Memorie van toelichting : Memorie van toelichting
36 451 Uitvoering van verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Uitvoeringswet datagovernanceverordening)
Nr. 3 MEMORIE VAN TOELICHTING
I. Algemeen
1. Inleiding
Dit wetsvoorstel (hierna: de Uitvoeringswet) strekt tot implementatie van de verordening
(EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende de
Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Datagovernanceverordening)
(hierna: de verordening). Zoals gebruikelijk is, wordt bij de implementatie van een
Europese verordening een volledig beeld gegeven van die verordening. Daarom bestrijkt
deze memorie van toelichting de hele verordening.
De verordening dient uiterlijk 24 september 2023 volledig geïmplementeerd te zijn
in Nederlandse wet- en regelgeving of door middel van feitelijk handelen. De verordening
is alleen van toepassing op het grondgebied van Nederland binnen de Europese Unie
en heeft geen gevolgen voor Bonaire, Sint Eustatius en Saba.
De beleidsverantwoordelijkheid voor de onderwerpen uit de verordening en de uitvoeringswet
ligt bij de Minister van Economische Zaken en Klimaat en de Staatssecretaris van Binnenlandse
Zaken Koninkrijksrelaties. In paragraaf 4 wordt hier nader op in gegaan.
In paragraaf 2 wordt de Nederlandse en Europese beleidscontext geschetst. In paragraaf 3
worden de hoofdlijnen van de verordening uiteengezet. In paragraaf 4 wordt nader ingegaan
op het onderhavige wetsvoorstel. In paragraaf 5 worden de gevolgen, o.a. voor regeldruk,
beschreven. In paragraaf 6 wordt ingegaan op de uitvoering en het toezicht. In paragraaf 7
worden de uitkomsten van de toetsen en consultaties gedeeld. In paragraaf 8 wordt
ingegaan op de inwerkingtreding en het overgangsrecht.
2. Beleidscontext
Door toenemende digitalisering wordt het genereren, delen en gebruik van data (gegevens)
steeds belangrijker voor onze maatschappij en economie. Data zijn een drijvende kracht
in innovatie en onderzoek, denk bijvoorbeeld aan het trainen van AI, medisch onderzoek
en slimme apparaten. Om de kansen die data brengen te verzilveren en de risico’s ervan
te mitigeren, ontwikkelen de Europese Unie en Nederland beleid rondom het genereren,
delen en gebruik van data.
Een belangrijk aspect hierbij is dat dit data-gerelateerde beleid betrekking kan hebben
op persoonsgegevens en niet-persoonsgegevens. Het risico op privacyschendingen wanneer
het gaat om persoonsgegevens heeft al lang de aandacht van de Europese Commissie en
de lidstaten van de Europese Unie, en daarom is in 2016 de Algemene Verordening Gegevensbescherming
(verordening (EU) 2016/679) (hierna: AVG) in werking getreden om deze risico’s te
mitigeren. De AVG is een belangrijke pijler van het Nederlandse en Europese databeleid,
en blijft dat ook in de toekomst.
Daarnaast worden ook de kansen van data gezien om bij te dragen aan de oplossing voor
maatschappelijke uitdagingen op het gebied van de zorg, klimaatverandering, mobiliteit
en ons toekomstige verdienvermogen. Data zijn van grote waarde hiervoor omdat zij
als economische grondstof kunnen worden hergebruikt zonder dat dit afbreuk doet aan
de waarde ervan. Dezelfde data kunnen op verschillende plekken voor verschillende
doelen worden gebruikt, zonder dat er iets verloren gaat, het gaat dus om een niet-rivaliserend
goed.
In de Nederlandse «kabinetsvisie op datadeling tussen bedrijven»1 heeft het kabinet drie uitganspunten voor beleidsontwikkeling gericht op datadeling
tussen bedrijven benoemd: datadeling is bij voorkeur vrijwillig, de overheid kan datadeling
faciliteren en burgers en bedrijven houden grip op gegevens.
