De leden van de vaste commissie voor Justitie en Veiligheid1 hebben in de commissievergadering van 24 mei 2022 beraadslaagd over het EU-voorstel: Geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (Dataverordening).2 De leden van de fracties van GroenLinks, PvdA, SP en PvdD gezamenlijk en de leden van de fracties van de PVV en ChristenUnie hebben naar aanleiding van het voorstel en het bijbehorende BNC-fiche enkele vragen.

Naar aanleiding hiervan is op 7 juni 2022 een brief gestuurd aan de Minister van Economische Zaken en Klimaat.

De Minister van Economische Zaken en Klimaat en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, Digitalisering en Koninkrijksrelaties, hebben op 12 juli 2022 gereageerd.

De commissie brengt bijgaand verslag uit van het gevoerde schriftelijk overleg.

De griffier van de vaste commissie voor Justitie en Veiligheid, Van Dooren

BRIEF VAN DE VOORZITTER VAN DE VASTE COMMISSIE VOOR JUSTITIE EN VEILIGHEID

Aan de Minister van Economische Zaken en Klimaat

Den Haag, 7 juni 2022

De leden van de vaste commissie voor Justitie en Veiligheid hebben in haar commissievergadering van 24 mei 2022 beraadslaagd over het EU-voorstel: Geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (Dataverordening).3 De leden van de fracties van GroenLinks, PvdA, SP en PvdD gezamenlijk en de leden van de fracties van de PVV en ChristenUnie hebben naar aanleiding van het voorstel en het bijbehorende BNC-fiche enkele vragen.

Vragen en opmerkingen van de leden van de fracties van GroenLinks, PvdA, SP en PvdD

De leden van de voorgenoemde fracties hebben met belangstelling kennisgenomen van het BNC-fiche van de regering ten aanzien van de Dataverordening. In algemene zin onderschrijven deze leden de inzet van de regering. Deze leden zijn verheugd dat de Dataverordening vastlegt dat producten en gerelateerde diensten zo ontworpen moeten worden dat gebruikers makkelijk en veilig toegang hebben tot de data van hun gebruik. Ook steunen de leden de intentie van de Europese Commissie om een gelijkwaardiger speelveld te creëren en zo de innovatie en concurrentie van Europese bedrijven te vergroten.

De regering geeft aan zelf ook nog te wachten op antwoorden van de Europese Commissie, met name inzake de bevoegdheid voor publieke instanties om gegevens op te eisen bij bedrijven, waar de regering kritisch over is. Wat is uw visie op dit punt? Kunt u ook specifiek ingaan op welk kader u hiervoor wel zou zien, gelet op de kritiek op het voorgestelde kader van de Commissie. Bent u het met de leden eens dat iedereen, EU-burgers, bedrijven en publieke instellingen, gebaat is bij meer open source data met uiteraard de waarborgen voor bescherming van persoonsgegevens? Hoe beoordeelt u de keuzen van de Commissie inzake open source? En bent u het eens met de leden van de hiervoor genoemde partijen dat bij publieke of semi-publieke aanbestedingen of licenties open source de norm moet zijn en als voorwaarde gesteld kan worden door overheden? Bij publiek geld moet data publiek zijn. Deelt u deze basisgedachte? Zo nee, waarom niet? Bent u bereid hier in voortvloeiende nationale wetgeving focus op te houden?

Zowel de AP als de EDPB hebben zorgen geuit over het nieuwe voorstel. Zo vrezen zij verzwakking van de AVG en is de afbakening van het delen van persoonsgegevens met de overheid onvoldoende. De aanbieders moeten namelijk in uitzonderlijke gevallen data delen met overheden. Welke omstandigheden en welke data zijn niet duidelijk omschreven? Wat betreft de AVG staat er niet altijd duidelijk dat de AVG altijd van toepassing is. Volgens de AP en de EDPB zou dit toegevoegd moeten worden. Wat is uw visie hierop?

De sancties die van toepassing zijn op inbreuken op de Dataverordening moeten deels nog in voorschriften uitgewerkt worden. Zal u hierbij inzetten op omzetafhankelijke boetes voor bedrijven? Bent u van mening, net als de leden, dat omzetafhankelijke boetes voor bedrijven bij zullen dragen aan het strikter naleven van de wet?

