. Als een datahouder de rechten op de data overdraagt (door bijvoorbeeld verkoop) aan een dienstverlener is er geen sprake meer van een databemiddelingsdienst omdat de dienstverlener in dat geval de datahouder wordt en de data zonder tussenkomst van een databemiddelingsdienst deelt met een datagebruiker. Dienstverleners die onder de definitie van databemiddelingsdiensten vallen moeten voldoen aan de meldingsplicht uit artikel 11 en de voorwaarden uit artikel 12 van de verordening.

Deze dienstverleners zijn verplicht zich als zodanig aan te melden bij de bevoegde autoriteit alvorens ze hun diensten mogen leveren binnen de EU. Indien een behoorlijke en volledige aanmelding is gedaan stuurt de bevoegde autoriteit, op verzoek van de databemiddelingsdienst, binnen een week een gestandaardiseerde verklaring waarin wordt bevestigd dat de aanmelding volledig is en dat de databemiddelingsdienstverlener dus haar diensten mag leveren binnen de EU.

Daarnaast moeten deze dienstverleners voldoen aan de voorwaarden uit artikel 12 van de verordening. Een belangrijke eis is de verplichting om neutraal te blijven ten aanzien van de uitgewisselde data. Databemiddelingsdiensten mogen de ontvangen data niet voor andere doeleinden dan de databemiddelingsdienst of daaraan verbonden diensten gebruiken. Als aanbieders van databemiddelingsdiensten deze diensten aanbieden aan datasubjecten, moet de databemiddelingsdienst in het belang van de datasubjecten handelen, onder andere door hen goed te informeren over de gevolgen van het potentiële gebruik van de gegevens. Die aanpak moet ervoor zorgen dat databemiddelingsdiensten op een open en coöperatieve manier functioneren, en moet natuurlijke en rechtspersonen mondiger maken door hen een beter overzicht van en controle over hun gegevens te geven. Een door de lidstaten aangewezen bevoegde instantie wordt belast met het toezicht op de naleving van de aan de verlening van dergelijke diensten verbonden eisen. Een databemiddelingsdienst kan de bevoegde autoriteit verzoeken om te bevestigen dat hij voldoet aan alle eisen die aan een databemiddelingsdienst worden gesteld in artikel 12 van de verordening. Zodra de bevoegde autoriteit verklaart dat dit het geval is mag de databemiddelingsdienstgebruik maken van het label «in de Unie erkende aanbieder van databemiddelingsdiensten» en het logo in zijn openbare communicatie.

3.3 Data-altruïsme

Hoofdstuk IV van de verordening faciliteert data-altruïsme, hierbij gaat het om data die personen of bedrijven vrijwillig ter beschikking stellen voor het algemeen belang. Bijvoorbeeld medische gegevens die door betrokkenen vrijwillig beschikbaar worden gesteld ten behoeve van medisch onderzoek. De Commissie gaf concreet aan dat er in een lidstaat van de Europese Unie een platform is wat burgers de mogelijkheid geeft om data te delen over lawaaioverlast en vervuiling die via sensoren in hun huis worden verzameld. Hiermee kunnen onderzoekers en overheden de lucht- en geluidskwaliteit in kaart brengen en mogelijk gerichte beleidsmaatregelen nemen. De verordening laat ruimte om het begrip «algemeen belang» naar nationaal recht in te vullen. In de uitvoeringswet wordt ervoor gekozen om aan te sluiten bij de voorbeelden die in de verordening zelf worden genoemd en dat aan te vullen met doeleinden die in de Nederlandse belastingwetgeving als «algemeen nut» worden aangeduid. Data-altruïstische organisaties zijn een opkomend type niet-commerciële dienstverleners die zich richten op het ontsluiten van data voor het algemeen belang. Het hoofdstuk biedt organisaties die aan data-altruïsme doen de mogelijkheid om zich te registreren als «in de Unie erkende organisatie voor data-altruïsme». Nadat de voor data-altruïsme bevoegde autoriteit heeft vastgesteld dat de organisatie de vereiste informatie heeft verstrekt en aan de vereisten van artikel 18 voldoet, mag deze organisatie bijbehorend label en logo gebruiken, om het vertrouwen in hun activiteiten te vergroten. Daarnaast zal er een gemeenschappelijk Europees toestemmingsformulier voor data-altruïsme worden ontwikkeld om de kosten voor het verkrijgen van toestemming te verlagen en de overdraagbaarheid van de gegevens te vergemakkelijken. Vooralsnog zijn er overigens in Nederland geen voorbeelden bekend van dergelijke organisaties.

3.4 Europees Comité voor gegevensinnovatie

Hoofdstuk VI voorziet in de oprichting van een formele deskundigengroep (het «Europees Comité voor gegevensinnovatie») bestaande uit onder meer vertegenwoordigers van de bevoegde autoriteiten voor databemiddelingsdiensten, de bevoegde autoriteiten voor data-altruïsme, het Europees Comité voor gegevensbescherming, de Europese Toezichthouder voor gegevensbescherming en de Commissie. De deskundigengroep moet de samenwerking faciliteren tussen de lidstaten bij het vaststellen van geharmoniseerde voorwaarden voor het hergebruik en de samenwerking faciliteren tussen de bevoegde autoriteiten voor databemiddelingsdiensten en de bevoegde autoriteiten voor data-altruïsme door informatie-uitwisseling. Daarnaast heeft de deskundigengroep als taak om de Commissie te adviseren en ondersteunen bij verscheidene onderwerpen. Ten eerste: de coördinatie van nationale praktijken en beleidsmaatregelen met betrekking tot de onderwerpen die onder deze verordening vallen. Ten tweede: de bevordering van sectoroverschrijdend gegevensgebruik door toepassing van de beginselen van het Europees interoperabiliteitskader (EIF) en door gebruik van Europese en internationale normen en specificaties. Ten derde: de ontwikkeling van een goed functionerende, op gemeenschappelijke Europese gegevensruimten gebaseerde Europese data-economie ondersteunen door richtsnoeren voor die gegevensruimten voor te stellen. Ten slotte: het opstellen van de uitvoeringshandelingen bij deze verordening en het Europees toestemmingsformulier voor data-altruïsme en de verbeteringen van het internationale regelgevingskader voor niet-persoonsgegevens gegevens. Op deze deskundigengroep is het Commissiebesluit C(2016)3301 van toepassing. In hoofdstuk IV van dit Besluit staan regels over transparantie van deskundigengroepen. Hierin is onder andere geregeld dat de Europese Commissie relevante documenten zoals agenda’s, verslagen en inbreng van deskundigen publiceert op de website van de Europese Commissie. Ook regelt het Besluit de omgang met mogelijke belangenverstrengeling door onder meer te eisen dat individuele onafhankelijke deskundigen een belangenverklaring indienen.

3.5 Internationale datastromen

Hoofdstuk VII bevat bepalingen over de internationale toegang en doorgifte van data door openbare lichamen (hoofdstuk II), databemiddelingsdiensten (hoofdstuk III) en organisaties voor data-altruïsme (hoofdstuk IV). Zowel het openbare lichaam, de databemiddelingsdienst als de data-altruïstische organisatie moeten technische, juridische en organisatorische maatregelen nemen om te voorkomen dat zij data overdragen naar een derde land als dat in strijd is met Europees recht of het recht van een lidstaat. Indien een oordeel van een rechtbank, tribunaal of andere autoriteit uit een derde land toegang vereist tot data die waren verstrekt door een Europees openbaar lichaam vanwege deze verordening, mag alleen aan dit oordeel gehoor worden gegeven indien er een relevant internationaal verdrag aan ten grondslag ligt. Indien een verzoek uit een derde land kan leiden tot een overtreding van het Europees recht of het recht van een lidstaat mogen de data alleen worden overgedragen naar het derde land indien het verzoek evenredig en beroepbaar is en het juridisch belang van de datahouders in Europa kan worden meegewogen in de procedures van het derde land. De Europese Commissie mag gedelegeerde handelingen vaststellen om bijzondere voorwaarden te stellen aan de overdracht van zeer gevoelige data naar derde landen. Ook moet de datahouder worden geïnformeerd over de overdacht van data naar het derde land.

4. Inhoud uitvoeringswet

De bepalingen uit de verordening zijn onverkort van toepassing in de Nederlandse rechtsorde. Ter uitvoering van de verordening wordt een aantal bevoegde autoriteiten aangewezen en wordt voorzien in toezicht en handhaving van de verordening. Alle in deze paragraaf benoemde artikelen verwijzen naar artikelen uit de verordening zelf.

De Minister van Economische Zaken en Klimaat is verantwoordelijk voor de uitvoering van de verordening ten aanzien van de databemiddelingsdiensten (hoofdstuk III en verwante artikelen van de verordening). De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor de uitvoering van hergebruik van overheidsgegevens (hoofdstuk II en verwante artikelen) en de uitvoering ten aanzien van erkende organisaties voor data-altruïstisme (hoofdstuk IV en verwante artikelen).

4.1 Hergebruik van beschermde gegevens die in het bezit zijn van met een publieke taak belaste instellingen

4.1.1 Grondslagen voor hergebruik

De verordening schept overigens op zichzelf geen verplichting om enig hergebruik toe te staan, maar biedt slechts een kader waarbinnen dergelijke gegevens moeten worden aangeboden, als daar in nationale wetgeving, een grondslag voor bestaat. Met het oog op het gebod van zuivere implementatie van aanwijzing 9.4 uit de Aanwijzingen voor de regelgeving, zullen in deze uitvoeringswet geen nieuwe grondslagen voor hergebruik worden gecreëerd.

Binnen het Nederlandse recht bestaat echter al wel een aantal van dergelijke grondslagen, sommigen vrij specifiek, anderen erg breed. Een hele brede grondslag voor hergebruik van gegevens is te vinden in artikel 5.7 van de Wet open overheid (hierna: Woo). Deze bepaling stelt bestuursorganen in staat om ten behoeve van historisch, statistisch, wetenschappelijk of journalistiek onderzoek toegang te bieden tot gegevens die niet openbaar kunnen worden gemaakt op grond van de artikelen 5.1 of 5.2 van die wet, of wanneer het vaststellen van de vraag of de gegevens in kwestie openbaar mogen worden, onevenredig veel inspanning vergt. De uitzonderingen in artikel 5.1, eerste lid, onderdelen c en d, en tweede lid, onderdeel f, komen grotendeels overeen met de gegevenscategorieën uit artikel 3, eerste lid, van de verordening, waarop hoofdstuk II van de verordening van toepassing is. Met andere woorden, veel van de gegevens die onder de Woo niet zomaar openbaar kunnen worden gemaakt, maar mogelijk wel onder artikel 5.7 daarvan beschikbaar kunnen worden gesteld, zijn dezelfde gegevens waarvan hergebruik onder de verordening mogelijk is. Zodoende lijkt artikel 5.7 van de Woo goed aan te sluiten op hoofdstuk II van de verordening.5 De Woo erkent echter niet het intellectueel eigendom van derden als een reden om documenten niet openbaar te maken. Dergelijke documenten kunnen in de regel onder de Woo dus gewoon openbaar worden gemaakt, waarna vragen over hergebruik zullen lopen via de Who6 en niet via de verordening. Ook het statistisch geheim is in de Woo geen erkende weigeringsgrond, maar gegevens die onder het statistisch geheim vallen, zijn doorgaans tevens persoonsgegevens of bedrijfsvertrouwelijke gegevens, waarvoor onder de Woo wel weigeringsgronden bestaan. Een verzoek om hergebruik op grond van artikel 5.7 van de Woo zal dus in de verordening via artikel 3, eerste lid, onderdelen a of d, lopen.

