Staatscourant van het Koninkrijk der Nederlanden
| Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
|---|---|---|---|
| Ministerie van Economische Zaken en Klimaat | Staatscourant 2023, 28988 | advies Raad van State |
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen
Advies Raad van State inzake het voorstel van wet tot uitvoering van de datagovernanceverordening
Nader Rapport
’s-Gravenhage, 10 oktober 2023
WJZ / 34079133
Aan de Koning
Nader rapport inzake het voorstel van wet tot uitvoering van de datagovernanceverordening
Blijkens de mededeling van de Directeur van Uw kabinet van 15 mei 2023, nr. 2023001172, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 26 juli 2023, nr. W18.23.00113/IV, bied ik U hierbij aan.
De tekst van het advies treft u hieronder cursief aan, voorzien van mijn reactie.
Bij Kabinetsmissive van 15 mei 2023, no.2023001172, heeft Uwe Majesteit, op voordracht van de Minister van Economische Zaken en Klimaat, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet tot uitvoering van de datagovernanceverordening, met memorie van toelichting.
Het wetsvoorstel strekt tot uitvoering van de verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende de Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Datagovernanceverordening). De Datagovernanceverordening (DGA) biedt een kader voor het hergebruik van overheidsgegevens en het delen van data via databemiddelingsdiensten en data-altruïstische organisaties.
De Afdeling advisering van de Raad van State maakt een opmerking over de betekenis van de verordening en de uitvoeringswet voor Nederland en de verhouding tot relevante Europese en nationale regelingen. Ook adviseert zij de verplichte advisering door de AP uit het voorstel te schrappen. Zij adviseert verder inzicht te geven in de werkwijze van toezichthouders op nationaal en Europees niveau. Daarnaast adviseert zij de regering zich in te spannen voor het verkrijgen van duidelijkheid over normering, en stelt zij de mogelijkheid voor van het regelen van een bindende aanwijzing. Verder maakt zij opmerkingen over het doelbindingsbeginsel, de verhouding tot de Wet hergebruik van overheidsinformatie (Who) en de Open Data richtlijn, en de afstemming met nationaal recht. Tot slot adviseert zij voor ‘openbaar lichaam’ een andere term te hanteren. Zij is van oordeel dat in verband met het voorgaande aanpassing van het voorstel en de toelichting, wenselijk is.
1. Inhoud van de verordening en het voorstel
a. Inhoud van de Datagovernanceverordening
De DGA heeft als doel om meer gegevens beschikbaar te maken voor algemeen gebruik. Om dat doel te bereiken wil de DGA het vertrouwen vergroten in zogeheten databemiddelingsdiensten en data-altruïstische organisaties. De verordening beoogt een kader te stellen voor de volgende drie vormen van het delen van gegevens.1
Ten eerste het voor hergebruik beschikbaar stellen van overheidsgegevens, wanneer die gegevens onderworpen zijn aan rechten van anderen. Het betreft dan persoonsgegevens, gegevens waarop het statistisch geheim of het bedrijfs- of beroepsgeheim rust, en gegevens die beschermd zijn door intellectuele eigendomsrechten van derden. De verordening schept een kader waarbinnen deze gegevens moeten worden aangeboden als daar in nationale wetgeving een grondslag voor bestaat, de verstrekking niet in strijd is met de regelgeving op grond waarvan de gegevens beschermd zijn, en de verstrekking onder de openbare taken van de betrokken ‘openbare lichamen’ valt.
Ten tweede het delen van gegevens door burgers of organisaties via een databemiddelingsdienst. Een aanbieder van databemiddelingsdiensten, waaronder gegevenscoöperaties, is een derde partij die bemiddelt tussen houders van gegevens en datasubjecten enerzijds en gegevensgebruikers anderzijds.2 Aanbieders van databemiddelingsdiensten mogen de ontvangen gegevens niet zelf gebruiken voor andere doelen, en moeten hun diensten aanbieden door een rechtspersoon die geen banden heeft met eventuele andere diensten van de aanbieder. De DGA beoogt met dit kader een alternatief te bieden voor de ‘big tech-bedrijven’ die een aanmerkelijke marktmacht hebben.
Ten derde het delen van gegevens op altruïstische gronden. Data-altruïstische organisaties zijn een nieuw type niet-commerciële dienstverleners die zich richten op het ontsluiten van gegevens die personen of bedrijven vrijwillig ter beschikking stellen voor het algemeen belang. Een voorbeeld hiervan is de Duitse Corona-Datenspende-App die gezondheidsgegevens verzamelde om in een vroeg stadium corona-hotspots te ontdekken.3 Als databemiddelingsdiensten en data-altruïstische organisaties aan de vereisten van de DGA voldoen, mogen zij gebruik maken van een Europees label en logo.
Daarnaast regelt de DGA het Europees Comité voor gegevensinnovatie. Dit Comité is een deskundigengroep die onder meer als taak heeft de Commissie te adviseren en bij te staan, bijvoorbeeld door het voorstellen van richtsnoeren. Tot slot regelt de DGA de doorgifte van gegevens naar derde landen.
b. Inhoud voorstel
Het voorstel geeft op nationaal niveau uitvoering aan de DGA. Het voorstel schept zelf geen nieuwe grondslagen voor hergebruik van overheidsgegevens. De toelichting wijst op een aantal bestaande grondslagen voor hergebruik, zoals artikel 5:7 van de Wet open overheid (Woo), artikel 41 van de Wet op het Centraal bureau voor de statistiek, artikel 3.13 van de Wet basisregistratie personen, artikel 22 van de Wet politiegegevens en artikel 15 van de Wet justitiële en strafvorderlijke gegevens.
In het voorstel wordt de ACM belast met het toezicht op de naleving van de DGA.4 Ook wordt de ACM aangewezen als bevoegde autoriteit voor databemiddelingsdiensten en data-altruïstische organisaties.5 De AP zal de ACM van advies voorzien over de vraag of aanbieders van databemiddelingsdiensten en organisaties voor data-altruïsme die persoonsgegevens verwerken, voldoen aan de eisen die worden gesteld in de AVG.6 Advisering door de AP kan zowel vooraf plaatsvinden, bij de erkenning van de dienstverlener of organisatie, als achteraf, wanneer onderzoek wordt gedaan naar de naleving en eventuele handhaving van relevante bepalingen in de DGA.
Voor hergebruik van overheidsgegevens dient Nederland daarnaast een bevoegd orgaan aan te wijzen dat publieke instellingen bijstaat. Het voorstel regelt dat bij amvb één of meer bevoegde organen kunnen worden aangewezen.7 De toelichting vermeldt dat het voornemen is om in ieder geval het CBS aan te wijzen voor bijstand bij wetenschappelijk en statistisch hergebruik van overheidsgegevens.8
Daarnaast regelt het voorstel dat bij ministeriële regeling een centraal informatiepunt kan worden aangewezen.9 Dit centraal informatiepunt fungeert als contactpunt ter ondersteuning van onderzoekers en innovatieve bedrijven bij het identificeren van geschikte gegevens.10
Verder specificeert het voorstel wat in het kader van data-altruïsme als doeleinde van algemeen belang kan worden beschouwd. Ook ziet het voorstel op vergoedingen voor hergebruik van gegevens en vergoedingen voor de aanmelding van databemiddelingsdiensten.11 Tot slot regelt zij de gang naar de rechter.12
2. Algemene beschouwing
Voor een goed begrip van het voorstel wijst de Afdeling op de Europese context waarbinnen de DGA tot stand is gekomen. De DGA is onderdeel van de Europese datastrategie, die beoogt de Europese data-economie te ondersteunen.13 De datastrategie werd tegelijk gepresenteerd met de Europese digitale strategie,14 en het witboek voor regulering van kunstmatige intelligentie.15 Dit laatste resulteerde in het voorstel voor een AI-verordening, waar momenteel over wordt onderhandeld.16
Als onderdeel van de Europese digitale strategie werden, naast de DGA, de digitalemarktenverordening (DMA) en de digitaledienstenverordening (DSA) vastgesteld.17 De DSA legt verplichtingen vast voor ‘tussenhandeldiensten’, als sociale media en online marktplaatsen. Voor zeer grote online platforms en zoekmachines gelden aanvullende verplichtingen. De DMA reguleert daarbij de ‘big tech-bedrijven’ door voor ondernemingen die kernplatformdiensten aanbieden verplichtingen op te leggen en enkele oneerlijke praktijken te verbieden.
Naast deze meer op mededinging en productveiligheid gerichte verordeningen, richt de Europese datastrategie zich op het delen en gebruik van gegevens binnen de interne markt.18 De datastrategie poogt daarmee de Europese data-economie te stimuleren door gegevens te ontsluiten voor innovatie.
Uit de Europese datastrategie volgt naast de DGA ook de Dataverordening (DA) en domeinspecifieke gemeenschappelijke Europese gegevensruimten.19 De DA biedt net als de DGA kaders voor het delen van gegevens en verduidelijkt wie welke gegevens kan gebruiken en inzien voor welke doeleinden. De gemeenschappelijke gegevensruimten moeten daarnaast op specifieke gebieden juridische en technische belemmeringen voor het delen van gegevens tussen organisaties wegnemen.
Inmiddels is het voorstel voor een Europese ruimte voor gezondheidsgegevens gepubliceerd, en is een Europese gegevensruimte voor toerisme aangekondigd.20
De DGA is de eerste verordening waarvoor, met voorliggend voorstel, in nationaal recht uitvoeringsregels worden gesteld. De DGA bevat waarborgen om het hergebruik van overheidsgegevens op een verantwoorde manier mogelijk te maken en databemiddelingsdiensten en data-altruïstische organisaties te reguleren,21 zodat inbreuken op grondrechten worden beperkt en rechten van anderen (zoals intellectuele eigendom) niet worden geschonden.
De DGA kan zijn nuttige werking in de praktijk alleen hebben als het voor alle betrokkenen duidelijk is wat de DGA inhoudt. Volgens de Aanwijzingen voor de regelgeving dient de toelichting bij een implementatievoorstel in te gaan op de aanleiding en achtergronden van de te implementeren EU-rechtshandeling.22
De verordening heeft een abstract en technisch-procedureel karakter. Het is daardoor niet zo eenvoudig om een beeld te krijgen van de betekenis die de verordening en de uitvoeringswet in Nederland zullen hebben. De toelichting bevat alleen een korte abstracte uitleg van de beleidscontext, maar concrete voorbeelden over het soort gegevens waar het in de praktijk naar verwachting vooral om zal gaan, ontbreken. De toelichting gaat ook niet in op de verwachte impact en of er bijvoorbeeld al organisaties erkend willen worden als aanbieders van databemiddelingsdienst of als organisaties voor data-altruïsme, en wat voor activiteiten deze organisaties willen ontplooien.23
Zoals hierboven geschetst zullen in het kader van de Europese digitale strategie verschillende wettelijke regelingen tot stand komen. Elke regeling staat tot op zekere hoogte op zichzelf met een eigen doelstelling en invalshoek en een specifieke regel- en toezichtstructuur. Tegelijkertijd echter hangen deze regelingen inhoudelijk nauw met elkaar samen en moeten zij in de praktijk in die onderlinge samenhang worden toegepast. Te voorzien valt dat door de cumulatie van regelingen de complexiteit van de wetgeving toeneemt en in de praktijk tot de nodige afstemmingsvragen zal leiden.
De Afdeling stelt vast dat de toelichting aan die complexiteit nauwelijks aandacht besteedt; op de context, de betekenis, de verhouding tussen de verschillende Europese en reeds bestaande nationale wetgeving24 en de daarmee gepaard gaande complexe toezichtstructuur gaat de toelichting slechts summier in. Zo gaat de toelichting nauwelijks in op de vraag hoe de DGA zich verhoudt tot de DMA, de DSA, de DA en de AI-verordening. Voor een goed begrip en een effectieve werking van het voorstel acht de Afdeling het van belang dat de toelichting hier dieper en concreter, aan de hand van concrete voorbeelden, op ingaat.
Daarbij is ook van belang dat nader wordt ingegaan op reeds bestaande Europese wetgeving. Met name de verhouding tot de AVG behoeft nadere aandacht. De verordening bepaalt dat zij geen afbreuk doet aan de AVG, wat betekent dat bij tegenstrijdigheid de AVG prevaleert.25
Het blijft echter onduidelijk wat hiervan nu de exacte betekenis is. De AVG is een algemene kaderregeling voor gegevensbescherming, die in verschillende situaties concreet moet worden uitgewerkt. Zij biedt daarbij ruimte voor afwegingen, die anders kunnen uitvallen als er andere of nieuwe regelgeving is. Tegen die achtergrond kan met het oog op een werkbare toepassingspraktijk niet worden volstaan met het uitgangspunt dat de AVG voorrang heeft.
De Afdeling is ten slotte van oordeel dat in het kader van de uitvoering van de recente Europese regelingen en hun onderlinge verhouding de toezichtstructuur afzonderlijk aandacht behoeft. Zoals ook uit de toelichting blijkt zijn bij het toezicht op de naleving van de te onderscheiden Europese en nationale regels verschillende nationale autoriteiten bevoegd. Daarnaast bestaan ingevolge Europese wetgeving verschillende Europese coördinatiestructuren waaraan de nationale autoriteiten van de lidstaten en de Europese Commissie participeren.
Te voorzien valt dat als gevolg van de wettelijke regelingen die in het kader van de Europese digitale strategie tot stand zijn gekomen en nog tot stand zullen komen, de toezichtstructuur in vergelijking tot de huidige situatie, ook in grensoverschrijdende situaties26, nog complexer wordt.
Om een voor burgers, bedrijven, maatschappelijke organisaties en overheden werkbare uitvoeringspraktijk te creëren en te handhaven, meent de Afdeling dat de toezichtstructuur die van de recente wetgeving mede het gevolg is, nader moet worden doordacht.
De Afdeling adviseert in de toelichting op bovenstaande in te gaan en, aan de hand van concrete voorbeelden in te gaan op de betekenis van de verordening en de uitvoeringswet, hun verhouding tot relevante Europese en nationale regelingen en de op grond van de verschillende regelingen geldende toezichtstructuur.
De Afdeling stelt vast dat in de toelichting concrete voorbeelden over het soort gegevens en de verwachte impact van de verordening ontbreken. Ten aanzien van de soort gegevens die worden gedeeld is de verordening neutraal. Het gaat om sectoroverstijgende wetgeving waarbij alleen naar data wordt gekeken als een soort grondstof die kan worden gedeeld, maar waarbij de waarde uiteindelijk ontstaat door het te verwerken. Bij het faciliteren van de datastromen is de inhoud van de data of, anders gezegd, om wat voor soort data het gaat, minder relevant. De Europese Commissie beoogt dan ook dat via databemiddelingsdiensten in principe alle soorten data kunnen worden gedeeld en dat voor organisaties van data-altruïsme er geen beperking is op de soort data die kan worden gedoneerd. Wel is de intentie dat er meer bedrijfsmatige data (grotendeels niet-persoonsgegevens) worden gedeeld omdat er via deze wetgeving meer vertrouwen zou moeten zijn in het delen van deze data. In paragraaf 2 van het algemeen deel van de toelichting is dit verder toegelicht. Verder is ter verduidelijking een aantal voorbeelden van mogelijke databemiddelingsdiensten en organisaties voor data-altruïsme toegevoegd in paragrafen 3.2 en 3.3. Ten aanzien van de gevolgen voor bestaande organisaties en praktijken is in paragraaf 6 van het algemeen deel van de toelichting ingegaan op de verwachte impact op de praktijk. Daar wordt uiteengezet dat er momenteel weinig organisaties of praktijken onder de verordening vallen maar het doel van de verordening juist is om de ontwikkeling van dergelijke organisaties verder te stimuleren. Het aantal voorbeelden uit de praktijk is beperkt omdat de intentie van de Europese Commissie juist is om de ontwikkeling van deze praktijken te stimuleren, maar dat er tegelijkertijd nog maar beperkte kennis is over in welke richting deze praktijken zich zullen ontwikkelen. Daarom is er in deze verordening een kader gesteld om een aantal minimale eisen te stellen aan hoe deze praktijken zich zouden moeten ontwikkelen, zoals bijvoorbeeld de neutraliteit van databemiddelingsdiensten. Daarnaast wordt de verordening op 25 september 2025 geëvalueerd door de Commissie waarbij de impact en de ontwikkelingen in de praktijk worden meegenomen.
De Afdeling adviseert om in de toelichting nader in te gaan op de verhouding tot reeds bestaande Europese wetgeving. Hierbij wordt specifiek de verhouding tot de DMA, DSA, DA en de AI-verordening benoemd. Dit advies van de Afdeling is overgenomen. In paragraaf 5.4 van de memorie van toelichting wordt nu nader ingegaan op de verhouding van de DGA tot de DMA, DSA, AI Act en Data Act. In algemene zin is er weinig inhoudelijke overlap tussen deze verordeningen en de DGA. Hoewel al deze verordeningen betrekking hebben op de digitale economie zijn zowel de reikwijdte als de normadressaten van de genoemde verordeningen grotendeels verschillend. Ook hebben de verordeningen sterk uiteenlopende doelstellingen. Zo bevat de digitalemarktenverordening (Digital Markets Act; DMA) regels voor de allergrootste online platforms. De digitaledienstenverordening (Digital Services Act; DSA) harmoniseert de regels die van toepassing zijn op zogenaamde aanbieders van ‘tussenhandeldiensten’, waaronder online platforms, online marktplaatsen, sociale mediadiensten en internetaanbieders. Het voorstel voor de Artificiële Intelligentie verordening (Artificial Intelligence Act; AI Act) bevat geharmoniseerde regels voor het in de handel brengen en het gebruik van AI-systemen in de Unie volgens een risicogebaseerde aanpak op basis van risico’s voor gezondheid, veiligheid en fundamentele rechten. De dataverordening (hierna: Data Act; DA) is een Europese verordening die nauw aansluit bij de doelen van de DGA. Deze verordening komt ook voort uit de Europese datastrategie, op het moment van schrijven zijn de onderhandelingen afgerond maar moet de definitieve tekst nog gepubliceerd worden. De Data Act geeft consumenten en bedrijven meer zeggenschap – door het toekennen van gebruiks- en toegangsrechten – over wat er kan worden gedaan met de data die door hun gebruik van verbonden producten (internet of things) worden gegenereerd. Daarnaast legt de Data Act regels vast voor concurrentie op de markt voor clouddiensten en regelt deze verschillende zaken met betrekking tot data-interoperabiliteit. Daar waar mogelijke overlap in normadressaten bestaat wordt dit toegelicht.
De Afdeling adviseert om in de toelichting nader in te gaan op de verhouding tot reeds bestaande Europese wetgeving, met name de verhouding tot de AVG. De Afdeling geeft terecht aan dat de toepassing van de AVG afhankelijk is van de concrete situatie. In paragraaf 5.1 van de memorie van toelichting wordt aangegeven wat de verordening regelt over de verhouding tot de AVG. De verordening regelt ten algemene dat de AVG voorgaat, hoe dit uitpakt in een concrete situatie moet blijken in de praktijk. De Autoriteit persoonsgegevens bepaalt als toezichthouder hoe de AVG in een concrete situatie toegepast moet worden. De toelichting kan daarom nu nog niet verder worden aangevuld: dit moet duidelijk worden in de praktijk.
De Afdeling adviseert om in de toelichting nader in te gaan op de complexe toezichtstructuur die ontstaat als gevolg van de wetgeving gericht op de Europese digitale strategie die de komende jaren zal worden geïmplementeerd. Ook adviseert de Afdeling dat deze toezichtstructuur nader dient te worden doordacht.
Vooralsnog lijkt de veronderstelling dat de focus op digitalisering leidt tot een complexere toezichtstructuur dan die waarvan sprake is in een analoge wereld niet in het algemeen het geval te zijn. Ook in een analoge wereld gelden voor een (rechts-)persoon immers verschillende wetten en regels, waarbij ook verschillende toezichthouders horen. Een dergelijke situatie is niet uniek voor wetgeving rondom digitalisering. Omdat digitalisering een sectoroverstijgende ontwikkeling is, zullen alle toezichthouders, in meer of mindere mate, te maken krijgen met toezichtstaken op een digitaal aspect op hun terrein. Het is belangrijk dat toezichthouders bij het toezicht op deze digitale aspecten hun bestaande onderlinge samenwerking voortzetten en waar nodig zelfs uitbreiden. Uiteraard vraagt deze ontwikkeling dat toezichthouders over voldoende capaciteit en expertise beschikken en deze waar nodig ontwikkelen.
De totstandkoming van Europese wetgeving en de onderhandelingen daarover zijn een organisch proces. Voor de bepalingen over toezicht geldt dat voor elke wet wordt gekeken welke vorm van toezicht het beste aansluit bij het doel en context van die wet. Juist omwille van de begrijpelijkheid voor degenen tot wie het toezicht zich richt en degenen ten behoeve van wie toezicht wordt gehouden, is het voor lidstaten, ook voor Nederland, belangrijk dat ruimte bestaat de Europees wettelijke bepalingen zo goed mogelijk in hun bestaande kaders in te passen. Dat geldt ook voor deze verordening. De Afdeling constateert dan ook terecht dat deze verordening lidstaten de ruimte biedt om te kiezen welke toezichthouder zij aanwijzen. De keerzijde van die ruimte is, zoals de Afdeling ook constateert, dat daardoor de kans bestaat dat toezichthouders worden aangewezen die niet van oorsprong binnen dezelfde Europese coördinatiestructuren vallen. De verordening houdt hier echter rekening mee door te voorzien in de oprichting van een Europees Comité voor gegevensinnovatie, bestaande uit onder meer toezichthouders voor databemiddelingsdiensten en voor organisaties voor data-altruïsime en deze toezichthouders te verenigen in een subgroep. Doel daarvan is onder andere het uitwisselen van ‘best practices’, de ontwikkeling van een consistente toezichtspraktijk, de ontwikkeling van consistente richtsnoeren en samenwerking tussen de bevoegde autoriteiten faciliteren door capaciteitsopbouw en informatie-uitwisseling.
Voor wat betreft de begrijpelijkheid en de transparantie van de toezichtstructuur in Nederland geldt dat met de aanwijzing van de ACM als toezichthouder op de in de verordening geregelde marktordeningsvraagstukken en de AP als toezichthouder voor wat betreft de bepalingen met betrekking tot de bescherming van persoonsgegevens wordt aangesloten bij al bestaande en bekende structuren. De ACM is immers al de toezichthouder voor wat betreft marktordeningsvraagstukken terwijl voor de AP geldt dat deze al de toezichthouder is wat betreft bescherming van persoonsgegevens.