Het voorstel maakt flinke vorderingen ten aanzien van consumentenbescherming, waarbij afhankelijkheid van aanbieders wordt verminderd en de consument meer toegang tot de eigen data krijgt. Toch blijven bedrijven vrij leidend in het «bezit» van de data, onder andere door hun automatische toegang tot gebruikersdata. Hoe beoordeelt u de balans die hierin is gemaakt tussen consument en bedrijf? Hoe staat u tegenover het voorstel om toegang van bedrijven tot consumentendata volledig aan toestemming voorwaardelijk te maken? Als u hier positief naar kijkt, hoe kan dit naar uw oordeel in deze of toekomstige verordeningen vormgegeven worden? Zo niet, waarom niet?

Vragen en opmerkingen van de leden van de fractie van de PVV

Pagina 18 van het voorstel: «Hoofdstuk V creëert een geharmoniseerd kader voor het gebruik van data die in handen zijn van ondernemingen in bepaalde situaties waarin er sprake is van een uitzonderlijke behoefte aan data door overheidsinstanties en EU-instellingen, -agentschappen of -organen. Het kader is gebaseerd op een verplichting om data beschikbaar te stellen en zou alleen van toepassing zijn in het geval van algemene noodsituaties of in situaties waarin overheidsinstanties bepaalde data uitzonderlijk moeten gebruiken, maar die data niet tijdig op de markt kunnen worden verkregen door nieuwe wetgeving vast te stellen of door middel van bestaande rapportageverplichtingen. In geval van een uitzonderlijke noodzaak om te reageren op algemene noodsituaties, zoals noodsituaties op het gebied van de volksgezondheid, grote natuurrampen of door de mens veroorzaakte rampen, worden de data gratis ter beschikking gesteld.».

Pagina 34 van het voorstel: «In het geval van algemene noodsituaties, zoals noodsituaties op het gebied van de volksgezondheid, grote milieu- en natuurrampen, waaronder door de klimaatverandering verergerde rampen en door de mens veroorzaakte grote rampen, zoals grote cyberincidenten, zal het algemeen belang dat voortvloeit uit het gebruik van de data zwaarder wegen dan het belang van de datahouders om vrijelijk over hun data te beschikken. In dat geval moeten datahouders verplicht worden de data op verzoek beschikbaar te stellen aan overheidsinstanties of aan EU-instellingen, -agentschappen of -organen. Of er al dan niet sprake is van een algemene noodsituatie, wordt bepaald volgens de respectieve procedures in de lidstaten of van relevante internationale organisaties.».

Pagina 35 van het voorstel: «Het doel van de verplichting om de data te verstrekken is ervoor te zorgen dat overheidsinstanties en EU-instellingen, -agentschappen of -organen over de nodige kennis beschikken om te reageren op noodsituaties in de openbare sector, deze te voorkomen of ervan te herstellen of om de capaciteit te behouden om specifieke taken te vervullen waarin de wet uitdrukkelijk voorziet.».

Pagina 36 van het voorstel: «Het moet overheidsinstanties ook worden toegestaan om op grond van deze verordening verkregen data uit te wisselen met andere overheidsinstanties om tegemoet te komen aan de uitzonderlijke noodzaak waarvoor de data zijn opgevraagd.»

Op welke manier wordt voorkomen (bijvoorbeeld door onafhankelijke toetsing) dat er door bijvoorbeeld overheidsinstanties een bepaalde invulling wordt gegeven aan «algemene noodsituaties» waardoor zij data kunnen opvragen die mogelijk wordt gebruikt om (tijdelijk) grondrechten van burgers in te perken? Graag ontvangen de leden een gemotiveerd antwoord.

Vragen en opmerkingen van de leden van de fractie van de ChristenUnie

Met interesse, maar niet zonder enige zorg, hebben de leden van de ChristenUnie-fractie kennisgenomen van het voorstel voor een verordening van het Europees Parlement en de Raad waar het gaat om geharmoniseerde regels over eerlijke toegang tot en eerlijk gebruik van data, ook wel de dataverordening. Met dank hebben deze leden bovendien kennis genomen van het zogenoemde BNC-fiche bij dit voorstel. Deze stukken geven de ChristenUnie-fractie aanleiding de regering de volgende vragen te stellen.