Het hergebruik van de gegevens onder de Woo is beperkt tot onderzoek in plaats van het bredere hergebruik waarin de verordening voorziet. De verordening benadrukt echter dat het niet-discriminerend is om wetenschappelijk onderzoek te bevoorrechten. De Woo sluit daar dus goed bij aan. Ook op andere vlakken sluiten de Woo en hoofdstuk II van de verordening goed op elkaar aan. Zo staat artikel 5.7, tweede lid, van de Woo toe dat bestuursorganen voorwaarden stellen aan hergebruik en stelt het derde lid dat de informatie in kwestie niet zomaar verder mag worden verspreid zonder besluit daartoe van het bestuursorgaan. Dat sluit aan op artikel 5, eerste lid, van de verordening die er vanuit gaat dat openbare lichamen voorwaarden voor hergebruik kunnen stellen en de eis uit het derde lid die stelt dat het beschermde karakter van de gegevens behouden moet blijven. Daarbij moet worden opgemerkt dat ook de kaders van artikel 5.7 van de Woo, zoals de eis dat het moet gaan om historisch, statistisch, wetenschappelijk of journalistiek onderzoek, kunnen worden gezien als voorwaarden die op grond van de verordening openbaar moet worden gemaakt op data.overheid.nl. Omdat de Woo van toepassing is op de meeste documenten van de meeste bestuursorganen, kan hoofdstuk II van de verordening daardoor via artikel 5.1 van de Woo ook van toepassing zijn op de meeste documenten bij de meeste bestuursorganen, mits aan de toepasselijke voorwaarden is voldaan.

Artikel 41 van de Wet op het Centraal bureau voor de statistiek bevat ook een grondslag. Dit artikel bepaalt dat het Centraal bureau voor de statistiek (hierna: CBS) op verzoek ten behoeve van statistisch of wetenschappelijk onderzoek toegang kan geven tot statistische gegevens aan universiteiten, bij wet ingestelde organisaties voor wetenschappelijk onderzoek en planbureaus, de Europese statistiekinstanties en onderzoeksafdelingen van ministeries en andere organisaties. De verstrekking van deze gegevens valt onder de wettelijke taak van de met een publieke taak belaste instelling CBS, maar de gegevens worden beschikbaar gesteld voor doeleinden buiten het oorspronkelijke doel binnen de openbare taak waarvoor de gegevens zijn geproduceerd. Het CBS heeft namelijk als primaire wettelijke taak om zelf statistiek te produceren en te publiceren, terwijl het beschikbaar stellen van achterliggende microdata voor andermans onderzoek slechts een bijproduct is. Dit betekent dat gebruik door afnemers van de gegevens als «hergebruik» is aan te merken onder artikel 2, tweede lid, van de verordening en dat hoofdstuk II van de verordening van toepassing is, althans, niet is uitgesloten op grond van artikel 3, tweede lid, onderdeel e, daarvan. Verder biedt bijvoorbeeld artikel 3.13 van de Wet basisregistratie personen de mogelijkheid om gegevens uit de basisregistratie te verstrekken voor historische, statistische of wetenschappelijke doeleinden. Aanvullende eisen daaraan zijn gesteld in artikel 44 van het Besluit basisregistratie personen. Ook artikel 22 van de Wet politiegegevens en artikel 15 van de Wet justitiële en strafvorderlijke gegevens bieden ruimte om gegevens aan onderzoekers aan te bieden ten behoeve van beleidsinformatie, wetenschappelijk onderzoek of statistiek, mits aan de (strikte) voorwaarden wordt voldaan van artikel 4:7 van het Besluit politiegegevens, respectievelijk artikel 31 van het Besluit justitiële en strafvorderlijke gegevens. Als deze gegevens beschermd zijn om redenen van openbare veiligheid, defensie of nationale veiligheid, vallen zij niet onder de verordening.

In alle voorgaande gevallen gaat het om gegevens die primair een ander doel dienen, maar waarbij het aanbieden van de gegevens voor hergebruik nuttig kan zijn voor andere doelen die voornamelijk het belang van de afnemer dienen. Aan de andere kant kent het Nederlandse recht ook veel grondslagen voor de verstrekking van gegevens die niet onder de verordening vallen. Te denken valt aan de verstrekking van gegevens onder Hoofdstuk 4 van de Handelsregisterwet 2007. Het verstrekken van die gegevens is ook onderdeel van de openbare taak van de betreffende met een publieke taak belaste instelling, maar de verstrekking is puur bedoeld om gevolg te geven aan de primaire doeleinden van het register zelf (bijvoorbeeld ter bevordering van de rechtszekerheid in het economisch verkeer) en niet om afnemers het recht te geven om de gegevens verder te verwerken voor andere doeleinden. Vergelijkbare regels vloeien voort uit de Kadasterwet. Voor beide registers speelt mee dat daarin persoonsgegevens openbaar worden gemaakt. Op grond van de AVG is verdere verwerking van persoonsgegevens in de regel niet zomaar toegestaan. De datagovernanceverordening verzet zich er niet tegen dat ook hergebruik van (persoons)gegevens uit dergelijke registers op termijn mogelijk zou worden gemaakt, maar vooralsnog ontbreekt daartoe een grondslag. Overigens laat dit onverlet dat niet-persoonsgegevens uit deze registers onder de werking van de Wet hergebruik van overheidsinformatie kunnen vallen. Van een grondslag voor hergebruik als bedoeld in de verordening, is pas sprake als de grondslag in kwestie ruimte biedt voor verdere verwerking van de gegevens voor andere doeleinden dan het oorspronkelijk doel binnen de openbare taak waarvoor de gegevens zijn geproduceerd. Met andere woorden, als een grondslag er primair op is gericht om doeleinden van de met een publieke taak belaste instelling te verwezenlijken, is er geen sprake van hergebruik. Als de grondslag erop is gericht dat de afnemer van de gegevens grotendeels zelf de doeleinden van die verwerking mag bepalen (ook als de wet daarvoor wel kaders biedt), is doorgaans wel sprake van hergebruik.

4.1.2 Bevoegde organen voor bijstand met een publieke taak belaste instellingen

In artikel 7, eerste lid, van de verordening wordt de rechtsgrondslag geschapen voor het aanwijzen van een of meerdere bevoegde autoriteiten. Deze bevoegde autoriteiten moeten openbare lichamen die een nationale grondslag hebben om toegang met het oog op hergebruik in het kader van de verordening te verlenen of te weigeren, bijstaan als zij dat wensen. De bedoelde bijstand staat omschreven in artikel 7, vierde lid, van de verordening en ziet samengevat op:

  • het leveren van technische steun in de vorm van een beveiligde verwerkingsomgeving voor de gegevens;

  • het bieden van richtsnoeren die zien op de structuur en opslag van gegevens;

  • technische ondersteuning om de privacy, vertrouwelijkheid, integriteit en toegankelijkheid van de gegevens te bewaken;

  • in voorkomend geval het bijstaan van openbare lichamen wanneer deze hergebruikers ondersteunen die aan derden toestemming willen vragen om bepaalde gegevens te hergebruiken; en

  • in voorkomend geval het bijstaan van openbare lichamen bij de beoordeling van contractuele verbintenissen van hergebruikers die gegevens wensen door te sturen naar een derde land.

De gegevensverwerking vindt plaats onder de verantwoordelijkheid van de met een publieke taak belaste instelling die verantwoordelijk is voor het register dat de gegevens bevat (overweging 26 van de verordening).

De verordening geeft de mogelijkheid om meerdere bevoegde organen aan te wijzen, die zich kunnen beperken tot een sector. Bevoegde organen kunnen aparte organisaties zijn, of interne afdelingen binnen openbare lichamen (overweging 26 van de verordening).

Het voornemen is om in ieder geval het CBS als bevoegd orgaan aan te wijzen voor wetenschappelijk en statistisch hergebruik. Het CBS voert andere, statistische, taken uit op grond van de Wet op het Centraal bureau voor de statistiek. Vanuit die werkzaamheden beschikt het CBS over veel expertise op het gebied van data, onder meer over het ontsluiten van data voor statistisch en wetenschappelijk onderzoek op een zodanige wijze dat de privacy gewaarborgd blijft. In dit kader beschikt het CBS reeds over een beveiligde verwerkingsomgeving. Het CBS zal voor deze nieuwe taak, de bijstandverlening aan met een publieke taak belaste instellingen als hierboven genoemd, een aparte, gescheiden beveiligde verwerkingsomgeving maken voor de gegevens van met een publieke taak belaste instellingen.

Op basis van de bestaande grondslagen is het CBS aanwijzen voor wetenschappelijk en statistisch hergebruik voldoende om te voldoen aan de gevraagde bijstand in de verordening. Indien nieuwe grondslagen voor hergebruik buiten wetenschap en statistiek gecreëerd worden zullen aanvullende bevoegde organen aangewezen worden krachtens algemene maatregel van bestuur, waarbij het mogelijk is dat met een publieke taak belaste instellingen zelf aangewezen worden als bevoegd orgaan.

4.1.3 Centraal Informatiepunt

De verordening stelt in artikel 8 dat een centraal informatiepunt aangewezen moet worden. Dit informatiepunt bevat relevante informatie over de voorwaarden waaronder gegevens die onder deze verordening vallen worden gedeeld en de criteria van de berekening van kosten. Het centraal informatiepunt bevat een overzichtslijst met alle beschikbare gegevensbronnen. Ook moet een centraal informatiepunt bevoegd zijn om verzoeken tot informatie of hergebruik van data op basis van deze verordening te ontvangen en door te zetten naar de relevante met een publieke taak belaste instellingen. De Commissie richt ook een centraal toegangspunt op waar de gegevens uit de nationale centrale informatiepunten doorzocht kunnen worden.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties wordt in de Uitvoeringswet bevoegd om het centraal informatiepunt, bedoeld in artikel 8, eerste lid, van de verordening, aan te wijzen. De Minister van Binnenlandse Zaken en Koninkrijksrelaties is reeds opdrachtgever van het Nationale Dataportaal op data.overheid.nl. Daar worden al datasets aangeboden voor hergebruik, zoals onder de Wet hergebruik overheidsinformatie. Dit register maakt gebruik van standaarden voor uitwisseling met decentrale en Europese registers. Het register biedt ook reeds de mogelijkheid dataverzoeken in te dienen, zoals de verordening ook voorschrijft voor gegevenscategorieën onder deze verordening. Door ook de gegevens die vallen onder de verordening aan te bieden, ontstaat voor gebruikers één informatiepunt voor hergebruik van data in handen van publieke lichamen. Het open dataregister wordt beheerd door het agentschap Logius van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

4.1.4 Vergoedingen voor hergebruik overheidsgegevens

De verordening stelt dat openbare lichamen onder voorwaarden kosten in rekening mogen brengen voor het hergebruik van data. Deze in rekening gebrachte vergoedingen moeten transparant, niet-discriminerend, evenredig en objectief gerechtvaardigd zijn en mogen niet concurrentiebeperkend zijn. Tevens moeten de kosten afgeleid zijn van de daadwerkelijk gemaakte kosten voor het beschikbaar maken van de gegevens. De verordening somt daartoe limitatief op welke handelingen in rekening mogen worden gebracht. De criteria en de methode voor de berekening van de vergoedingen moeten door de lidstaten worden vastgesteld en bekendgemaakt. Deze methodiek zal voor de meeste organisaties in een algemene maatregel van bestuur worden vastgesteld. De Uitvoeringswet creëert hier de basis voor. Sommige organisaties, zoals het Kadaster, de Kamer van Koophandel en de RDW, kennen echter al eigen tariefregelingen. Tarieven voor hergebruik als bedoeld in de verordening kunnen ook in die tariefregelingen worden geregeld, voor zover deze regelingen in lijn zijn met de tariefregels van de verordening.

Verder wordt opgemerkt dat artikel 25i, eerste lid, van de Mededingingswet buiten toepassing wordt verklaard op de betreffende vergoedingen. Daarmee wordt zeker gesteld dat de daarin genoemde verplichting tot het doorberekenen van integrale kosten ook niet van toepassing is op het aanbieden van gegevens die het bestuursorgaan niet heeft verkregen in het kader van de uitoefening van zijn publiekrechtelijke bevoegdheden. Voor gegevens die bestuursorganen wel hebben verkregen in het kader van de uitoefening van publiekrechtelijke bevoegdheden, was dit al geregeld in artikel 25i, tweede lid, onderdeel c.