3. Toezicht
a. Advies Autoriteit persoonsgegevens
De DGA bepaalt dat elke lidstaat één of meer autoriteiten aanwijst om de taken in verband met de aanmeldingsprocedure voor databemiddelingsdiensten uit te voeren.27 Deze autoriteit toetst of de aanbieders van databemiddelingsdiensten voldoen aan de eisen van de verordening.28 De bevoegdheden van de autoriteit die databemiddelingsdiensten controleert mogen geen afbreuk doen aan de bevoegdheden van andere autoriteiten, zoals de gegevensbeschermingsautoriteiten.29 De DGA bepaalt dat de betreffende autoriteiten een nauwe samenwerking moeten opbouwen waarin zij informatie uitwisselen die nodig is voor de uitoefening van hun respectievelijke taken in verband met aanbieders van databemiddelingsdiensten. Zij moeten er naar streven dat hun besluiten consistent zijn.30
Elke lidstaat wijst daarnaast een bevoegde autoriteit aan die een openbaar nationaal register van erkende organisaties voor data-altruïsme bijhoudt.31 Deze laatste autoriteit voert zijn taken uit in samenwerking met de relevante gegevensbeschermingsautoriteit indien die taken verband houden met de verwerking van persoonsgegevens.32
In Nederland wordt de ACM aangewezen als autoriteit zowel voor het erkennen van databemiddelingsdiensten als voor het registreren van organisaties voor data-altruïsme.33 De verplichting om – bij de eerste taak – geen afbreuk te doen aan de bevoegdheden van andere autoriteiten en om – bij de tweede taak – samen te werken met de gegevensbeschermingsautoriteit is nu zo uitgewerkt, dat de ACM en de AP in een samenwerkingsprotocol afspraken maken over de wijze van behandeling van aangelegenheden van wederzijds belang.34 Daarnaast bepaalt het voorstel dat de AP advies uitbrengt aan de ACM over de vraag of een databemiddelingsdienst of een organisatie voor data-altruïsme voldoet aan de AVG.35
De Afdeling acht deze regeling niet adequaat. Zij sluit niet uit dat de ACM bij een negatief advies van de AP toch tot registratie van een databemiddelingsdienst of data-altruïstische organisatie kan overgaan. De mogelijkheid dat een aanbieder van databemiddelingsdiensten of een data-altruïstische organisatie van start kan gaan ondanks een negatief advies van de AP strookt niet met de gedachte achter de DGA dat deze de AVG onverlet laat. Mede gelet op dat uitgangspunt dient als het gaat om de uitleg en de toepassing van de AVG de interpretatie van de AP beslissend te zijn. Bovendien kan de voorgestelde regeling met het oog op mogelijke vervolgprocedures nieuwe problemen opleveren. Niet kan worden uitgesloten dat de AP in een later stadium op grond van haar eigen bevoegdheden tot het oordeel komt dat er strijd is met de AVG en de registratie dientengevolge moet worden teruggedraaid.
De voorgestelde regeling roept voorts de algemenere vraag op in hoeverre wettelijke verankering van de onderlinge verhouding tussen de ACM en de AP überhaupt wenselijk is. Zij heeft als nadeel dat zij die verhouding onnodig kan formaliseren.
Aansluiting bij de bestaande praktijk waarin toezichthouders samenwerken op basis van onderlinge afspraken (soms vastgelegd in een samenwerkingsprotocol) heeft als voordeel dat het meer flexibiliteit biedt; het biedt de basis voor de ACM en de AP om elkaar informeel op de hoogte te houden, hun toezichtbeleid onderling op elkaar af te stemmen en elkaar te ondersteunen op basis van de professionaliteit die beide organisaties in huis hebben.
Wettelijke regeling van de verhouding tussen de ACM en de AP heeft ten slotte het bezwaar van precedentwerking. Van belang is immers dat de DGA niet alleen de bevoegdheden van de gegevensbeschermingsautoriteit (de AP) onverlet laat, maar ook die van de mededingingsautoriteit, de autoriteit voor cybersecurity en die van andere sectorale autoriteiten. Uit dat oogpunt ligt het niet voor de hand om nu en alleen in het kader van de DGA de verhouding met de AP te regelen en de relatie met andere relevante toezichthouders buiten beschouwing te laten.
Zoals hiervoor is opgemerkt (zie punt 2) verdient het aanbeveling om de toezichtstructuur als geheel en in het bijzonder de verhouding tussen de verschillende toezichthouders mede met het oog op een werkbare toepassingspraktijk nader te doordenken. Daarbij kan ook de vraag aan de orde komen of een bredere wettelijke regeling van die verhouding wenselijk en noodzakelijk is.
De Afdeling adviseert de verplichte advisering door de AP uit het voorstel te schrappen. Zij adviseert bovendien expliciet in de toelichting te bevestigen dat als het gaat om de interpretatie en de toepassing van de AVG het oordeel van de AP beslissend is.
De Afdeling adviseert de verplichte advisering door de AP uit het voorstel te schrappen om onnodige formalisering en precedentwerking daarvan te voorkomen en flexibiliteit te behouden. Bij deze verordening heeft de AP een andere rol dan de andere toezichthouders waar eventueel mee wordt samengewerkt. Een aantal voorwaarden uit de verordening ziet op de verwerking van persoonsgegevens en raakt daarmee aan de expertise van de AP. De advisering door de AP aan de ACM betreft een ex ante advisering bij de beoordeling of een databemiddelingsdienst of organisatie voor data-altruïsme aan voorwaarden uit de verordening voldoet voor zover het gaat om de bescherming van persoonsgegevens. Aldus is op voorhand duidelijk dat sprake zal zijn van een structurele samenwerking tussen de AP en de ACM. Een dergelijke structurele samenwerking van de ACM met andere toezichthouders is bij de DGA niet aan de orde. Het betreft een nieuwe taak voor de AP op grond van de DGA en het is wenselijk om dit op wetsniveau te regelen. De ACM en de AP hebben in hun UHT aangegeven een wettelijke verankering van de advisering op prijs te stellen en zij hebben aangegeven op welke voorwaarden de advisering moet zien. Niettemin is, om aan het advies van de Afdeling tegemoet te komen, de adviesplicht flexibeler ingevuld en is er meer ruimte gelaten om de advisering in het samenwerkingsprotocol verder in te vullen. Artikelen 7 en 8 zijn daarom samengevoegd tot een nieuw artikel 7, in onderdeel 4.4 van de memorie van toelichting wordt hier nader op in gegaan en in paragrafen 7.1 en 7.2 van de memorie van toelichting is de reactie op de UHT van de ACM en de AP ten aanzien van de adviesplicht aangepast.
De Afdeling adviseert expliciet in de toelichting te bevestigen dat als het gaat om de interpretatie en de toepassing van de AVG het oordeel van de AP beslissend is. De ACM wordt aangewezen als bevoegde autoriteit voor de verordening. Bij de aanmelding/registratie wordt ex ante beoordeeld of een databemiddelingsdienst of een organisatie voor data-altruïsme aan deze verordening voldoet. De AP adviseert, gelet op zijn expertise met betrekking tot de verwerking van persoonsgegevens, de ACM over op dat vlak in deze verordening gestelde voorwaarden. Uit de Awb volgt dat gemotiveerd van een advies kan worden afgeweken. Dat geldt ook in dit geval. Er wordt nadrukkelijk niet gevraagd om een ex ante AVG beoordeling: de AP behoudt al haar AVG-bevoegdheden om in het kader van de AVG toezicht te houden. Naar aanleiding van het advies van de Afdeling wordt de adviesplicht aangepast zodat duidelijk wordt dat het advies van de AP ziet op het voldoen aan de verordening en niet over het voldoen aan de AVG. In de memorie van toelichting is in paragraaf 4.4 de advisering nader beschreven en benadrukt dat de AP de AVG-toezichthouder is.
b. Transparantie van het toezicht
De DGA voorziet in een gelaagde toezichtstructuur. Enerzijds regelt de DGA de taken en bevoegdheden van de nationale toezichthouders, zoals hiervoor omschreven. Anderzijds voorziet de DGA in gedetailleerde bepalingen die de taken en bevoegdheden van het Europees Comité voor gegevensinnovatie regelen. Het Europees Comité voor gegevensinnovatie is een deskundigengroep (met daarin onder meer vertegenwoordigers van toezichthouders) die tot taak heeft de Commissie te adviseren en te ondersteunen bij verscheidene onderwerpen. In het Comité heeft de Commissie daarbij in de rol van voorzitter van het Comité een agendabepalende rol.36
Het Comité adviseert over en ontwikkelt verschillende richtsnoeren. Ook dient het Comité de samenwerking tussen lidstaten en tussen autoriteiten te faciliteren.37 Gelet op de onafhankelijkheid van de Europese en nationale toezichthouders en de taken van het Comité dient duidelijk te zijn in hoeverre de nationale en Europese toezichthouders in het openbaar werken, hoe de toezichthouders belanghebbenden betrekken bij hun besluiten en bij andere handelingen die zij verrichten, en hoe zij verantwoording afleggen over de uitoefening van hun taken en bevoegdheden.38 De Afdeling merkt op dat de DGA hier niets over bepaalt en dat de toelichting hier niet op ingaat.
De Afdeling adviseert hier in de toelichting op in te gaan.
De Afdeling adviseert nader in te gaan op transparantie van het toezicht. Het Europees Comité voor gegevensinnovatie is een expertgroep die valt onder de regels die door de Europese Commissie zijn vastgelegd in Commissiebesluit C(2016)3301. In hoofdstuk IV van dit besluit staan ook regels betreffende transparantie. In paragraaf 3.4 van het algemeen deel van de toelichting wordt nu verwezen naar dit besluit.
c. Lex certa en sanctionering
De DGA verplicht lidstaten om sancties vast te stellen voor bepaalde overtredingen van de verordening.39 Lidstaten moeten alle nodige maatregelen nemen om ervoor te zorgen dat die sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn. Het voorstel bepaalt dat de ACM in geval van overtreding een last onder dwangsom of een bestuurlijke boete kan opleggen.40
Het lex certa-beginsel schrijft voor dat voorschriften die door punitieve sancties worden gehandhaafd voldoende duidelijk, voorzienbaar en kenbaar moeten zijn. De Afdeling merkt op dat de verordening geen ruimte laat open normen verder te concretiseren in de uitvoeringswet; zij dienen in de praktijk uit te kristalliseren. Het zal echter voor de rechtspraktijk niet altijd duidelijk zijn wat de normen concreet inhouden, zeker als deze voor meerdere uitleg vatbaar zijn.41 Het verdient daarom aanbeveling dat de Nederlandse regering, als mede-besluitvormer van de Unie, zich op Europees niveau inspant om meer duidelijkheid te krijgen over interpretatie van normering.
Eventuele gedelegeerde handelingen en richtsnoeren die normen verder invullen, nemen echter niet weg dat de vereisten pas in het concrete geval betekenis krijgen. Pas bij handhaving, door middel van een last onder dwangsom of een bestuurlijke boete, zal dan (achteraf) duidelijk worden wat de gewenste gedragslijn is.
Daarom zou overwogen moeten worden om de ACM de bevoegdheid toe te kennen tot het geven van een bindende aanwijzing vóórdat wordt overgegaan tot handhaving.42 Op deze manier kan met de aanwijzing concreet worden aangegeven welke handelingen op grond van de verordening worden verwacht.
De Afdeling adviseert op het voorgaande in de toelichting in te gaan, en zo nodig het voorstel aan te passen.
De Afdeling beveelt aan dat de Nederlandse regering zich op Europees niveau inspant om meer duidelijkheid te krijgen over interpretatie van normering uit de verordening. Nederland zal zich hiervoor inspannen binnen het Europees Comité voor gegevensinnovatie. Dit Comité bestaat uit vertegenwoordigers van alle lidstaten en heeft als taak om normen uit de verordening nader in te vullen. Daarnaast evalueert de Commissie de verordening op 24 september 2025 en brengt zij op dat moment verslag van de toepassing en de werking van de regels inzake sancties die door de lidstaten zijn vastgesteld.
De Afdeling geeft in overweging om de ACM de bevoegdheid toe te kennen tot het geven van een bindende aanwijzing vóórdat wordt overgegaan tot handhaving. De ACM beschikt reeds over deze bevoegdheid gelet op artikel 12j van de Instellingswet ACM. In de nieuwe paragraaf 4.3.1 van de memorie van toelichting wordt nader ingegaan op de bevoegdheden van de ACM.
4. Doelbinding
De verordening geeft een kader waarbinnen gegevens die binnen de overheid zijn verzameld en die zich niet onmiddellijk lenen voor openbaarmaking, toch ter beschikking kunnen worden gesteld aan commerciële en niet-commerciële derden voor hergebruik.43 Voor hergebruik geldt onverminderd dat verwerking van persoonsgegevens moet voldoen aan de AVG.44 Uit de toelichting blijkt niet dat dit mogelijk knelpunten oplevert in Nederland.45
Volgens de AVG moeten persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen zij vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.46 Secundair gebruik van persoonsgegevens is mogelijk op basis van toestemming of een Unierechtelijke of nationale grondslag die een noodzakelijke en evenredige maatregel vormt ter waarborging van doelstellingen genoemd in artikel 23, eerste lid, AVG. Als secundair gebruik niet op basis van toestemming of een wettelijke grondslag plaatsvindt, dient de verwerkingsverantwoordelijke met een aantal criteria rekening te houden om te beoordelen of de verwerking onverenigbaar zou zijn met het doel waarvoor de persoonsgegevens zijn verzameld.47
Dit roept de vraag op hoe het hergebruik in overeenstemming met dit wetsvoorstel zich verhoudt tot het doelbindingsbeginsel uit de AVG. Het kan immers persoonsgegevens betreffen die zijn verzameld voor een specifieke overheidstaak en die – meestal zonder toestemming van de betrokkene – ter beschikking komen van derden die deze gebruiken voor een ander dan het oorspronkelijke doel. Omdat zij dat doel zelf kunnen bepalen, is het de vraag of het beginsel van doelbinding in dat geval in feite nog voldoende betekenis kan hebben. De toelichting gaat hier niet op in.
De Afdeling adviseert in de toelichting in te gaan op de verhouding tussen hergebruik en het doelbindingsbeginsel.
Zoals de Afdeling terecht opmerkt, heeft de AVG bij enig conflict tussen beide verordeningen, voorrang op de verordening en is het beginsel van doelbinding daardoor volledig van toepassing op het hergebruik van persoonsgegevens. Doelbinding verbiedt in beginsel de verdere verwerking van persoonsgegevens voor andere doeleinden dan de oorspronkelijke doeleinden waarvoor de gegevens zijn verzameld. Hergebruik ziet juist op dit verdere gebruik voor andere doeleinden. Om na te gaan of hergebruik van persoonsgegevens is toegestaan, zullen daarom de criteria van de AVG moeten worden nagelopen, die bepalen wanneer verdere verwerking van persoonsgegevens verenigbaar is met het oorspronkelijke doel van de verzameling. In navolging van het advies van de Afdeling, is hierop in paragraaf 5.1 van het algemene deel van de toelichting nader ingegaan.
5. Verhouding tot Open data richtlijn en de Wet hergebruik van overheidsinformatie
De toelichting vermeldt dat hoofdstuk II van de DGA en de Who beiden zien op hergebruik van overheidsgegevens. Het gaat daarbij om verschillende soorten gegevens en verschillende vormen van hergebruik, aldus de toelichting.48 De Who en haar aankomende herziening, die is gebaseerd op de Open data richtlijn49, zien op hergebruik van niet-gevoelige, openbare gegevens, die ook wel ‘open data’ worden genoemd. Open data zijn dusdanig ongevoelig dat openbare verspreiding en hergebruik daarvan niet of nauwelijks aan beperkingen hoeft te worden onderworpen. Veel gegevens zijn echter te gevoelig om zomaar openbaar te maken of voor alle doeleinden te gebruiken. Zij zijn niet geschikt als open data en daarom uitgesloten van hergebruik onder de Who. Voor een deel van deze gegevens geldt echter dat niet elke vorm van hergebruik verboden hoeft te zijn. Hoofdstuk II van de DGA biedt een raamwerk waarbinnen deze gegevens, onder bepaalde beschermende omstandigheden, alsnog kunnen worden hergebruikt. Hoofdstuk II van de DGA is daarmee volgens de toelichting een aanvulling op de Open data richtlijn.50
De Afdeling merkt op dat het voor een goed begrip van de betekenis van het wetsvoorstel van belang is dat in de toelichting wordt besproken welke vorm en omvang het hergebruik op dit moment in Nederland aanneemt en hoe de DGA zich verhoudt tot bestaande wetgeving. De toelichting staat wel stil bij het feit dat de DGA een aanvulling is op de Open data richtlijn, maar gaat niet in op de vraag welke data in concrete gevallen onder welke regelgeving vallen. Zo zal voor de Nederlandse burger niet duidelijk zijn welke wetgeving van toepassing is op de aanvraag van verschillende data.
De Afdeling adviseert daarom in de toelichting uitgebreider in te gaan op de verschillen tussen de Open data richtlijn en de Who enerzijds en de DGA anderzijds, en om aan te geven wat de gevolgen van die twee regimes zijn voor rechthebbenden.
De Afdeling verzoekt om uitgebreider in te gaan op de verschillen tussen de Open data richtlijn en de Who enerzijds en de verordening anderzijds, en om aan te geven wat de gevolgen van die twee regimes zijn voor rechthebbenden. Het is helaas niet mogelijk om op voorhand een uitputtende opsomming te geven van welke gegevens in welke situatie onder welke regelgeving vallen. Dat zal immers per concreet geval moeten worden bepaald. Wel is het mogelijk om op basis van de criteria uit de Who en de verordening uitgebreider uit te werken welk type gegevens waaronder valt, hoe de Who en de verordening zich tot elkaar verhouden en wat de verschillende regimes betekenen voor rechthebbenden. In verband met het voorgaande, is paragraaf 5.2 van het algemene deel van de toelichting aangepast.
6. Afstemming van nationaal recht op de verordening
De verordening bepaalt dat overheidsinstanties51 die bevoegd zijn om te beslissen over verzoeken om hergebruik van overheidsinformatie, de voorwaarden voor het toestaan van hergebruik openbaar moeten maken. Deze overheidsinstanties moeten voorts de aanvraagprocedure openbaar maken.52
Volgens de toelichting is aan deze bepaling voor een belangrijk deel al voldaan in het bestaande artikel 5.7 van de Wet open overheid (de Woo). Deze bepaling stelt bestuursorganen in staat om ten behoeve van historisch, statistisch, wetenschappelijk of journalistiek onderzoek toegang te bieden tot gegevens die anders geweigerd zouden moeten worden op basis van de gebruikelijke weigeringsgronden die gelden bij openbaarmaking op verzoek.53
De toelichting stelt dat de weigeringsgronden van de Woo ‘grotendeels’ overeenkomen met de gegevenscategorieën uit artikel 3, eerste lid, van de verordening. Daarnaast staat artikel 5.7 van de Woo toe dat bestuursorganen voorwaarden stellen aan hergebruik. Dat sluit volgens de toelichting aan op artikel 5, eerste lid, van de verordening, dat er vanuit gaat dat openbare lichamen voorwaarden voor hergebruik kunnen stellen.54
De bestaande regels in de Woo die in de toelichting worden genoemd komen inderdaad grotendeels overeen met de regels in de verordening, maar er zijn ook verschillen, zoals:
-
– Artikel 5.7 Woo gaat specifiek over gebruik van gegevens voor onderzoek. De verordening gaat uit van het ruimere begrip ‘hergebruik’: ieder gebruik dat een ander doel heeft dan de overheidstaak waarvoor de gegevens zijn verzameld.55 Dat is dus niet beperkt tot onderzoek.
-
– De verordening noemt als gegevenscategorie ‘het handelsgeheim, waaronder bedrijfs- of beroepsgeheim’, terwijl de Woo het heeft over (bepaalde soorten) bedrijfs- en fabricagegegevens.56 De verordening noemt daarnaast het statistisch geheim en de bescherming van de intellectuele-eigendomsrechten van derden.57 Dat zijn gegevenscategorieën die niet als zodanig als weigeringsgronden in de Woo voorkomen.
-
– Artikel 5.7 Woo geeft het bestuursorgaan de bevoegdheid om voorwaarden te verbinden aan het verlenen van toegang voor historisch, statistisch, wetenschappelijk of journalistiek onderzoek. Daarmee is echter geen uitvoering gegeven aan de in de verordening omschreven verplichting om de voorwaarden voor het toestaan van hergebruik en de procedure om toestemming voor hergebruik aan te vragen openbaar te maken. De verordening lijkt daarbij uit te gaan van algemeen verbindende voorschriften, terwijl de Woo eerder uit lijkt te gaan van voorwaarden in het individuele geval.
Door deze verschillen kan niet zonder meer gezegd worden dat overheidsinstanties nu al voldoen aan de verplichting om de voorwaarden voor het toestaan van hergebruik en de aanvraagprocedure openbaar te maken.
De Afdeling adviseert de toelichting bij te stellen en zo nodig het voorstel aan te vullen.
De Afdeling constateert dat door de verschillen tussen artikel 5.7 van de Woo en hoofdstuk II van de verordening, overheidsinstanties nog niet zonder meer voldoen aan hun verplichtingen om de voorwaarden voor het toestaan hergebruik en de aanvraagprocedure openbaar te maken. Deze constatering is juist, maar is niet van invloed op dit wetsvoorstel. Artikel 5, eerste lid, van de verordening is namelijk een verplichting die direct op overheidsorganisaties van toepassing is en dus door hen in de praktijk dient te worden uitgevoerd. Artikel 5.7 van de Woo schrijft niet voor op welke wijze voorwaarden moeten worden gesteld en levert dus ook geen strijd op met de verordening. Wel kan het ingekaderde toepassingsbereik van artikel 5.7 van de Woo op zichzelf worden gezien als een set aan voorwaarden in de zin van artikel 5, eerste lid, van de verordening die dus openbaar gemaakt dienen te worden. Met het oog op de opmerking van de Afdeling, is dit in paragraaf 4.1.1 van de memorie van toelichting verduidelijkt.