Blijkens het BNC-fiche is de regering voornemens de Commissie op een aantal punten nader te bevragen. De leden van de ChristenUnie-fractie houden zich aanbevolen voor ontvangst van de beantwoording. Waar het gaat om de waarborgen zoals opgenomen in de artikelen 5 en 6 geeft de regering aan nader te willen bestuderen of deze waarborgen voldoende zijn, met name om de belangen van gebruikers en datahouders te borgen en de bescherming van gedeelde data te verzekeren. De leden van de ChristenUnie-fractie delen de impliciete zorg over de bedoelde waarborgen en vragen u de uitkomsten van de nadere bestudering met hen te delen.

Waar het gaat om toezicht en rechtsbescherming vragen deze leden tot slot of er voorzien is in een bepaalde competentieverdeling wanneer datahouders, gebruikers en andere betrokkenen uit meerdere landen afkomstig zijn en hoe in dat verband wordt omgegaan met situaties waarin een deel van de betrokkenen niet gevestigd is in een EU-lidstaat.

De leden van de vaste commissie voor Justitie en Veiligheid zien uw reactie – bij voorkeur binnen vier weken – met belangstelling tegemoet.

De voorzitter van de vaste commissie voor Justitie en Veiligheid, M.M. de Boer

BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN EN KLIMAAT EN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES, DIGITALISERING EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 12 juli 2022

Hierbij zenden wij u de antwoorden op de vragen van de leden van de fracties van GroenLinks, PvdA, SP en PvdD gezamenlijk en de leden van de fracties van de PVV en ChristenUnie over het EU-voorstel: Geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (Dataverordening)5 en het bijbehorende BNC-fiche.

De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, Digitalisering en Koninkrijksrelaties A.C. van Huffelen

Vragen en opmerkingen van de leden van de fracties van GroenLinks, PvdA, SP en PvdD

Het voorstel voor een Dataverordening geeft bedrijven niet standaard toegang tot data van gebruikers. Alleen op verzoek van de gebruiker kunnen derde partijen toegang krijgen tot data uit Internet-of-Things(IoT)-producten. Bedrijven mogen deze data ook alleen gebruiken voor het specifieke met de gebruiker overeengekomen doel.

Ten aanzien van persoonsgegevens die worden verwerkt blijft de Algemene Verordening Gegevensbescherming (AVG) onverminderd van kracht. Dat betekent dat er nog steeds een grondslag moet bestaan om persoonsgegevens te verwerken, in dit geval zou dit toestemming zijn. Hierdoor blijven gebruikers van IoT-producten hetzelfde niveau van gegevensbescherming genieten als onder de AVG. Wel is het kabinet van mening dat de verhouding tussen de AVG en de Dataverordening op onderdelen verder verduidelijkt dient te worden. Daarmee zouden de risico’s rondom het verdere gebruik van persoonsgegevens ook in lijn met de AVG geborgd kunnen worden. De Europese Commissie heeft aangegeven nog met een reactie te komen op de door het European Data Protection Board (EDPB) geuite zorgen over het verdere gebruik van persoonsgegevens en ook het Europees Parlement zal zich hier nog over buigen. Mede op basis hiervan zal het kabinet bezien of verdere aanpassingen in de Dataverordening om de gegevensbescherming te verbeteren nodig zijn.

Consumenten moeten zelf kunnen kiezen of ze wel of niet hun data delen, maar dit moet wel een bewuste keuze zijn, gebaseerd op de juiste kennis en een goed begrip van de mogelijke gevolgen. Onder de Algemene Verordening Gegevensbescherming (AVG) hebben bedrijven informatieverplichtingen aan consumenten als hun persoonsgegevens worden verwerkt Deze informatie moet op een begrijpelijke manier worden aangeleverd. De Autoriteit Persoonsgegevens geeft voorlichting aan burgers over de werking van de AVG, welke rechten zij hebben en wat ze daarmee kunnen, maar ziet er natuurlijk ook op toe dat bedrijven aan hun verplichtingen voldoen.

