Brief regering : Voortgang onderhandelingen Dataverordening

Nr. 1008
BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN EN KLIMAAT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 9 maart 2023

De onderhandelingen in de Raad over de Dataverordening bevinden zich in de afrondende
fase. Tijdens Coreper van 22 maart aanstaande zal het Zweedse voorzitterschap naar
verwachting de lidstaten vragen om in te stemmen met het bereikte compromis en een
mandaat vragen voor de onderhandelingen met het Europees Parlement (EP). In de fase
tot aan Coreper kan het voorstel nog wijzigen, maar de compromistekst lijkt op hoofdlijnen
rond. Aangezien er geen Telecomraad is op korte termijn, zal de Algemene Oriëntatie
in Coreper worden bekrachtigd en zullen daarna de trilogen tussen Raad, EP en de Commissie
starten nadat ook het EP een positie heeft ingenomen. Middels deze brief informeer
ik, mede namens de Staatssecretaris voor Koninkrijksrelaties en Digitalisering en
de Minister voor Rechtsbescherming, uw Kamer over het naar verwachting te bereiken
onderhandelingsresultaat op de Dataverordening. Het kabinet is positief over het voorstel
en het verwachte onderhandelingsresultaat en is van plan in te stemmen met het compromisvoorstel
van het Zweedse voorzitterschap.

In het BNC-fiche over het voorstel1 en in de geannoteerde agenda’s van de Telecomraden van 3 juni en 6 december jl.2 bent u geïnformeerd over de kabinetsinzet en voortgang van de onderhandelingen. Over
het oorspronkelijke voorstel was het kabinet al overwegend positief. Het voorstel
versterkt de controle van gebruikers van producten en diensten over hun gegevens.
Ook vergroot het voorstel de concurrentie en keuzevrijheid in de markt voor clouddiensten.
Daarmee stimuleert het voorstel de data-economie en draagt het bij aan het gelijkwaardiger
verdelen van de waarde van data. Daarbij verduidelijkt het voorstel de rol en verantwoordelijkheid
die de verschillende partijen in de data-economie hebben.

Het kabinet heeft langs drie overkoepelende prioriteiten ingezet op verbeteringen
in de Dataverordening:

• Dat de gebruiks- en toegangsrechten voor gebruikers van internet-of-things(IoT)-producten
in de praktijk werken en de belangen van alle betrokken partijen hierbij zijn geborgd.

• Ambitieuze maatregelen om het overstappen én gelijktijdig interoperabel gebruik van
clouddiensten mogelijk te maken.

• Vernauwen van en van aanvullende waarborgen voorzien van de bevoegdheid voor overheden
om gegevens op te vragen in gevallen van uitzonderlijke noodzaak (hoofdstuk 5)

• In lijn met deze eerder gecommuniceerde kabinetsinzet is het voorstel op verschillende
punten verbeterd die ik hieronder langs de drie genoemde prioriteiten toelicht.

Gebruiks- en toegangsrechten voor gebruikers van IoT-producten

In lijn met deze prioriteit zijn verschillende wijzigingen doorgevoerd. De verhouding
tussen de gecreëerde gebruiks- en toegangsrechten voor gebruikers van IoT-producten
en de Algemene Verordening Gegevensbescherming (AVG) is verder verduidelijkt en er
zijn verschillende bepalingen opgenomen om de belangen van datasubjecten beter te
borgen. Zo is expliciet gemaakt dat gebruiks- en toegangsrechten van gebruikers geen
enkele afbreuk mogen doen aan de gegevensbeschermingsrechten van anderen. Ook zijn
definities verduidelijkt. Nu vallen alle producten die data creëren op basis van hun
gebruik binnen de reikwijdte van het voorstel en zijn verwerkte data en content (zoals
audio of video) uitgezonderd. Tot slot zijn de bepalingen over compensatie bij datadeling
zo aangepast dat aanbieders van IoT-producten niet onevenredig kunnen profiteren van
het recht van gebruikers om hun data te delen.

Overstapmogelijkheden en interoperabiliteit van clouddiensten

De bepalingen over het overstappen tussen clouddiensten zijn, in lijn met de kabinetsinzet,
aangevuld met bepalingen gericht op het interoperabel en gelijktijdig gebruik van
clouddiensten van verschillende aanbieders. Dit is van belang om de concurrentieproblemen
in de markt voor clouddiensten effectief aan te pakken en keuzevrijheid voor gebruikers
van clouddiensten verder te bevorderen. In de huidige markt voor clouddiensten zorgt
gebrekkige interoperabiliteit ervoor dat gebruikers vaak alleen diensten van dezelfde
aanbieder aan elkaar kunnen koppelen. Het belang van bepalingen gericht op interoperabel
gebruik van clouddiensten van verschillende aanbieders wordt ook benadrukt in de marktstudie
clouddiensten van de ACM.3