7. Terminologie
In navolging van de verordening gebruikt de uitvoeringswet de term ‘openbaar lichaam’.58 Die term heeft echter in het Nederlandse recht een andere betekenis dan in de verordening: in de Grondwet gaat het met name om provincies, gemeenten en territoriale openbare lichamen die daarmee vergelijkbaar zijn, of om openbare lichamen voor beroep en bedrijf, waaraan verordenende (regelgevende) bevoegdheid kan worden toegekend.59
In de Who is dan ook de richtlijnterm ‘openbaar lichaam’ omgezet met de term ‘met een publieke taak belaste instelling’.60 De toelichting onderkent ook dat de begrippen overeen komen, en verwijst ook naar de Who voor een nadere uitwerking.61 Gelet op de betekenis van ‘openbaar lichaam’ in het Nederlandse recht en het belang van consistentie van terminologie binnen wetgeving, acht de Afdeling het wenselijk de term ‘openbaar lichaam’ ook in de uitvoeringswet niet te gebruiken.
De Afdeling adviseert in plaats van de term ‘openbaar lichaam’ de term ‘met een publieke taak belaste instelling’ te hanteren, zoals deze in de Who wordt gebruikt.62
Het advies van de Afdeling is overgenomen om in plaats van de term ‘openbaar lichaam’ de term ‘met een publieke taak belaste instelling’ te hanteren. Artikelen 1 en 2, derde lid, van het wetsvoorstel en paragraaf 3.1 van het algemeen deel van de toelichting zijn aangepast.
8. Ambtshalve wijzigingen
Van de gelegenheid is gebruik gemaakt om ambtshalve enkele kleine wijzigingen aan te brengen in het wetsvoorstel. Ook de memorie van toelichting is op verschillende onderdelen aangepast en geactualiseerd.
In artikel 4, eerste lid, van het wetsvoorstel is een termijn opgenomen waarbinnen de ACM een besluit moet nemen over de aanmelding tot een aanbieder van databemiddelingsdiensten. In artikel 4, tweede lid, van het wetsvoorstel is de mogelijkheid opgenomen om deze termijn eenmalig te verlengen. In de artikelsgewijze toelichting ten aanzien van artikel 4 zijn deze wijzigingen toegelicht.
In artikel 7, derde lid, van het wetsvoorstel en bijbehorende toelichting is de juiste verwijzing naar de Instellingswet Autoriteit Consument en Markt opgenomen.
In artikel 10 van het wetsvoorstel is de inwerkingtreding geactualiseerd.
Daarnaast zijn wijzigingen doorgevoerd in het algemeen deel van de toelichting. De volgorde van de subparagrafen in paragraaf 4 is aangepast zodat die beter aansluit bij de structuur van de verordening. De hoogte van de bestuurlijke boete is nader onderbouwd in paragraaf 4.3.2.
De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.
De waarnemend vice-president van de Raad van State
Ik moge U verzoeken het hierbij gevoegde voorstel van wet en de memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.
De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens.
Advies Raad van State
No. W18.23.00113/IV
’s-Gravenhage, 26 juli 2023
Aan de Koning
Bij Kabinetsmissive van 15 mei 2023, no.2023001172, heeft Uwe Majesteit, op voordracht van de Minister van Economische Zaken en Klimaat, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet tot uitvoering van de datagovernanceverordening, met memorie van toelichting.
Het wetsvoorstel strekt tot uitvoering van de verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende de Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Datagovernanceverordening). De Datagovernanceverordening (DGA) biedt een kader voor het hergebruik van overheidsgegevens en het delen van data via databemiddelingsdiensten en data-altruïstische organisaties.
De Afdeling advisering van de Raad van State maakt een opmerking over de betekenis van de verordening en de uitvoeringswet voor Nederland en de verhouding tot relevante Europese en nationale regelingen. Ook adviseert zij de verplichte advisering door de AP uit het voorstel te schrappen. Zij adviseert verder inzicht te geven in de werkwijze van toezichthouders op nationaal en Europees niveau. Daarnaast adviseert zij de regering zich in te spannen voor het verkrijgen van duidelijkheid over normering, en stelt zij de mogelijkheid voor van het regelen van een bindende aanwijzing. Verder maakt zij opmerkingen over het doelbindingsbeginsel, de verhouding tot de Wet hergebruik van overheidsinformatie (Who) en de Open Data richtlijn, en de afstemming met nationaal recht. Tot slot adviseert zij voor ‘openbaar lichaam’ een andere term te hanteren. Zij is van oordeel dat in verband met het voorgaande aanpassing van het voorstel en de toelichting, wenselijk is.
1. Inhoud van de verordening en het voorstel
a. Inhoud van de Datagovernanceverordening
De DGA heeft als doel om meer gegevens beschikbaar te maken voor algemeen gebruik. Om dat doel te bereiken wil de DGA het vertrouwen vergroten in zogeheten databemiddelingsdiensten en data-altruïstische organisaties. De verordening beoogt een kader te stellen voor de volgende drie vormen van het delen van gegevens.1
Ten eerste het voor hergebruik beschikbaar stellen van overheidsgegevens, wanneer die gegevens onderworpen zijn aan rechten van anderen. Het betreft dan persoonsgegevens, gegevens waarop het statistisch geheim of het bedrijfs- of beroepsgeheim rust, en gegevens die beschermd zijn door intellectuele eigendomsrechten van derden. De verordening schept een kader waarbinnen deze gegevens moeten worden aangeboden als daar in nationale wetgeving een grondslag voor bestaat, de verstrekking niet in strijd is met de regelgeving op grond waarvan de gegevens beschermd zijn, en de verstrekking onder de openbare taken van de betrokken ‘openbare lichamen’ valt.
Ten tweede het delen van gegevens door burgers of organisaties via een databemiddelingsdienst. Een aanbieder van databemiddelingsdiensten, waaronder gegevenscoöperaties, is een derde partij die bemiddelt tussen houders van gegevens en datasubjecten enerzijds en gegevensgebruikers anderzijds.2 Aanbieders van databemiddelingsdiensten mogen de ontvangen gegevens niet zelf gebruiken voor andere doelen, en moeten hun diensten aanbieden door een rechtspersoon die geen banden heeft met eventuele andere diensten van de aanbieder. De DGA beoogt met dit kader een alternatief te bieden voor de ‘big tech-bedrijven’ die een aanmerkelijke marktmacht hebben.
Ten derde het delen van gegevens op altruïstische gronden. Data-altruïstische organisaties zijn een nieuw type niet-commerciële dienstverleners die zich richten op het ontsluiten van gegevens die personen of bedrijven vrijwillig ter beschikking stellen voor het algemeen belang. Een voorbeeld hiervan is de Duitse Corona-Datenspende-App die gezondheidsgegevens verzamelde om in een vroeg stadium corona-hotspots te ontdekken.3 Als databemiddelingsdiensten en data-altruïstische organisaties aan de vereisten van de DGA voldoen, mogen zij gebruik maken van een Europees label en logo.
Daarnaast regelt de DGA het Europees Comité voor gegevensinnovatie. Dit Comité is een deskundigengroep die onder meer als taak heeft de Commissie te adviseren en bij te staan, bijvoorbeeld door het voorstellen van richtsnoeren. Tot slot regelt de DGA de doorgifte van gegevens naar derde landen.
b. Inhoud voorstel
Het voorstel geeft op nationaal niveau uitvoering aan de DGA. Het voorstel schept zelf geen nieuwe grondslagen voor hergebruik van overheidsgegevens. De toelichting wijst op een aantal bestaande grondslagen voor hergebruik, zoals artikel 5:7 van de Wet open overheid (Woo), artikel 41 van de Wet op het Centraal bureau voor de statistiek, artikel 3.13 van de Wet basisregistratie personen, artikel 22 van de Wet politiegegevens en artikel 15 van de Wet justitiële en strafvorderlijke gegevens.
In het voorstel wordt de ACM belast met het toezicht op de naleving van de DGA.4 Ook wordt de ACM aangewezen als bevoegde autoriteit voor databemiddelingsdiensten en data-altruïstische organisaties.5 De AP zal de ACM van advies voorzien over de vraag of aanbieders van databemiddelingsdiensten en organisaties voor data-altruïsme die persoonsgegevens verwerken, voldoen aan de eisen die worden gesteld in de AVG.6 Advisering door de AP kan zowel vooraf plaatsvinden, bij de erkenning van de dienstverlener of organisatie, als achteraf, wanneer onderzoek wordt gedaan naar de naleving en eventuele handhaving van relevante bepalingen in de DGA.
Voor hergebruik van overheidsgegevens dient Nederland daarnaast een bevoegd orgaan aan te wijzen dat publieke instellingen bijstaat. Het voorstel regelt dat bij amvb één of meer bevoegde organen kunnen worden aangewezen.7 De toelichting vermeldt dat het voornemen is om in ieder geval het CBS aan te wijzen voor bijstand bij wetenschappelijk en statistisch hergebruik van overheidsgegevens.8
Daarnaast regelt het voorstel dat bij ministeriële regeling een centraal informatiepunt kan worden aangewezen.9 Dit centraal informatiepunt fungeert als contactpunt ter ondersteuning van onderzoekers en innovatieve bedrijven bij het identificeren van geschikte gegevens.10
Verder specificeert het voorstel wat in het kader van data-altruïsme als doeleinde van algemeen belang kan worden beschouwd. Ook ziet het voorstel op vergoedingen voor hergebruik van gegevens en vergoedingen voor de aanmelding van databemiddelingsdiensten.11 Tot slot regelt zij de gang naar de rechter.12
2. Algemene beschouwing
Voor een goed begrip van het voorstel wijst de Afdeling op de Europese context waarbinnen de DGA tot stand is gekomen. De DGA is onderdeel van de Europese datastrategie, die beoogt de Europese data-economie te ondersteunen.13 De datastrategie werd tegelijk gepresenteerd met de Europese digitale strategie,14 en het witboek voor regulering van kunstmatige intelligentie.15 Dit laatste resulteerde in het voorstel voor een AI-verordening, waar momenteel over wordt onderhandeld.16
Als onderdeel van de Europese digitale strategie werden, naast de DGA, de digitalemarktenverordening (DMA) en de digitaledienstenverordening (DSA) vastgesteld.17 De DSA legt verplichtingen vast voor ‘tussenhandeldiensten’, als sociale media en online marktplaatsen. Voor zeer grote online platforms en zoekmachines gelden aanvullende verplichtingen. De DMA reguleert daarbij de ‘big tech-bedrijven’ door voor ondernemingen die kernplatformdiensten aanbieden verplichtingen op te leggen en enkele oneerlijke praktijken te verbieden.
Naast deze meer op mededinging en productveiligheid gerichte verordeningen, richt de Europese datastrategie zich op het delen en gebruik van gegevens binnen de interne markt.18 De datastrategie poogt daarmee de Europese data-economie te stimuleren door gegevens te ontsluiten voor innovatie.
Uit de Europese datastrategie volgt naast de DGA ook de Dataverordening (DA) en domeinspecifieke gemeenschappelijke Europese gegevensruimten.19 De DA biedt net als de DGA kaders voor het delen van gegevens en verduidelijkt wie welke gegevens kan gebruiken en inzien voor welke doeleinden. De gemeenschappelijke gegevensruimten moeten daarnaast op specifieke gebieden juridische en technische belemmeringen voor het delen van gegevens tussen organisaties wegnemen.
Inmiddels is het voorstel voor een Europese ruimte voor gezondheidsgegevens gepubliceerd, en is een Europese gegevensruimte voor toerisme aangekondigd.20
De DGA is de eerste verordening waarvoor, met voorliggend voorstel, in nationaal recht uitvoeringsregels worden gesteld. De DGA bevat waarborgen om het hergebruik van overheidsgegevens op een verantwoorde manier mogelijk te maken en databemiddelingsdiensten en data-altruïstische organisaties te reguleren,21 zodat inbreuken op grondrechten worden beperkt en rechten van anderen (zoals intellectuele eigendom) niet worden geschonden.
De DGA kan zijn nuttige werking in de praktijk alleen hebben als het voor alle betrokkenen duidelijk is wat de DGA inhoudt. Volgens de Aanwijzingen voor de regelgeving dient de toelichting bij een implementatievoorstel in te gaan op de aanleiding en achtergronden van de te implementeren EU-rechtshandeling.22
De verordening heeft een abstract en technisch-procedureel karakter. Het is daardoor niet zo eenvoudig om een beeld te krijgen van de betekenis die de verordening en de uitvoeringswet in Nederland zullen hebben. De toelichting bevat alleen een korte abstracte uitleg van de beleidscontext, maar concrete voorbeelden over het soort gegevens waar het in de praktijk naar verwachting vooral om zal gaan, ontbreken. De toelichting gaat ook niet in op de verwachte impact en of er bijvoorbeeld al organisaties erkend willen worden als aanbieders van databemiddelingsdienst of als organisaties voor data-altruïsme, en wat voor activiteiten deze organisaties willen ontplooien.23
Zoals hierboven geschetst zullen in het kader van de Europese digitale strategie verschillende wettelijke regelingen tot stand komen. Elke regeling staat tot op zekere hoogte op zichzelf met een eigen doelstelling en invalshoek en een specifieke regel- en toezichtstructuur. Tegelijkertijd echter hangen deze regelingen inhoudelijk nauw met elkaar samen en moeten zij in de praktijk in die onderlinge samenhang worden toegepast. Te voorzien valt dat door de cumulatie van regelingen de complexiteit van de wetgeving toeneemt en in de praktijk tot de nodige afstemmingsvragen zal leiden.
De Afdeling stelt vast dat de toelichting aan die complexiteit nauwelijks aandacht besteedt; op de context, de betekenis, de verhouding tussen de verschillende Europese en reeds bestaande nationale wetgeving24 en de daarmee gepaard gaande complexe toezichtstructuur gaat de toelichting slechts summier in. Zo gaat de toelichting nauwelijks in op de vraag hoe de DGA zich verhoudt tot de DMA, de DSA, de DA en de AI-verordening. Voor een goed begrip en een effectieve werking van het voorstel acht de Afdeling het van belang dat de toelichting hier dieper en concreter, aan de hand van concrete voorbeelden, op ingaat.
Daarbij is ook van belang dat nader wordt ingegaan op reeds bestaande Europese wetgeving. Met name de verhouding tot de AVG behoeft nadere aandacht. De verordening bepaalt dat zij geen afbreuk doet aan de AVG, wat betekent dat bij tegenstrijdigheid de AVG prevaleert.25
Het blijft echter onduidelijk wat hiervan nu de exacte betekenis is. De AVG is een algemene kaderregeling voor gegevensbescherming, die in verschillende situaties concreet moet worden uitgewerkt. Zij biedt daarbij ruimte voor afwegingen, die anders kunnen uitvallen als er andere of nieuwe regelgeving is. Tegen die achtergrond kan met het oog op een werkbare toepassingspraktijk niet worden volstaan met het uitgangspunt dat de AVG voorrang heeft.
De Afdeling is ten slotte van oordeel dat in het kader van de uitvoering van de recente Europese regelingen en hun onderlinge verhouding de toezichtstructuur afzonderlijk aandacht behoeft. Zoals ook uit de toelichting blijkt zijn bij het toezicht op de naleving van de te onderscheiden Europese en nationale regels verschillende nationale autoriteiten bevoegd. Daarnaast bestaan ingevolge Europese wetgeving verschillende Europese coördinatiestructuren waaraan de nationale autoriteiten van de lidstaten en de Europese Commissie participeren.
Te voorzien valt dat als gevolg van de wettelijke regelingen die in het kader van de Europese digitale strategie tot stand zijn gekomen en nog tot stand zullen komen, de toezichtstructuur in vergelijking tot de huidige situatie, ook in grensoverschrijdende situaties26, nog complexer wordt.
Om een voor burgers, bedrijven, maatschappelijke organisaties en overheden werkbare uitvoeringspraktijk te creëren en te handhaven, meent de Afdeling dat de toezichtstructuur die van de recente wetgeving mede het gevolg is, nader moet worden doordacht.
De Afdeling adviseert in de toelichting op bovenstaande in te gaan en, aan de hand van concrete voorbeelden in te gaan op de betekenis van de verordening en de uitvoeringswet, hun verhouding tot relevante Europese en nationale regelingen en de op grond van de verschillende regelingen geldende toezichtstructuur.
3. Toezicht
a. Advies Autoriteit persoonsgegevens
De DGA bepaalt dat elke lidstaat één of meer autoriteiten aanwijst om de taken in verband met de aanmeldingsprocedure voor databemiddelingsdiensten uit te voeren.27 Deze autoriteit toetst of de aanbieders van databemiddelingsdiensten voldoen aan de eisen van de verordening.28 De bevoegdheden van de autoriteit die databemiddelingsdiensten controleert mogen geen afbreuk doen aan de bevoegdheden van andere autoriteiten, zoals de gegevensbeschermingsautoriteiten.29 De DGA bepaalt dat de betreffende autoriteiten een nauwe samenwerking moeten opbouwen waarin zij informatie uitwisselen die nodig is voor de uitoefening van hun respectievelijke taken in verband met aanbieders van databemiddelingsdiensten. Zij moeten er naar streven dat hun besluiten consistent zijn.30
Elke lidstaat wijst daarnaast een bevoegde autoriteit aan die een openbaar nationaal register van erkende organisaties voor data-altruïsme bijhoudt.31 Deze laatste autoriteit voert zijn taken uit in samenwerking met de relevante gegevensbeschermingsautoriteit indien die taken verband houden met de verwerking van persoonsgegevens.32
In Nederland wordt de ACM aangewezen als autoriteit zowel voor het erkennen van databemiddelingsdiensten als voor het registreren van organisaties voor data-altruïsme.33 De verplichting om – bij de eerste taak – geen afbreuk te doen aan de bevoegdheden van andere autoriteiten en om – bij de tweede taak – samen te werken met de gegevensbeschermingsautoriteit is nu zo uitgewerkt, dat de ACM en de AP in een samenwerkingsprotocol afspraken maken over de wijze van behandeling van aangelegenheden van wederzijds belang.34 Daarnaast bepaalt het voorstel dat de AP advies uitbrengt aan de ACM over de vraag of een databemiddelingsdienst of een organisatie voor data-altruïsme voldoet aan de AVG.35
De Afdeling acht deze regeling niet adequaat. Zij sluit niet uit dat de ACM bij een negatief advies van de AP toch tot registratie van een databemiddelingsdienst of data-altruïstische organisatie kan overgaan. De mogelijkheid dat een aanbieder van databemiddelingsdiensten of een data-altruïstische organisatie van start kan gaan ondanks een negatief advies van de AP strookt niet met de gedachte achter de DGA dat deze de AVG onverlet laat. Mede gelet op dat uitgangspunt dient als het gaat om de uitleg en de toepassing van de AVG de interpretatie van de AP beslissend te zijn. Bovendien kan de voorgestelde regeling met het oog op mogelijke vervolgprocedures nieuwe problemen opleveren. Niet kan worden uitgesloten dat de AP in een later stadium op grond van haar eigen bevoegdheden tot het oordeel komt dat er strijd is met de AVG en de registratie dientengevolge moet worden teruggedraaid.
De voorgestelde regeling roept voorts de algemenere vraag op in hoeverre wettelijke verankering van de onderlinge verhouding tussen de ACM en de AP überhaupt wenselijk is. Zij heeft als nadeel dat zij die verhouding onnodig kan formaliseren.
Aansluiting bij de bestaande praktijk waarin toezichthouders samenwerken op basis van onderlinge afspraken (soms vastgelegd in een samenwerkingsprotocol) heeft als voordeel dat het meer flexibiliteit biedt; het biedt de basis voor de ACM en de AP om elkaar informeel op de hoogte te houden, hun toezichtbeleid onderling op elkaar af te stemmen en elkaar te ondersteunen op basis van de professionaliteit die beide organisaties in huis hebben.
Wettelijke regeling van de verhouding tussen de ACM en de AP heeft ten slotte het bezwaar van precedentwerking. Van belang is immers dat de DGA niet alleen de bevoegdheden van de gegevensbeschermingsautoriteit (de AP) onverlet laat, maar ook die van de mededingingsautoriteit, de autoriteit voor cybersecurity en die van andere sectorale autoriteiten. Uit dat oogpunt ligt het niet voor de hand om nu en alleen in het kader van de DGA de verhouding met de AP te regelen en de relatie met andere relevante toezichthouders buiten beschouwing te laten.
Zoals hiervoor is opgemerkt (zie punt 2) verdient het aanbeveling om de toezichtstructuur als geheel en in het bijzonder de verhouding tussen de verschillende toezichthouders mede met het oog op een werkbare toepassingspraktijk nader te doordenken. Daarbij kan ook de vraag aan de orde komen of een bredere wettelijke regeling van die verhouding wenselijk en noodzakelijk is.
De Afdeling adviseert de verplichte advisering door de AP uit het voorstel te schrappen. Zij adviseert bovendien expliciet in de toelichting te bevestigen dat als het gaat om de interpretatie en de toepassing van de AVG het oordeel van de AP beslissend is.
b. Transparantie van het toezicht
De DGA voorziet in een gelaagde toezichtstructuur. Enerzijds regelt de DGA de taken en bevoegdheden van de nationale toezichthouders, zoals hiervoor omschreven. Anderzijds voorziet de DGA in gedetailleerde bepalingen die de taken en bevoegdheden van het Europees Comité voor gegevensinnovatie regelen. Het Europees Comité voor gegevensinnovatie is een deskundigengroep (met daarin onder meer vertegenwoordigers van toezichthouders) die tot taak heeft de Commissie te adviseren en te ondersteunen bij verscheidene onderwerpen. In het Comité heeft de Commissie daarbij in de rol van voorzitter van het Comité een agendabepalende rol.36
Het Comité adviseert over en ontwikkelt verschillende richtsnoeren. Ook dient het Comité de samenwerking tussen lidstaten en tussen autoriteiten te faciliteren.37 Gelet op de onafhankelijkheid van de Europese en nationale toezichthouders en de taken van het Comité dient duidelijk te zijn in hoeverre de nationale en Europese toezichthouders in het openbaar werken, hoe de toezichthouders belanghebbenden betrekken bij hun besluiten en bij andere handelingen die zij verrichten, en hoe zij verantwoording afleggen over de uitoefening van hun taken en bevoegdheden.38 De Afdeling merkt op dat de DGA hier niets over bepaalt en dat de toelichting hier niet op ingaat.