Naast informatie over het juridisch kader is het ook van belang dat burgers in meer algemene zin goed begrijpen wat de voor- en nadelen van gegevensdeling zijn. De overheid ziet het als taak om burgers te helpen bij het ontwikkelen van kritische digitale vaardigheden en inzicht te verkrijgen in digitale processen. Met de aanpak op digitale vaardigheden van het Ministerie van Binnenlandse Zaken6 wordt ervoor gezorgd dat dit soort kritische vaardigheden voldoende terugkomen in cursussen digitale vaardigheden. Het kabinet verkent de mogelijkheden om burgers digitaal bewuster te maken over datadeling. Voor verdere bekendheid en informatie hierover kan ook gekeken worden naar de inzet van lokale netwerken op digitale inclusie en vaardigheden, zoals bibliotheken en gemeenten.

Het huidige voorstel kent op dit punt een te algemene grondslag, laat teveel ruimte aan overheden om naar eigen inzicht gegevens op te vragen en biedt onvoldoende waarborgen. Daarmee is het niet goed te voorzien waarvoor gegevens aan de overheid moeten worden geleverd. Het kabinet zal voorstellen doen om het voorstel op dit punt te verbeteren. Belangrijk vindt het kabinet dat er specifiekere wettelijke grondslagen vereist worden voor eventuele verplichte aanlevering van persoonsgegevens.

Het kabinet deelt de opvatting dat burgers, bedrijven en publieke instellingen gebaat zijn bij meer beschikbare open data voor hergebruik. Dit is uiteengezet in onder andere de herziening van de «open data» richtlijn «Wet Hergebruik Overheidsinformatie», die recent ter publieke consultatie is aangeboden7 en binnenkort aan uw Kamers zal worden aangeboden. Op het open data portaal data.overheid.nl wordt steeds meer open overheids-data voor hergebruik aangeboden.

Ook steunt het kabinet de positie van de Commissie dat open source de norm zou moeten zijn in aanbestedingen, met het «open, tenzij» beleid. Het toepassen van de door de EU ontwikkelde EUPL-licentie kan daarbij van grote meerwaarde zijn. Het kabinet steunt ook het uitgangspunt dat met publiek geld ontwikkelde software publieke beschikbare code moet zijn, zoals verwoordt in de kamerbrief waarin het «Open, tenzij» principe is geïntroduceerd8. In de recente handreiking aanbesteding open source9 gaat het kabinet hier verder op in, en in de voorlopige memorie van toelichting op het voorstel voor wetswijziging van de wet hergebruik overheidsinformatie wordt dit verder toegelicht.

Het kabinet ziet de in het Impact Assessment gemaakte inschattingen ten aanzien van de verwachtte kosten en baten als voldoende onderbouwd. Hoewel de uiteindelijke effecten van de Dataverordening op de economische groei nog afhangen van verschillende factoren zijn de verwachte baten aanzienlijk hoger dan de kosten.

Het kabinet ziet geen noodzaak om een nieuwe autoriteit op te richten voor het toezicht in het kader van de Dataverordening. De bestaande toezichthouders zijn voldoende geschikt om ook op ontwikkelingen in het kader van digitalisering toezicht te houden. Bovendien zijn bij het toezicht op de Dataverordening ook verschillende sectorale toezichthouders betrokken. Door hun expertise in de verschillende sectoren hebben zij goed zicht op mogelijke risico’s die voortvloeien uit de specifieke ontwikkelingen op het gebied van datadelen binnen hun sector.

Het waarborgen van samenhang in het toezicht, coördinatie tussen de betrokken toezichthouders en de opbouw van expertise bij toezichthouders blijven wel aandachtspunten voor het brede pakket aan digitaliseringswetten dat in EU-verband wordt opgesteld. Bij de inrichting van het toezicht op de Dataverordening zal het kabinet hier oog voor hebben en hierover met de betrokken toezichthouders in gesprek treden. Ook zullen de effecten voor het toezicht zoals gebruikelijk worden meegenomen in de uitvoeringstoets die in de memorie van toelichting van de uitvoeringswet wordt opgenomen.