4.2 Aanwijzen bevoegde autoriteiten

4.2.1 Bevoegde autoriteit voor databemiddelingsdiensten

De verordening vereist dat aanbieders van databemiddelingsdiensten zich inschrijven in een openbaar register. Een bevoegde autoriteit moet dit register beheren conform artikel 13. Daarnaast moet de aangewezen bevoegde autoriteit toezicht houden op de naleving van de in hoofdstuk III van de verordening gestelde eisen aan aanbieders van databemiddelingsdiensten.

De Uitvoeringswet wijst de Autoriteit Consument en Markt (ACM) aan als bevoegde autoriteit voor databemiddelingsdiensten. Het doel van hoofdstuk III van de verordening is de totstandkoming van een betrouwbare markt voor databemiddelingsdiensten. Hiervoor is het belangrijk dat er wordt voorkomen dat de ontwikkeling van de markt voor databemiddelingsdiensten leidt tot grote concentraties van data bij een beperkt aantal partijen, met concurrentieverstoring en ongewenste machtsposities als gevolg. Ook dient te worden voorkomen dat de gegevens van klanten van databemiddelingsdiensten voor andere doeleinden dan overeengekomen worden gebruikt. De verordening biedt hier de juiste kaders voor.

De ACM is hierbij de geschikte toezichthouder aangezien deze uit de Uitvoeringswet voortvloeiende taken passen bij de missie van de ACM om markten, in dit geval de markt voor databemiddelingsdiensten, goed te laten werken. Deze toezichtstaak sluit aan bij bestaande toezichtstaken van de ACM, zowel inhoudelijk op het gebied van marktregulering als wanneer het gaat om het bijhouden van registers. Dit betekent dat er expertise bij de ACM aanwezig is om voldoende toegerust te raken op de nieuwe taken. De ACM voldoet aan de eisen die in de verordening worden gesteld aan de toezichthouder, met name als het gaat om onafhankelijkheid. Deze taken lenen zich goed voor toezicht door een onafhankelijke toezichthouder en doen niets af aan deze onafhankelijkheid. De ACM kan handhaven door middel van de bestaande bestuursrechtelijke instrumenten.

De verordening biedt in artikel 11, elfde lid, de ruimte aan lidstaten om kosten in rekening te brengen voor de registratie van een databemiddelingsdienst bij de toezichthouder. De verordening eist dat deze kosten evenredig, objectief en gebaseerd zijn op de administratieve kosten voor het toezicht op de naleving en andere relevante markttoezichtsactiviteiten. Vooralsnog is er voor gekozen om in de Nederlandse context voorlopig geen kosten in rekening te brengen. Het gaat bij de bepalingen gericht op databemiddelingsdiensten om een opkomende markt, daarom is het nog onduidelijk wat de effecten van dergelijke kosten zullen zijn op de ontwikkeling van dienstverlening door databemiddelingsdiensten. Daarnaast kan nog niet met zekerheid worden ingeschat welke kosten het toezicht op dergelijke diensten met zich mee zal brengen voor de toezichthoudende autoriteit. Ook is het nog niet zeker of andere lidstaten dergelijke kosten in rekening zullen brengen die mogelijk een gelijk speelveld op de interne markt kunnen beïnvloeden. Het is echter niet uit te sluiten dat in de toekomst het in rekening brengen van kosten gewenst kan zijn. Daarom geeft de Uitvoeringswet de mogelijkheid om middels een algemene maatregel van bestuur de kosten voor registratie in rekening te brengen bij de databemiddelingsdiensten. Een eventueel besluit hiertoe zal worden gemaakt op basis van de Europese- en marktontwikkelingen en in overleg met de toezichthouder.

4.2.2 Bevoegde autoriteit voor data-altruïsme

De verordening creëert een keurmerk voor data-altruïstische organisaties. In artikel 23 vereist de verordening dat voor deze registratie een openbaar nationaal register moet komen bij een bevoegde autoriteit. De verordening stelt in artikel 24 ook dat de aangewezen bevoegde autoriteit toezicht houdt op de naleving van de in hoofdstuk IV gestelde eisen aan erkende organisaties voor data-altruïsme.

Het doel van hoofdstuk IV is om door het erkennen van organisaties voor data-altruïsme het vertrouwen in datadelen te verhogen. Organisaties voor data-altruïsme kunnen een Europees label krijgen indien ze aan bepaalde voorwaarden voldoen, zoals het opereren zonder winstoogmerk. De verwachting is dat door het vertrouwen dat hierdoor ontstaat deze organisaties beter en meer data kunnen ontvangen die vervolgens kunnen worden gebruikt voor het algemeen belang.

De Uitvoeringswet wijst de ACM aan als bevoegde autoriteit voor data-altruïsme. De ACM heeft veel ervaring en expertise rondom consumentenbescherming en het beschermen tegen oneerlijke praktijken. Deze ervaring is relevant om effectief toezicht te houden op organisaties voor data-altruïsme. Hoewel data-altruïstische organisaties niet commercieel zijn, sluit het toezicht hierop toch aan bij de missie van de ACM om markten goed te laten functioneren, waarbij in het geval van data-altruïsme toezicht gehouden wordt op de onafhankelijkheid van deze organisaties. De verwachte activiteiten voor toezicht op data-altruïsme zijn relatief gering. Door de toezichthouder op databemiddelingsdiensten ook aan te wijzen als toezichthouder op data-altruïsme worden onnodige overheadkosten vermeden en wordt synergie gecreëerd. Hierbij kan op de expertise van het toezicht op databemiddelingsdiensten worden voortgebouwd. Ook kan een sterke kennispositie opgebouwd worden, dit is minder het geval wanneer toezicht versnipperd wordt over meerdere toezichthouders. Deze taken lenen zich goed voor toezicht door een onafhankelijke toezichthouder en doen niets af aan deze onafhankelijkheid. De ACM kan handhaven door middel van de bestaande bestuursrechtelijke instrumenten.

4.2.3 Bevoegde autoriteit voor toezicht op internationale datastromen

De verordening vereist in artikel 34 onder meer dat lidstaten sancties vaststellen voor inbreuken op de verplichtingen inzake doorgifte van niet-persoonsgebonden gegevens aan derde landen op grond van artikelen 5, veertiende lid, en 31 van de verordening. Lidstaten moeten alle nodige maatregelen nemen om ervoor te zorgen dat die sancties worden uitgevoerd. Dit betekent dat er ook een autoriteit toezicht houdt op het voorkomen van de internationale doorgifte van of toegang tot in de Europese Unie bijgehouden niet-persoonsgebonden data, wanneer deze doorgifte of toegang strijdig is met Europese of nationale wetgeving. Dit toezicht heeft betrekking op natuurlijke personen en rechtspersonen die op basis van hoofdstuk 2 van de verordening data hergebruiken, databemiddelingsdiensten en data-altruïstische organisaties.

Om het toezicht op deze organisaties op een efficiënte manier vorm te geven en onnodige procedures te voorkomen is ervoor gekozen om de bevoegde autoriteit voor databemiddelingsdiensten en data-altruïstische organisaties ook bevoegd te maken voor toezicht op deze organisaties als het gaat om de bepalingen in artikel 31 van de verordening. Dit houdt in dat de ACM hierop toeziet voor deze organisaties. Op deze manier is er één aanspreekpunt, wat versnippering van toezicht voorkomt.

4.3 Toezicht en handhaving

4.3.1 Bevoegdheden ACM als bevoegde autoriteit

In artikelen 14 en 24 van de verordening worden de taken en bevoegdheden van de bevoegde autoriteit voor databemiddelingsdiensten en de bevoegde autoriteit voor data-altruïsme beschreven. Deze bevoegde autoriteiten hebben de bevoegdheid om relevante informatie op te vragen. Als de bevoegde autoriteit van oordeel is dat een aanbieder van databemiddelingsdiensten respectievelijk de data-altruïstische organisatie niet voldoet aan de verordening dan stelt zij die organisatie daarvan in kennis en geeft 30 dagen na ontvangst van de kennisgeving om een standpunt kenbaar te maken. De bevoegde autoriteit kan eisen dat een inbreuk wordt gestopt en neemt passende en evenredige maatregelen met het oog op het garanderen van de naleving. Ten aanzien van databemiddelingsdiensten is de toezichthouder waar passend bevoegd om sancties inclusief dwangsommen op te leggen en de verlening van de databemiddelingsdienst uit te stellen of te schorsen. Bij ernstige of herhaalde inbreuken wordt geëist de verlening van de databemiddelingsdienst te stoppen en wordt de aanbieder van de databemiddelingsdienst door de Commissie geschrapt uit het register. Organisaties voor data-altruïsme die na kennisgeving door de bevoegde autoriteit niet voldoen aan de verordening verliezen het recht om het label te gebruiken en worden verwijderd uit de registers.

De toezichthoudende ambtenaren van de ACM beschikken op grond van titel 5.2 van de Algemene wet bestuursrecht (Awb) over een aantal standaardbevoegdheden die zij kunnen inzetten bij het uitoefenen van hun toezichtstaak op grond van de Uitvoeringswet. De bevoegdheid tot het vorderen van informatie (artikelen 14, tweede lid, en 24, tweede lid, van de verordening) komt overeen met de bevoegdheid tot het vorderen van inlichtingen (artikel 5:16 van de Awb).

De Instellingswet ACM kent de ACM een aantal handhavingsbevoegdheden toe in het kader van het toezicht op en de handhaving van de wettelijke voorschriften waarmee de ACM is belast. Het betreft onder meer de bevoegdheid tot het bindend verklaren van een toezegging (artikel 12h van de Instellingswet ACM) en het opleggen van een bindende aanwijzing (artikel 12j van de Instellingswet

ACM), waarbij concreet wordt aangegeven wat er van de normadressaat wordt gevraagd ter nakoming van de open norm. De ACM zal deze bevoegdheden ook kunnen inzetten ten behoeve van de uitvoering van haar taken op grond van de Uitvoeringswet, wanneer dat verheven is tot wet. De bevoegdheid daartoe vloeit rechtstreeks voort uit de Instellingswet ACM en er bestaat derhalve geen noodzaak om daarover iets te regelen in onderhavige Uitvoeringswet.

4.3.2 Sanctionering

Om handhaving van de verordening effectief te maken vereist de verordening een vaststelling van sancties bij het overtreden van de verordening. In artikel 8 van de Uitvoeringswet wordt hiervoor een rechtsgrondslag gecreëerd. Sanctionering op het gebied van het hergebruik van beschermde gegevenscategorieën, ziet specifiek op het verbod van artikel 5, veertiende lid, van de verordening. De ACM kan sancties opleggen aan personen of organisaties die dergelijke gegevens doorgeven aan derde landen die niet voldoen aan de eisen van artikel 5, tiende tot en met twaalfde lid, van de verordening. Rondom het toezicht op databemiddelingsdiensten en data-altruïsme krijgt de ACM de bevoegdheid om sancties op te leggen bij overtreding van de relevante onderdelen van de verordening.

De hoogte van de boete sluit aan bij de bestaande praktijk rondom bestuurlijke boetes. Voor een overtreding kan door de ACM een bestuurlijke boete worden opgelegd van ten hoogste het bedrag dat is vastgesteld voor de zesde categorie, bedoeld in 23, vierde lid, van het Wetboek van Strafrecht of, indien dat meer is, 10% van de jaaromzet van de overtreder. Voor de hoogte van de maximale boete wordt aangesloten bij de huidige boetebepalingen in de Telecommunicatiewet, welke wet kan worden gezien als aangrenzend rechtsgebied gelet op de taken voor de ACM op het terrein van digitalisering. Er wordt (tijdelijk) afgeweken van de Telecommunicatiewet boetes doordat die wet betrekking heeft op een bestuurlijke boete van en hoogste € 900.000 en (nog) niet aansluit op de boete categorieën uit het wetboek van Strafrecht. De Telecommunicatiewet is namelijk nog niet in overeenstemming met het ongevraagde Raad van State advies over sanctiestelsels (Stcrt. 2015, 30280) en het nader rapport van het kabinet (Stcrt. 2018, 31269). Dit wordt aangepast met het de beoogde Wet stroomlijning bestuurlijke boetemaxima en termijnen en is vooruitlopend daarop al verwerkt in dit wetsvoorstel.