De Afdeling adviseert hier in de toelichting op in te gaan.
c. Lex certa en sanctionering
De DGA verplicht lidstaten om sancties vast te stellen voor bepaalde overtredingen van de verordening.39 Lidstaten moeten alle nodige maatregelen nemen om ervoor te zorgen dat die sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn. Het voorstel bepaalt dat de ACM in geval van overtreding een last onder dwangsom of een bestuurlijke boete kan opleggen.40
Het lex certa-beginsel schrijft voor dat voorschriften die door punitieve sancties worden gehandhaafd voldoende duidelijk, voorzienbaar en kenbaar moeten zijn. De Afdeling merkt op dat de verordening geen ruimte laat open normen verder te concretiseren in de uitvoeringswet; zij dienen in de praktijk uit te kristalliseren. Het zal echter voor de rechtspraktijk niet altijd duidelijk zijn wat de normen concreet inhouden, zeker als deze voor meerdere uitleg vatbaar zijn.41 Het verdient daarom aanbeveling dat de Nederlandse regering, als mede-besluitvormer van de Unie, zich op Europees niveau inspant om meer duidelijkheid te krijgen over interpretatie van normering.
Eventuele gedelegeerde handelingen en richtsnoeren die normen verder invullen, nemen echter niet weg dat de vereisten pas in het concrete geval betekenis krijgen. Pas bij handhaving, door middel van een last onder dwangsom of een bestuurlijke boete, zal dan (achteraf) duidelijk worden wat de gewenste gedragslijn is.
Daarom zou overwogen moeten worden om de ACM de bevoegdheid toe te kennen tot het geven van een bindende aanwijzing vóórdat wordt overgegaan tot handhaving.42 Op deze manier kan met de aanwijzing concreet worden aangegeven welke handelingen op grond van de verordening worden verwacht.
De Afdeling adviseert op het voorgaande in de toelichting in te gaan, en zo nodig het voorstel aan te passen.
4. Doelbinding
De verordening geeft een kader waarbinnen gegevens die binnen de overheid zijn verzameld en die zich niet onmiddellijk lenen voor openbaarmaking, toch ter beschikking kunnen worden gesteld aan commerciële en niet-commerciële derden voor hergebruik.43 Voor hergebruik geldt onverminderd dat verwerking van persoonsgegevens moet voldoen aan de AVG.44 Uit de toelichting blijkt niet dat dit mogelijk knelpunten oplevert in Nederland.45
Volgens de AVG moeten persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen zij vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.46 Secundair gebruik van persoonsgegevens is mogelijk op basis van toestemming of een Unierechtelijke of nationale grondslag die een noodzakelijke en evenredige maatregel vormt ter waarborging van doelstellingen genoemd in artikel 23, eerste lid, AVG. Als secundair gebruik niet op basis van toestemming of een wettelijke grondslag plaatsvindt, dient de verwerkingsverantwoordelijke met een aantal criteria rekening te houden om te beoordelen of de verwerking onverenigbaar zou zijn met het doel waarvoor de persoonsgegevens zijn verzameld.47
Dit roept de vraag op hoe het hergebruik in overeenstemming met dit wetsvoorstel zich verhoudt tot het doelbindingsbeginsel uit de AVG. Het kan immers persoonsgegevens betreffen die zijn verzameld voor een specifieke overheidstaak en die – meestal zonder toestemming van de betrokkene – ter beschikking komen van derden die deze gebruiken voor een ander dan het oorspronkelijke doel. Omdat zij dat doel zelf kunnen bepalen, is het de vraag of het beginsel van doelbinding in dat geval in feite nog voldoende betekenis kan hebben. De toelichting gaat hier niet op in.
De Afdeling adviseert in de toelichting in te gaan op de verhouding tussen hergebruik en het doelbindingsbeginsel.
5. Verhouding tot Open data richtlijn en de Wet hergebruik van overheidsinformatie
De toelichting vermeldt dat hoofdstuk II van de DGA en de Who beiden zien op hergebruik van overheidsgegevens. Het gaat daarbij om verschillende soorten gegevens en verschillende vormen van hergebruik, aldus de toelichting.48 De Who en haar aankomende herziening, die is gebaseerd op de Open data richtlijn49, zien op hergebruik van niet-gevoelige, openbare gegevens, die ook wel ‘open data’ worden genoemd. Open data zijn dusdanig ongevoelig dat openbare verspreiding en hergebruik daarvan niet of nauwelijks aan beperkingen hoeft te worden onderworpen. Veel gegevens zijn echter te gevoelig om zomaar openbaar te maken of voor alle doeleinden te gebruiken. Zij zijn niet geschikt als open data en daarom uitgesloten van hergebruik onder de Who. Voor een deel van deze gegevens geldt echter dat niet elke vorm van hergebruik verboden hoeft te zijn. Hoofdstuk II van de DGA biedt een raamwerk waarbinnen deze gegevens, onder bepaalde beschermende omstandigheden, alsnog kunnen worden hergebruikt. Hoofdstuk II van de DGA is daarmee volgens de toelichting een aanvulling op de Open data richtlijn.50
De Afdeling merkt op dat het voor een goed begrip van de betekenis van het wetsvoorstel van belang is dat in de toelichting wordt besproken welke vorm en omvang het hergebruik op dit moment in Nederland aanneemt en hoe de DGA zich verhoudt tot bestaande wetgeving. De toelichting staat wel stil bij het feit dat de DGA een aanvulling is op de Open data richtlijn, maar gaat niet in op de vraag welke data in concrete gevallen onder welke regelgeving vallen. Zo zal voor de Nederlandse burger niet duidelijk zijn welke wetgeving van toepassing is op de aanvraag van verschillende data.
De Afdeling adviseert daarom in de toelichting uitgebreider in te gaan op de verschillen tussen de Open data richtlijn en de Who enerzijds en de DGA anderzijds, en om aan te geven wat de gevolgen van die twee regimes zijn voor rechthebbenden.
6. Afstemming van nationaal recht op de verordening
De verordening bepaalt dat overheidsinstanties51 die bevoegd zijn om te beslissen over verzoeken om hergebruik van overheidsinformatie, de voorwaarden voor het toestaan van hergebruik openbaar moeten maken. Deze overheidsinstanties moeten voorts de aanvraagprocedure openbaar maken.52
Volgens de toelichting is aan deze bepaling voor een belangrijk deel al voldaan in het bestaande artikel 5.7 van de Wet open overheid (de Woo). Deze bepaling stelt bestuursorganen in staat om ten behoeve van historisch, statistisch, wetenschappelijk of journalistiek onderzoek toegang te bieden tot gegevens die anders geweigerd zouden moeten worden op basis van de gebruikelijke weigeringsgronden die gelden bij openbaarmaking op verzoek.53
De toelichting stelt dat de weigeringsgronden van de Woo ‘grotendeels’ overeenkomen met de gegevenscategorieën uit artikel 3, eerste lid, van de verordening. Daarnaast staat artikel 5.7 van de Woo toe dat bestuursorganen voorwaarden stellen aan hergebruik. Dat sluit volgens de toelichting aan op artikel 5, eerste lid, van de verordening, dat er vanuit gaat dat openbare lichamen voorwaarden voor hergebruik kunnen stellen.54
De bestaande regels in de Woo die in de toelichting worden genoemd komen inderdaad grotendeels overeen met de regels in de verordening, maar er zijn ook verschillen, zoals:
-
– Artikel 5.7 Woo gaat specifiek over gebruik van gegevens voor onderzoek. De verordening gaat uit van het ruimere begrip ‘hergebruik’: ieder gebruik dat een ander doel heeft dan de overheidstaak waarvoor de gegevens zijn verzameld.55 Dat is dus niet beperkt tot onderzoek.
-
– De verordening noemt als gegevenscategorie ‘het handelsgeheim, waaronder bedrijfs- of beroepsgeheim’, terwijl de Woo het heeft over (bepaalde soorten) bedrijfs- en fabricagegegevens.56 De verordening noemt daarnaast het statistisch geheim en de bescherming van de intellectuele-eigendomsrechten van derden.57 Dat zijn gegevenscategorieën die niet als zodanig als weigeringsgronden in de Woo voorkomen.
-
– Artikel 5.7 Woo geeft het bestuursorgaan de bevoegdheid om voorwaarden te verbinden aan het verlenen van toegang voor historisch, statistisch, wetenschappelijk of journalistiek onderzoek. Daarmee is echter geen uitvoering gegeven aan de in de verordening omschreven verplichting om de voorwaarden voor het toestaan van hergebruik en de procedure om toestemming voor hergebruik aan te vragen openbaar te maken. De verordening lijkt daarbij uit te gaan van algemeen verbindende voorschriften, terwijl de Woo eerder uit lijkt te gaan van voorwaarden in het individuele geval.
Door deze verschillen kan niet zonder meer gezegd worden dat overheidsinstanties nu al voldoen aan de verplichting om de voorwaarden voor het toestaan van hergebruik en de aanvraagprocedure openbaar te maken.
De Afdeling adviseert de toelichting bij te stellen en zo nodig het voorstel aan te vullen.
7. Terminologie
In navolging van de verordening gebruikt de uitvoeringswet de term ‘openbaar lichaam’.58 Die term heeft echter in het Nederlandse recht een andere betekenis dan in de verordening: in de Grondwet gaat het met name om provincies, gemeenten en territoriale openbare lichamen die daarmee vergelijkbaar zijn, of om openbare lichamen voor beroep en bedrijf, waaraan verordenende (regelgevende) bevoegdheid kan worden toegekend.59
In de Who is dan ook de richtlijnterm ‘openbaar lichaam’ omgezet met de term ‘met een publieke taak belaste instelling’.60 De toelichting onderkent ook dat de begrippen overeen komen, en verwijst ook naar de Who voor een nadere uitwerking.61 Gelet op de betekenis van ‘openbaar lichaam’ in het Nederlandse recht en het belang van consistentie van terminologie binnen wetgeving, acht de Afdeling het wenselijk de term ‘openbaar lichaam’ ook in de uitvoeringswet niet te gebruiken.
De Afdeling adviseert in plaats van de term ‘openbaar lichaam’ de term ‘met een publieke taak belaste instelling’ te hanteren, zoals deze in de Who wordt gebruikt.62
De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.
De waarnemend vice-president van de Raad van State, S.F.M. Wortmann.
Tekst zoals toegezonden aan de Raad van State: Uitvoeringswet datagovernanceverordening
Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.
Allen, die deze zullen zien of horen lezen, saluut! doen te weten:
Alzo Wij in overweging genomen hebben, dat het noodzakelijk is regels te stellen ter uitvoering van Verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Datagovernanceverordening) (PbEU 2022, L 152);
Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:
Artikel 1. Begripsbepaling
In deze wet en de daarop berustende bepalingen wordt verstaan onder:
- Autoriteit Consument en Markt:
-
Autoriteit Consument en Markt als bedoeld in artikel 2, eerste lid, van de Instellingswet Autoriteit Consument en Markt;
- bevoegd orgaan:
-
bevoegd orgaan als bedoeld in artikel 7, eerste lid, van de datagovernanceverordening;
- bijstand:
-
bijstand, bedoeld in artikel 7, eerste lid, van de datagovernanceverordening;
- datagovernanceverordening:
-
Verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Datagovernanceverordening) (PbEU 2022, L 152);
- openbaar lichaam:
-
openbaar lichaam als bedoeld in artikel 2, zeventiende lid, van de datagovernanceverordening.
Artikel 2. Aanwijzing bevoegd orgaan, centraal informatiepunt en bevoegde autoriteiten
-
1. Bij algemene maatregel van bestuur worden een of meerdere bevoegde organen aangewezen.
-
2. De gegevens die een bevoegd orgaan ontvangt in het kader van de uitoefening van de bijstand worden uitsluitend verwerkt ten behoeve van de uitoefening van die bijstand.
-
3. Het openbaar lichaam van wie de gegevens afkomstig zijn, is verwerkingsverantwoordelijke. Indien een openbaar lichaam bijstand van een bevoegd orgaan vraagt, dan is het bevoegd orgaan verwerker ten behoeve van dat openbaar lichaam.
-
4. Bij of krachtens algemene maatregel van bestuur kunnen ten aanzien van ieder bevoegd orgaan regels worden gesteld over de reikwijdte en invulling van diens bevoegdheid en taak en de vergoeding van kosten voor de bijstand.
-
5. Bij besluit van Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties wordt het centraal informatiepunt, bedoeld in artikel 8, eerste lid, van de datagovernanceverordening, aangewezen.
-
6. De Autoriteit Consument en Markt is:
-
a. de voor databemiddelingsdiensten bevoegde autoriteit, bedoeld in artikel 13, eerste lid, van de datagovernanceverordening;
-
b. de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit, bedoeld in artikel 23, eerste lid, van de datagovernanceverordening.
-
Artikel 3. Vergoedingen voor hergebruik van gegevens
-
1. Bij of krachtens algemene maatregel van bestuur worden regels gesteld met betrekking tot de criteria en de methode voor de berekening van de vergoedingen voor het hergebruik van de in artikel 3, eerste lid, van de datagovernanceverordening bedoelde gegevenscategorieën.
-
2. Artikel 25i, eerste lid, van de Mededingingswet is niet van toepassing op de vergoedingen, bedoeld in het eerste lid.
Artikel 4. Vergoedingen voor aanmelding databemiddelingsdiensten
Bij of krachtens algemene maatregel van bestuur kunnen regels worden gesteld met betrekking tot de vergoeding voor de aanmelding van aanbieders van databemiddelingsdiensten overeenkomstig artikel 11, elfde lid, van de datagovernanceverordening.
Artikel 5. Doeleinden van algemeen belang in verband met data-altruïsme
Als doeleinden van algemeen belang, als bedoeld in artikel 18, onderdeel b, van de datagovernanceverordening, worden beschouwd:
-
a. welzijn;
-
b. cultuur;
-
c. onderwijs, wetenschap en onderzoek;
-
d. bescherming van natuur en milieu, daaronder begrepen bevordering van duurzaamheid en de strijd tegen klimaatverandering;
-
e. gezondheidszorg;
-
f. jeugd- en ouderenzorg;
-
g. ontwikkelingssamenwerking;
-
h. dierenwelzijn;
-
i. religie, levensbeschouwing en spiritualiteit;
-
j. de bevordering van de democratische rechtsorde;
-
k. volkshuisvesting;
-
l. verbetering van mobiliteit;
-
m. facilitering van de ontwikkeling, productie en verspreiding van officiële statistieken;
-
n. verbetering van openbare diensten;
-
o. openbare besluitvorming; of
-
p. een combinatie van de bovengenoemde doelen.
Artikel 6. Toezicht
De Autoriteit Consument en Markt is belast met het toezicht op de naleving van artikel 5, veertiende lid, en de hoofdstukken III, IV en VII, van de datagovernanceverordening voor zover het toezicht ziet op de natuurlijke persoon of rechtspersoon die gegevens doorgeeft aan een derde land, of op de aanbieder van databemiddelingsdiensten of de erkende organisatie voor data-altruïsme.
Artikel 7. Advies Autoriteit persoonsgegevens
-
1. De Autoriteit persoonsgegevens brengt advies uit aan de Autoriteit Consument en Markt over de vraag of een aanbieder van databemiddelingsdiensten die persoonsgegevens verwerkt, met betrekking tot de voorwaarden in artikel 12, onderdelen e, h, m en n, van de datagovernanceverordening voldoet aan de Algemene verordening gegevensbescherming.
-
2. De Autoriteit persoonsgegevens brengt advies uit aan de Autoriteit Consument en Markt over de vraag of een de erkende organisatie voor data-altruïsme die persoonsgegevens verwerkt, met betrekking tot de voorwaarden van artikel 21, eerste en derde lid, van de datagovernanceverordening voldoet aan de Algemene verordening gegevensbescherming.
-
3. Het advies wordt binnen drie weken gegeven nadat de Autoriteit Consument en Markt daartoe een aanvraag heeft ingediend bij de Autoriteit persoonsgegevens.
Artikel 8. Samenwerking toezichthouders
-
1. De Autoriteit Consument en Markt en de Autoriteit persoonsgegevens, maken in het belang van een effectief en efficiënt toezicht op het verwerken van persoonsgegevens overeenkomstig deze wet afspraken over de wijze van behandeling van aangelegenheden van wederzijds belang. Daartoe stellen zij een samenwerkingsprotocol vast. Het samenwerkingsprotocol wordt bekendgemaakt in de Staatscourant.
-
2. Onverminderd artikel 19, tweede lid, van de Uitvoeringswet Algemene verordening gegevensbescherming en artikel 12a van de Instellingswet Autoriteit Consument en Markt zijn de Autoriteit Consument en Markt en de Autoriteit persoonsgegevens bevoegd uit eigen beweging en desgevraagd verplicht aan elkaar de gegevens te verstrekken die noodzakelijk zijn voor de uitvoering van deze wet.
Artikel 9. Sanctionering
De Autoriteit Consument en Markt kan in geval van overtreding van artikel 5, veertiende lid, en de hoofdstukken III, IV en VII, van de datagovernanceverordening voor zover het toezicht ziet op de natuurlijke persoon of rechtspersoon die gegevens doorgeeft aan een derde land, of op de aanbieder van databemiddelingsdiensten of de erkende organisatie voor data-altruïsme, de overtreder:
-
a. een last onder dwangsom opleggen; of
-
b. een bestuurlijke boete opleggen van ten hoogste het bedrag dat is vastgesteld voor de zesde categorie, bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht of, indien dat meer is, 10% van de jaaromzet van de overtreder.
Artikel 10. Wijziging Algemene wet bestuursrecht
Bijlage 2 bij de Algemene wet bestuursrecht wordt als volgt gewijzigd:
1. In artikel 7 worden in de alfabetische volgorde ingevoegd:
Uitvoeringswet datagovernanceverordening: artikel 8
Verordening (EU) nr. 2022/868 van het Europees parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) nr. 2018/1724 (Datagovernanceverordening) (PbEU 2022, L 152): artikel 28
2. In artikel 11 wordt in de alfabetische volgorde ingevoegd:
Uitvoeringswet datagovernanceverordening: artikel 8
Verordening (EU) nr. 2022/868 van het Europees parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) nr. 2018/1724 (Datagovernanceverordening) (PbEU 2022, L 152): artikel 28
Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en dat alle ministeries, autoriteiten, colleges en ambtenaren die zulks aangaat, aan de nauwkeurige uitvoering de hand zullen houden.
De Minister van Economische Zaken en Klimaat,
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
MEMORIE VAN TOELICHTING
I. Algemeen
1. Inleiding
Dit wetsvoorstel (hierna: de Uitvoeringswet) strekt tot implementatie van de verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende de Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Datagovernanceverordening) (hierna: de verordening). Zoals gebruikelijk is, wordt bij de implementatie van een Europese verordening een volledig beeld gegeven van die verordening. Daarom bestrijkt deze memorie van toelichting de hele verordening.
De verordening dient uiterlijk 24 september 2023 volledig geïmplementeerd te zijn in Nederlandse wet- en regelgeving of door middel van feitelijk handelen. De verordening is alleen van toepassing op het grondgebied van Nederland binnen de Europese Unie en heeft geen gevolgen voor Bonaire, Sint Eustatius en Saba.
De beleidsverantwoordelijkheid voor de onderwerpen uit de verordening en de uitvoeringswet ligt bij de Minister van Economische Zaken en Klimaat en de Staatssecretaris van Binnenlandse Zaken Koninkrijksrelaties. In paragraaf 4 wordt hier nader op in gegaan.
In paragraaf 2 wordt de Nederlandse en Europese beleidscontext geschetst. In paragraaf 3 worden de hoofdlijnen van de verordening uiteengezet. In paragraaf 4 wordt nader ingegaan op het onderhavige wetsvoorstel. In paragraaf 5 worden de gevolgen, o.a. voor regeldruk, beschreven. In paragraaf 6 wordt ingegaan op de uitvoering en het toezicht. In paragraaf 7 worden de uitkomsten van de toetsen en consultaties gedeeld. In paragraaf 8 wordt ingegaan op de inwerkingtreding en het overgangsrecht.
2. Beleidscontext
Door toenemende digitalisering wordt het genereren, delen en gebruik van data (gegevens) steeds belangrijker voor onze maatschappij en economie. Data zijn een drijvende kracht in innovatie en onderzoek, denk bijvoorbeeld aan het trainen van AI, medisch onderzoek en slimme apparaten. Om de kansen die data brengen te verzilveren en de risico’s ervan te mitigeren, ontwikkelen de Europese Unie en Nederland beleid rondom het genereren, delen en gebruik van data.
Een belangrijk aspect hierbij is dat dit data-gerelateerde beleid betrekking kan hebben op persoonsgegevens en niet-persoonsgegevens. Het risico op privacyschendingen wanneer het gaat om persoonsgegevens heeft al lang de aandacht van de Europese Commissie en de lidstaten van de Europese Unie, en daarom is in 2016 de Algemene Verordening Gegevensbescherming (verordening (EU) 2016/679) (hierna: AVG) in werking getreden om deze risico’s te mitigeren. De AVG is een belangrijke pijler van het Nederlandse en Europese databeleid, en blijft dat ook in de toekomst.
Daarnaast worden ook de kansen van data gezien om bij te dragen aan de oplossing voor maatschappelijke uitdagingen op het gebied van de zorg, klimaatverandering, mobiliteit en ons toekomstige verdienvermogen. Data zijn van grote waarde hiervoor omdat zij als economische grondstof kunnen worden hergebruikt zonder dat dit afbreuk doet aan de waarde ervan. Dezelfde data kunnen op verschillende plekken voor verschillende doelen worden gebruikt, zonder dat er iets verloren gaat, het gaat dus om een niet-rivaliserend goed.
In de Nederlandse ‘kabinetsvisie op datadeling tussen bedrijven’1 heeft het kabinet drie uitganspunten voor beleidsontwikkeling gericht op datadeling tussen bedrijven benoemd: datadeling is bij voorkeur vrijwillig, de overheid kan datadeling faciliteren en burgers en bedrijven houden grip op gegevens.
In de Nederlandse Data Agenda Overheid wordt datagedreven werken en het delen van kennis en data tussen verschillende overheidspartijen rondom maatschappelijk opgaves gestimuleerd. Maar bij datadeling moeten de bescherming van persoonsgegevens, rechten van derden en wettelijke doelbinding wel goed zijn geborgd. Onafhankelijke derde partijen kunnen een belangrijke rol spelen in technische ondersteuning en in het vergroten van vertrouwen tussen partijen.