In de Nederlandse Data Agenda Overheid wordt datagedreven werken en het delen van
kennis en data tussen verschillende overheidspartijen rondom maatschappelijk opgaves
gestimuleerd. Maar bij datadeling moeten de bescherming van persoonsgegevens, rechten
van derden en wettelijke doelbinding wel goed zijn geborgd. Onafhankelijke derde partijen
kunnen een belangrijke rol spelen in technische ondersteuning en in het vergroten
van vertrouwen tussen partijen.
De Europese Commissie heeft in 2020 een Europese Datastrategie gepubliceerd waarin
ze aangaf met wetgevende initiatieven te komen rondom het delen en gebruik van data.
Wat betreft datadeling constateerde de Commissie dat er meer gebruik van data zou
kunnen worden gemaakt, op een verantwoorde manier, als deze meer gedeeld zouden worden
tussen bedrijven, overheden en andere organisaties. De Europese Commissie constateerde
echter ook dat deze datadeling door een gebrek aan vertrouwen vaak niet tot stand
komt. Daarnaast maakt de Europese Commissie zich zorgen over de mogelijke concentratie
van data bij een beperkt aantal grote techbedrijven. Daarom heeft de Commissie voorstellen
gedaan voor een Datagovernanceverordening en een Dataverordening. Nederland deelt
de observaties en zorgen van de Europese Commissie en is daarom overwegend positief
over deze wetgevingsinitiatieven van de Commissie, aangezien hiermee de bestaande
problemen op een effectieve manier worden geadresseerd.2
Veel van deze beleidsinitiatieven hebben een hoog abstractieniveau. Zo wordt er vaak
gesproken over «data» als een homogene productiefactor terwijl data juist zeer heterogeen
van aard is – de inhoud van de data zorgt juist voor de waarde en die inhoud kan bijna
elk denkbaar onderwerp zijn. Er zijn dus heel veel soorten data die voor zeer verschillende
doeleinden kunnen worden gebruikt. Maar er zijn ook aspecten aan data die, ongeacht
de inhoud van de data, grotendeels gelijk zijn. Zo staan obstakels om data te delen
vaak los van de inhoud van die data, maar gaat het bijvoorbeeld over de formats waarin
deze data worden gedeeld, of het gebrek aan grip op datasets nadat ze zijn gedeeld,
resulterende in zorgen over wie vervolgens toegang krijgt tot deze data. Dit soort
obstakels gelden voor veel soorten van data en daarom kan generiek of «horizontaal»
beleid wenselijk zijn.
3. Datagovernanceverordening
De verordening heeft als inzet om de beschikbaarheid van data te vergroten door het
vertrouwen in databemiddelingsdiensten, data-altruïstische organisaties en de mechanismen
voor datadeling te versterken. De Europese Commissie ziet dat nieuwe markten voor
gegevensdeling ontstaan en wil bevorderen dat deze markten zich op een verantwoorde
en betrouwbare manier ontwikkelen. Ook wil de Europese Commissie voorkomen dat er
grote marktmachtsconcentraties ontstaan waarin een beperkt aantal «Big Tech» bedrijven
grote controle hebben over datadeling en databeschikbaarheid. Daarnaast wil de Europese
Commissie ook stimuleren dat data gedeeld worden voor «altruïstische» doeleinden zoals
medisch onderzoek zonder dat dit afhankelijk is van organisaties met een winstoogmerk.
De verordening beoogt een kader te stellen voor onder andere de volgende vormen van
datadelen:
• het voor hergebruik beschikbaar stellen van overheidsgegevens, wanneer die gegevens
onderworpen zijn aan rechten van anderen (hoofdstuk II);
• het delen van gegevens door burgers of organisaties via een databemiddelingsdienst
(hoofdstuk III);
• het delen van data op altruïstische gronden (hoofdstuk IV).
Om er voor te zorgen dat vrijwillige gegevensdeling door de gehele unie mogelijk wordt
gemaakt zonder al te grote belemmeringen voor de interne markt is er gekozen voor
een verordening.