4.4 Samenwerking ACM en AP

Hoewel de verordening geen afbreuk doet aan andere relevante wetgeving (zie ook paragraaf 5), kunnen toezichtstaken op basis van die wetgeving aanpalend zijn aan toezichttaken voortkomend uit deze verordening. In het bijzonder is het mogelijk dat data die door met een publieke taak belaste instellingen, databemiddelingsdiensten en data-altruïstische organisaties wordt ontvangen, beheerd of gedeeld ook persoonsgegevens betreffen. In dat geval houdt de Autoriteit Persoonsgegevens (AP) toezicht op basis van Algemene verordening gegevensbescherming (AVG) naast het toezicht door de ACM op basis van de verordening. Om deze toezichtstaken effectief uit te kunnen voeren kan samenwerking tussen de aangewezen toezichthouder, in dit geval de ACM, en de AP noodzakelijk zijn.

De verordening bepaalt expliciet dat de bevoegdheden van de voor databemiddelingsdiensten bevoegde autoriteiten geen afbreuk doen aan de bevoegdheden van de gegevensbeschermingsautoriteiten, de nationale mededingingsautoriteiten, de autoriteiten die bevoegd zijn voor cyberbeveiliging en andere relevante sectorale autoriteiten. Die autoriteiten bouwen een nauwe samenwerking op en wisselen informatie uit, zoals nodig voor de uitoefening van hun taken in verband met aanbieders van databemiddelingsdiensten, en streven er naar dat de bij de toepassing van deze verordening genomen besluiten consistent zijn. Daarnaast bepaalt de verordening dat de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit van een lidstaat zijn taken uitvoert in samenwerking met de relevante gegevensbeschermingsautoriteit indien die taken verband houden met de verwerking van persoonsgegevens, en met de relevante sectorale autoriteiten van die lidstaat.

Om deze samenwerking te bewerkstellingen wordt een samenwerkingsprotocol opgesteld voor de samenwerking bij deze verordening. Daarnaast vraagt de ACM de AP om advies over de vraag of een aanbieder van databemiddelingsdiensten (indien een aanbieder de ACM verzoekt om bevestiging dat deze voldoet aan de voorwaarden uit artikelen 11 en 12 van de verordening) of een erkende organisatie voor data-altruïsme (indien deze een aanvraag tot registratie indient in de zin van artikel 19 van de verordening) die persoonsgegevens verwerkt aan voorwaarden uit de verordening voldoet. De ACM moet beoordelen of een databemiddelingsdienst of geregistreerde data-altruïstische organisatie (naar verwachting) zal voldoen aan de eisen die de verordening aan de betreffende organisatie stelt. Aangezien de AP echter de toezichthouder is op de AVG, is de AP de aangewezen organisatie om advies te geven met betrekking tot die voorwaarden uit de verordening die verband houden met de bescherming van persoonsgegevens. Zo staan in de verordening voorwaarden die betrekking hebben op doelbinding, toestemming, gegevensbeschermingsrechten van betrokkenen en de informatieplicht richting betrokkene (artikelen 12, onderdelen e, h, m en n, 21, eerste en derde lid, en 22, eerste lid, onderdelen a en b, van de verordening). Door de advisering van de AP is de ACM beter geïnformeerd over de vraag of een aanbieder voldoet aan deze voorwaarden. Daarmee wordt voorkomen dat een databemiddelingsdienst of geregistreerde data-altruïstische organisatie aan de slag gaat, terwijl op voorhand al duidelijk is dat zij (waarschijnlijk) in strijd met de verordening zullen handelen ten aanzien van de bescherming van persoonsgegevens.

Het betreffende advies komt overigens niet in de plaats van het normale toezicht dat de AP uitvoert en ontslaat de databemiddelingsdienst of geregistreerde data-altruïstische organisatie ook niet van diens verplichtingen onder de AVG.

5. Verhouding tot ander recht

De verordening sluit aan bij bestaande wetgeving waarin rechten omtrent gegevens worden beschermd, zoals de AVG, en verandert niets aan de werking hiervan. Hieronder wordt nader in gegaan op specifieke kaders.

5.1 Bescherming van persoonsgegevens, AVG

De verordening doet geen afbreuk aan Unieregelgeving zoals de Algemene Verordening Gegevensverwerking (AVG)7, en nationale regelgeving met betrekking tot de bescherming van persoonsgegevens. Bij verwerking van persoonsgegevens is de regelgeving met betrekking tot persoonsgegevens altijd van toepassing en bij tegenstrijdigheid met de verordening prevaleert de regelgeving met betrekking tot persoonsgegevens. Dit geldt ook voor de situatie waarin persoonsgegevens en andere gegevens in een gegevensverzameling onlosmakelijk met elkaar verbonden zijn. Omdat de AVG onverminderd van toepassing is, wordt ook de definitie van persoonsgegevens uit de AVG gehanteerd en volgt het onderscheid tussen persoonsgegevens en niet-persoonsgegevens uit deze definitie. De Autoriteit Persoonsgegevens is de toezichthouder met betrekking tot persoonsgegevens op basis van de AVG, en blijft dat.

Omdat de AVG volledig van toepassing is, is ook het beginsel van doelbinding, zoals verwoord in artikel 5, eerste lid, onderdeel b, van de AVG, volledig van toepassing. Dit beginsel houdt in dat gegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld en vervolgens niet verder op een met die doeleinden onverenigbare wijze mogen worden verwerkt. Dit beginsel is in het bijzonder van belang in relatie tot het hergebruik uit hoofdstuk II van de verordening. Hergebruik ziet juist op het gebruik van gegevens voor andere doeleinden dan het oorspronkelijk doel binnen de openbare taak waarvoor de gegevens zijn geproduceerd. Om te bepalen of het hergebruik van bepaalde gegevens in lijn is met de AVG, zal een met een publieke taak belaste instelling de verwerking dus moeten toetsen aan het doelbindingsbeginsel. Wanneer het hergebruik ziet op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, is op grond van artikel 5, eerste lid, onderdeel b, van de AVG in ieder geval geen sprake van onverenigbaarheid. Voor andere vormen van hergebruik zal artikel 6, vierde lid, van de AVG moeten worden toegepast. Hergebruik op basis van toestemming van de betrokkene of op basis van een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, eerste lid, van de AVG bedoelde doelstellingen, levert volgens die bepaling ook geen strijd op met het beginsel van doelbinding. Als het hergebruik een andere basis heeft, zal moeten worden getoetst of dat valt te verenigen met de oorspronkelijke verzameling. Daarbij moet onder meer rekening worden gehouden met ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking, het kader waarin de persoonsgegevens zijn verzameld, de aard van de persoonsgegevens, de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen en het bestaan van passende waarborgen. Als ook die toets negatief uitvalt, zal de met een publieke taak belaste instelling op zoek moeten naar een andere afzonderlijke rechtsgrond dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan. Daarbij wordt nogmaals benadrukt dat de verordening zelf dergelijke grondslagen niet in het leven roept, maar dat er wel enkele bestaande grondslagen zijn in het Nederlands recht (zie paragraaf 4.1.1). Die artikelen bepalen vervolgens voor welke taken en doeleinden de verdere verwerking als rechtmatig en verenigbaar met de aanvankelijke doeleinden moet worden beschouwd. Indien het hergebruik bij die doeleinden aansluiting vindt, is die verwerking niet onverenigbaar. Indien daarbij geen aansluiting kan worden gevonden, is hergebruik van persoonsgegevens niet mogelijk. Een met een publieke taak belaste instelling kan er overigens ook voor kiezen om de gegevens in kwestie te anonimiseren, alvorens hergebruik daarvan toe te staan. In dat geval zijn de gegevens geen persoonsgegevens meer en is de AVG niet meer van toepassing. Ten overvloede wordt opgemerkt dat gegevens die onder de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens vallen, niet onder de AVG vallen, maar dat beide wetten wel hun eigen vorm van doelbinding kennen.

5.2 Hergebruik van overheidsinformatie

Hoofdstuk II van de verordening en de Wet hergebruik van overheidsinformatie (hierna: Who), zien beiden op hergebruik van overheidsgegevens. Het gaat daarbij echter om verschillende soorten gegevens en verschillende vormen van hergebruik. De Who en haar aankomende herziening, die is gebaseerd op de open data richtlijn (Richtlijn 2019/1024/EU), zien op hergebruik van niet-gevoelige, openbare gegevens, die ook wel «open data» worden genoemd. Open data zijn dusdanig ongevoelig dat openbare verspreiding en hergebruik daarvan niet of nauwelijks aan beperkingen hoeft te worden onderworpen. Veel gegevens zijn echter te gevoelig om zomaar openbaar te maken en/of voor alle doeleinden te gebruiken. Zij zijn niet geschikt als open data en daarom uitgesloten van hergebruik onder de Who. Een deel van die gegevens is zelfs zo gevoelig dat de kring van personen die daartoe toegang hebben zo klein mogelijk moet worden gehouden. Denk daarbij bijvoorbeeld aan informatie die, als zij in verkeerde handen zou vallen, de veiligheid van de Staat zou kunnen schaden. Voor een ander deel van de gegevens geldt echter dat hergebruik onder de Who niet mogelijk is, maar dat tegelijkertijd niet elke vorm van hergebruik verboden hoeft te blijven. Hoofdstuk II van de verordening biedt een raamwerk waarbinnen deze gegevens, onder bepaalde beschermende omstandigheden, alsnog kunnen worden hergebruikt. Hoofdstuk II van de verordening is daarmee dus een aanvulling op de open data richtlijn.

Specifiek heeft hoofdstuk II van de verordening betrekking op gegevens die zijn beschermd onder het handelsgeheim, statistisch geheim, de bescherming van intellectuele eigendomsrechten van derden, of de bescherming van persoonsgegevens, voor zover die buiten het toepassingsgebied van de Open data richtlijn vallen. Gegevens die zijn beschermd onder het handelsgeheim of statistisch geheim, zijn in principe niet openbaar. Om onder de werking van de Who te vallen, moeten gegevens juist wel openbaar zijn. Tevens moeten daarvoor geen door intellectuele eigendomsrechten van derden op hen van toepassing zijn en moeten zij geen betrekking hebben op openbare persoonsgegevens waarvan hergebruik onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Om onder hoofdstuk II van de verordening te vallen, moeten gegevens dus aan een aantal voorwaarden voldoen die tegengesteld zijn aan de voorwaarden om onder de Who te vallen. De Who en hoofdstuk II van de verordening kunnen daardoor nooit tegelijkertijd van toepassing zijn.

Om te bepalen of gegevens (in theorie) onder de werking van hoofdstuk II van de verordening kunnen vallen, kan ofwel direct worden gekeken of de gegevens in kwestie zijn onder te brengen in één of meer van de vier genoemde categorieën, ofwel eerst worden nagelopen of de gegevens onder de werking van de Who vallen. Aangezien de Who een recht op hergebruik in het leven roept, terwijl de verordening slechts kaders schept en de nationale grondslagen voor hergebruik onder de verordening veel beperkter zijn, ligt het in de rede dan een beoogd hergebruiker in eerste instantie een hergebruikverzoek onder de Who indient. Eventueel kan deze belanghebbende het verzoek aanvullen met een subsidiair verzoek via de verordening, in samenhang met de betreffende nationale grondslag, maar dat heeft uiteraard alleen kans van slagen als de belanghebbende aan de relevante voorwaarden voldoet en de nationale grondslag in kwestie ver genoeg reikt.