De Europese Commissie heeft in 2020 een Europese Datastrategie gepubliceerd waarin ze aangaf met wetgevende initiatieven te komen rondom het delen en gebruik van data. Wat betreft datadeling constateerde de Commissie dat er meer gebruik van data zou kunnen worden gemaakt, op een verantwoorde manier, als deze meer gedeeld zouden worden tussen bedrijven, overheden en andere organisaties. De Europese Commissie constateerde echter ook dat deze datadeling door een gebrek aan vertrouwen vaak niet tot stand komt. Daarnaast maakt de Europese Commissie zich zorgen over de mogelijke concentratie van data bij een beperkt aantal grote techbedrijven. Daarom heeft de Commissie voorstellen gedaan voor een Datagovernanceverordening en een Dataverordening. Nederland deelt de observaties en zorgen van de Europese Commissie en is daarom overwegend positief over deze wetgevingsinitiatieven van de Commissie, aangezien hiermee de bestaande problemen op een effectieve manier worden geadresseerd.2
3. Datagovernanceverordening
De verordening heeft als inzet om de beschikbaarheid van data te vergroten door het vertrouwen in databemiddelingsdiensten, data-altruïstische organisaties en de mechanismen voor datadeling te versterken. De Europese Commissie ziet dat nieuwe markten voor gegevensdeling ontstaan en wil bevorderen dat deze markten zich op een verantwoorde en betrouwbare manier ontwikkelen. Ook wil de Europese Commissie voorkomen dat er grote marktmachtsconcentraties ontstaan waarin een beperkt aantal ‘Big Tech’ bedrijven grote controle hebben over datadeling en databeschikbaarheid. Daarnaast wil de Europese Commissie ook stimuleren dat data gedeeld worden voor ‘altruïstische’ doeleinden zoals medisch onderzoek zonder dat dit afhankelijk is van organisaties met een winstoogmerk.
De verordening beoogt een kader te stellen voor onder andere de volgende vormen van datadelen:
-
• het voor hergebruik beschikbaar stellen van overheidsgegevens, wanneer die gegevens onderworpen zijn aan rechten van anderen (hoofdstuk II);
-
• het delen van gegevens door burgers of organisaties via een databemiddelingsdienst (hoofdstuk III);
-
• het delen van data op altruïstische gronden (hoofdstuk IV).
Om er voor te zorgen dat vrijwillige gegevensdeling door de gehele unie mogelijk wordt gemaakt zonder al te grote belemmeringen voor de interne markt is er gekozen voor een verordening.
3.1 Hergebruik van beschermde gegevens die in het bezit zijn van openbare lichamen
Hoofdstuk II van de verordening gaat over het hergebruik van data in het bezit van openbare lichamen, en die beschermd zijn door commerciële vertrouwelijkheid, statistische vertrouwelijkheid, bescherming van intellectuele eigendomsrechten van derden, en bescherming van persoonsgegevens. Het sluit aan bij het beleid van de Europese Unie om gegevens die door openbare lichamen of andere entiteiten met overheidsmiddelen zijn gegenereerd of verzameld, aan de samenleving ten goede te doen komen. De Europese Open data richtlijn3 regelt dit voor veel gegevens, maar doorgaans niet voor beschermde gegevens. Met de Datagovernanceverordening wordt beoogd om het benutten van deze gegevens te faciliteren, met inachtneming van het beschermde karakter van deze gegevens. Concreet worden twee nieuwe rollen in het leven geroepen ter ondersteuning van dit hergebruik (zie paragraaf 4.1 en 4.2 van het algemeen deel van de toelichting) en worden exclusieve overeenkomsten voor deze categorieën gegevens verboden.
Openbaar lichaam
Opgemerkt moet worden dat in de context van de Datagovernanceverordening met ‘openbaar lichaam’ iets anders wordt bedoeld dan gebruikelijk is in de bestuurlijke indeling van Nederland. Het begrip komt inhoudelijk overeen met wat in de Wet hergebruik van overheidsinformatie is gedefinieerd als ‘met een publieke taak belaste instelling’. Zie de memorie van toelichting bij dit wetsvoorstel voor een nadere uitwerking4. In de praktijk vallen hier in ieder geval bestuursorganen onder, inclusief entiteiten die op grond van artikel 1:1, tweede lid, van Algemene wet bestuursrecht (hierna: ‘de Awb’) zijn uitgesloten van het bestuursorgaanbegrip. Maar daarnaast ook andere organisaties die door de overheid worden gefinancierd of op een bepaalde manier onder leiding staan van overheidsorganisaties. Het begrip omvat geen overheidsbedrijven of andere organisaties die zijn opgericht voor industriële of commerciële doeleinden. Daarnaast wordt hoofdstuk II van de verordening ook niet van toepassing verklaard op openbare omroepen, culturele instellingen en onderwijsinstellingen.
Beschermde categorieën van data
Het soort beschermde categorieën van data waarop hoofdstuk II betrekking heeft, betreft persoonsgegevens (voor zover die buiten het toepassingsgebied van de Europese Open data richtlijn vallen), data waarop intellectuele-eigendomsrechten van derden rusten, data die commercieel vertrouwelijk zijn en data waarop het statistisch geheim rust, die zich bevinden bij openbare lichamen. Het hergebruik van deze data valt buiten het toepassingsgebied van de Europese Open data richtlijn, omdat ze in de regel te gevoelig zijn om als open data voor een ieder algemeen beschikbaar te stellen. Ze zijn echter niet zo gevoelig dat er elke vorm van hergebruik principieel moet worden uitgesloten. De verordening is niet van toepassing op gegevens die beschermd zijn om redenen van openbare veiligheid, defensie en nationale veiligheid, omdat die gegevens wel zo gevoelig zijn dat hergebruik principieel moet worden uitgesloten.
Grondslagen hergebruik
De verordening schept overigens op zichzelf geen verplichting om enig hergebruik toe te staan, maar biedt slechts een kader waarbinnen dergelijke gegevens moeten worden aangeboden als daar in nationale wetgeving een grondslag voor bestaat, de verstrekking niet in strijd is met de regelgeving op grond waarvan de gegevens beschermd zijn en de verstrekking onder de openbare taken van de betrokken openbare lichamen valt. Het kader van de verordening is dus dwingend ten aanzien van de manier waarop gegevens beschikbaar worden gesteld, maar dat kader is alleen van toepassing als er naar nationaal recht een verplichting of bevoegdheid bestaat om de gegevens in kwestie überhaupt voor hergebruik beschikbaar te stellen. Lidstaten wordt ook veel vrijheid geboden in het bepalen van toegestane doeleinden en het stellen van voorwaarden aan dat hergebruik.
Openbare lichamen die hergebruik als bedoeld in de verordening toestaan, zullen technische maatregelen moeten nemen om ervoor te zorgen dat gegevensbescherming, privacy en vertrouwelijkheid volledig worden geborgd en het beschermde karakter van de gegevens behouden blijft. Openbare lichamen kunnen daarvoor bijvoorbeeld vereisen dat de persoonsgegevens geanonimiseerd zijn of dat het hergebruik plaatsvindt in een beveiligde verwerkingsomgeving. De openbare lichamen behouden zich het recht voor het proces, de middelen en alle resultaten van gegevensverwerking door de hergebruiker te verifiëren teneinde de integriteit van de gegevensbescherming te vrijwaren, alsook het recht om het gebruik te verbieden van resultaten die informatie bevatten die de rechten en belangen van derden in gevaar brengt. Deze verordening doet geen afbreuk aan de intellectuele-eigendomsrechten van derde partijen en intellectuele-eigendomsrechten van openbare lichamen. Volgens overwegingen 17 en 18 bij de verordening, mogen gegevens die onderworpen zijn aan intellectuele-eigendomsrechten of die bedrijfsgeheimen bevatten alleen aan een derde partij worden doorgegeven indien dat is toegestaan krachtens het Unierecht of het nationale recht of mits de rechthebbende daarmee instemt. Openbare lichamen mogen een vergoeding vragen voor het beschikbaar stellen van deze data. Deze vergoedingen worden afgeleid van de kosten voor de procedure van het ter beschikking stellen.
Centraal informatiepunt
De lidstaten moeten één contactpunt oprichten om onderzoekers en innovatieve bedrijven te ondersteunen bij het identificeren van geschikte gegevens, en moeten structuren opzetten om openbare lichamen technische en juridische bijstand te bieden.
Verbod exclusieve overeenkomsten
Artikel 4 van de verordening verbiedt het sluiten van exclusieve overeenkomsten waarin deze data voor hergebruik exclusief met één of een beperkt aantal partijen worden gedeeld. Indien een overheid deze data op verantwoorde wijze deelt met een derde partij, dan moeten andere partijen, in principe, onder dezelfde voorwaarden ook toegang tot deze data krijgen, mits dat op verantwoorde wijze kan gebeuren. Daarbij moet overigens worden opgemerkt dat het uitwisselen van gegevens tussen openbare lichamen ten behoeve van het uitvoeren van openbare taken, niet als ‘hergebruik’ wordt aangemerkt. Daarnaast kent het verbod op exclusieve overeenkomsten enkele andere uitzonderingen.
3.2 Databemiddelingsdiensten
Hoofdstuk III van de verordening stelt een kader voor databemiddelingsdiensten. Dit is een type dienstverlening dat recentelijk is ontstaan en nog in ontwikkeling is. Het gaat hierbij om dienstverlening door partijen die gericht zijn op het tot stand brengen van commerciële relaties met het oog op het delen van data tussen datahouders (degene die het recht heeft om toegang te verlenen tot data) en datasubjecten (geïdentificeerde of identificeerbare natuurlijk persoon op wie persoonsgegevens betrekking heeft) enerzijds en datagebruikers (degene die het toegang heeft tot data en het recht heeft om die data te gebruiken) anderzijds. Dienstverleners die onder de definitie van databemiddelingsdiensten vallen moeten voldoen aan de meldingsplicht uit artikel 11 en de voorwaarden uit artikel 12 van de verordening.
Deze dienstverleners zijn verplicht zich als zodanig aan te melden bij de bevoegde autoriteit alvorens ze hun diensten mogen leveren binnen de EU. Indien een behoorlijke en volledige aanmelding is gedaan stuurt de bevoegde autoriteit, op verzoek van de databemiddelingsdienst, binnen een week een gestandaardiseerde verklaring waarin wordt bevestigd dat de aanmelding volledig is en dat de databemiddelingsdienstverlener dus haar diensten mag leveren binnen de EU.
Daarnaast moeten deze dienstverleners voldoen aan de voorwaarden uit artikel 12 van de verordening. Een belangrijke eis is de verplichting om neutraal te blijven ten aanzien van de uitgewisselde data. Databemiddelingsdiensten mogen de ontvangen data niet voor andere doeleinden dan de databemiddelingsdienst of daaraan verbonden diensten gebruiken. Als aanbieders van databemiddelingsdiensten deze diensten aanbieden aan datasubjecten, moet de databemiddelingsdienst in het belang van de datasubjecten handelen, onder andere door hen goed te informeren over de gevolgen van het potentiële gebruik van de gegevens. Die aanpak moet ervoor zorgen dat databemiddelingsdiensten op een open en coöperatieve manier functioneren, en moet natuurlijke en rechtspersonen mondiger maken door hen een beter overzicht van en controle over hun gegevens te geven. Een door de lidstaten aangewezen bevoegde instantie wordt belast met het toezicht op de naleving van de aan de verlening van dergelijke diensten verbonden eisen. Een databemiddelingsdienst kan de bevoegde autoriteit verzoeken om te bevestigen dat hij voldoet aan alle eisen die aan een databemiddelingsdienst worden gesteld in artikel 12 van de verordening. Zodra de bevoegde autoriteit verklaart dat dit het geval is mag de databemiddelingsdienstgebruik maken van het label ‘in de Unie erkende aanbieder van databemiddelingsdiensten’ en het logo in zijn openbare communicatie.
3.3 Data-altruïsme
Hoofdstuk IV van de verordening faciliteert data-altruïsme, hierbij gaat het om data die personen of bedrijven vrijwillig ter beschikking stellen voor het algemeen belang. De verordening laat ruimte om het begrip ‘algemeen belang’ naar nationaal recht in te vullen. In de uitvoeringswet wordt ervoor gekozen om aan te sluiten bij de voorbeelden die in de verordening zelf worden genoemd en dat aan te vullen met doeleinden die in de Nederlandse belastingwetgeving als ‘algemeen nut’ worden aangeduid. Data-altruïstische organisaties zijn een opkomend type niet-commerciële dienstverleners die zich richten op het ontsluiten van data voor het algemeen belang. Het hoofdstuk biedt organisaties die aan data-altruïsme doen de mogelijkheid om zich te registreren als ‘in de Unie erkende organisatie voor data-altruïsme’. Nadat de voor data-altruïsme bevoegde autoriteit heeft vastgesteld dat de organisatie de vereiste informatie heeft verstrekt en aan de vereisten van artikel 18 voldoet, mag deze organisatie bijbehorend label en logo gebruiken, om het vertrouwen in hun activiteiten te vergroten. Daarnaast zal er een gemeenschappelijk Europees toestemmingsformulier voor data-altruïsme worden ontwikkeld om de kosten voor het verkrijgen van toestemming te verlagen en de overdraagbaarheid van de gegevens te vergemakkelijken.
3.4 Europees Comité voor gegevensinnovatie
Hoofdstuk VI voorziet in de oprichting van een formele deskundigengroep (het ‘Europees Comité voor gegevensinnovatie’) bestaande uit onder meer vertegenwoordigers van de bevoegde autoriteiten voor databemiddelingsdiensten, de bevoegde autoriteiten voor data-altruïsme, het Europees Comité voor gegevensbescherming, de Europese Toezichthouder voor gegevensbescherming en de Commissie. De deskundigengroep moet de samenwerking tussen de lidstaten faciliteren bij het vaststellen van geharmoniseerde voorwaarden voor het hergebruik en de samenwerking tussen de bevoegde autoriteiten voor databemiddelingsdiensten en de bevoegde autoriteiten voor data-altruïsme door informatie-uitwisseling. Daarnaast heeft de deskundigengroep als taak om de Commissie te adviseren en ondersteunen bij verscheidene onderwerpen. Ten eerste, de coördinatie van nationale praktijken en beleidsmaatregelen met betrekking tot de onderwerpen die onder deze verordening vallen. Ten tweede, de bevordering van sectoroverschrijdend gegevensgebruik door toepassing van de beginselen van het Europees interoperabiliteitskader (EIF) en door gebruik van Europese en internationale normen en specificaties. Ten derde, de ontwikkeling van een goed functionerende, op gemeenschappelijke Europese gegevensruimten gebaseerde Europese data-economie ondersteunen door richtsnoeren voor die gegevensruimten voor te stellen. Tot slot, het opstellen van de uitvoeringshandelingen bij deze verordening en het Europees toestemmingsformulier voor data-altruïsme, en de verbeteringen van het internationale regelgevingskader voor niet-persoonsgegevens gegevens.
3.5 Internationale datastromen
Hoofdstuk VII bevat bepalingen over de internationale toegang en doorgifte van data door openbare lichamen (hoofdstuk II), databemiddelingsdiensten (hoofdstuk III) en organisaties voor data-altruïsme (hoofdstuk IV). Zowel het openbare lichaam, de databemiddelingsdienst als de data-altruïstische organisatie moeten technische, juridische en organisatorische maatregelen nemen om te voorkomen dat zij data overdragen naar een derde land als dat in strijd is met Europees recht of het recht van een lidstaat. Indien een oordeel van een rechtbank, tribunaal of andere autoriteit uit een derde land toegang vereist tot data die waren verstrekt door een Europees openbaar lichaam vanwege deze verordening, mag alleen aan dit oordeel gehoor worden gegeven indien er een relevant internationaal verdrag aan ten grondslag ligt. Indien een verzoek uit een derde land kan leiden tot een overtreding van het Europees recht of het recht van een lidstaat mogen de data alleen worden overgedragen naar het derde land indien het verzoek evenredig en beroepbaar is en het juridisch belang van de datahouders in Europa kan worden meegewogen in de procedures van het derde land. De Europese Commissie mag gedelegeerde handelingen vaststellen om bijzondere voorwaarden te stellen aan de overdracht van zeer gevoelige data naar derde landen. Ook moet de datahouder worden geïnformeerd over de overdacht van data naar het derde land.
4. Inhoud uitvoeringswet
De bepalingen uit de verordening zijn onverkort van toepassing in de Nederlandse rechtsorde. Ter uitvoering van de verordening wordt een aantal bevoegde autoriteiten aangewezen en wordt voorzien in toezicht en handhaving van de verordening. Alle in deze paragraaf benoemde artikelen verwijzen naar artikelen uit de verordening zelf.
De Minister van Economische Zaken en Klimaat is verantwoordelijk voor de uitvoering van de verordening ten aanzien van de databemiddelingsdiensten (hoofdstuk III en verwante artikelen van de verordening). De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor de uitvoering van hergebruik van overheidsgegevens (hoofdstuk II en verwante artikelen) en de uitvoering ten aanzien van erkende organisaties voor data-altruïstisme (hoofdstuk IV en verwante artikelen).
4.1 Grondslagen voor hergebruik
De verordening schept overigens op zichzelf geen verplichting om enig hergebruik toe te staan, maar biedt slechts een kader waarbinnen dergelijke gegevens moeten worden aangeboden, als daar in nationale wetgeving, een grondslag voor bestaat. Met het oog op het gebod van zuivere implementatie van aanwijzing 9.4 uit de Aanwijzingen voor de regelgeving, zullen in deze uitvoeringswet geen nieuwe grondslagen voor hergebruik worden gecreëerd.
Binnen het Nederlandse recht bestaat echter al wel een aantal van dergelijke grondslagen, sommigen vrij specifiek, anderen erg breed. Een hele brede grondslag voor hergebruik van gegevens is te vinden in artikel 5:7 van de Wet open overheid (hierna: Woo). Deze bepaling stelt bestuursorganen in staat om ten behoeve van historisch, statistisch, wetenschappelijk of journalistiek onderzoek toegang te bieden tot gegevens die niet openbaar kunnen worden gemaakt op grond van de artikelen 5:1 of 5:2 van die wet, of wanneer het vaststellen van de vraag of de gegevens in kwestie openbaar mogen worden, onevenredig veel inspanning vergt. De uitzonderingen in artikel 5:1, eerste lid, onderdelen c en d, en tweede lid, onderdeel f, komen grotendeels overeen met de gegevenscategorieën uit artikel 3, eerste lid, van de verordening, waarop hoofdstuk II van de verordening van toepassing is. Met andere woorden, veel van de gegevens die onder de Woo niet zomaar openbaar kunnen worden gemaakt, maar mogelijk wel onder artikel 5:7 daarvan beschikbaar kunnen worden gesteld, zijn dezelfde gegevens waarvan hergebruik onder de verordening mogelijk is. Zodoende lijkt artikel 5:7 van de Woo goed aan te sluiten op hoofdstuk II van de verordening.5 Ook op andere vlakken sluiten de Woo en hoofdstuk II van de verordening goed op elkaar aan. Zo staat artikel 5:7, tweede lid, van de Woo toe dat bestuursorganen voorwaarden stellen aan hergebruik en stelt het derde lid dat de informatie in kwestie niet zomaar verder mag worden verspreid zonder besluit daartoe van het bestuursorgaan. Dat sluit aan op artikel 5, eerste lid, van de verordening die er vanuit gaat dat openbare lichamen voorwaarden voor hergebruik kunnen stellen en de eis uit het derde lid die stelt dat het beschermde karakter van de gegevens behouden moet blijven. Omdat de Woo van toepassing is op de meeste documenten van de meeste bestuursorganen, kan hoofdstuk II van de verordening daardoor via artikel 5:1 van de Woo ook van toepassing zijn op de meeste documenten bij de meeste bestuursorganen, mits aan de toepasselijke voorwaarden is voldaan.
Artikel 41 van de Wet op het Centraal bureau voor de statistiek bevat ook een grondslag. Dit artikel bepaalt dat het Centraal bureau voor de statistiek (hierna: CBS) op verzoek ten behoeve van statistisch of wetenschappelijk onderzoek gepseudonimiseerde statistische gegevens kan verstrekken aan universiteiten, bij wet ingestelde organisaties voor wetenschappelijk onderzoek en planbureaus, de Europese statistiekinstanties en onderzoeksafdelingen van ministeries en andere organisaties. De verstrekking van deze gegevens valt onder de openbare taak van het openbare lichaam CBS, maar de gegevens worden beschikbaar gesteld voor doeleinden buiten het oorspronkelijke doel binnen de openbare taak waarvoor de gegevens zijn geproduceerd. Het CBS heeft namelijk als primaire doel om zelf statistiek te produceren en te publiceren, terwijl het beschikbaar stellen van achterliggende microdata voor andermans onderzoek slechts een bijproduct is. Dit betekent dat gebruik door afnemers van de gegevens als ‘hergebruik’ is aan te merken onder artikel 2, tweede lid, van de verordening en dat hoofdstuk II van de verordening van toepassing is, althans, niet is uitgesloten op grond van artikel 3, tweede lid, onderdeel e, daarvan. Verder biedt bijvoorbeeld artikel 3.13 van de Wet basisregistratie personen de mogelijkheid om gegevens uit de basisregistratie te verstrekken voor historische, statistische of wetenschappelijke doeleinden. Aanvullende eisen daaraan zijn gesteld in artikel 44 van het Besluit basisregistratie personen. Ook artikel 22 van de Wet politiegegevens en artikel 15 van de Wet justitiële en strafvorderlijke gegevens bieden ruimte om gegevens aan onderzoekers aan te bieden ten behoeve van beleidsinformatie, wetenschappelijk onderzoek of statistiek, mits aan de (strikte) voorwaarden wordt voldaan van artikel 4:7 van het Besluit politiegegevens, respectievelijk artikel 31 van het Besluit justitiële en strafvorderlijke gegevens.