3.1 Hergebruik van beschermde gegevens die in het bezit zijn van openbare lichamen
Hoofdstuk II van de verordening gaat over het hergebruik van data in het bezit van openbare lichamen,
en die beschermd zijn door commerciële vertrouwelijkheid, statistische vertrouwelijkheid,
intellectuele eigendomsrechten van derden of op grond van bescherming van persoonsgegevens.
Het sluit aan bij het beleid van de Europese Unie om gegevens die door openbare lichamen
of andere entiteiten met overheidsmiddelen zijn gegenereerd of verzameld, aan de samenleving
ten goede te doen komen. De Europese Open data richtlijn3 regelt dit voor veel gegevens, maar doorgaans niet voor beschermde gegevens. Met
de Datagovernanceverordening wordt beoogd om het benutten van deze gegevens te faciliteren,
met inachtneming van het beschermde karakter van deze gegevens. Concreet worden twee
nieuwe rollen in het leven geroepen ter ondersteuning van dit hergebruik (zie paragraaf 4.1.2
en 4.1.3 van het algemeen deel van de toelichting) en worden exclusieve overeenkomsten
voor deze categorieën gegevens verboden.
Openbaar lichaam
Opgemerkt moet worden dat in de context van de Datagovernanceverordening met «openbaar
lichaam» iets anders wordt bedoeld dan gebruikelijk is in de bestuurlijke indeling
van Nederland. Het begrip komt inhoudelijk overeen met wat in de Wet hergebruik van
overheidsinformatie is gedefinieerd als «met een publieke taak belaste instelling».
Om hierop aan te sluiten, is ervoor gekozen om deze definitie ook in deze Uitvoeringswet
op te nemen. Zie de memorie van toelichting bij de Wet hergebruik van overheidsinformatie
voor een nadere uitwerking4. In de onderhavige memorie van toelichting wordt het begrip «openbaar lichaam» nog
gebruikt om het begrip uit de verordening aan te duiden. In de praktijk vallen hier
in ieder geval bestuursorganen onder, inclusief entiteiten die op grond van artikel 1:1,
tweede lid, van Algemene wet bestuursrecht (hierna: «de Awb») zijn uitgesloten van
het bestuursorgaanbegrip. Maar daarnaast ook andere organisaties die door de overheid
worden gefinancierd of op een bepaalde manier onder leiding staan van overheidsorganisaties.
Het begrip omvat geen overheidsbedrijven of andere organisaties die zijn opgericht
voor industriële of commerciële doeleinden. Daarnaast wordt hoofdstuk II van de verordening
ook niet van toepassing verklaard op openbare omroepen, culturele instellingen en
onderwijsinstellingen.
Beschermde categorieën van data
Het soort beschermde categorieën van data waarop hoofdstuk II betrekking heeft, betreft
persoonsgegevens (voor zover die buiten het toepassingsgebied van de Europese Open
data richtlijn vallen), data waarop intellectuele-eigendomsrechten van derden rusten,
data die commercieel vertrouwelijk zijn (in de verordening aangeduid als «gegevens
die beschermd zijn op grond van het handelsgeheim, waaronder bedrijfs- of beroepsgeheim»)
en data waarop het statistisch geheim rust, die zich bevinden bij openbare lichamen.
Het hergebruik van deze data valt buiten het toepassingsgebied van de Europese Open
data richtlijn, omdat ze in de regel te gevoelig zijn om als open data voor een ieder
algemeen beschikbaar te stellen. Ze zijn echter niet zo gevoelig dat er elke vorm
van hergebruik principieel moet worden uitgesloten. De verordening is niet van toepassing
op gegevens die beschermd zijn om redenen van openbare veiligheid, defensie en nationale
veiligheid, omdat die gegevens wel zo gevoelig zijn dat hergebruik principieel moet
worden uitgesloten en omdat die sectoren vallen buiten de werking van artikel 114
van het Verdrag betreffende de werking van de Europese Unie, waar deze verordening
op is gebaseerd.