In de praktijk werkt de Who vaak in samenhang met de Woo. Openbaarheid is immers een voorwaarde voor toepassing van de Who en de Woo is de belangrijkste wet die de openbaarmaking van overheidsgegevens regelt. Daargelaten dat er ook veel gegevens in (deels) openbare registers openbaar zijn, op basis van de grondslag die de werking van het register in kwestie regelt. Als gegevens dus niet al openbaar zijn, doet een belanghebbende er in de regel goed aan om een Woo-verzoek in te dienen, gecombineerd met een Who-verzoek. Artikel 2.4, derde lid, onderdeel a, van de Woo verplicht de overheid overigens al om gegevens ook zoveel mogelijk in herbruikbare vorm aan te bieden, maar door middel van een Who-verzoek, wordt dat afdwingbaar. Mocht dat Woo- en/of Who-verzoek (gedeeltelijk) worden afgewezen, dan kan de belanghebbende ervoor kiezen om alsnog een beroep te doen op hergebruik als bedoeld in de verordening. Wederom: dat heeft alleen kans van slagen als de belanghebbende iemand is die een beroep kan doen op een toepasselijke nationale grondslag. Op het moment van schrijven, zijn alleen nationale grondslagen bekend die betrekking hebben op mensen met een bijzondere onderzoeksfunctie, zoals wetenschappers en journalisten. Daarnaast hebben al deze grondslagen eigen toegangscriteria en zijn ze vrijblijvend van aard. Hergebruik kan op die manier dus niet worden afgedwongen.

5.3 Bescherming van intellectuele-eigendomsrechten

Volgens overwegingen 17 en 18 bij de verordening doet deze verordening geen afbreuk aan de intellectueleeigendomsrechten van derde partijen. Zij mag evenmin gevolgen hebben voor het bestaan of bezit van intellectuele-eigendomsrechten van openbare lichamen en mag geen enkele beperking inhouden voor de uitoefening van die rechten. De overeenkomstig deze verordening opgelegde verplichtingen zijn alleen van toepassing indien zij verenigbaar zijn met de internationale overeenkomsten en met het Unierecht of het nationale recht inzake intellectuele eigendom. Openbare lichamen dienen evenwel hun auteursrechten op dusdanige wijze uit te oefenen dat hergebruik wordt gefaciliteerd. Gegevens die onderworpen zijn aan intellectueleeigendomsrechten of die bedrijfsgeheimen bevatten, mogen alleen aan een derde partij worden doorgegeven indien dat is toegestaan krachtens het Unierecht of het nationale recht of mits de rechthebbende daarmee instemt. Openbare lichamen die over het recht van de producent van een databank beschikken als bedoeld in artikel 7, eerste lid, van de Databankrichtlijn8, mogen dat recht niet uitoefenen om hergebruik van gegevens te voorkomen of meer te beperken dan bepaald in deze verordening.

5.4 Digitalemarktenverordening (DMA), Digitalediensteverordening (DSA), Artificiële intelligentie verordening (AI Act) en Dataverordening (DA)

In ongeveer dezelfde tijdspanne heeft de Europese Commissie naast de verordening nog een reeks andere voorstellen voor Europese verordeningen op het terrein van de digitale economie gedaan. De verordening heeft een andere reikwijdte en ziet op andere normadressaten dan deze verordeningen.

Zo bevat de digitalemarktenverordening (Digital Markets Act; hierna DMA) regels voor de allergrootste online platforms. Deze platforms kwalificeren door hun aanzienlijke marktpositie als zogenoemde poortwachters. Zakelijke gebruikers of eindgebruikers kunnen vanwege die marktpositie niet of nauwelijks meer om poortwachters heen. Doel van deze verordening is om gebruikers van poortwachters beter te beschermen en te zorgen voor beter werkende digitale markten. Dit doet de DMA middels een reeks verplichtingen en verboden voor poortwachters zoals een verbod om eigen diensten voor te trekken op het eigen platform en beperkingen op het gebruik van persoonsgegevens. Een poortwachter kan zowel onder de verordening (bijvoorbeeld als er een databemiddelingsdienst qua grootte aan de eisen van de DMA voldoet) als de DMA vallen maar de eisen uit de verordeningen zijn complementair aan elkaar. Het toezicht op de DMA wordt door de Europese Commissie zelf gedaan. Nationale Autoriteiten hebben geen rol bij de handhaving, maar ondersteunen de Commissie bij het toezicht op de naleving van de verordening. Op het moment van schrijven lijken er in Nederland nog geen bedrijven te zijn die onder beide verordeningen zullen vallen.

De digitaledienstenverordening (Digital Services Act; hierna: DSA) harmoniseert de regels die van toepassing zijn op zogenaamde aanbieders van «tussenhandeldiensten», waaronder online platforms, online marktplaatsen, sociale mediadiensten en internetaanbieders. De DSA heeft als doel te zorgen voor een veilige, voorspelbare en betrouwbare online omgeving, waarin de verspreiding van illegale online-inhoud en de maatschappelijke risico’s die de verspreiding van desinformatie of andere inhoud met zich kunnen brengen, worden aangepakt en waarin de grondrechten doeltreffend worden beschermd en innovatie wordt vergemakkelijkt. Daartoe bevat de DSA enerzijds een kader voor de aansprakelijkheid van aanbieders van tussenhandeldiensten voor door hun gebruikers verstrekte informatie en anderzijds een aantal zorgvuldigheidsverplichtingen waar deze aanbieders aan moeten voldoen bij het verlenen van hun diensten. Tussenhandeldiensten vallen, blijkens artikel 3, onderdeel g, van de DSA, uiteen in «mere conduit»-, «caching»-, en «hosting» diensten. Online platforms zijn een subcategorie van hostingdiensten, bestaande uit het op verzoek van een afnemer opslaan van informatie en verspreiden bij het publiek. Databemiddelingsdiensten worden in de DSA niet expliciet genoemd als voorbeeld van een mogelijke tussenhandeldienst. Wel worden diensten die het online delen van informatie en inhoud mogelijk maken, waaronder het opslaan en delen van bestanden, in de overwegingen genoemd als voorbeeld van mogelijke «hostingdiensten». Of een specifieke dienst kwalificeert als tussenhandeldienst, hangt af van de technische functies ervan, die in de loop van de tijd kunnen evolueren, en moet per geval worden beoordeeld. Het is daarom niet uit te sluiten dat (sommige) databemiddelingsdiensten ook onder de DSA zullen vallen. Hetzelfde geldt voor organisaties voor data-altruïsme. In dat geval zijn de zorgvuldigheidsverplichtingen uit de DSA, die zich onder meer richten op het terugdringen van de verspreiding van illegale inhoud, complementair aan de eisen van de verordening die eisen stelt aan het proces van datadeling als zodanig, dus ongeacht de inhoud van deze data.

De Artificiële Intelligentie verordening (Artificial Intelligence Act; hierna AI Act) is op het moment van schrijven van deze toelichting een voorstel voor een verordening waarover de onderhandelingen nog lopen. Het voorstel bevat geharmoniseerde regels voor het in de handel brengen en het gebruik van AI-systemen in de Unie volgens een risicogebaseerde aanpak op basis van risico’s voor gezondheid, veiligheid en fundamentele rechten. Er wordt voorgesteld bepaalde AI-praktijken te verbieden vanwege onaanvaardbaar risico. Andere AI-systemen worden geclassificeerd als hoog-risico en zullen moeten voldoen aan een reeks dwingende voorschriften. Voor sommige specifieke AI-systemen worden alleen transparantieverplichtingen voorgesteld. In het algemeen ondersteunt het doel van de verordening het doel van de AI Act om innovatie met AI mogelijk te maken door data op een vertrouwde manier beschikbaar te maken. Het is mogelijk dat een databemiddelingsdienst gebruik gaat maken van AI en daarmee onder de AI Act kan vallen. Echter een databemiddelingsdienst mag alleen gebruik maken van de via hen gedeelde data indien de data worden gebruikt voor de verbetering van de datadeeldienst. Het is dus verboden voor een databemiddelingsdienst om data te gebruiken voor het ontwikkelen van een AI-systeem wat voor andere doeleinden wordt gebruikt dan het delen van data via de databemiddelingsdienst. Hier zorgt de verordening voor een aanvullende beperking van het gebruik van AI-systemen door databemiddelingsdiensten. Voor organisaties voor data-altruïsme is het wel mogelijk dat data wordt gebruikt voor de ontwikkeling van AI-systemen maar moet dit in het kader zijn van het gespecificeerde doel van algemeen belang. Ook hier is dus een aanvullende beperking op hoe de data mag worden gebruikt voor de ontwikkeling van AI-systemen indien een organisatie het vrijwillige label van in de EU-erkende organisatie voor data-altruïsme wil ontvangen.

De dataverordening (hierna: Data Act) is een Europese verordening die nauw aansluit bij de doelen van de verordening. Deze verordening komt ook voort uit de Europese datastrategie, op het moment van schijven zijn de onderhandelingen afgerond maar moet de definitieve tekst nog gepubliceerd worden. De Data Act heeft onder meer als doel om zowel particulieren als bedrijven meer controle geven over hun data dankzij de creatie van gebruiks- en toegangsrechten voor gebruikers waar de data worden gegenereerd door het gebruik van slimme objecten, machines en apparaten. De Data Act geeft consumenten en bedrijven meer zeggenschap over wat er kan worden gedaan met de data die door hun gebruik van verbonden producten worden gegenereerd. Daarnaast legt de Data Act regels vast voor concurrentie op de markt voor clouddiensten en regelt ze verschillende zaken met betrekking tot data-interoperabiliteit. De verhouding tussen de twee verordeningen is op hoofdlijnen als volgt: de verordening gaat over het kader voor het delen van data waarbij wordt verondersteld dat het duidelijk is wie mag beslissen welke data mag worden gedeeld en met wie dit mag. e Data Act reguleert wie de zeggenschap krijgt over de data en vult daarmee een deel van de veronderstelling van de verordening in. Daarnaast is er overlap tussen de verordeningen omdat ze beiden spreken over datahouders en omdat het in de verordening opgerichte Europees Comité voor gegevensinnovatie ook taken krijgt op basis van de Data Act. De rechten en plichten uit beide verordening overlappen echter niet. Daarnaast staan zowel in de verordening als de Data Act bijna dezelfde voorwaarden ten aanzien van internationale toegang en doorgifte van data. Hierdoor is er een consistent wetgevend kader voor internationale datastromen op basis van beide verordeningen.

6. Gevolgen

Op het moment van publicatie van deze wet zijn er in Nederland nog weinig concrete casussen bekend waarop de verordening directe gevolgen heeft. Zo zijn er nog geen bezwaren binnen gekomen van exclusieve overeenkomsten tussen overheden en derde partijen rondom beschermde categorieën van data. Ook zijn er nog maar weinig organisaties die als databemiddelingsdienst of als organisatie voor data-altruïsme onder de verordening kunnen worden aangemerkt in Nederland. De onmiddellijke gevolgen zullen dus beperkt zijn. Dit sluit ook aan bij de redenatie van de Europese Commissie dat met deze wetgeving wordt geanticipeerd op ontwikkelende trends en dat de wet zelf ook tot doel heeft om bepaalde marktontwikkelingen te stimuleren. Voor databemiddelingsdiensten en organisaties voor data-altruïsme is het de intentie van de Europese Commissie om het ontstaan van deze organisaties te stimuleren en te voorkomen dat de markt op een dusdanige manier ontwikkeld dat er onwenselijke concentraties en gebruik van data ontstaat.

6.1 Regeldruk

De Uitvoeringswet heeft geen directe financiële gevolgen voor bedrijven, consumenten en niet-gouvernementele organisaties. De verordening laat slechts beperkte beleidsruimte aan lidstaten en deze wordt in de uitvoeringswet restrictief ingevuld. Nederland is vooralsnog niet voornemens om nationale regelingen te treffen voor data-altruïsme (artikel 16). Daarnaast maakt Nederland vooralsnog geen gebruik van de ruimte om kosten in rekening brengen voor het registreren als databemiddelingsdienst (artikel 11). Wel wordt de mogelijkheid geschapen om eventueel via een algemene maatregel van bestuur deze kosten in rekening te brengen, de gevolgen voor regeldruk zullen op dat moment in kaart worden gebracht. Daardoor voegt de uitvoeringswet geen extra regeldruk toe.