Opvragen gegevens in gevallen van uitzonderlijke noodzaak

Tot slot is de bevoegdheid voor overheden om gegevens op te vragen in gevallen van
uitzonderlijke noodzaak (hoofdstuk 5) vernauwd en van aanvullende waarborgen voorzien.
Inmiddels zijn in de tekst van de Dataverordening drie limitatieve situaties opgenomen
wanneer er sprake kan zijn van een «uitzonderlijke noodzaak». Publieke instanties
moeten in hun verzoeken aantonen dat ze aan de voorwaarden voor één van de situaties
voldoen. Het gaat om situaties die zien op het gebruik van data om op een algemene
noodsituatie te kunnen reageren (situatie 1), de mitigatie of het herstel van een
algemene noodsituatie te ondersteunen (situatie 2) of wanneer het gebrek aan beschikbare
data een overheidsinstantie verhindert een specifieke taak van algemeen belang te
vervullen waarin de wet uitdrukkelijk voorziet (situatie 3).

Bij situaties 1 en 2 moeten publieke instanties de gegevens ook niet op een andere
manier tijdig kunnen verkrijgen om zich op de gecreëerde bevoegdheid te kunnen beroepen.
Voor situatie 3 is verduidelijkt dat de gecreëerde bevoegdheid pas kan worden ingezet
als alle andere mogelijke middelen om de gegevens tijdig te verkrijgen zijn uitgeput.
Daarnaast biedt de Dataverordening voor situatie 3 geen grondslag meer voor de verwerking
van persoonsgegevens. Die grondslag moet worden gecreëerd in nationale of Europese
wetgeving.

De belangrijkste nieuwe waarborg in hoofdstuk 5 is dat de toezichthouder op dit hoofdstuk
altijd moet worden genotificeerd van verzoeken en proactief kan handhaven. Wanneer
verzoeken persoonsgegevens bevatten zal ook de gegevensbeschermingsautoriteit (in
Nederland de Autoriteit Persoonsgegevens) moeten worden genotificeerd, die vervolgens
op basis van de AVG kan handhaven. De beoordeling van de rechtmatigheid van de verzoeken
ligt hiermee niet meer alleen bij de datahouder. Deze wijzigingen stellen lidstaten
in staat om het toezicht op dit hoofdstuk zo in te richten dat alle verzoeken op basis
van hoofdstuk 5 strikt aan de aangescherpte eisen uit de Dataverordening, en waar
van toepassing de AVG, worden getoetst.

Vervolginzet

Over het onderhandelingsresultaat is het kabinet, alles afwegende, positief. Wel zijn
er nog twee gewenste verbeteringen waar het kabinet zich in de laatste fase van de
onderhandelingen in de Raad en in de trilogen voor zal blijven inzetten. Deze staan
instemming met het compromis niet in de weg.

Hoofdstuk 5 is ondanks de voornoemde wijzigingen nog niet geheel in lijn met de kabinetsinzet.
Het kabinet zou de definitie van «uitzonderlijke noodzaak» graag nog verder willen
vernauwen en daarmee de mogelijkheden om data op te vragen, verder beperken. Dit is
met name van belang wanneer de verzoeken persoonsgegevens bevatten, gelet het feit
dat persoonsgegevens rechtmatig en behoorlijk dienen te worden verwerkt. Tijdens de
onderhandelingen is echter gebleken dat hier weinig steun voor is in de Raad. Desalniettemin
zal het kabinet dit punt onder de aandacht blijven brengen, ook tijdens de trilogen.
Ook zal een prioriteit van het kabinet zijn om bij de implementatie van de Dataverordening
de kaders van het toezicht zo in te richten dat verzoeken om gegevens op te vragen
in gevallen van uitzonderlijke noodzaak kunnen worden getoetst aan rechtmatigheid
en proportionaliteit.

Het tweede punt waar het kabinet zich voor wil blijven inzetten in de onderhandelingen
is dat alleen het micro- en kleinbedrijf wordt uitgezonderd van de bepalingen gericht
op producenten van IoT-producten. De huidige compromistekst zondert ook het middenbedrijf
uit, terwijl de administratieve last van deze maatregelen relatief beperkt is. Hierdoor
zouden gebruikers van IoT-producten alleen hun data kunnen gebruiken of delen als
het product door een groot bedrijf wordt aangeboden. In bijvoorbeeld de agrarische
sector, waar relatief veel middenbedrijven IoT-producten aanbieden, zou de Dataverordening
dan minder effect hebben.

Ik zal in de geannoteerde agenda van de formele Telecomraad van 2 juni – die uw Kamer
conform de afspraken over EU-informatievoorziening voorafgaand aan de Raad ontvangt
– verder informeren over de voortgang van de onderhandelingen over de Dataverordening.

De Minister van Economische Zaken en Klimaat,
M.A.M. Adriaansens