De inschatting van de Commissie is dat de kosten om data te delen voor bedrijven die IoT-producten aanbieden beperkt zullen zijn. De data die onder de Dataverordening vallen zijn vaak al toegankelijk voor de bedrijven zelf. De bedrijven zullen dus vooral moeten zorgen dat anderen, op verzoek van de gebruiker, en gebruikers zelf ook toegang tot deze data krijgen. De kosten beslaan dus vooral het breder toegankelijk maken van deze data voor gebruikers en derde partijen. In het voorstel zijn micro- en kleinbedrijven uitgezonderd van de verplichting om data uit IoT-producten te delen.

Het kabinet zet zich er voor in dat de ontwikkeling van interoperabiliteitsstandaarden om data uit IoT-producten gemakkelijk te kunnen delen verder wordt gestimuleerd. Dit is essentieel om te zorgen dat de maatregelen ook in de praktijk werken en niet tot een te hoge regeldruk leiden.

Het kabinet onderschrijft dat de verhouding tussen de AVG en de Dataverordening op onderdelen verder verduidelijkt dient te worden. De Dataverordening zou geen enkele afbreuk moeten doen aan de AVG. Wij zijn hierover met Autoriteit Persoonsgegevens (AP) in gesprek. Als de verhouding tussen de AVG en de Dataverordening, in lijn met de zorg van AP, wordt verduidelijkt, dan blijven gebruikers van IoT-producten hetzelfde niveau van gegevensbescherming genieten als onder de AVG. Daarmee zouden de risico’s rondom het verdere gebruik van persoonsgegevens ook in lijn met de AVG geborgd zijn. De Europese Commissie heeft aangegeven nog met een reactie te komen op de door het EDPB geuite zorgen en ook het Europees Parlement zal zich hier nog over buigen. Mede op basis hiervan zal het kabinet deze zorgen tijdens de onderhandelingen blijven volgen en toetsen of voldoende stappen worden gezet om de gegevensbescherming te verbeteren.

Al in het non-paper dat het kabinet in aanloop naar de Dataverordening heeft gepubliceerd geeft het kabinet aan dat elke bevoegdheid voor overheden om data op te vragen een specifieke grondslag moet kennen. De zorg van het EDPB dat de huidige bevoegdheid ruim en abstract is geformuleerd herkent het kabinet dus. Het huidige voorstel kent een te algemene grondslag, laat teveel ruimte aan overheden om naar eigen inzicht gegevens op te vragen en bevat onvoldoende waarborgen. Daarmee is het niet goed te voorzien waarvoor gegevens aan de overheid moeten worden geleverd en is er een disproportioneel risico op inbreuken van fundamentele rechten. Het voorstel moet op dit vlak worden verbeterd. Wij zullen hier voorstellen toe doen in de onderhandelingen.

Versnippering van toezicht is wel een belangrijk aandachtspunt, maar het kabinet kan niet, zoals de EDPB betoogt, toezeggen dat het toezicht op de gehele Dataverordening bij één autoriteit wordt belegd. Bij het beleggen van nieuwe toezichttaken is het ook belangrijk te kijken naar de bestaande rol, expertise en taken van de toezichthouders. De verschillende hoofdstukken van de Dataverordening bevatten uiteenlopende maatregelen die diverse doelen beogen. Het toezicht op de verschillende hoofdstukken is daarom ook niet van dezelfde aard. Het beleggen van toezichtstaken bij verschillende toezichthouders kan mogelijk juist bijdragen aan de effectiviteit van toezichtstaken.

Zoals in het antwoord op de vorige vraag aangegeven kent het voorgestelde kader voor overheden om data op te vragen bij uitzonderlijke noodzaak een te algemene grondslag, laat dit kader teveel ruimte aan overheden om naar eigen inzicht gegevens op te vragen en biedt het onvoldoende waarborgen. Daarmee is het niet goed te voorzien waarvoor gegevens aan de overheid moeten worden geleverd en is er disproportionele risico op inbreuken van fundamentele rechten. Het voorstel moet op dit vlak worden verbeterd. Het kabinet zal hier voorstellen toe doen. Belangrijk vindt het kabinet dat er specifiekere wettelijke grondslagen vereist zijn voor eventuele verplichte aanlevering van persoonsgegevens. Het kabinet zet zich er ook voor in dat dat de verhouding tussen de AVG en de Dataverordening op onderdelen verder verduidelijkt kan worden. De Dataverordening zou geen enkele afbreuk moeten doen aan de AVG.