De verordening zorgt wel voor een toegenomen regeldruk. De Europese Commissie heeft in haar impact assessment een analyse gegeven voor de gevolgen voor regeldruk van de verordening op de gehele Europese Unie.9 In een eerder – strengere – versie van het voorstel raamde de Commissie de kosten op voor databemiddelingsdiensten op eenmalig € 35.000–€ 75.000 en jaarlijks € 20.000–€ 50.000, het uiteindelijke voorstel is minder streng en zal naar verwachting tot significant minder kosten leiden.

De regeldruk die voortkomt uit de verplichte registratie van databemiddelingsdiensten is naar verwachting zeer laag omdat het gaat om het verstrekken van handelsregistratiegegevens, contactgegevens, beschrijving van de te leveren dienst, startdatum van de bedrijfsactiviteit en de lidstaat waarin de dienstverlener van plan is de diensten te gaan leveren. De eisen waaraan de databemiddelingsdienst moet voldoen kunnen meer gevolgen hebben voor regeldruk aangezien dienstverleners maatregelen moeten nemen om de neutraliteit van de data-bemiddelingsdienst te garanderen, waaronder het opzetten van een aparte juridische entiteit en technische maatregelen om de veiligheid van data te garanderen. Aangezien het om een opkomende markt gaat en er momenteel nog weinig databemiddelingsdiensten bestaan is het lastig in te schatten voor hoeveel bedrijven in Nederland dit gevolgen gaat hebben. Dit is ook afhankelijk van de specifieke bedrijfsmatige situatie: gaat het om bestaande bedrijven die deze dienst gaan aanbieden of om bedrijven die worden opgericht om in het bijzonder deze diensten aan te bieden.

Ten aanzien van data-altruïsme stelt het impact assessment bij de verordening dat de kosten voor het verkrijgen van het Europese label tussen € 25.000–€ 50.000 liggen en voor het behouden tussen de € 20.000–€ 35.000 per jaar ligt. Het gaat hier om een vrijwillig label. Het is momenteel niet in te schatten hoeveel organisaties hier gebruik van willen maken en de regeldruk hiervan kan niet worden vastgesteld.

Ook het hoofdstuk over hergebruik gaat uit van de vrijwillige keuze van hergebruikers om een verzoek in te dienen. Met deze verordening wordt dit wel makkelijker en toegankelijker gemaakt, zoals het inrichten van één centraal informatiepunt. Gemaakte kosten van het behandelen van een verzoek om hergebruik, kunnen door overheidsorganisaties bij hergebruikers in rekening worden gebracht. Het is momenteel nog niet in te schatten hoeveel hier gebruik van zal worden gemaakt en de regeldruk hiervan kan niet worden vastgesteld

Het ATR heeft het voorstel niet geselecteerd voor een formeel advies, omdat het geen gevolgen voor de regeldruk heeft.

6.2 Gevolgen voor overheidsorganisaties

Ook voor overheidsorganisaties geldt dat de belangrijkste gevolgen direct voortvloeien uit de verordening zelf. De gevolgen van de Uitvoeringswet zitten voornamelijk in het feit dat er enkele organisaties worden aangewezen die een taak krijgen, of grondslagen worden gemaakt om dat op een lager niveau te doen. Het voornemen is om het CBS aan te wijzen als bevoegd orgaan als bedoeld in artikel 7, eerste lid, voor zover bijstand moet worden verleend voor wetenschappelijke of statistische doeleinden. Of er daarnaast nog andere bevoegde organen nodig zijn, wordt op het moment van schrijven nog onderzocht. Logius zal naar verwachting het centraal informatiepunt in stand moeten houden. En de ACM zal toezicht moeten houden op de naleving van de regels die zien op internationale doorgifte van gegevens en de overige regels waar databemiddelingsdiensten en (erkende) organisaties voor data-altruïsme zich aan moeten houden. Al deze overheidsorganisaties voeren een uitvoeringstoets uit om de precieze gevolgen voor hun organisatie in kaart te brengen. Voor alle overige overheidsorganisaties geldt dat zij mogelijk te maken krijgen met de genoemde organisaties. In de voorlopige raming worden de kosten voor de coördinerende rol die het bevoegd orgaan voor met een publieke taak belaste instellingen uit zal gaan voeren, geraamd op € 5.400 per jaar. Omdat deze kosten bij hergebruikers in rekening kunnen worden gebracht en het bevoegd orgaan werk uit handen kan nemen van met een publieke taak belaste instellingen, is de inschatting in de voorlopige raming dat netto de baten groter zijn.

De verordening laat geen ruimte om geen organisaties aan te wijzen, dus het enige alternatief zou zijn geweest om andere organisaties aan te wijzen. De gevolgen voor overheidsorganisaties die direct uit de Uitvoeringswet – en dus niet uit de verordening zelf – voortvloeien, zijn daarom zeer beperkt.

7. Uitvoerbaarheid en handhaafbaarheid10

7.1 Autoriteit Consument en Markt

Het wetsvoorstel is voorgelegd aan de Autoriteit Consument en Markt (ACM) voor een toets op uitvoerbaarheid en handhaafbaarheid. De ACM acht het wetsvoorstel uitvoerbaar en handhaafbaar, mits de zes adviespunten in acht worden genomen.

Het eerste adviespunt gaat over het aanwijzen van de ACM als toezichthouder. De ACM verzoekt de woorden «ambtenaren van de Autoriteit Consument en Markt» te vervangen door «de Autoriteit Consument en Markt». Deze wijziging is in lijn met artikel 12a van de Instellingswet Autoriteit Consument en Markt en wordt overgenomen in artikel 6 van de Uitvoeringswet.

Het tweede adviespunt gaat over de samenwerking met de Autoriteit Persoonsgegevens (AP). De ACM gaf aan dat het verplichte advies van de AP in ieder geval moet worden uitgebreid met artikel 12, onderdeel e, van de verordening, omdat dat onderdeel ziet op doelbinding en toestemming. Daarnaast gaf de ACM aan dat het wenselijk is een grondslag te hebben om niet-persoonsgegevens te kunnen delen met de AP in het kader van het verplicht advies. Beide punten zijn overgenomen. Het eerste punt is overgenomen doordat in artikel 7, eerste lid, van de Uitvoeringswet de reikwijdte voor het advies van de AP open is gelaten zodat de ACM kan aangeven over welke voorwaarden advies wenselijk is. De ACM en de AP kunnen hierover afspraken maken in het samenwerkingsprotocol. In artikel 7, vierde lid, van de Uitvoeringswet is deze bevoegdheid voor gegevensuitwisseling opgenomen.

Het derde adviespunt gaat over het begrip «algemeen belang» zoals dat wordt gebruikt in het onderdeel over data-altruïstische organisaties. In de verordening wordt dit niet gedefinieerd maar wordt verwezen naar nationaal recht. In Nederland is er nog geen grondslag voor nationaal recht en de ACM gaf aan dat een wettelijke invulling hiervoor wenselijk is. Dit advies is overgenomen en uitgewerkt in artikel 5 van de Uitvoeringswet.

Het vierde adviespunt gaat over de boetebevoegdheid van de ACM en de AP. De ACM wees erop dat de memorie van toelichting aangaf dat het niet mogelijk zou zijn om voor dezelfde overtreding door dezelfde persoon of organisatie tegelijkertijd een boete op te leggen op grond van de DGA door de ACM en op grond van de AVG door de AP. Dit is volgens de ACM echter genuanceerder en stelde daarom voor dit onderdeel te schrappen. Dit adviespunt is overgenomen.

Het vijfde adviespunt gaat over het klachtenrecht en recht op een doeltreffende voorziening in rechte. De ACM constateert dat volgens artikelen 27 en 28 van de verordening een persoon met een klacht richting de ACM het recht heeft om een doeltreffende voorziening in rechte te verkrijgen of recht op toetsing door een onpartijdige instantie met de nodige deskundigheid. De ACM vraagt om te verduidelijken wie deze onpartijdige instantie is. Artikel 9 van de uitvoeringswet wijst de bestuursrechter van de Rechtbank Rotterdam aan als bevoegde rechtbank voor beroep in eerste instantie tegen besluiten die worden genomen door de ACM als bevoegde autoriteit – en het Cbb voor hoger beroep – en verwijst naar heel artikel 28 van de verordening. De Verordening vereist niet dat klagers zowel recht op een doeltreffende voorziening in rechte als recht op toetsing door een onpartijdige instantie met de nodige deskundigheid hebben maar één van beiden. Daarom is dit adviespunt niet overgenomen omdat aan de Verordening is voldaan door de bestuursrechter van de Rechtbank Rotterdam aan te wijzen. Dit wordt in de artikelsgewijze toelichting bij artikel 10 verduidelijkt.

Het laatste adviespunt gaat over de relatie tussen de Wet Markt en Overheid en hoofdstuk II van de Verordening. De ACM signaleert dat er een raakvlak bestaat tussen de Wet Markt en Overheid (WM&O), te vinden in hoofdstuk 4b van de Mededingingswet, en hoofdstuk II van de verordening. In het bijzonder signaleert de ACM dat artikel 25i, eerste lid, van de Mededingingswet mogelijk van toepassing is. Dat zou betekenen dat met een publieke taak belaste instellingen in sommige gevallen de kosten voor hergebruik van gegevens integraal zouden moeten doorberekenen en dat de ACM hierop toezicht zou moeten houden. Om enige onduidelijkheid hierover weg te nemen, adviseert de ACM om de verhouding tussen de verordening en artikel 25i van de Mededingingswet in de Uitvoeringswet te verankeren. Hieraan is gevolg gegeven door artikel 25i buiten toepassing te verklaren op vergoedingen voor gegevens die onder Hoofdstuk II van de verordening voor hergebruik worden aangeboden. Zie daartoe artikel 3, tweede lid, van de Uitvoeringswet, alsmede de daarbij behorende toelichting en de toelichting in paragraaf 4.1.4 van het algemeen deel van de onderhavige memorie van toelichting.

7.2 Autoriteit Persoonsgegevens

De AP heeft in haar uitvoerings- en handhavingstoets geen bezwaren benoemd om de aan haar toebedeelde adviseringstaak richting de ACM uit te voeren. Wel gaf de AP aan dat de adviseringstaak ook moet toezien op artikel 12, onderdelen e en h, (met betrekking tot instrumenten om gegevens te anonimiseren of pseudonimiseren en het waarborgen van de continuïteit van de dienstverlening in geval van insolventie waaronder (gegevensbeschermings)rechten door betrokkenen) en op artikel, 21 eerste lid, van de verordening (informatieplicht) omdat die vereisten ook raken aan de bescherming van persoonsgegevens. Dit advies is overgenomen door in artikel 7, eerste lid, van de Uitvoeringswet is de reikwijdte voor het advies van de AP open te laten. De ACM kan aangeven over welke voorwaarden advies wenselijk is. De ACM en de AP kunnen hierover afspraken maken in het samenwerkingsprotocol.

De opmerking van de AP dat de ACM alleen een label voor data-altruïsme kan verlenen indien de AP positief adviseert, moet worden genuanceerd. Een bestuursorgaan is niet verplicht om een advies op te volgen en kan daar gemotiveerd van afwijken (artikel 3:50 van de Algemene wet bestuursrecht).

7.3 Raad voor de Rechtspraak

De Raad voor de Rechtspraak heeft in zijn advies aangegeven dat het wetsvoorstel geen aanleiding geeft tot het maken van inhoudelijke opmerkingen en dat het wetsvoorstel naar verwachting niet leidt tot substantiële werklastgevolgen voor de rechtspraak.

7.4 Adviescollege Openbaarheid en Informatiehuishouding

Het Adviescollege Openbaarheid en Informatiehuishouding is gevraagd, op grond van artikel 7.2 van de Wet open overheid, advies uit te brengen over de bepalingen die raken aan hoofdstuk 2 van de datagovernanceverordening. Het Adviescollege heeft aangegeven geen bezwaar te hebben tegen de wet. Het Adviescollege heeft verzocht om een toekomstig wetsvoorstel met nieuwe rechtsgrondslagen aan hen voor te leggen voor advies. Ook heeft het Adviescollege aangegeven te willen adviseren over de regels voor de berekening van de vergoedingen voor het hergebruik, die bij algemene maatregel van bestuur geregeld zullen worden.