Grondslagen hergebruik
De verordening schept overigens op zichzelf geen verplichting om enig hergebruik toe
te staan, maar biedt slechts een kader waarbinnen dergelijke gegevens moeten worden
aangeboden als daar in nationale wetgeving een grondslag voor bestaat, de verstrekking
niet in strijd is met de regelgeving op grond waarvan de gegevens beschermd zijn en
de verstrekking onder de openbare taken van de betrokken openbare lichamen valt. Het
kader van de verordening is dus dwingend ten aanzien van de manier waarop gegevens
beschikbaar worden gesteld, maar dat kader is alleen van toepassing als er naar nationaal
recht een verplichting of bevoegdheid bestaat om de gegevens in kwestie überhaupt
voor hergebruik beschikbaar te stellen. Lidstaten wordt ook veel vrijheid geboden
in het bepalen van toegestane doeleinden en het stellen van voorwaarden aan dat hergebruik.
Openbare lichamen die hergebruik als bedoeld in de verordening toestaan, zullen technische
maatregelen moeten nemen om ervoor te zorgen dat gegevensbescherming, privacy en vertrouwelijkheid
volledig worden geborgd en het beschermde karakter van de gegevens behouden blijft.
Openbare lichamen kunnen daarvoor bijvoorbeeld vereisen dat de persoonsgegevens geanonimiseerd
zijn of dat het hergebruik plaatsvindt in een beveiligde verwerkingsomgeving. De openbare
lichamen behouden zich het recht voor het proces, de middelen en alle resultaten van
gegevensverwerking door de hergebruiker te verifiëren teneinde de integriteit van
de gegevensbescherming te vrijwaren, alsook het recht om het gebruik te verbieden
van resultaten die informatie bevatten die de rechten en belangen van derden in gevaar
brengt. Deze verordening doet geen afbreuk aan de intellectuele-eigendomsrechten van
derde partijen en intellectuele-eigendomsrechten van openbare lichamen. Volgens overwegingen
17 en 18 bij de verordening, mogen gegevens die onderworpen zijn aan intellectuele-eigendomsrechten
of die bedrijfsgeheimen bevatten alleen aan een derde partij worden doorgegeven indien
dat is toegestaan krachtens het Unierecht of het nationale recht of mits de rechthebbende
daarmee instemt. Openbare lichamen mogen een vergoeding vragen voor het beschikbaar
stellen van deze data. Deze vergoedingen worden afgeleid van de kosten voor de procedure
van het ter beschikking stellen.
Centraal informatiepunt
De lidstaten moeten één contactpunt oprichten om onderzoekers en innovatieve bedrijven
te ondersteunen bij het identificeren van geschikte gegevens, en moeten structuren
opzetten om openbare lichamen technische en juridische bijstand te bieden.
Verbod exclusieve overeenkomsten
Artikel 4 van de verordening verbiedt het sluiten van exclusieve overeenkomsten waarin
deze data voor hergebruik exclusief met één of een beperkt aantal partijen worden
gedeeld. Indien een overheid deze data op verantwoorde wijze deelt met een derde partij,
dan moeten andere partijen, in principe, onder dezelfde voorwaarden ook toegang tot
deze data krijgen, mits dat op verantwoorde wijze kan gebeuren. Daarbij moet overigens
worden opgemerkt dat het uitwisselen van gegevens tussen openbare lichamen ten behoeve
van het uitvoeren van openbare taken, niet als «hergebruik» wordt aangemerkt. Daarnaast
kent het verbod op exclusieve overeenkomsten enkele andere uitzonderingen.