In alle voorgaande gevallen gaat het om gegevens die primair een ander doel dienen, maar waarbij het aanbieden van de gegevens voor hergebruik nuttig kan zijn voor andere doelen die voornamelijk het belang van de afnemer dienen. Aan de andere kant kent het Nederlandse recht ook veel grondslagen voor de verstrekking van gegevens die niet onder de verordening vallen. Te denken valt aan de verstrekking van gegevens onder Hoofdstuk 4 van de Handelsregisterwet 2007. Het verstrekken van die gegevens is ook onderdeel van de openbare taak van het betreffende openbare lichaam, maar de verstrekking is puur bedoeld om gevolg te geven aan de primaire doeleinden van het register zelf (bijvoorbeeld ter bevordering van de rechtszekerheid in het economisch verkeer) en niet om afnemers het recht te geven om de gegevens verder te verwerken voor andere doeleinden. Vergelijkbare regels vloeien voort uit de Kadasterwet. Voor beide registers speelt mee dat daarin persoonsgegevens openbaar worden gemaakt. Op grond van de AVG is verdere verwerking van persoonsgegevens in de regel niet zomaar toegestaan. De datagovernanceverordening verzet zich er niet tegen dat ook hergebruik van (persoons)gegevens uit dergelijke registers op termijn mogelijk zou worden gemaakt, maar vooralsnog ontbreekt daartoe een grondslag. Overigens laat dit onverlet dat niet-persoonsgegevens uit deze registers onder de werking van de Wet hergebruik van overheidsinformatie kunnen vallen. Van een grondslag voor hergebruik als bedoeld in de verordening, is pas sprake als de grondslag in kwestie ruimte biedt voor verdere verwerking van de gegevens voor andere doeleinden dan het oorspronkelijk doel binnen de openbare taak waarvoor de gegevens zijn geproduceerd. Met andere woorden, als een grondslag er primair op is gericht om doeleinden van het openbaar lichaam te verwezenlijken, is er geen sprake van hergebruik. Als de grondslag erop is gericht dat de afnemer van de gegevens grotendeels zelf de doeleinden van die verwerking mag bepalen (ook als de wet daarvoor wel kaders biedt), is doorgaans wel sprake van hergebruik.
4.2 Bevoegde organen voor bijstand openbare lichamen
In artikel 7, eerste lid, van de verordening wordt de rechtsgrondslag geschapen voor het aanwijzen van een of meerdere bevoegde autoriteiten. Deze bevoegde autoriteiten moeten openbare lichamen die een nationale grondslag hebben om toegang met het oog op hergebruik in het kader van de verordening te verlenen of te weigeren, bijstaan als zij dat wensen. De bedoelde bijstand staat omschreven in artikel 7, vierde lid, van de verordening en ziet samengevat op:
-
• het leveren van technische steun in de vorm van een beveiligde verwerkingsomgeving voor de gegevens;
-
• het bieden van richtsnoeren die zien op de structuur en opslag van gegevens;
-
• technische ondersteuning om de privacy, vertrouwelijkheid, integriteit en toegankelijkheid van de gegevens te bewaken;
-
• in voorkomend geval het bijstaan van openbare lichamen wanneer deze hergebruikers ondersteunen die aan derden toestemming willen vragen om bepaalde gegevens te hergebruiken; en
-
• in voorkomend geval het bijstaan van openbare lichamen bij de beoordeling van contractuele verbintenissen van hergebruikers die gegevens wensen door te sturen naar een derde land.
De gegevensverwerking vindt plaats onder de verantwoordelijkheid van het openbaar lichaam dat verantwoordelijk is voor het register dat de gegevens bevat (overweging 26 van de verordening).
De verordening geeft de mogelijkheid om meerdere bevoegde organen aan te wijzen, die zich kunnen beperken tot een sector. Bevoegde organen kunnen aparte organisaties zijn, of interne afdelingen binnen openbare lichamen (overweging 26 van de verordening).
Het voornemen is om in ieder geval het CBS als bevoegd orgaan aan te wijzen voor wetenschappelijk en statistisch hergebruik. Het CBS voert andere, statistische, taken uit op grond van de Wet op het Centraal bureau voor de statistiek. Vanuit die werkzaamheden beschikt het CBS over nodige expertise om statistiek beschikbaar te maken. Het CBS beschikt over hoge standaarden om deze statistische gegevens alleen beschikbaar te maken wanneer het beschermde karakter van de gegevens beschermd blijft. In dit kader beschikt het CBS reeds over een beveiligde verwerkingsomgeving. Het CBS zal voor deze nieuwe taak, de bijstandverlening aan openbare lichamen als hierboven genoemd, een aparte, gescheiden beveiligde verwerkingsomgeving maken voor de gegevens van openbare lichamen.
Op basis van de bestaande grondslagen is het CBS aanwijzen voor wetenschappelijk en statistisch hergebruik voldoende om te voldoen aan de gevraagde bijstand in de verordening. Indien nieuwe grondslagen voor hergebruik buiten wetenschap en statistiek gecreëerd worden zullen aanvullende bevoegde organen aangewezen worden krachtens algemene maatregel van bestuur, waarbij het mogelijk is dat openbare lichamen zelf aangewezen worden als bevoegd orgaan.
4.3 Centraal Informatiepunt
De verordening stelt in artikel 8 dat een centraal informatiepunt aangewezen moet worden. Dit informatiepunt bevat relevante informatie over de voorwaarden waaronder gegevens die onder deze verordening vallen worden gedeeld en de criteria van de berekening van kosten. Het centraal informatiepunt bevat een overzichtslijst met alle beschikbare gegevensbronnen. Ook moet een centraal informatiepunt bevoegd zijn om verzoeken tot informatie of hergebruik van data op basis van deze verordening te ontvangen en door te zetten naar de relevante openbare lichamen. De Commissie richt ook een centraal toegangspunt op waar de gegevens uit de nationale centrale informatiepunten doorzocht kunnen worden.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties wordt in de Uitvoeringswet bevoegd om het centraal informatiepunt, bedoeld in artikel 8, eerste lid, van de verordening, aan te wijzen. De Minister van Binnenlandse Zaken en Koninkrijksrelaties is reeds opdrachtgever van het Nationale Dataportaal op data.overheid.nl. Daar worden al datasets aangeboden voor hergebruik, zoals onder de Wet hergebruik overheidsinformatie. Dit register maakt gebruik van standaarden voor uitwisseling met decentrale en Europese registers. Het register biedt ook reeds de mogelijkheid dataverzoeken in te dienen, zoals de verordening ook voorschrijft voor gegevenscategorieën onder deze verordening. Door ook de gegevens die vallen onder de verordening aan te bieden, ontstaat voor gebruikers één informatiepunt voor hergebruik van data in handen van publieke lichamen. Het open dataregister wordt beheerd door het agentschap Logius van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
4.4 Bevoegde autoriteit voor databemiddelingsdiensten
De verordening vereist dat aanbieders van databemiddelingsdiensten zich inschrijven in een openbaar register. Een bevoegde autoriteit moet dit register beheren conform artikel 13. Daarnaast moet de aangewezen bevoegde autoriteit toezicht houden op de naleving van de in hoofdstuk III van de verordening gestelde eisen aan aanbieders van databemiddelingsdiensten.
De Uitvoeringswet wijst de Autoriteit Consument en Markt (ACM) aan als bevoegde autoriteit voor databemiddelingsdiensten. Het doel van hoofdstuk III van de verordening is de totstandkoming van een betrouwbare markt voor databemiddelingsdiensten. Hiervoor is het belangrijk dat er wordt voorkomen dat de ontwikkeling van de markt voor databemiddelingsdiensten leidt tot grote concentraties van data bij een beperkt aantal partijen, met concurrentieverstoring en ongewenste machtsposities als gevolg. Ook dient te worden voorkomen dat de gegevens van klanten van databemiddelingsdiensten voor andere doeleinden dan overeengekomen worden gebruikt. De verordening biedt hier de juiste kaders voor.
De ACM is hierbij de geschikte toezichthouder aangezien deze uit de Uitvoeringswet voortvloeiende taken passen bij de missie van de ACM om markten, in dit geval de markt voor databemiddelingsdiensten, goed te laten werken. Deze toezichtstaak sluit aan bij bestaande toezichtstaken van de ACM, zowel inhoudelijk op het gebied van marktregulering als wanneer het gaat om het bijhouden van registers. Dit betekent dat er expertise bij de ACM aanwezig is om voldoende toegerust te raken op de nieuwe taken. Bovendien hangen deze taken samen met de in paragraaf 4.4 beschreven taken. De ACM voldoet aan de eisen die in de verordening worden gesteld aan de toezichthouder, met name als het gaat om onafhankelijkheid. Deze taken lenen zich goed voor toezicht door een onafhankelijke toezichthouder en doen niets af aan deze onafhankelijkheid. De ACM kan handhaven door middel van de bestaande bestuursrechtelijke instrumenten.
De verordening biedt in artikel 11, elfde lid, de ruimte aan lidstaten om kosten in rekening te brengen voor de registratie van een databemiddelingsdienst bij de toezichthouder. De verordening eist dat deze kosten evenredig, objectief en gebaseerd zijn op de administratieve kosten voor het toezicht op de naleving en andere relevante markttoezichtsactiviteiten. Vooralsnog is er voor gekozen om in de Nederlandse context voorlopig geen kosten in rekening te brengen. Het gaat bij de bepalingen gericht op databemiddelingsdiensten om een opkomende markt, daarom is het nog onduidelijk wat de effecten van dergelijke kosten zullen zijn op de ontwikkeling van dienstverlening door databemiddelingsdiensten. Daarnaast kan nog niet met zekerheid worden ingeschat welke kosten het toezicht op dergelijke diensten met zich mee zal brengen voor de toezichthoudende autoriteit. Ook is het nog niet zeker of andere lidstaten dergelijke kosten in rekening zullen brengen die mogelijk een gelijk speelveld op de interne markt kunnen beïnvloeden. Het is echter niet uit te sluiten dat in de toekomst het in rekening brengen van kosten gewenst kan zijn. Daarom geeft de Uitvoeringswet de mogelijkheid om middels een algemene maatregel van bestuur de kosten voor registratie in rekening te brengen bij de databemiddelingsdiensten. Een eventueel besluit hiertoe zal worden gemaakt op basis van de Europese- en marktontwikkelingen en in overleg met de toezichthouder.
4.5 Bevoegde autoriteit voor data-altruïsme
De verordening creëert een keurmerk voor data-altruïstische organisaties. In artikel 23 vereist de verordening dat voor deze registratie een openbaar nationaal register moet komen bij een bevoegde autoriteit. De verordening stelt in artikel 24 ook dat de aangewezen bevoegde autoriteit toezicht houdt op de naleving van de in hoofdstuk IV gestelde eisen aan erkende organisaties voor data-altruïsme.
Het doel van hoofdstuk IV is om door het erkennen van organisaties voor data-altruïsme het vertrouwen in datadelen te verhogen. Organisaties voor data-altruïsme kunnen een Europees label krijgen indien ze aan bepaalde voorwaarden voldoen, zoals het opereren zonder winstoogmerk. De verwachting is dat door het vertrouwen dat hierdoor ontstaat deze organisaties beter en meer data kunnen ontvangen die vervolgens kunnen worden gebruikt voor het algemeen belang.
De Uitvoeringswet wijst de ACM aan als bevoegde autoriteit voor data-altruïsme. De ACM heeft veel ervaring en expertise rondom consumentenbescherming en het beschermen tegen oneerlijke praktijken. Deze ervaring is relevant om effectief toezicht te houden op organisaties voor data-altruïsme. Hoewel data-altruïstische organisaties niet commercieel zijn, sluit het toezicht hierop toch aan bij de missie van de ACM om markten goed te laten functioneren, waarbij in het geval van data-altruïsme toezicht gehouden wordt op de onafhankelijkheid van deze organisaties. De verwachte activiteiten voor toezicht op data-altruïsme zijn relatief gering. Door de toezichthouder op databemiddelingsdiensten ook aan te wijzen als toezichthouder op data-altruïsme worden onnodige overheadkosten vermeden en wordt synergie gecreëerd. Hierbij kan op de expertise van het toezicht op databemiddelingsdiensten worden voortgebouwd. Ook kan een sterke kennispositie opgebouwd worden, dit is minder het geval wanneer toezicht versnipperd wordt over meerdere toezichthouders. Deze taken lenen zich goed voor toezicht door een onafhankelijke toezichthouder en doen niets af aan deze onafhankelijkheid. De ACM kan handhaven door middel van de bestaande bestuursrechtelijke instrumenten.
4.6 Bevoegde autoriteit voor toezicht op internationale datastromen
De verordening vereist in artikel 34 onder meer dat lidstaten sancties vaststellen voor inbreuken op de verplichtingen inzake doorgifte van niet-persoonsgebonden gegevens aan derde landen op grond van artikelen 5, veertiende lid, en 31 van de verordening. Lidstaten moeten alle nodige maatregelen nemen om ervoor te zorgen dat die sancties worden uitgevoerd. Dit betekent dat er ook een autoriteit toezicht houdt op het voorkomen van de internationale doorgifte van of toegang tot in de Europese Unie bijgehouden niet-persoonsgebonden data, wanneer deze doorgifte of toegang strijdig is met Europese of nationale wetgeving. Dit toezicht heeft betrekking op natuurlijke personen en rechtspersonen die op basis van hoofdstuk 2 van de verordening data hergebruiken, databemiddelingsdiensten en data-altruïstische organisaties.
Om het toezicht op deze organisaties op een efficiënte manier vorm te geven en onnodige procedures te voorkomen is ervoor gekozen om de bevoegde autoriteit voor databemiddelingsdiensten en data-altruïstische organisaties ook bevoegd te maken voor toezicht op deze organisaties als het gaat om de bepalingen in artikel 31 van de verordening. Dit houdt in dat de ACM hierop toeziet voor deze organisaties. Op deze manier is er één aanspreekpunt, wat versnippering van toezicht voorkomt.
4.7 Samenwerking met andere toezichthouders
Hoewel de verordening geen afbreuk doet aan andere relevante wetgeving (zie ook paragraaf 5), kunnen toezichtstaken op basis van die wetgeving aanpalend zijn aan toezichttaken voortkomend uit deze verordening. In het bijzonder is het mogelijk dat data die door openbare lichamen, databemiddelingsdiensten en data-altruïstische organisaties wordt ontvangen, beheerd of gedeeld ook persoonsgegevens betreffen. In dat geval houdt de Autoriteit Persoonsgegevens (AP) toezicht op basis van Algemene verordening gegevensbescherming (AVG) naast het toezicht door de ACM op basis van de verordening. Om deze toezichtstaken effectief uit te kunnen voeren kan samenwerking tussen de aangewezen toezichthouder, in dit geval de ACM, en de AP noodzakelijk zijn.
De verordening bepaalt expliciet dat de bevoegdheden van de voor databemiddelingsdiensten bevoegde autoriteiten geen afbreuk doen aan de bevoegdheden van de gegevensbeschermingsautoriteiten, de nationale mededingingsautoriteiten, de autoriteiten die bevoegd zijn voor cyberbeveiliging en andere relevante sectorale autoriteiten. Die autoriteiten bouwen een nauwe samenwerking op en wisselen informatie uit, zoals nodig voor de uitoefening van hun taken in verband met aanbieders van databemiddelingsdiensten, en streven er naar dat de bij de toepassing van deze verordening genomen besluiten consistent zijn. Daarnaast bepaalt de verordening dat de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit van een lidstaat zijn taken uitvoert in samenwerking met de relevante gegevensbeschermingsautoriteit indien die taken verband houden met de verwerking van persoonsgegevens, en met de relevante sectorale autoriteiten van die lidstaat.
Om deze samenwerking te bewerkstellingen wordt een samenwerkingsprotocol opgesteld voor de samenwerking bij deze verordening. Daarnaast wordt de ACM verplicht om de AP om advies te vragen over de vraag of een aanbieder van databemiddelingsdiensten of een erkende organisatie voor data-altruïsme die persoonsgegevens verwerkt aan een aantal voorwaarden uit de verordening voldoet. Het betreft voorwaarden die verband houden met de verwerking van persoonsgegevens en daarmee op toepassing van de AVG. De ACM moet beoordelen of een databemiddelingsdienst of geregistreerde data-altruïstische organisatie (naar verwachting) zal voldoen aan de eisen die de verordening aan de betreffende organisatie stelt. Aangezien de AP echter de toezichthouder is op de AVG, is de AP de aangewezen organisatie om advies te geven met betrekking tot die voorwaarden uit de verordening die verband houden met de goede uitvoering van de AVG. Als de AP negatief adviseert, kan dat een aanleiding zijn om de registratie af te wijzen. Daarmee wordt voorkomen dat een databemiddelingsdienst of geregistreerde data-altruïstische organisatie aan de slag gaat, terwijl op voorhand al duidelijk is dat zij (waarschijnlijk) in strijd met de verordening en/of de AVG zullen handelen.
Het betreffende advies komt overigens niet in de plaats van het normale toezicht dat de AP uitvoert en ontslaat de databemiddelingsdienst of geregistreerde data-altruïstische organisatie ook niet van diens verplichtingen onder de AVG. In veel gevallen moet een dergelijke organisatie bijvoorbeeld ook een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren.
4.8 Sanctionering
Om handhaving van de verordening effectief te maken vereist de verordening een vaststelling van sancties bij het overtreden van de verordening. In artikel 8 van de Uitvoeringswet wordt hiervoor een rechtsgrondslag gecreëerd. Sanctionering op het gebied van het hergebruik van beschermde gegevenscategorieën, ziet specifiek op het verbod van artikel 5, veertiende lid, van de verordening. De ACM kan sancties opleggen aan personen of organisaties die dergelijke gegevens doorgeven aan derde landen die niet voldoen aan de eisen van artikel 5, tiende tot en met twaalfde lid, van de verordening. Rondom het toezicht op databemiddelingsdiensten en data-altruïsme krijgt de ACM de bevoegdheid om sancties op te leggen bij overtreding van de relevante onderdelen van de verordening. De hoogte van de boete sluit aan bij de bestaande praktijk rondom bestuurlijke boetes.
4.9 Vergoedingen voor hergebruik overheidsgegevens
De verordening stelt dat openbare lichamen onder voorwaarden kosten in rekening mogen brengen voor het hergebruik van data. Deze in rekening gebrachte vergoedingen moeten transparant, niet-discriminerend, evenredig en objectief gerechtvaardigd zijn en mogen niet concurrentiebeperkend zijn. Tevens moeten de kosten afgeleid zijn van de daadwerkelijk gemaakte kosten voor het beschikbaar maken van de gegevens. De verordening somt daartoe limitatief op welke handelingen in rekening mogen worden gebracht. De criteria en de methode voor de berekening van de vergoedingen moeten door de lidstaten worden vastgesteld en bekendgemaakt. Deze methodiek zal voor de meeste organisaties in een algemene maatregel van bestuur worden vastgesteld. De Uitvoeringswet creëert hier de basis voor. Sommige organisaties, zoals het Kadaster, de Kamer van Koophandel en de RDW, kennen echter al eigen tariefregelingen. Tarieven voor hergebruik als bedoeld in de verordening kunnen ook in die tariefregelingen worden geregeld, voor zover deze regelingen in lijn zijn met de tariefregels van de verordening.
Verder wordt opgemerkt dat artikel 25i, eerste lid, van de Mededingingswet buiten toepassing wordt verklaard op de betreffende vergoedingen. Daarmee wordt zeker gesteld dat de daarin genoemde verplichting tot het doorberekenen van integrale kosten ook niet van toepassing is op het aanbieden van gegevens die het bestuursorgaan niet heeft verkregen in het kader van de uitoefening van zijn publiekrechtelijke bevoegdheden. Voor gegevens die bestuursorganen wel hebben verkregen in het kader van de uitoefening van publiekrechtelijke bevoegdheden, was dit al geregeld in artikel 25i, tweede lid, onderdeel c.
5. Verhouding tot ander recht
De verordening sluit aan bij bestaande wetgeving waarin rechten omtrent gegevens worden beschermd, zoals de AVG, en verandert niets aan de werking hiervan. Hieronder wordt nader in gegaan op specifieke kaders.
5.1 Bescherming van persoonsgegevens, AVG
De verordening doet geen afbreuk aan Unieregelgeving zoals de Algemene Verordening Gegevensverwerking (AVG)6, en nationale regelgeving met betrekking tot de bescherming van persoonsgegevens. Bij verwerking van persoonsgegevens is de regelgeving met betrekking tot persoonsgegevens altijd van toepassing en bij tegenstrijdigheid met de verordening prevaleert de regelgeving met betrekking tot persoonsgegevens. Dit geldt ook voor de situatie waarin persoonsgegevens en andere gegevens in een gegevensverzameling onlosmakelijk met elkaar verbonden zijn. Omdat de AVG onverminderd van toepassing is, wordt ook de definitie van persoonsgegevens uit de AVG gehanteerd en volgt het onderscheid tussen persoonsgegevens en niet-persoonsgegevens uit deze definitie. De Autoriteit Persoonsgegevens is de toezichthouder met betrekking tot persoonsgegevens op basis van de AVG, en blijft dat.
5.2 Hergebruik van overheidsinformatie
Hoofdstuk II van de verordening en de Wet hergebruik van overheidsinformatie (hierna: Who), zien beiden op hergebruik van overheidsgegevens. Het gaat daarbij echter om verschillende soorten gegevens en verschillende vormen van hergebruik. De Who en haar aankomende herziening, die is gebaseerd op de open data richtlijn (Richtlijn 2019/1024/EU), zien op hergebruik van niet-gevoelige, openbare gegevens, die ook wel ‘open data’ worden genoemd. Open data zijn dusdanig ongevoelig dat openbare verspreiding en hergebruik daarvan niet of nauwelijks aan beperkingen hoeft te worden onderworpen. Veel gegevens zijn echter te gevoelig om zomaar openbaar te maken en/of voor alle doeleinden te gebruiken. Zij zijn niet geschikt als open data en daarom uitgesloten van hergebruik onder de Who. Voor een deel van deze gegevens geldt echter dat niet elke vorm van hergebruik verboden hoeft te zijn. Hoofdstuk II van de verordening biedt een raamwerk waarbinnen deze gegevens, onder bepaalde beschermende omstandigheden, alsnog kunnen worden hergebruikt. Hoofdstuk II van de verordening is daarmee dus een aanvulling op de open data richtlijn.
5.3 Bescherming van intellectuele-eigendomsrechten
Volgens overwegingen 17 en 18 bij de verordening, doet deze verordening geen afbreuk aan de intellectuele-eigendomsrechten van derde partijen. Zij mag evenmin gevolgen hebben voor het bestaan of bezit van intellectuele-eigendomsrechten van openbare lichamen en mag geen enkele beperking inhouden voor de uitoefening van die rechten. De overeenkomstig deze verordening opgelegde verplichtingen zijn alleen van toepassing indien zij verenigbaar zijn met de internationale overeenkomsten, en met het Unierecht of het nationale recht inzake intellectuele eigendom. Openbare lichamen dienen evenwel hun auteursrechten op dusdanige wijze uit te oefenen dat hergebruik wordt gefaciliteerd. Gegevens die onderworpen zijn aan intellectuele-eigendomsrechten of die bedrijfsgeheimen bevatten, mogen alleen aan een derde partij worden doorgegeven indien dat is toegestaan krachtens het Unierecht of het nationale recht of mits de rechthebbende daarmee instemt. Openbare lichamen die over het recht van de fabrikant van een databank beschikken als bedoeld in artikel 7, eerste lid, van Richtlijn 96/9/EG7, mogen dat recht niet uitoefenen om hergebruik van gegevens te voorkomen of meer te beperken dan bepaald in deze verordening.