Het Adviescollege vroeg daarnaast om in de memorie van toelichting op te nemen dat bevoegde organen voorwaarden stellen aan het duurzaam toegankelijk aanbieden van de gegevens. De verordening biedt bevoegde organen niet de mogelijkheid deze voorwaarden te stellen. Wel kunnen bevoegde organen richtsnoeren verstrekken over hoe gegevens het best kunnen worden gestructureerd en opgeslagen zodat ze gemakkelijk toegankelijk zijn, en kunnen daarbij technische steun verlenen (artikel 7, vierde lid, onderdeel b, van de verordening).

8. Overgangsrecht en inwerkingtreding

De implementatiedeadline van de verordening is vastgesteld op 24 september 2023. Artikel 10 sluit zoveel mogelijk aan bij deze implementatiedeadline. De inwerkingtreding van dit wetsvoorstel wijkt af van het kabinetsbeleid inzake vaste verandermomenten (Kamerstukken II 2009/10, 29 515, nr. 309), inhoudende dat wetsvoorstellen op 1 januari of 1 juli in werking treden met een minimuminvoeringstermijn van twee maanden. Volgens dit kabinetsbeleid kan een uitzondering worden gemaakt indien het implementatie van een Europese verordening betreft.

Entiteiten die databemiddelingsdiensten verlenen op 23 juni 2022, moeten uiterlijk op 24 september 2025 aan de verplichtingen van hoofdstuk III voldoen.

II. Artikelen

Artikel 2. Aanwijzing bevoegd orgaan, centraal informatiepunt en bevoegde autoriteiten

In artikel 2 van de Uitvoeringswet worden ter uitvoering van de verordening de bevoegde autoriteiten aangewezen. In artikel 2, eerste lid, van de Uitvoeringswet wordt de mogelijkheid gecreëerd om bij algemene maatregel van bestuur bevoegde organen aan te wijzen om met een publieke taak belaste instellingen die toegang met het oog op hergebruik van de in artikel 3, eerste lid, van de verordening bedoelde gegevenscategorieën verlenen of weigeren, bij te staan als zij dat wensen. Zie paragraaf 4.1.2 van het algemene deel van deze memorie van toelichting voor meer informatie over deze taak. Het betreft een ondersteunende taak om andere met een publieke taak belaste instellingen te helpen. Het bevoegde orgaan moet daarbij handelen in overeenstemming met de instructies van de met een publieke taak belaste instelling. Een dergelijke bijstandsstructuur kan de datasubjecten en gegevenshouders bijstaan bij het beheer van de toestemming of toelating tot hergebruik, met inbegrip van toestemming en toelating voor bepaalde gebieden van wetenschappelijk onderzoek overeenkomstig erkende ethische normen voor wetenschappelijk onderzoek. De bevoegde organen mogen geen toezichtfunctie hebben; die is uit hoofde van Verordening (EU) 2016/679 voorbehouden aan toezichthoudende autoriteiten. De gegevensverwerking moet plaatsvinden onder de verantwoordelijkheid van de met een publieke taak belaste instelling die verantwoordelijk is voor het register dat de gegevens bevat en dat, wat de persoonsgegevens betreft, de verwerkingsverantwoordelijke blijft in de zin van Verordening (EU) 2016/679 (overweging 26 van de verordening).

Met het oog op het aanwijzen van bevoegde organen, waaronder het CBS, om op grond van de verordening met een publieke taak belaste instellingen bij te staan die toegang met het oog op hergebruik van bepaalde gegevens verlenen of weigeren, is het noodzakelijk ook in deze uitvoeringswet aanvullende bepalingen op te nemen. Namelijk dat bevoegde organen de gegevens die het verwerkt onder verantwoordelijkheid van de met een publieke taak belaste instelling, alleen gebruikt in het kader van die bijstand en dus niet gebruikt voor statistische, of andere, doeleinden. Zo is ook gewaarborgd dat er een duidelijke scheiding is tussen deze verschillende gegevens enerzijds, en deze verschillende taken van het CBS en andere bevoegde organen anderzijds.

In artikel 2, vijfde lid, van de Uitvoeringswet krijgt de Minister van Binnenlandse Zaken en Koninkrijksrelaties de bevoegdheid om een organisatie aan te wijzen als het centraal informatiepunt, bedoeld in artikel 8, eerste lid, van de verordening. Het voornemen is om het Nationale Dataportaal op data.overheid.nl aan te wijzen, dat thans door het agentschap Logius wordt beheerd.

In artikel 2, zesde lid, van de Uitvoeringswet wordt de ACM aangewezen als de voor databemiddelingsdiensten bevoegde autoriteit, bedoeld in artikel 13, eerste lid, van de verordening, en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit, bedoeld in artikel 23, eerste lid, van de verordening.

Artikel 3. Vergoedingen voor hergebruik van gegevens

Het eerste lid van artikel 3 van de Uitvoeringswet bepaalt dat bij of krachtens algemene maatregel van bestuur de criteria en de methode voor de berekening worden vastgesteld van de vergoedingen voor het hergebruik van de in artikel 3, eerste lid, van de verordening bedoelde gegevenscategorieën. Deze inhoudelijke bepaling vloeit voort uit artikel 6, zesde lid, van de verordening. Sommige overheidsorganisaties die bedrijfsmatig gegevens aanbieden, hebben al eigen tariefregelingen. Voor hen is het mogelijk logischer om de criteria op te nemen in die regelgeving. De mogelijkheid bestaat om, in plaats van in deze algemene maatregel van bestuur te verwijzen naar de betreffende tariefregelingen.

In het tweede lid wordt de verhouding tussen de bovengenoemde vergoedingen en de Wet markt en overheid geregeld. Artikel 25i van de Wet markt en overheid stelt dat bestuursorganen die economische activiteiten verrichten, ten minste de integrale kosten van dat product of die dienst in rekening brengen. Het tweede lid, onderdeel c, regelt daarop een uitzondering indien de economische activiteit bestaat uit het verstrekken van gegevens die het bestuursorgaan heeft verkregen in het kader van de uitoefening van zijn publiekrechtelijke bevoegdheden of het verstrekken van gegevensbestanden die uit de genoemde gegevens zijn samengesteld. Deze uitzondering is bedoeld om het verstrekken van gegevens door bestuursorganen onder de kostprijs mogelijk te maken. De tekst van het betreffende onderdeel levert echter onduidelijkheid op wanneer het gaat om het verstrekken van gegevens die het bestuursorgaan niet heeft verkregen in het kader van de uitoefening van zijn publiekrechtelijke bevoegdheden. Daarnaast is onduidelijk of bij het verstrekken van gegevens voor hergebruik als bedoeld in de verordening sprake is van de uitoefening van bevoegdheden van openbaar gezag. Daarop is artikel 25i van de Mededingingswet in het algemeen niet van toepassing. En in de derde plaats is onduidelijk of de verordening, als hogere regeling, in het algemeen de betreffende bepaling uit de Mededingingswet niet buiten werking stelt, voor de toepassing op vergoedingen voor hergebruik. Om deze onduidelijkheid weg te nemen, wordt artikel 25i van de Mededingingswet in het algemeen buiten toepassing verklaard op de vergoedingen voor hergebruik onder de verordening.

Artikel 4. Aanmelding databemiddelingsdiensten

Artikel 4 van de Uitvoeringswet ziet op de aanmelding van databemiddelingsdiensten. In het eerste lid wordt de termijn bepaald waarin de ACM over een aanmelding moet besluiten. Artikel 19, vijfde lid, van de verordening bepaalt dat de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit de entiteit binnen twaalf weken na de datum van ontvangst van de registratieaanvraag moet registeren. Voor databemiddelingsdiensten stelt de verordening geen beslistermijn. Om te zorgen voor uniformiteit, wordt in deze wet die beslistermijn gelijkgetrokken. Het tweede lid maakt het mogelijk om de beslistermijn eenmaal met acht weken te verlengen. Deze verlengingsmogelijkheid is ingegeven door de complexiteit van de beoordeling van de aanvraag en het feit dat voorgesteld wordt dat de ACM de AP advies kan vragen ter voorbereiding van het besluit.

Het derde lid bepaalt dat bij of krachtens algemene maatregel van bestuur regels kunnen worden vastgesteld met betrekking tot de vergoeding voor de aanmelding van aanbieders van databemiddelingsdiensten overeenkomstig artikel 11, elfde lid, van de Datagovernanceverordening. Zie paragraaf 4.2.1 van het algemeen deel van de toelichting.

Artikel 5. Doeleinden van algemeen belang in verband met data-altruïsme

Op grond van artikel 18, onderdeel b, van de verordening, moet een organisatie zijn opgericht voor een doel van algemeen belang, om in aanmerking te komen voor de status van erkende organisatie voor data- altruïsme. In het nationale recht kan worden bepaald wat onder algemeen belang wordt verstaan. O In het onderhavige artikel wordt daar nader invulling aan gegeven.

De doeleinden van algemeen belang die in artikel 5 worden erkend, zijn gebaseerd op de doeleinden die in artikel 2, zestiende lid, van de verordening zijn genoemd en die in artikel 5b, derde lid, van de Wet inzake rijksbelastingen worden genoemd (omtrent algemeen nut beogende instellingen). Met betrekking tot dat laatste lid is een uitzondering gemaakt voor onderdeel m, omdat dat onderdeel specifiek ziet op het financieel ondersteunen van een algemeen nut beogende instelling, wat daarmee niet van toepassing is op het delen van data. Geprobeerd is om met dit artikel enerzijds zoveel mogelijk aan te sluiten bij de bedoeling van de verordening en anderzijds bij wat in bestaande Nederlandse wetgeving al als «algemeen nut» wordt gezien.

Artikel 6. Toezicht

Artikel 6 van de Uitvoeringswet betreft toezicht op de verordening. Hierin wordt de ACM aangewezen als toezichthouder op artikel 6, veertiende lid, (hergebruik), 3 (databemiddelingsdiensten), 4 (data-altruïsme) en 7 (Internationale toegang en doorgifte) van de verordening.

Artikel 7. Samenwerking ACM en AP

Artikelen 13, derde lid, en 23, derde lid, van de verordening bepalen dat de bevoegde autoriteiten moeten samenwerken. Zie paragraaf 4.4 van het algemeen deel van de toelichting. Artikel 7, eerste lid, van de Uitvoeringswet ziet op verplichte advisering van de AP aan de ACM over de vraag of een aanbieder van databemiddelingsdiensten of een erkende organisatie voor data-altruïsme voldoet aan de voorwaarden uit de verordening voor zover het gaat om de bescherming van persoonsgegevens. De AP en de ACM kunnen voor de advisering nadere afspraken maken in het samenwerkingsprotocol. Artikel 7, tweede lid, van de Uitvoeringswet bepaalt dat bij ministeriële regeling een termijn kan worden bepaald waarbinnen het advies door de AP wordt gegeven. Van deze bepaling zal de Minister gebruikmaken indien in de praktijk blijkt dat onderlinge afspraken niet tot de gewenste uitkomsten leiden.

Artikel 7, derde lid, van de Uitvoeringswet bepaalt dat de ACM en de AP een samenwerkingsprotocol opstellen, er kan ook worden gekozen om een bestaand samenwerkingsprotocol aan te passen. Artikel 7, vierde lid, van de Uitvoeringswet voorziet – in aanvulling op artikel 19, tweede lid, van de Uitvoeringswet Algemene verordening gegevensbescherming (uitwisseling van persoonsgegevens tussen AP en andere toezichthouders) en artikel 7, derde lid, onderdeel a, van de Instellingswet Autoriteit Consument en Markt (verstrekking van gegevens door de ACM) – in een grondslag voor het delen van niet-persoonsgegevens.