3.2 Databemiddelingsdiensten
Hoofdstuk III van de verordening stelt een kader voor databemiddelingsdiensten. Dit is een type
dienstverlening dat recentelijk is ontstaan en nog in ontwikkeling is. Het gaat hierbij
om dienstverlening door partijen die gericht zijn op het tot stand brengen van commerciële
relaties met het oog op het delen van data tussen datahouders (degene die het recht
heeft om toegang te verlenen tot data) en datasubjecten (geïdentificeerde of identificeerbare
natuurlijk persoon op wie persoonsgegevens betrekking heeft) enerzijds en datagebruikers
(degene die het toegang heeft tot data en het recht heeft om die data te gebruiken)
anderzijds. In overweging 28 van de verordening wordt aangegeven welke diensten niet
als databemiddelingsdienst worden gezien, namelijk cloudopslag, data-analyse, gegevensdelingsoftware,
webbrowsers, browserplug-ins of e-maildiensten mits deze diensten alleen de technische
instrumenten bieden om data te delen. Voorbeelden van databemiddelingsdiensten volgens
deze overweging zijn datamarktplaatsen orkestratoren van ecosystemen voor het delen
van gegevens die toegankelijk zijn voor alle belanghebbenden of datapools met de bedoeling
data alle belanghebbenden (onder licentie) gebruik kunnen maken van de data en dat
de deelnemers die aan de datapool bijdragen daarvoor een beloning ontvangen. De Europese
Commissie heeft als voorbeeld datamarktplaatsen genoemd waarbij potentiële datagebruikers
gekoppeld worden aan partijen die hun data willen delen via een platform. Er zijn
op dit moment nog maar een beperkt aantal van dit soort aanbieders, maar de Commissie
gaf als voorbeeld een Frans bedrijf dat diensten aanbiedt die hieronder lijken te
vallen. Dit bedrijf koopt en verkoopt geen data maar biedt technologie aan waarmee
potentiële datagebruikers en -aanbieders kunnen communiceren over de datasets zodat
de kwaliteit en bruikbaarheid kunnen worden vastgesteld voordat de data wordt gedeeld.
Ook biedt dit bedrijf ondersteuning aan bij onderhandelingen door geautomatiseerde
contractgeneratie. Andere mogelijke voorbeeld is een bedrijf in een lidstaat dat functioneert
als een neutrale vertrouwde derde partij om data te delen via het door hen beschikbaar
gestelde platform. Belangrijk aspect van een databemiddelingsdienst is dus dat datahouders
in contact worden gebracht met datagebruikers én dat de datahouder niet de rechten
op de data overdraagt aan de dienstverlener. Als een datahouder de rechten op de data
overdraagt (door bijvoorbeeld verkoop) aan een dienstverlener is er geen sprake meer
van een databemiddelingsdienst omdat de dienstverlener in dat geval de datahouder
wordt en de data zonder tussenkomst van een databemiddelingsdienst deelt met een datagebruiker.
Dienstverleners die onder de definitie van databemiddelingsdiensten vallen moeten
voldoen aan de meldingsplicht uit artikel 11 en de voorwaarden uit artikel 12 van
de verordening.
Deze dienstverleners zijn verplicht zich als zodanig aan te melden bij de bevoegde
autoriteit alvorens ze hun diensten mogen leveren binnen de EU. Indien een behoorlijke
en volledige aanmelding is gedaan stuurt de bevoegde autoriteit, op verzoek van de
databemiddelingsdienst, binnen een week een gestandaardiseerde verklaring waarin wordt
bevestigd dat de aanmelding volledig is en dat de databemiddelingsdienstverlener dus
haar diensten mag leveren binnen de EU.