In deze fase van het proces kan de inrichting van het toezicht op de verordening of de boetesystematiek nog niet gekozen worden. Het voorstel is nog in onderhandeling. De definitieve keuzes over de inrichting van het toezicht of de boetesystematiek kunnen pas gemaakt worden nadat het voorstel is gefinaliseerd. Het kabinet is wel al in gesprek met verschillende toezichthouders over de Dataverordening.

Het voorstel voor een Dataverordening geeft bedrijven niet automatisch toegang tot gebruikersdata. Gebruikers krijgen het recht om hun data te delen, maar dat gebeurt alleen op verzoek van de gebruiker. Daarmee versterkt de Dataverordening de positie van gebruikers van IoT-producten.

In gevallen waarin er persoons- of telecomgegevens worden verwerkt blijven de AVG en de Telecommunicatiewet ook onverminderd van kracht, inclusief de regels omtrent toestemming voor verwerking van gegevens. Hierdoor blijven gebruikers van IoT-producten hetzelfde niveau van gegevensbescherming genieten als onder de AVG en de Telecommunicatiewet.

Het is de intentie van de Commissie dat de Dataverordening een horizontaal kader wordt en dat toekomstige (sectorspecifieke) regulering omtrent datadeling in lijn met de principes van de Dataverordening wordt ingericht. Het kabinet steunt deze ambitie. Dat datadeling van gebruikersdata plaatsvindt op verzoek van de gebruiker vindt het kabinet daarin een belangrijk principe.

De belangrijkste maatregelen uit de Dataverordening richten zich op IoT-producten en dataverwerkingsdiensten. Voor zover blockchaintechnologie en Web 3.0 gebruik maken of onderdeel zijn van IoT-producten of dataverwerkingsdiensten zullen zij ook onder de Dataverordening vallen. Het kabinet vindt het logisch dat deze maatregelen niet nog verder anticiperen op ontwikkelingen omtrent Web 3.0. De maatregelen adresseren tenslotte specifieke marktproblemen omtrent datadeling uit IoT-producten en concurrentie tussen dataverwerkingsdiensten.

Wel bevat de Dataverordening naast de maatregelen omtrent dataverwerkingsdiensten en IoT-producten ook maatregelen om te zorgen dat «slimme contracten» aan bepaalde eisen voldoen. Zulke slimme contracten maken gebruik van blockchaintechnologie. Deze maatregelen anticiperen op een toenemende rol van slimme contracten in onze economie.

Het kabinet is het met de leden eens dat niet-persoonsgegevens welke door bedrijven zijn verzameld met gebruik van belastinggeld in beginsel gebruikt moeten kunnen worden voor de publieke zaak. In geval er persoonsgegevens worden verwerkt ligt dit anders, omdat er dan een grondslag moet bestaan om de verwerking van die gegevens op te baseren. Hierbij verdient opmerking dat overheidshandelen altijd terug te voeren moet zijn op een bevoegdheid, ook als daarbij géén persoonsgegevens worden verwerkt. Het kan dus niet zo zijn dat een overheidsorganisatie gegevens gaat verzamelen welke niet van doen hebben met de gestelde taak.

Bovenstaand in acht nemend klopt het dat overheden voor bepaalde licenties en bij bepaalde aanbestedingen de voorwaarde kunnen stellen dat de daarna door het bedrijf verzamelde data ook met de overheid gedeeld worden. Dit is onder andere vastgelegd in de Algemene Rijksvoorwaarden Inkoop10, en in de Gemeentelijke Inkoop bij IT Toolbox11.

Naar mijn verwachting zal de Data Governance Act12, die in 2023 in werking treedt, hier tevens een bijdrage kunnen leveren. Hierin zijn voorwaarden vastgelegd welke op de overheid rusten wanneer zij gegevens voor hergebruik beschikbaar stellen. Deze regels bieden bedrijven zekerheid dat gegevens die zij met de overheid delen omdat dit bijvoorbeeld in een contract of licentie kan worden overeengekomen. Zo eist de DGA bijvoorbeeld dat overheden de commerciële vertrouwelijkheid van gegevens borgen.