Artikel 8. Sanctionering

Artikel 34 van de verordening verplicht lidstaten om sancties vast te stellen voor bepaalde overtredingen van de verordening. Het betreft overtreding van de verplichtingen inzake doorgifte van niet-persoonsgebonden gegevens aan derde landen (artikel 5, veertiende lid, en artikel 31), de meldingsplicht voor aanbieders van databemiddelingsdiensten (artikel 11), de voorwaarden voor het verlenen van databemiddelingsdiensten (artikel 12) en de voorwaarden voor de registratie als een erkende organisatie voor data-altruïsme (artikelen 18, 20, 21 en 22). Lidstaten moeten alle nodige maatregelen nemen om ervoor te zorgen dat die sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.

Artikel 8 van de Uitvoeringswet bepaalt dat bij overtreding van de verordening de ACM een last onder dwangsom, en daarmee ook een last onder bestuursdwang, en een bestuurlijke boete kan opleggen.

Artikel 9. Wijziging Algemene wet bestuursrecht

In artikel 9 van de Uitvoeringswet wordt in bijlage 2, artikel 7, van de Algemene wet bestuursrecht de Rechtbank Rotterdam aangewezen als bevoegde rechtbank voor beroep in eerste instantie tegen besluiten die worden genomen door de ACM als bevoegde autoriteit en toezichthouder binnen de verordening. In artikel 11 van die bijlage wordt het College van Beroep voor het bedrijfsleven aangewezen als hoger beroepsinstantie voor deze zelfde beslissingen. De reden om één bevoegde rechtbank aan te wijzen, is dat er specifieke kennis is vereist voor de toepassing van de bepalingen uit de Uitvoeringswet en de Datagovernanceverordening. Naar verwachting zal het aantal beroepen op grond van deze wetgeving te beperkt zijn om bij elke rechtbank in Nederland voldoende specialisatie te verkrijgen en te behouden, en eenheid in de gerechtelijke uitspraken te waarborgen. Er is voor de rechtbank Rotterdam gekozen, omdat deze rechtbank reeds op verschillende terreinen van het economisch publiekrecht als de bevoegde bestuursrechter is aangewezen. Daarbij kan bijvoorbeeld worden gedacht aan de bevoegdheid in het kader van de Wet handhaving consumentenbescherming, de Telecommunicatiewet, en de Wet beveiliging netwerk- en informatiesystemen. In lijn met deze reeds bestaande bevoegdheid is de rechtbank Rotterdam een voor de hand liggende keuze. Tegen een uitspraak van de rechtbank Rotterdam staat om diezelfde reden hoger beroep open bij het College van Beroep voor het bedrijfsleven. Ten overvloede wordt vermeld dat in geval van artikel 28, derde lid, van de verordening van toepassing is, er alleen een voorziening in rechte openstaat bij de Rechtbank Rotterdam en hoger beroep bij het CBb.

Voor beroep tegen besluiten die zien op hergebruik, is geen bijzondere rechter aangewezen. Dergelijke beroepen dienen daarom conform de Awb te worden ingesteld bij de reguliere bestuursrechter en hoger beroep dient te worden ingesteld bij de Afdeling Bestuursrechtspraak van de Raad van State. Hoewel ervoor gekozen had kunnen worden om ook dit onderdeel te beleggen bij de Rechtbank Rotterdam en het College van Beroep voor het bedrijfsleven, woog zwaarder dat dit onderdeel raakvlakken vertoont met de Wet hergebruik van overheidsinformatie (hierna: Who), waarvoor wel het normale Awb-regime geldt, en dat een verzoek om hergebruik uit de Who in principe ook kan worden ingediend samen met een verzoek om hergebruik onder de verordening. Het aanwijzen van een bijzondere bestuursrechter, zou in dat geval leiden tot twee verschillende beroepsgangen in procedures tegen een besluit dat wordt genomen naar aanleiding van zo’n gecombineerde aanvraag.

Artikel 10. Inwerkingtreding

Artikel 10 van de Uitvoeringswet betreft de inwerkingtreding van de Uitvoeringswet. Zie paragraaf 8 van het algemeen deel van de toelichting.

De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens

III. Transponeringstabel

Bepalingen verordening

Bepaling in uitvoeringregeling of in bestaande regelgeving; toelichting indien niet geïmplementeerd of uit zijn aard geen implementatie behoeft

Omschrijving beleidsruimte

Toelichting bij keuze(n) bij de invulling van beleidsruimte

Artikelen 1 t/m 3

Behoeft naar de aard van deze bepaling geen implementatie.

   

Artikel 4

Vereist geen implementatie. Betreft een onderwerp waarvoor geen Nederlands recht geldt

   

Artikel 5

Vereist geen implementatie. Betreft een onderwerp waarvoor geen Nederlands recht geldt

   

Artikel 6

Artikel 3

Op grond van het zesde lid moeten de lidstaten de criteria en de methode voor de berekening van de vergoedingen voor hergebruik bekendmaken. Er is ruimte om zelf criteria en berekeningsmethoden vast te stellen, mits deze voldoen aan de criteria die in de andere leden van artikel 6 worden vermeld.

Er wordt een grondslag gecreëerd om dit bij of krachtens amvb uit te werken. Regelgeving moet mogelijk gedetailleerd worden en met enige regelmaat worden gewijzigd, een lager niveau is daarom passender.

Artikel 7

Artikel 2, eerste lid

Er moeten één of meerdere bevoegde organen worden aangewezen. De verordening laat vrij hoeveel organen er worden aangewezen en of dit bestaande of nieuw op te richten organen zijn, mits deze voldoen aan de criteria, genoemd in het derde lid van artikel 7.

Er wordt een grondslag gecreëerd om bij algemene maatregel van bestuur een of meerdere bevoegde organen aan te wijzen.

Artikel 8

Artikel 2, vijfde lid

Er moet één centraal informatiepunt worden aangewezen. De verordening laat vrij of dit bestaande of nieuw op te richten organen moeten zijn.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties krijgt de bevoegdheid om het centraal informatiepunt aan te wijzen.

Artikel 9

Behoeft geen nadere implementatie, volgt reeds uit bestaande nationale wetgeving

In nationale wetgeving moet een recht op verhaal worden vastgelegd, met inbegrip van de mogelijkheid tot herziening door een onpartijdige instantie die over de nodige deskundigheid beschikt.

Beroep tegen beslissingen die zien op hergebruik, vindt conform de Algemene wet bestuursrecht plaats bij de normale bestuursrechter en in hoger beroep bij de Afdeling Bestuursrechtspraak van de Raad van State. Hoewel ook voor dit onderdeel gekozen had kunnen worden voor belegging bij de Rechtbank Rotterdam en het CBb, weegt in dit geval zwaarder dat dit onderdeel raakvlakken heeft met de Wet hergebruik van overheidsinformatie, waarvoor het normale Awb-regime geldt.

Artikel 10

Behoeft naar de aard van deze bepaling geen implementatie.

   

Artikel 11

Artikel 4, derde lid

Het elfde lid bevat maakt het mogelijk dat de bevoegde autoriteit heffingen int, in overeenstemming met het nationale recht. De mogelijkheid om dit eventueel via een amvb te regelen wordt gecreëerd.

Nog niet mogelijk om in te schatten of dit wenselijk is, daarom alleen de mogelijkheid gecreëerd om dit op een later moment eventueel te regelen.

Artikel 12

Behoeft naar de aard van deze bepaling geen implementatie.

   

Artikel 13, eerste en tweede lid

Artikel 2, zesde lid, onderdeel a

Aanwijzen van één of meer bevoegde autoriteiten voor het uitvoeren van de taken inzake de kennisgeving van databemiddelingsdiensten

De ACM wordt aangewezen als bevoegde autoriteit (zie paragraaf 4.2.1 van de memorie van toelichting).

Artikel 13, derde lid

Artikelen 7

   

Artikel 14

Artikel 6

   

Artikel 15

Behoeft naar de aard van deze bepaling geen implementatie.

   

Artikel 16

Behoeft naar de aard van deze bepaling geen implementatie.

Biedt lidstaten de mogelijkheid nationale regelingen te treffen voor data-altruïsme.

Nederland heeft geen beleidsvoornemen om een nationale regeling te treffen.

Artikel 17, eerste lid

Implementatie wordt vorm gegeven door feitelijk handelen.

   

Artikel 17, tweede lid

Behoeft naar de aard van deze bepaling geen implementatie.

   

Artikel 18, onderdelen a, c, d en e

Behoeft naar de aard van deze bepalingen geen implementatie.

   

Artikel 18, onderdeel b

Artikel 5

Lidstaten moeten bij nationaal recht bepalen welke doeleinden als doeleinden van van algemeen belang worden beschouwd voor erkenning van organisaties voor data-altruïsme

Er wordt voor gekozen om grotendeels aan te sluiten bij de regels omtrent ANBI-instellingen. Zie de toelichting bij artikel 5.

Artikelen 19 t/m 22

Behoeft naar de aard van deze bepaling geen implementatie.

   

Artikel 23, eerste lid

Artikel 2, zesde lid, onderdeel b

Lidstaten moeten één of meerdere bevoegde autoriteiten aanwijzen voor de bepalingen over data-altruïsme

De ACM wordt aangewezen als bevoegde autoriteit (zie paragraaf 4.2.2 van de memorie van toelichting).

Artikel 23, tweede lid

Implementatie wordt vorm gegeven door feitelijk handelen.

   

Artikel 23, derde lid

Artikelen 7

   

Artikel 24

Artikel 6

   

Artikel 25

Behoeft naar de aard van deze bepaling geen implementatie.

   

Artikel 26

Behoeft naar de aard van deze bepaling geen implementatie

   

Artikel 27

Behoeft naar de aard van deze bepaling geen implementatie

Dit artikel maakt mogelijk om als collectief een klacht in te dienen.

In Nederland kennen we dit niet bij handhavingsverzoeken.

Artikel 28

Artikel 9

   

Artikelen 29 t/m 33

Behoeft naar de aard van deze bepaling geen implementatie

   

Artikel 34

Artikel 8

   

Artikelen 35 t/m 38

Behoeft naar de aard van deze bepaling geen implementatie

   

X Noot
1

Kamerstukken II 2018/19, 26 643, nr. 594.

X Noot
2

BNC-fiche «Mededeling Europese datastrategie» (Kamerstuk 22 112, nr. 2858).

X Noot
3

Richtlijn (EU) 2019/1024 inzake open data en het hergebruik van overheidsinformatie (PbEU 2019, L 172).

X Noot
4

Kamerstukken II 2014/15, 34 123, nr. 3, p. 20–22.

X Noot
5

Voor de duidelijkheid moet hier nogmaals worden opgemerkt dat hoofdstuk II van de verordening niet van toepassing is op gegevens die absoluut geheim moeten blijven (bijvoorbeeld om redenen van nationale veiligheid). Wanneer dus bijvoorbeeld artikel 5.1, eerste lid, onderdeel b (veiligheid van de Staat), de toepasselijke weigeringsgrond onder de Woo is, is de verordening niet van toepassing. Al is het natuurlijk onwaarschijnlijk dat dergelijke gegevens überhaupt onder artikel 5.1 van de Woo beschikbaar zouden worden gesteld.

X Noot
6

De Who is op grond van artikel 2, eerste lid, onderdeel b, niet van toepassing op informatie waarvan een derde de rechthebbende is in de zin van de Auteurswet, de Wet op de naburige rechten of de Databankenwet, maar als een met een publieke taak belaste instelling die bepaling als weigeringsgrond inroept, is die instelling op grond van artikel 3, zevende lid, van die wet wel verplicht om de identiteit van de rechthebbende of de licentiegever van de gevraagde informatie mee te delen. De verzoeker kan vervolgens bij die betreffende rechthebbende of de licentiegever vragen om de gegevens te mogen hergebruiken.

X Noot
7

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming) (PbEU 2016, L 119).

X Noot
8

Richtlijn 96/9/EG van het Europees Parlement en de Raad van 11 maart 1996 betreffende de rechtsbescherming van databanken (PbEG 1996, L 77).

X Noot
9

COMMISSION STAFF WORKING DOCUMENT IMPACT ASSESSMENT REPORT Accompanying the document Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on European data governance (Data Governance Act) SWD(2020) 295 final.

X Noot
10

Tevens ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer.

Naar boven