Daarnaast moeten deze dienstverleners voldoen aan de voorwaarden uit artikel 12 van
de verordening. Een belangrijke eis is de verplichting om neutraal te blijven ten
aanzien van de uitgewisselde data. Databemiddelingsdiensten mogen de ontvangen data
niet voor andere doeleinden dan de databemiddelingsdienst of daaraan verbonden diensten
gebruiken. Als aanbieders van databemiddelingsdiensten deze diensten aanbieden aan
datasubjecten, moet de databemiddelingsdienst in het belang van de datasubjecten handelen,
onder andere door hen goed te informeren over de gevolgen van het potentiële gebruik
van de gegevens. Die aanpak moet ervoor zorgen dat databemiddelingsdiensten op een
open en coöperatieve manier functioneren, en moet natuurlijke en rechtspersonen mondiger
maken door hen een beter overzicht van en controle over hun gegevens te geven. Een
door de lidstaten aangewezen bevoegde instantie wordt belast met het toezicht op de
naleving van de aan de verlening van dergelijke diensten verbonden eisen. Een databemiddelingsdienst
kan de bevoegde autoriteit verzoeken om te bevestigen dat hij voldoet aan alle eisen
die aan een databemiddelingsdienst worden gesteld in artikel 12 van de verordening.
Zodra de bevoegde autoriteit verklaart dat dit het geval is mag de databemiddelingsdienstgebruik
maken van het label «in de Unie erkende aanbieder van databemiddelingsdiensten» en
het logo in zijn openbare communicatie.
3.3 Data-altruïsme
Hoofdstuk IV van de verordening faciliteert data-altruïsme, hierbij gaat het om data die personen
of bedrijven vrijwillig ter beschikking stellen voor het algemeen belang. Bijvoorbeeld
medische gegevens die door betrokkenen vrijwillig beschikbaar worden gesteld ten behoeve
van medisch onderzoek. De Commissie gaf concreet aan dat er in een lidstaat van de
Europese Unie een platform is wat burgers de mogelijkheid geeft om data te delen over
lawaaioverlast en vervuiling die via sensoren in hun huis worden verzameld. Hiermee
kunnen onderzoekers en overheden de lucht- en geluidskwaliteit in kaart brengen en
mogelijk gerichte beleidsmaatregelen nemen. De verordening laat ruimte om het begrip
«algemeen belang» naar nationaal recht in te vullen. In de uitvoeringswet wordt ervoor
gekozen om aan te sluiten bij de voorbeelden die in de verordening zelf worden genoemd
en dat aan te vullen met doeleinden die in de Nederlandse belastingwetgeving als «algemeen
nut» worden aangeduid. Data-altruïstische organisaties zijn een opkomend type niet-commerciële
dienstverleners die zich richten op het ontsluiten van data voor het algemeen belang.
Het hoofdstuk biedt organisaties die aan data-altruïsme doen de mogelijkheid om zich
te registreren als «in de Unie erkende organisatie voor data-altruïsme». Nadat de
voor data-altruïsme bevoegde autoriteit heeft vastgesteld dat de organisatie de vereiste
informatie heeft verstrekt en aan de vereisten van artikel 18 voldoet, mag deze organisatie
bijbehorend label en logo gebruiken, om het vertrouwen in hun activiteiten te vergroten.
Daarnaast zal er een gemeenschappelijk Europees toestemmingsformulier voor data-altruïsme
worden ontwikkeld om de kosten voor het verkrijgen van toestemming te verlagen en
de overdraagbaarheid van de gegevens te vergemakkelijken. Vooralsnog zijn er overigens
in Nederland geen voorbeelden bekend van dergelijke organisaties.