Vragen en opmerkingen van de leden van de fractie van de PVV

Pagina 3 van het voorstel: «Voorzien in het gebruik door overheidsinstanties en EU-instellingen, -agentschappen of -organen van data die in het handen zijn van ondernemingen in bepaalde situaties waarin er sprake is van een uitzonderlijke noodzaak om de data te gebruiken. Dit heeft voornamelijk betrekking op openbare noodsituaties, maar ook op andere uitzonderlijke situaties waarin het verplicht delen van data tussen bedrijven en overheden gerechtvaardigd is, ter ondersteuning van empirisch onderbouwd, doeltreffend, efficiënt en prestatiegericht overheidsbeleid en -diensten.».

Pagina 18 van het voorstel: «Hoofdstuk V creëert een geharmoniseerd kader voor het gebruik van data die in handen zijn van ondernemingen in bepaalde situaties waarin er sprake is van een uitzonderlijke behoefte aan data door overheidsinstanties en EU-instellingen, -agentschappen of -organen. Het kader is gebaseerd op een verplichting om data beschikbaar te stellen en zou alleen van toepassing zijn in het geval van algemene noodsituaties of in situaties waarin overheidsinstanties bepaalde data uitzonderlijk moeten gebruiken, maar die data niet tijdig op de markt kunnen worden verkregen door nieuwe wetgeving vast te stellen of door middel van bestaande rapportageverplichtingen. In geval van een uitzonderlijke noodzaak om te reageren op algemene noodsituaties, zoals noodsituaties op het gebied van de volksgezondheid, grote natuurrampen of door de mens veroorzaakte rampen, worden de data gratis ter beschikking gesteld.».

Pagina 34 van het voorstel: «In het geval van algemene noodsituaties, zoals noodsituaties op het gebied van de volksgezondheid, grote milieu en natuurrampen, waaronder door de klimaatverandering verergerde rampen en door de mens veroorzaakte grote rampen, zoals grote cyberincidenten, zal het algemeen belang dat voortvloeit uit het gebruik van de data zwaarder wegen dan het belang van de datahouders om vrijelijk over hun data te beschikken. In dat geval moeten datahouders verplicht worden de data op verzoek beschikbaar te stellen aan overheidsinstanties of aan EU-instellingen, -agentschappen of -organen. Of er al dan niet sprake is van een algemene noodsituatie, wordt bepaald volgens de respectieve procedures in de lidstaten of van relevante internationale organisaties.».

Pagina 35 van het voorstel: «Het doel van de verplichting om de data te verstrekken is ervoor te zorgen dat overheidsinstanties en EU-instellingen, -agentschappen of -organen over de nodige kennis beschikken om te reageren op noodsituaties in de openbare sector, deze te voorkomen of ervan te herstellen of om de capaciteit te behouden om specifieke taken te vervullen waarin de wet uitdrukkelijk voorziet.».

Pagina 36 van het voorstel: «Het moet overheidsinstanties ook worden toegestaan om op grond van deze verordening verkregen data uit te wisselen met andere overheidsinstanties om tegemoet te komen aan de uitzonderlijke noodzaak waarvoor de data zijn opgevraagd.»

Op welke manier wordt voorkomen (bijvoorbeeld door onafhankelijke toetsing) dat er door bijvoorbeeld overheidsinstanties een bepaalde invulling wordt gegeven aan «algemene noodsituaties» waardoor zij data kunnen opvragen die mogelijk wordt gebruikt om (tijdelijk) grondrechten van burgers in te perken? Graag ontvangen de leden een gemotiveerd antwoord.