6. Gevolgen
6.1 Regeldruk
De Uitvoeringswet heeft geen directe financiële gevolgen voor bedrijven, consumenten en niet-gouvernementele organisaties. De verordening laat slechts beperkte beleidsruimte aan lidstaten en deze wordt in de uitvoeringswet restrictief ingevuld. Nederland is vooralsnog niet voornemens om nationale regelingen te treffen voor data-altruïsme (artikel 16). Daarnaast maakt Nederland vooralsnog geen gebruik van de ruimte om kosten in rekening brengen voor het registreren als databemiddelingsdienst (artikel 11). Wel wordt de mogelijkheid geschapen om eventueel via een algemene maatregel van bestuur deze kosten in rekening te brengen, de gevolgen voor regeldruk zullen op dat moment in kaart worden gebracht. Daardoor voegt de uitvoeringswet geen extra regeldruk toe.
De verordening zorgt wel voor een toegenomen regeldruk. De Europese Commissie heeft in haar impact assessment een analyse gegeven voor de gevolgen voor regeldruk van de verordening op de gehele Europese Unie.8 In een eerder – strengere – versie van het voorstel raamde de Commissie de kosten op voor databemiddelingsdiensten op eenmalig € 35.000 – € 75.000 en jaarlijks € 20.000–€ 50.000, het uiteindelijke voorstel is minder streng en zal naar verwachting tot significant minder kosten leiden.
De regeldruk die voortkomt uit de verplichte registratie van databemiddelingsdiensten is naar verwachting zeer laag omdat het gaat om het verstrekken van handelsregistratiegegevens, contactgegevens, beschrijving van de te leveren dienst, startdatum van de bedrijfsactiviteit en de lidstaat waarin de dienstverlener van plan is de diensten te gaan leveren. De eisen waaraan de databemiddelingsdienst moet voldoen kunnen meer gevolgen hebben voor regeldruk aangezien dienstverleners maatregelen moeten nemen om de neutraliteit van de data-bemiddelingsdienst te garanderen, waaronder het opzetten van een aparte juridische entiteit en technische maatregelen om de veiligheid van data te garanderen. Aangezien het om een opkomende markt gaat en er momenteel nog weinig databemiddelingsdiensten bestaan is het lastig in te schatten voor hoeveel bedrijven in Nederland dit gevolgen gaat hebben. Dit is ook afhankelijk van de specifieke bedrijfsmatige situatie: gaat het om bestaande bedrijven die deze dienst gaan aanbieden of om bedrijven die worden opgericht om in het bijzonder deze diensten aan te bieden.
Ten aanzien van data-altruïsme stelt het impact assessment bij de verordening dat de kosten voor het verkrijgen van het Europese label tussen € 25.000–€ 50.000 liggen en voor het behouden tussen de € 20.000–€ 35.000 per jaar ligt. Het gaat hier om een vrijwillig label. Het is momenteel niet in te schatten hoeveel organisaties hier gebruik van willen maken en de regeldruk hiervan kan niet worden vastgesteld.
Ook het hoofdstuk over hergebruik gaat uit van de vrijwillige keuze van hergebruikers om een verzoek in te dienen. Met deze verordening wordt dit wel makkelijker en toegankelijker gemaakt, zoals het inrichten van één centraal informatiepunt. Gemaakte kosten van het behandelen van een verzoek om hergebruik, kunnen door overheidsorganisaties bij hergebruikers in rekening worden gebracht. Het is momenteel nog niet in te schatten hoeveel hier gebruik van zal worden gemaakt en de regeldruk hiervan kan niet worden vastgesteld
Het ATR heeft het voorstel niet geselecteerd voor een formeel advies, omdat het geen gevolgen voor de regeldruk heeft.
6.2 Gevolgen voor overheidsorganisaties
Ook voor overheidsorganisaties geldt dat de belangrijkste gevolgen direct voortvloeien uit de verordening zelf. De gevolgen van de Uitvoeringswet zitten voornamelijk in het feit dat er enkele organisaties worden aangewezen die een taak krijgen, of grondslagen worden gemaakt om dat op een lager niveau te doen. Het voornemen is om het CBS aan te wijzen als bevoegd orgaan als bedoeld in artikel 7, eerste lid, voor zover bijstand moet worden verleend voor wetenschappelijke of statistische doeleinden. Of er daarnaast nog andere bevoegde organen nodig zijn, wordt op het moment van schrijven nog onderzocht. Logius zal naar verwachting het centraal informatiepunt in stand moeten houden. En de ACM zal toezicht moeten houden op de naleving van de regels die zien op internationale doorgifte van gegevens en de overige regels waar databemiddelingsdiensten en (erkende) organisaties voor data-altruïsme zich aan moeten houden. Al deze overheidsorganisaties zullen een uitvoeringstoets uitvoeren om de precieze gevolgen voor hun organisatie in kaart te brengen. Voor alle overige overheidsorganisaties geldt dat zij mogelijk te maken krijgen met de genoemde organisaties. In de voorlopige raming worden de kosten voor de coördinerende rol die het bevoegd orgaan voor openbare lichamen uit zal gaan voeren, geraamd op € 5.400 per jaar. Omdat deze kosten bij hergebruikers in rekening kunnen worden gebracht en het bevoegd orgaan werk uit handen kan nemen van openbare lichamen, is de inschatting in de voorlopige raming dat netto de baten groter zijn.
De verordening laat geen ruimte om geen organisaties aan te wijzen, dus het enige alternatief zou zijn geweest om andere organisaties aan te wijzen. De gevolgen voor overheidsorganisaties die direct uit de Uitvoeringswet – en dus niet uit de verordening zelf – voortvloeien, zijn daarom zeer beperkt.
7. Uitvoerbaarheid en handhaafbaarheid
7.1 Autoriteit Consument en Markt
Het wetsvoorstel is voorgelegd aan de Autoriteit Consument en Markt (ACM) voor een toets op uitvoerbaarheid en handhaafbaarheid. De ACM acht het wetsvoorstel uitvoerbaar en handhaafbaar, mits de zes adviespunten in acht worden genomen.
Het eerste adviespunt gaat over het aanwijzen van de ACM als toezichthouder. De ACM verzoekt de woorden ‘ambtenaren van de Autoriteit Consument en Markt’ te vervangen door ‘de Autoriteit Consument en Markt’. Deze wijziging is in lijn met artikel 12a van de Instellingswet Autoriteit Consument en Markt en wordt overgenomen in artikel 6 van de Uitvoeringswet.
Het tweede adviespunt gaat over de samenwerking met de Autoriteit Persoonsgegevens (AP). De ACM gaf aan dat het verplichte advies van de AP in ieder geval moet worden uitgebreid met artikel 12, onderdeel e, van de verordening, omdat dat onderdeel ziet op doelbinding en toestemming. Daarnaast gaf de ACM aan dat het wenselijk is een grondslag te hebben om niet-persoonsgegevens te kunnen delen met de AP in het kader van het verplicht advies. Beide punten zijn overgenomen. In artikel 7 van de Uitvoeringswet is de reikwijdte voor het advies van de AP uitgebreid met artikel 12, onderdeel e. Doelbinding en toestemming zijn immers elementen die onlosmakelijk samenhangen met de verwerking van persoonsgegevens, waarop de AP primair toezicht houdt. Aan artikel 8 van de Uitvoeringswet is een tweede lid toegevoegd waarin deze bevoegdheid voor gegevensuitwisseling wordt gecreëerd.
Het derde adviespunt gaat over het begrip ‘algemeen belang’ zoals dat wordt gebruikt in het onderdeel over data-altruïstische organisaties. In de verordening wordt dit niet gedefinieerd maar wordt verwezen naar nationaal recht. In Nederland is er nog geen grondslag voor nationaal recht en de ACM gaf aan dat een wettelijke invulling hiervoor wenselijk is. Dit advies is overgenomen en uitgewerkt in artikel 5 van de Uitvoeringswet.
Het vierde adviespunt gaat over de boetebevoegdheid van de ACM en de AP. De ACM wees erop dat de memorie van toelichting aangaf dat het niet mogelijk zou zijn om voor dezelfde overtreding door dezelfde persoon of organisatie tegelijkertijd een boete op te leggen op grond van de DGA door de ACM en op grond van de AVG door de AP. Dit is volgens de ACM echter genuanceerder en stelde daarom voor dit onderdeel te schrappen. Dit adviespunt is overgenomen.
Het vijfde adviespunt gaat over het klachtenrecht en recht op een doeltreffende voorziening in rechte. De ACM constateert dat volgens artikelen 27 en 28 van de verordening een persoon met een klacht richting de ACM het recht heeft om een doeltreffende voorziening in rechte te verkrijgen of recht op toetsing door een onpartijdige instantie met de nodige deskundigheid. De ACM vraagt om te verduidelijken wie deze onpartijdige instantie is. Artikel 10 van de uitvoeringswet wijst de bestuursrechter van de Rechtbank Rotterdam aan als bevoegde rechtbank voor beroep in eerste instantie tegen besluiten die worden genomen door de ACM als bevoegde autoriteit – en het Cbb voor hoger beroep – en verwijst naar heel artikel 28 van de verordening. De Verordening vereist niet dat klagers zowel recht op een doeltreffende voorziening in rechte als recht op toetsing door een onpartijdige instantie met de nodige deskundigheid hebben maar één van beiden. Daarom is dit adviespunt niet overgenomen omdat aan de Verordening is voldaan door de bestuursrechter van de Rechtbank Rotterdam aan te wijzen. Dit wordt in de artikelsgewijze toelichting bij artikel 10 verduidelijkt.
Het laatste adviespunt gaat over de relatie tussen de Wet Markt en Overheid en hoofdstuk II van de Verordening. De ACM signaleert dat er een raakvlak bestaat tussen de Wet Markt en Overheid (WM&O), te vinden in hoofdstuk 4b van de Mededingingswet, en hoofdstuk II van de verordening. In het bijzonder signaleert de ACM dat artikel 25i, eerste lid, van de Mededingingswet mogelijk van toepassing is. Dat zou betekenen dat openbare lichamen in sommige gevallen de kosten voor hergebruik van gegevens integraal zouden moeten doorberekenen en dat de ACM hierop toezicht zou moeten houden. Om enige onduidelijkheid hierover weg te nemen, adviseert de ACM om de verhouding tussen de verordening en artikel 25i van de Mededingingswet in het wetsvoorstel te verankeren. Hieraan is gevolg gegeven door artikel 25i buiten toepassing te verklaren op vergoedingen voor gegevens die onder Hoofdstuk II van de verordening voor hergebruik worden aangeboden. Zie daartoe artikel 3, tweede lid, van dit wetsvoorstel, alsmede de daarbij behorende toelichting en de toelichting in paragraaf 4.9 van het algemeen deel van de onderhavige memorie van toelichting.
7.2 Autoriteit Persoonsgegevens
De AP heeft in haar uitvoerings- en handhavingstoets geen bezwaren benoemd om de aan toebedeelde adviseringstaak richting de ACM uit te voeren. Wel gaf de AP aan dat de adviseringstaak ook moet toezien op artikel 12, onderdelen e en h, (met betrekking tot instrumenten om gegevens te anonimiseren of pseudonimiseren en het waarborgen van de continuïteit van de dienstverlening in geval van insolventie waaronder (gegevensbeschermings)rechten door betrokkenen) en op artikel, 21 eerste lid, van de verordening (informatieplicht) omdat die vereisten ook raken aan de bescherming van persoonsgegevens. Dit advies is overgenomen en de verwijzingen naar deze artikelen uit de verordening zijn in artikel 7 van de Uitvoeringswet opgenomen.
De opmerking van de AP dat de ACM alleen een label voor data-altruïsme kan verlenen indien de AP positief adviseert moet worden genuanceerd. Een bestuursorgaan is niet verplicht om een advies op te volgen en kan daar gemotiveerd van afwijken (artikel 3:50 van de Algemene wet bestuursrecht). Dit is ook verhelderd in paragraaf 4.7 van het algemeen deel van e toelichting.
7.3 Raad voor de Rechtspraak
De Raad voor de Rechtspraak heeft in haar advies aangegeven dat het wetsvoorstel geen aanleiding geeft tot het maken van inhoudelijke opmerkingen en dat de het wetsvoorstel naar verwachting niet leidt tot substantiële werklastgevolgen voor de rechtspraak.
7.4 Adviescollege Openbaarheid en Informatiehuishouding
Het Adviescollege Openbaarheid en Informatiehuishouding is gevraagd, op grond van artikel 7.2 van de Wet open overheid, advies uit te brengen over de bepalingen die raken aan hoofdstuk 2 van de datagovernanceverordening. Het Adviescollege heeft aangegeven geen bezwaar te hebben tegen de wet. Het Adviescollege heeft verzocht om een toekomstig wetsvoorstel met nieuwe rechtsgrondslagen aan hen voor te leggen voor advies. Ook heeft het Adviescollege aangegeven te willen adviseren over de regels voor de berekening van de vergoedingen voor het hergebruik, die bij algemene maatregel van bestuur geregeld zullen worden.
Het Adviescollege vroeg daarnaast om in de Memorie van Toelichting op te nemen dat bevoegde organen voorwaarden stellen aan het duurzaam toegankelijk aanbieden van de gegevens. De verordening biedt bevoegde organen niet de mogelijkheid deze voorwaarden te stellen. Wel kunnen bevoegde organen richtsnoeren verstrekken over hoe gegevens het best kunnen worden gestructureerd en opgeslagen zodat ze gemakkelijk toegankelijk zijn, en kunnen daarbij technische steun verlenen (artikel 7, vierde lid, onderdeel b, van de verordening).
8. Overgangsrecht en inwerkingtreding
De implementatiedeadline van de verordening is vastgesteld op 24 september 2023. De Uitvoeringswet dient daarom ook op deze datum in werking te treden, hetgeen vastgesteld wordt in artikel 7. De inwerkingtreding van dit wetsvoorstel wijkt af van het kabinetsbeleid inzake vaste verandermomenten (Kamerstukken II 2009/10, 29 515, nr. 309), inhoudende dat wetsvoorstellen op 1 januari of 1 juli in werking treden met een minimuminvoeringstermijn van twee maanden. Volgens dit kabinetsbeleid kan een uitzondering worden gemaakt indien het implementatie van een Europese verordening betreft.
Entiteiten die databemiddelingsdiensten verlenen op 23 juni 2022, moeten uiterlijk op 24 september 2025 aan de verplichtingen van hoofdstuk III voldoen.
II. Artikelen
Artikel 2
In artikel 2 van de Uitvoeringswet worden ter uitvoering van de verordening de bevoegde autoriteiten aangewezen. In artikel 2, eerste lid, van de Uitvoeringswet wordt de mogelijkheid gecreëerd om bij algemene maatregel van bestuur bevoegde organen aan te wijzen om openbare lichamen die toegang met het oog op hergebruik van de in artikel 3, eerste lid, van de verordening bedoelde gegevenscategorieën verlenen of weigeren, bij te staan als zij dat wensen. Zie paragraaf 4.2 van het algemene deel van deze memorie van toelichting voor meer informatie over deze rol. Het betreft een ondersteunende taak om andere openbare lichamen te helpen. Het bevoegde orgaan moet daarbij handelen in overeenstemming met de instructies van het openbaar lichaam. Een dergelijke bijstandsstructuur kan de datasubjecten en gegevenshouders bijstaan bij het beheer van de toestemming of toelating tot hergebruik, met inbegrip van toestemming en toelating voor bepaalde gebieden van wetenschappelijk onderzoek overeenkomstig erkende ethische normen voor wetenschappelijk onderzoek. De bevoegde organen mogen geen toezichtfunctie hebben; die is uit hoofde van Verordening (EU) 2016/679 voorbehouden aan toezichthoudende autoriteiten. De gegevensverwerking moet plaatsvinden onder de verantwoordelijkheid van het openbaar lichaam dat verantwoordelijk is voor het register dat de gegevens bevat en dat, wat de persoonsgegevens betreft, de verwerkingsverantwoordelijke blijft in de zin van Verordening (EU) 2016/679 (overweging 26 van de verordening).
Met het oog op het aanwijzen van bevoegde organen waaronder het CBS op grond van de verordening, om openbare lichamen bij te staan die toegang met het oog op hergebruik van bepaalde gegevens verlenen of weigeren, is het noodzakelijk ook in deze uitvoeringswet aanvullende bepalingen op te nemen. Namelijk dat bevoegde organen de gegevens die het verwerkt onder verantwoordelijkheid van het openbaar lichaam, alleen gebruikt in het kader van die bijstand en dus niet gebruikt voor statistische, of andere, doeleinden. Zo is ook gewaarborgd dat er een duidelijke scheiding is tussen deze verschillende gegevens en deze verschillende taken van het CBS en andere bevoegde organen.
In artikel 2, vijfde lid, van de Uitvoeringswet krijgt de Minister van Binnenlandse Zaken en Koninkrijksrelaties de bevoegdheid om een organisatie aan te wijzen als het centraal informatiepunt, bedoeld in artikel 8, eerste lid, van de verordening. Het voornemen is om het Nationale Dataportaal op data.overheid.nl aan te wijzen, dat thans door het agentschap Logius wordt beheerd.
In artikel 2, zesde lid, van de Uitvoeringswet wordt de ACM aangewezen als de voor databemiddelingsdiensten bevoegde autoriteit, bedoeld in artikel 13, eerste lid, van de verordening, en de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit, bedoeld in artikel 23, eerste lid, van de verordening.
Artikel 3
Het eerste lid van artikel 3 van de Uitvoeringswet bepaalt dat bij of krachtens algemene maatregel van bestuur de criteria en de methode voor de berekening worden vastgesteld van de vergoedingen voor het hergebruik van de in artikel 3, eerste lid, van de verordening bedoelde gegevenscategorieën. Deze inhoudelijke bepaling vloeit voort uit artikel 6, zesde lid, van de verordening. Sommige overheidsorganisaties die bedrijfsmatig gegevens aanbieden, hebben al eigen tariefregelingen. Voor hen is het mogelijk logischer om de criteria op te nemen in die regelgeving. De mogelijkheid bestaat om, in plaats van in deze algemene maatregel van bestuur te verwijzen naar de betreffende tariefregelingen.
In het tweede lid wordt de verhouding tussen de bovengenoemde vergoedingen en de Wet markt en overheid geregeld. Artikel 25i van de Wet markt en overheid stelt dat bestuursorganen die economische activiteiten verrichten, ten minste de integrale kosten van dat product of die dienst in rekening brengen. Het tweede lid, onderdeel c, regelt daarop een uitzondering indien de economische activiteit bestaat uit het verstrekken van gegevens die het bestuursorgaan heeft verkregen in het kader van de uitoefening van zijn publiekrechtelijke bevoegdheden of het verstrekken van gegevensbestanden die uit de genoemde gegevens zijn samengesteld. Deze uitzondering is bedoeld om het verstrekken van gegevens door bestuursorganen onder de kostprijs mogelijk te maken. De tekst van het betreffende onderdeel levert echter onduidelijkheid op wanneer het gaat om het verstrekken van gegevens die het bestuursorgaan niet heeft verkregen in het kader van de uitoefening van zijn publiekrechtelijke bevoegdheden. Daarnaast is onduidelijk of bij het verstrekken van gegevens voor hergebruik als bedoeld in de verordening sprake is van de uitoefening van bevoegdheden van openbaar gezag. Daarop is artikel 25i van de Mededingingswet in het algemeen niet van toepassing. En in de derde plaats is onduidelijk of de verordening, als hogere regeling, in het algemeen de betreffende bepaling uit de Mededingingswet niet buiten werking stelt, voor de toepassing op vergoedingen voor hergebruik. Om deze onduidelijkheid weg te nemen, wordt artikel 25i van de Mededingingswet in het algemeen buiten toepassing verklaard op de vergoedingen voor hergebruik onder de verordening.
Artikel 4
Artikel 4 van de Uitvoeringswet stelt vast dat bij of krachtens algemene maatregel van bestuur regels kunnen worden vastgesteld met betrekking tot de vergoeding voor de aanmelding van aanbieders van databemiddelingsdiensten overeenkomstig artikel 11, elfde lid, van de Datagovernanceverordening. Zie paragraaf 4.4 van het algemeen deel van de toelichting.
Artikel 5
Op grond van artikel 18, onderdeel b, van de verordening, moet een organisatie zijn opgericht voor een doel van algemeen belang, om in aanmerking te komen voor de status van erkende organisatie voor data- altruïsme. In het nationale recht kan worden bepaald wat onder algemeen belang wordt verstaan. O In het onderhavige artikel wordt daar nader invulling aan gegeven.
De doeleinden van algemeen belang die in artikel 5 worden erkend, zijn gebaseerd op de doeleinden die in artikel 2, zestiende lid, van de verordening zijn genoemd en die in artikel 5b, derde lid, van de Wet inzake rijksbelastingen worden genoemd (omtrent algemeen nut beogende instellingen). Met betrekking tot dat laatste lid is een uitzondering gemaakt voor onderdeel m, omdat dat onderdeel specifiek ziet op het financieel ondersteunen van een algemeen nut beogende instelling, wat daarmee niet van toepassing is op het delen van data. Geprobeerd is om met dit artikel enerzijds zoveel mogelijk aan te sluiten bij de bedoeling van de verordening en anderzijds bij wat in bestaande Nederlandse wetgeving al als ‘algemeen nut’ wordt gezien.
Artikel 6
Artikel 6 van de Uitvoeringswet betreft toezicht op de verordening. Hierin wordt de ACM aangewezen als toezichthouder op artikel 6, veertiende lid, (hergebruik), 3 (databemiddelingsdiensten), 4 (data-altruïsme) en 7 (Internationale toegang en doorgifte) van de verordening.
Artikelen 7 en 8
Artikelen 13, derde lid, en 23, derde lid, van de verordening bepalen dat de toezichthouders moeten samenwerken. Zie paragraaf 4.7 van het algemeen deel van de toelichting. Artikel 7 van de Uitvoeringswet ziet in verplichte advisering van de AP aan de ACM over toepassing van de AVG.