3.4 Europees Comité voor gegevensinnovatie
Hoofdstuk VI voorziet in de oprichting van een formele deskundigengroep (het «Europees Comité
voor gegevensinnovatie») bestaande uit onder meer vertegenwoordigers van de bevoegde
autoriteiten voor databemiddelingsdiensten, de bevoegde autoriteiten voor data-altruïsme,
het Europees Comité voor gegevensbescherming, de Europese Toezichthouder voor gegevensbescherming
en de Commissie. De deskundigengroep moet de samenwerking faciliteren tussen de lidstaten
bij het vaststellen van geharmoniseerde voorwaarden voor het hergebruik en de samenwerking
faciliteren tussen de bevoegde autoriteiten voor databemiddelingsdiensten en de bevoegde
autoriteiten voor data-altruïsme door informatie-uitwisseling. Daarnaast heeft de
deskundigengroep als taak om de Commissie te adviseren en ondersteunen bij verscheidene
onderwerpen. Ten eerste: de coördinatie van nationale praktijken en beleidsmaatregelen
met betrekking tot de onderwerpen die onder deze verordening vallen. Ten tweede: de
bevordering van sectoroverschrijdend gegevensgebruik door toepassing van de beginselen
van het Europees interoperabiliteitskader (EIF) en door gebruik van Europese en internationale
normen en specificaties. Ten derde: de ontwikkeling van een goed functionerende, op
gemeenschappelijke Europese gegevensruimten gebaseerde Europese data-economie ondersteunen
door richtsnoeren voor die gegevensruimten voor te stellen. Ten slotte: het opstellen
van de uitvoeringshandelingen bij deze verordening en het Europees toestemmingsformulier
voor data-altruïsme en de verbeteringen van het internationale regelgevingskader voor
niet-persoonsgegevens gegevens. Op deze deskundigengroep is het Commissiebesluit C(2016)3301
van toepassing. In hoofdstuk IV van dit Besluit staan regels over transparantie van
deskundigengroepen. Hierin is onder andere geregeld dat de Europese Commissie relevante
documenten zoals agenda’s, verslagen en inbreng van deskundigen publiceert op de website
van de Europese Commissie. Ook regelt het Besluit de omgang met mogelijke belangenverstrengeling
door onder meer te eisen dat individuele onafhankelijke deskundigen een belangenverklaring
indienen.
3.5 Internationale datastromen
Hoofdstuk VII bevat bepalingen over de internationale toegang en doorgifte van data door openbare
lichamen (hoofdstuk II), databemiddelingsdiensten (hoofdstuk III) en organisaties
voor data-altruïsme (hoofdstuk IV). Zowel het openbare lichaam, de databemiddelingsdienst
als de data-altruïstische organisatie moeten technische, juridische en organisatorische
maatregelen nemen om te voorkomen dat zij data overdragen naar een derde land als
dat in strijd is met Europees recht of het recht van een lidstaat. Indien een oordeel
van een rechtbank, tribunaal of andere autoriteit uit een derde land toegang vereist
tot data die waren verstrekt door een Europees openbaar lichaam vanwege deze verordening,
mag alleen aan dit oordeel gehoor worden gegeven indien er een relevant internationaal
verdrag aan ten grondslag ligt. Indien een verzoek uit een derde land kan leiden tot
een overtreding van het Europees recht of het recht van een lidstaat mogen de data
alleen worden overgedragen naar het derde land indien het verzoek evenredig en beroepbaar
is en het juridisch belang van de datahouders in Europa kan worden meegewogen in de
procedures van het derde land. De Europese Commissie mag gedelegeerde handelingen
vaststellen om bijzondere voorwaarden te stellen aan de overdracht van zeer gevoelige
data naar derde landen. Ook moet de datahouder worden geïnformeerd over de overdacht
van data naar het derde land.
4. Inhoud uitvoeringswet
De bepalingen uit de verordening zijn onverkort van toepassing in de Nederlandse rechtsorde.
Ter uitvoering van de verordening wordt een aantal bevoegde autoriteiten aangewezen
en wordt voorzien in toezicht en handhaving van de verordening. Alle in deze paragraaf
benoemde artikelen verwijzen naar artikelen uit de verordening zelf.
De Minister van Economische Zaken en Klimaat is verantwoordelijk voor de uitvoering
van de verordening ten aanzien van de databemiddelingsdiensten (hoofdstuk III en verwante
artikelen van de verordening). De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
is verantwoordelijk voor de uitvoering van hergebruik van overheidsgegevens (hoofdstuk II
en verwante artikelen) en de uitvoering ten aanzien van erkende organisaties voor
data-altruïstisme (hoofdstuk IV en verwante artikelen).