Bij algemene noodsituaties kunnen overheden onder de Dataverordening alleen data opvragen wanneer een noodsituatie is uitgeroepen volgens de daarvoor bestaande nationale of internationale procedures. Het kabinet deelt uw zorg dat dit onvoldoende waarborgen biedt. Bovendien is de definitie van «uitzonderlijke noodzaak» onder de Dataverordening breder dan alleen het reageren op noodsituaties. Deze definitie is ruim en abstract geformuleerd waardoor het voorstel een te algemene grondslag voor het opvragen van gegevens biedt. Het voorstel bevat momenteel te weinig waarborgen om te voorkomen dat overheden naar eigen inzicht gegevens opvragen. Het kabinet deelt ook uw zorg dat dit tot disproportionele inperking van grondrechten kan leiden. Het voorstel moet op dit onderdeel worden verbeterd. Het kabinet zal hier voorstellen toe doen in de onderhandelingen.

Vragen en opmerkingen van de leden van de fractie van de ChristenUnie

Een van de specifieke doelstellingen van de voorgestelde verordening is om te voorzien in het gebruik van data die in handen zijn van ondernemingen door overheidsinstanties en EU-instellingen, -agentschappen of -organen in situaties waarin sprake is van een «uitzonderlijke noodzaak» om die data te gebruiken. Volgens de tekst van het voorstel heeft dit «voornamelijk betrekking op openbare noodsituaties, maar ook op andere uitzonderlijke situaties waarin het verplicht delen van data tussen bedrijven en overheden gerechtvaardigd is, ter ondersteuning van empirisch onderbouwd, doeltreffend, efficiënt en prestatiegericht overheidsbeleid en -diensten.».

De formuleringen waarmee de Commissie inzet, namelijk «uitzonderlijke noodzaak» en «openbare noodsituaties», wekken de indruk dat hierbij gedacht is aan zeer zeldzame omstandigheden waaronder het gerechtvaardigd is om tijdelijk van de hoofdlijn van de regeling af te wijken. De beschrijving van de «andere uitzonderlijke situaties» wekt bij deze leden echter een veel ruimere indruk. Deelt u de taxatie dat zo’n hele brede uitleg op gespannen voet staat met de betrokken grondrechten, maar ook met bijvoorbeeld het bepaalde in de AVG? En wie is bevoegd om toezicht uit te oefenen op de manier waarop datahouders omgaan met verzoeken waarbij een uitzonderlijke noodzaak wordt geclaimd? Welke mate van rechtsbescherming geldt hier voor individuele burgers en hoe kan die rechtsbescherming in de praktijk worden ingeroepen?

Het kabinet deelt de taxatie dat deze brede uitleg op gespannen voet staat met de betrokken grondrechten en de AVG. Door de ruime grondslag voor het opvragen van gegevens is er te veel ruimte voor overheden om naar eigen inzicht gegevens op te vragen. Daarnaast bevat het voorstel ook onvoldoende waarborgen om dit te voorkomen. Het kabinet zal voorstellen doen om het voorstel op dit onderdeel grondig te herzien.

Voordat het voorstel is gefinaliseerd kunnen geen definitieve keuzes gemaakt worden over de inrichting van het toezicht op de verordening. Het kabinet is in gesprek met verschillende toezichthouders over de Dataverordening en wil niet vooruitlopen op de inrichting van het toezicht. Over het voorstel wordt bovendien nog onderhandeld. De inhoud van het voorstel kan dus nog veranderen.

Op verschillende onderdelen van het voorstel, waaronder bij artikelen 5 en 6, kan de verhouding tussen de AVG en de Dataverordening verder verduidelijkt worden. Het moet duidelijk zijn dat de Dataverordening geen enkele afbreuk doet aan de AVG. Daarnaast vindt het kabinet het belangrijk dat gebruikers na het geven van toestemming voor datadeling deze ook weer makkelijk kunnen intrekken. Het kabinet heeft voorstellen gedaan om de verordening op deze punten te verbeteren.

De maatregelen omtrent IoT-producten en dataverwerkingsdiensten hebben betrekking op bedrijven die IoT-producten of dataverwerkingsdiensten aanbieden in de EU, ongeacht waar ze gevestigd zijn. Onder het huidige voorstel kunnen natuurlijke personen of rechtspersonen klagen over schending van de Dataverordening bij de toezichthouder van hun gewone verblijfplaats, werk of vestiging. Toezichthouders werken samen in de afhandeling van deze klachten. Effectieve grensoverschrijdende samenwerking en coördinatie tussen toezichthouders binnen de EU is wel een belangrijk aandachtspunt voor het kabinet.