Artikel 8, eerste lid, van de Uitvoeringswet bepaalt dat de ACM en de AP een samenwerkingsprotocol opstellen, er kan ook worden gekozen om een bestaand samenwerkingsprotocol aan te passen. Artikel 8, tweede lid, van de Uitvoeringswet voorziet – in aanvulling op artikel 19, tweede lid, van de Uitvoeringswet Algemene verordening gegevensbescherming (uitwisseling van persoonsgegevens tussen AP en andere toezichthouders) en artikel 12a van de Instellingswet Autoriteit Consument en Markt (verstrekking van gegevens door de ACM) – in een grondslag voor het delen van niet-persoonsgegevens.
Artikel 9
Artikel 34 van de verordening verplicht lidstaten om sancties vast te stellen voor bepaalde overtredingen van de verordening. Het betreft overtreding van de verplichtingen inzake doorgifte van niet-persoonsgebonden gegevens aan derde landen (artikel 5, veertiende lid, en artikel 31), de meldingsplicht voor aanbieders van databemiddelingsdiensten (artikel 11), de voorwaarden voor het verlenen van databemiddelingsdiensten (artikel 12) en de voorwaarden voor de registratie als een erkende organisatie voor data-altruïsme (artikelen 18, 20, 21 en 22). Lidstaten moeten alle nodige maatregelen nemen om ervoor te zorgen dat die sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.
Artikel 9 bepaalt dat bij overtreding van de verordening de ACM een last onder dwangsom, en daarmee ook een last onder bestuursdwang, en een bestuurlijke boete kan opleggen.
Artikel 10
In artikel 10 van de Uitvoeringswet wordt in bijlage 2 bij de Algemene wet bestuursrecht de rechtbank Rotterdam aangewezen als bevoegde rechtbank voor beroep in eerste instantie tegen besluiten die worden genomen door de ACM als bevoegde autoriteit en toezichthouder binnen de verordening. In artikel 11 van die bijlage wordt het College van Beroep voor het bedrijfsleven aangewezen als hoger beroepsinstantie voor deze zelfde beslissingen. De reden om één bevoegde rechtbank aan te wijzen, is dat er specifieke kennis is vereist voor de toepassing van de bepalingen uit dit wetsvoorstel en de Datagovernanceverordening. Naar verwachting zal het aantal beroepen op grond van deze wetgeving te beperkt zijn om bij elke rechtbank in Nederland voldoende specialisatie te verkrijgen en te behouden, en eenheid in de gerechtelijke uitspraken te waarborgen. Er is voor de rechtbank Rotterdam gekozen, omdat deze rechtbank reeds op verschillende terreinen van het economisch publiekrecht als de bevoegde bestuursrechter is aangewezen. Daarbij kan bijvoorbeeld worden gedacht aan de bevoegdheid in het kader van de Wet handhaving consumentenbescherming, de Telecommunicatiewet, en de Wet beveiliging netwerk- en informatiesystemen. In lijn met deze reeds bestaande bevoegdheid is de rechtbank Rotterdam een voor de hand liggende keuze. Tegen een uitspraak van de rechtbank Rotterdam staat om diezelfde reden hoger beroep open bij het College van Beroep voor het bedrijfsleven. Ten overvloede wordt vermeld dat in geval van artikel 28, derde lid, van de verordening van toepassing is, er alleen een voorziening in rechte openstaat bij de Rechtbank Rotterdam en hoger beroep bij het CBb.
Voor beroep tegen besluiten die zien op hergebruik, is geen bijzondere rechter aangewezen. Dergelijke beroepen dienen daarom conform de Awb te worden ingesteld bij de reguliere bestuursrechter en hoger beroep dient te worden ingesteld bij de Afdeling Bestuursrechtspraak van de Raad van State. Hoewel ervoor gekozen had kunnen worden om ook dit onderdeel te beleggen bij de Rechtbank Rotterdam en het College van Beroep voor het bedrijfsleven, woog zwaarder dat dit onderdeel raakvlakken vertoont met de Wet hergebruik van overheidsinformatie (hierna: Who), waarvoor wel het normale Awb-regime geldt, en dat een verzoek om hergebruik uit de Who in principe ook kan worden ingediend samen met een verzoek om hergebruik onder de verordening. Het aanwijzen van een bijzondere bestuursrechter, zou in dat geval leiden tot twee verschillende beroepsgangen in procedures tegen een besluit dat wordt genomen naar aanleiding van zo’n gecombineerde aanvraag.
Artikel 11
Artikel 11 van de Uitvoeringswet betreft de inwerkingtreding van de Uitvoeringswet. Zie paragraaf 8 van het algemeen deel van de toelichting.
De Minister van Economische Zaken en Klimaat,
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
|
Bepalingen verordening |
Bepaling in uitvoeringregeling of in bestaande regelgeving; toelichting indien niet geïmplementeerd of uit zijn aard geen implementatie behoeft |
Omschrijving beleidsruimte |
Toelichting bij keuze(n) bij de invulling van beleidsruimte |
|---|---|---|---|
|
Artikelen 1 t/m 3 |
Behoeft naar de aard van deze bepaling geen implementatie. |
||
|
Artikel 4 |
Vereist geen implementatie. Betreft een onderwerp waarvoor geen Nederlands recht geldt |
||
|
Artikel 5 |
Vereist geen implementatie. Betreft een onderwerp waarvoor geen Nederlands recht geldt |
||
|
Artikel 6 |
Artikel 3 |
Op grond van het zesde lid moeten de lidstaten de criteria en de methode voor de berekening van de vergoedingen voor hergebruik bekendmaken. Er is ruimte om zelf criteria en berekeningsmethoden vast te stellen, mits deze voldoen aan de criteria die in de andere leden van artikel 6 worden vermeld. |
Er wordt een grondslag gecreëerd om dit bij of krachtens amvb uit te werken. Regelgeving moet mogelijk gedetailleerd worden en met enige regelmaat worden gewijzigd, een lager niveau is daarom passender. |
|
Artikel 7 |
Artikel 2, eerste lid |
Er moeten één of meerdere bevoegde organen worden aangewezen. De verordening laat vrij hoeveel organen er worden aangewezen en of dit bestaande of nieuw op te richten organen zijn, mits deze voldoen aan de criteria, genoemd in het derde lid van artikel 7. |
Er wordt een grondslag gecreëerd om bij algemene maatregel van bestuur een of meerdere bevoegde organen aan te wijzen. |
|
Artikel 8 |
Artikel 2, vijfde lid |
Er moet één centraal informatiepunt worden aangewezen. De verordening laat vrij of dit bestaande of nieuw op te richten organen moeten zijn. |
De Minister van Binnenlandse Zaken en Koninkrijksrelaties krijgt de bevoegdheid om het centraal informatiepunt aan te wijzen. |
|
Artikel 9 |
Behoeft geen nadere implementatie, volgt reeds uit bestaande nationale wetgeving |
In nationale wetgeving moet een recht op verhaal worden vastgelegd, met inbegrip van de mogelijkheid tot herziening door een onpartijdige instantie die over de nodige deskundigheid beschikt. |
Beroep tegen beslissingen die zien op hergebruik, vindt conform de Algemene wet bestuursrecht plaats bij de normale bestuursrechter en in hoger beroep bij de Afdeling Bestuursrechtspraak van de Raad van State. Hoewel ook voor dit onderdeel gekozen had kunnen worden voor belegging bij de Rechtbank Rotterdam en het CBb, weegt in dit geval zwaarder dat dit onderdeel raakvlakken heeft met de Wet hergebruik van overheidsinformatie, waarvoor het normale Awb-regime geldt. |
|
Artikel 10 |
Behoeft naar de aard van deze bepaling geen implementatie. |
||
|
Artikel 11 |
Artikel 4 |
Het elfde lid bevat maakt het mogelijk dat de bevoegde autoriteit heffingen int, in overeenstemming met het nationale recht. De mogelijkheid om dit eventueel via een amvb te regelen wordt gecreëerd. |
Nog niet mogelijk om in te schatten of dit wenselijk is, daarom alleen de mogelijkheid gecreëerd om dit op een later moment eventueel te regelen. |
|
Artikel 12 |
Behoeft naar de aard van deze bepaling geen implementatie. |
||
|
Artikel 13, eerste en tweede lid |
Artikel 2, zesde lid, onderdeel a |
Aanwijzen van één of meer bevoegde autoriteiten voor het uitvoeren van de taken inzake de kennisgeving van databemiddelingsdiensten |
De ACM wordt aangewezen als bevoegde autoriteit (zie paragraaf 4.4 van de Memorie van Toelichting). |
|
Artikel 13, derde lid |
Artikelen 7 en 8 |
||
|
Artikel 14 |
Artikel 6 |
||
|
Artikel 15 |
Behoeft naar de aard van deze bepaling geen implementatie. |
||
|
Artikel 16 |
Behoeft naar de aard van deze bepaling geen implementatie. |
Biedt lidstaten de mogelijkheid nationale regelingen te treffen voor data-altruïsme. |
Nederland heeft geen beleidsvoornemen om een nationale regeling te treffen. |
|
Artikel 17, eerste lid |
Implementatie wordt vorm gegeven door feitelijk handelen. |
||
|
Artikel 17, tweede lid |
Behoeft naar de aard van deze bepaling geen implementatie. |
||
|
Artikel 18 t/m 22 |
Behoeft naar de aard van deze bepaling geen implementatie. |
||
|
Artikel 23, eerste lid |
Artikel 2, zesde lid, onderdeel b |
Lidstaten moeten één of meerdere bevoegde autoriteiten aanwijzen voor de bepalingen over data-altruïsme |
De ACM wordt aangewezen als bevoegde autoriteit (zie paragraaf 4.5 van de Memorie van Toelichting). |
|
Artikel 23, tweede lid |
Implementatie wordt vorm gegeven door feitelijk handelen. |
||
|
Artikel 23, derde lid |
Artikelen 7 en 8 |
||
|
Artikel 24 |
Artikel 6 |
||
|
Artikel 25 |
Behoeft naar de aard van deze bepaling geen implementatie. |
||
|
Artikel 26 |
Behoeft naar de aard van deze bepaling geen implementatie |
||
|
Artikel 27 |
Behoeft naar de aard van deze bepaling geen implementatie |
Dit artikel maakt mogelijk om als collectief een klacht in te dienen. |
In Nederland kennen we dit niet bij handhavingsverzoeken. |
|
Artikel 28 |
Artikel 10 |
||
|
Artikelen 29 t/m 33 |
Behoeft naar de aard van deze bepaling geen implementatie |
||
|
Artikel 34 |
Artikel 9 |
||
|
Artikelen 35 t/m 38 |
Behoeft naar de aard van deze bepaling geen implementatie |
X Noot
1Zie voor een uitgebreide bespreking J.B.A. Gerritsen, ‘De Data Governance Act (DGA): Eigentijds of irrelevant’, NtER 2023, nr. 3/4.
X Noot
2Zie voor een overzicht van het wat diffuse begrip van databemiddelingsdiensten H. Janssen & J. Singh, ‘Data intermediary’, Internet Policy Review 2022(11), nr. 1.
X Noot
15Witboek over kunstmatige intelligentie – een Europese benadering op basis van vertrouwen, COM(2020) 65 final. Zie ook Kunstmatige intelligentie voor Europa, COM(2018) 237 final. Zie over de verschillende voorstellen ook R. Chavannes, A. Strijbos & D. Verhulst, ‘Kroniek technologie en recht’, NJB 2023/1084.
X Noot
16Voorstel voor een verordening tot vaststelling van de wet op de artificiële intelligentie, COM(2021) 206 final. De AI-verordening kent een risicogebaseerde benadering waarbij (aanbieders en gebruikers van) AI-systemen aan bepaalde vereisten moeten voldoen.
X Noot
17Verordening (EU) 2022/1925 van het Europees Parlement en de Raad van 14 september 2022 over betwistbare en eerlijke markten in de digitale sector, Pb EU L 265/1; en verordening (EU) 2022/2065 van het Europees Parlement en de Raad van 19 oktober 2022 betreffende een eengemaakte markt voor digitale diensten, PB EU L 277/1.
X Noot
18Zie uitgebreid P. Wolters, ‘De invloed van de Data Act op de verschuivende balans tussen gegevensbescherming en het vrije verkeer van data, Ars Aequi AA20230025.
X Noot
19Voorstel voor een verordening van het Europees Parlement en de Raad betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (Dataverordening), COM(2022) 68 final; en Commission staf working document on Common European Data Spaces, SWD(2022) 45 final.
X Noot
20Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de Europese ruimte voor gezondheidsgegevens, COM(2022) 197 final; Naar een gemeenschappelijke Europese gegevensruimte voor toerisme, COM(2023) 4787 final.
X Noot
23Vergelijk het advies van de Afdeling advisering van de Raad van State van 5 oktober 2021 over de Uitvoeringswet EU-verordeningen grenzen en veiligheid (W16.21.0299), Kamerstukken II 2021/22, 36 158, nr. 4, punt 4.
X Noot
24Zo werkt de verordening aanvullend op de Who, maar de verhouding met die wet is niet evident. Als het gaat om de werking van de verordening zelf, bepaalt de DGA daarnaast dat zij geen afbreuk doet aan de intellectuele-eigendomsrechten van derde partijen of aan de bescherming van persoonsgegevens. Zie in dit verband ook de punten 4-7 waar de Afdeling op onderdelen hierop ingaat.
X Noot
26Lidstaten zijn vrij om te kiezen welke toezichthouder zij aanwijzen. Dit kan ertoe leiden dat voor de handhaving van dezelfde voorschriften toezichthouders worden aangewezen die niet van oorsprong binnen dezelfde Europese coördinatiestructuren vallen.
X Noot
38Advies van de Afdeling advisering van de Raad van State van 10 oktober 2017 over de Uitvoeringswet Algemene verordening gegevensbescherming (W03.17.0166/II), Kamerstukken II 2017/18, 34 851, nr. 4, Punt 3a.
X Noot
41Ter illustratie, een aanbieder van databemiddelingsdiensten moet zorgdragen dat de procedure voor toegang tot zijn dienst ‘billijk, transparant en niet-discriminerend’ is, dient bij insolventie voor een ‘redelijke continuïteit’ te zorgen, en daarnaast de ‘nodige technische, juridische en organisatorische maatregelen’ te nemen.
X Noot
42Zie eerder het advies van de Afdeling advisering van de Raad van State van 19 februari 2014 over de Nota van wijziging bij de meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp (W03.13.0464/II), Kamerstukken II 2014/15, 33 662, nr. 10, punt 4; en de voorlichting van de Afdeling advisering van de Raad van State van 28 juni 2012 over de voorstellen van de Europese Commissie die strekken tot de herziening van het Europese regelgevend kader inzake verwerking en bescherming van persoonsgegevens (W03.12.0188/II), Kamerstukken II 2011/2012, 32 761, nr. 32, punt 7.4.
X Noot
47Artikel 6, vierde lid, en artikel 23 AVG; artikel 41 UAVG. Zie ook H.R. Kranenborg & L.F.M. Verhey, De Algemene Verordening Gegevensbescherming in Europees en Nederlands perspectief, Deventer: Wolters Kluwer 2018, paragraaf 7.2.3 en 7.3.10.
X Noot
49Richtlijn (EU) 2019/1024 inzake open data en het hergebruik van overheidsinformatie (PbEU 2019, L 172).
X Noot
51Deze verplichting geldt voor overheidsinstanties die uit hoofde van het nationale recht bevoegd zijn om overheidsgegevens ter beschikking te stellen voor hergebruik (artikel 5, eerste lid, DGA). Die bevoegdheid is in Nederland voor de meeste bestuursorganen geregeld in de Wet open overheid, zie artikel 2.2 van die wet. De verordening maakt een uitzondering voor overheidsbedrijven, publieke omroep, culturele instellingen en onderwijsinstellingen (artikel 3, tweede lid, DGA).
X Noot
56Artikel 3, eerste lid, onder a, DGA; artikel 5.1, eerste lid, onder c, en tweede lid, onder f, Woo.
X Noot
62Aanwijzingen 3.5, tweede lid, onderdeel b, en 3.7, van de Aanwijzingen voor de regelgeving.
X Noot
1Zie voor een uitgebreide bespreking J.B.A. Gerritsen, ‘De Data Governance Act (DGA): Eigentijds of irrelevant’, NtER 2023, nr. 3/4.
X Noot
2Zie voor een overzicht van het wat diffuse begrip van databemiddelingsdiensten H. Janssen & J. Singh, ‘Data intermediary’, Internet Policy Review 2022(11), nr. 1.
X Noot
15Witboek over kunstmatige intelligentie – een Europese benadering op basis van vertrouwen, COM(2020) 65 final. Zie ook Kunstmatige intelligentie voor Europa, COM(2018) 237 final. Zie over de verschillende voorstellen ook R. Chavannes, A. Strijbos & D. Verhulst, ‘Kroniek technologie en recht’, NJB 2023/1084.
X Noot
16Voorstel voor een verordening tot vaststelling van de wet op de artificiële intelligentie, COM(2021) 206 final. De AI-verordening kent een risicogebaseerde benadering waarbij (aanbieders en gebruikers van) AI-systemen aan bepaalde vereisten moeten voldoen.
X Noot
17Verordening (EU) 2022/1925 van het Europees Parlement en de Raad van 14 september 2022 over betwistbare en eerlijke markten in de digitale sector, Pb EU L 265/1; en verordening (EU) 2022/2065 van het Europees Parlement en de Raad van 19 oktober 2022 betreffende een eengemaakte markt voor digitale diensten, PB EU L 277/1.
X Noot
18Zie uitgebreid P. Wolters, ‘De invloed van de Data Act op de verschuivende balans tussen gegevensbescherming en het vrije verkeer van data, Ars Aequi AA20230025.
X Noot
19Voorstel voor een verordening van het Europees Parlement en de Raad betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (Dataverordening), COM(2022) 68 final; en Commission staf working document on Common European Data Spaces, SWD(2022) 45 final.
X Noot
20Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de Europese ruimte voor gezondheidsgegevens, COM(2022) 197 final; Naar een gemeenschappelijke Europese gegevensruimte voor toerisme, COM(2023) 4787 final.
X Noot
23Vergelijk het advies van de Afdeling advisering van de Raad van State van 5 oktober 2021 over de Uitvoeringswet EU-verordeningen grenzen en veiligheid (W16.21.0299), Kamerstukken II 2021/22, 36 158, nr. 4, punt 4.
X Noot
24Zo werkt de verordening aanvullend op de Who, maar de verhouding met die wet is niet evident. Als het gaat om de werking van de verordening zelf, bepaalt de DGA daarnaast dat zij geen afbreuk doet aan de intellectuele-eigendomsrechten van derde partijen of aan de bescherming van persoonsgegevens. Zie in dit verband ook de punten 4-7 waar de Afdeling op onderdelen hierop ingaat.
X Noot
26Lidstaten zijn vrij om te kiezen welke toezichthouder zij aanwijzen. Dit kan ertoe leiden dat voor de handhaving van dezelfde voorschriften toezichthouders worden aangewezen die niet van oorsprong binnen dezelfde Europese coördinatiestructuren vallen.
X Noot
38Advies van de Afdeling advisering van de Raad van State van 10 oktober 2017 over de Uitvoeringswet Algemene verordening gegevensbescherming (W03.17.0166/II), Kamerstukken II 2017/18, 34 851, nr. 4, Punt 3a.
X Noot
41Ter illustratie, een aanbieder van databemiddelingsdiensten moet zorgdragen dat de procedure voor toegang tot zijn dienst ‘billijk, transparant en niet-discriminerend’ is, dient bij insolventie voor een ‘redelijke continuïteit’ te zorgen, en daarnaast de ‘nodige technische, juridische en organisatorische maatregelen’ te nemen.
X Noot
42Zie eerder het advies van de Afdeling advisering van de Raad van State van 19 februari 2014 over de Nota van wijziging bij de meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp (W03.13.0464/II), Kamerstukken II 2014/15, 33 662, nr. 10, punt 4; en de voorlichting van de Afdeling advisering van de Raad van State van 28 juni 2012 over de voorstellen van de Europese Commissie die strekken tot de herziening van het Europese regelgevend kader inzake verwerking en bescherming van persoonsgegevens (W03.12.0188/II), Kamerstukken II 2011/2012, 32 761, nr. 32, punt 7.4.
X Noot
47Artikel 6, vierde lid, en artikel 23 AVG; artikel 41 UAVG. Zie ook H.R. Kranenborg & L.F.M. Verhey, De Algemene Verordening Gegevensbescherming in Europees en Nederlands perspectief, Deventer: Wolters Kluwer 2018, paragraaf 7.2.3 en 7.3.10.
X Noot
49Richtlijn (EU) 2019/1024 inzake open data en het hergebruik van overheidsinformatie (PbEU 2019, L 172).
X Noot
51Deze verplichting geldt voor overheidsinstanties die uit hoofde van het nationale recht bevoegd zijn om overheidsgegevens ter beschikking te stellen voor hergebruik (artikel 5, eerste lid, DGA). Die bevoegdheid is in Nederland voor de meeste bestuursorganen geregeld in de Wet open overheid, zie artikel 2.2 van die wet. De verordening maakt een uitzondering voor overheidsbedrijven, publieke omroep, culturele instellingen en onderwijsinstellingen (artikel 3, tweede lid, DGA).
X Noot
56Artikel 3, eerste lid, onder a, DGA; artikel 5.1, eerste lid, onder c, en tweede lid, onder f, Woo.
X Noot
62Aanwijzingen 3.5, tweede lid, onderdeel b, en 3.7, van de Aanwijzingen voor de regelgeving.
X Noot
3Richtlijn (EU) 2019/1024 inzake open data en het hergebruik van overheidsinformatie (PbEU 2019, L 172).
X Noot
5Voor de duidelijkheid moet hier nogmaals worden opgemerkt dat hoofdstuk II van de verordening niet van toepassing is op gegevens die absoluut geheim moeten blijven (bijvoorbeeld om redenen van nationale veiligheid). Wanneer dus bijvoorbeeld artikel 5:1, eerste lid, onderdeel b (veiligheid van de Staat), de toepasselijke weigeringsgrond onder de Woo is, is de verordening niet van toepassing. Al is het natuurlijk onwaarschijnlijk dat dergelijke gegevens überhaupt onder artikel 5:1 van de Woo beschikbaar zouden worden gesteld.
X Noot
6Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming) (PbEU 2016, L 119).
X Noot
7Richtlijn 96/9/EG van het Europees Parlement en de Raad van 11 maart 1996 betreffende de rechtsbescherming van databanken (PbEG 1996, L 77).
X Noot
8COMMISSION STAFF WORKING DOCUMENT IMPACT ASSESSMENT REPORT Accompanying the document Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on European data governance (Data Governance Act) SWD(2020) 295 final.
Permanente link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/stcrt-2023-28988.html