4.1 Hergebruik van beschermde gegevens die in het bezit zijn van met een publieke
taak belaste instellingen
4.1.1 Grondslagen voor hergebruik
De verordening schept overigens op zichzelf geen verplichting om enig hergebruik toe
te staan, maar biedt slechts een kader waarbinnen dergelijke gegevens moeten worden
aangeboden, als daar in nationale wetgeving, een grondslag voor bestaat. Met het oog
op het gebod van zuivere implementatie van aanwijzing 9.4 uit de Aanwijzingen voor
de regelgeving, zullen in deze uitvoeringswet geen nieuwe grondslagen voor hergebruik
worden gecreëerd.
Binnen het Nederlandse recht bestaat echter al wel een aantal van dergelijke grondslagen,
sommigen vrij specifiek, anderen erg breed. Een hele brede grondslag voor hergebruik
van gegevens is te vinden in artikel 5.7 van de Wet open overheid (hierna: Woo). Deze
bepaling stelt bestuursorganen in staat om ten behoeve van historisch, statistisch,
wetenschappelijk of journalistiek onderzoek toegang te bieden tot gegevens die niet
openbaar kunnen worden gemaakt op grond van de artikelen 5.1 of 5.2 van die wet, of
wanneer het vaststellen van de vraag of de gegevens in kwestie openbaar mogen worden,
onevenredig veel inspanning vergt. De uitzonderingen in artikel 5.1, eerste lid, onderdelen
c en d, en tweede lid, onderdeel f, komen grotendeels overeen met de gegevenscategorieën
uit artikel 3, eerste lid, van de verordening, waarop hoofdstuk II van de verordening
van toepassing is. Met andere woorden, veel van de gegevens die onder de Woo niet
zomaar openbaar kunnen worden gemaakt, maar mogelijk wel onder artikel 5.7 daarvan
beschikbaar kunnen worden gesteld, zijn dezelfde gegevens waarvan hergebruik onder
de verordening mogelijk is. Zodoende lijkt artikel 5.7 van de Woo goed aan te sluiten
op hoofdstuk II van de verordening.5 De Woo erkent echter niet het intellectueel eigendom van derden als een reden om
documenten niet openbaar te maken. Dergelijke documenten kunnen in de regel onder
de Woo dus gewoon openbaar worden gemaakt, waarna vragen over hergebruik zullen lopen
via de Who6 en niet via de verordening. Ook het statistisch geheim is in de Woo geen erkende
weigeringsgrond, maar gegevens die onder het statistisch geheim vallen, zijn doorgaans
tevens persoonsgegevens of bedrijfsvertrouwelijke gegevens, waarvoor onder de Woo
wel weigeringsgronden bestaan. Een verzoek om hergebruik op grond van artikel 5.7
van de Woo zal dus in de verordening via artikel 3, eerste lid, onderdelen a of d,
lopen.
Het hergebruik van de gegevens onder de Woo is beperkt tot onderzoek in plaats van
het bredere hergebruik waarin de verordening voorziet. De verordening benadrukt echter
dat het niet-discriminerend is om wetenschappelijk onderzoek te bevoorrechten. De
Woo sluit daar dus goed bij aan. Ook op andere vlakken sluiten de Woo en hoofdstuk II
van de verordening goed op elkaar aan. Zo staat artikel 5.7, tweede lid, van de Woo
toe dat bestuursorganen voorwaarden stellen aan hergebruik en stelt het derde lid
dat de informatie in kwestie niet zomaar verder mag worden verspreid zonder besluit
daartoe van het bestuursorgaan. Dat sluit aan op artikel 5, eerste lid, van de verordening
die er vanuit gaat dat openbare lichamen voorwaarden voor hergebruik kunnen stellen
en de eis uit het derde lid die stelt dat het beschermde karakter van de gegevens
behouden moet blijven. Daarbij moet worden opgemerkt dat ook de kaders van artikel 5.7
van de Woo, zoals de eis dat het moet gaan om historisch, statistisch, wetenschappelijk
of journalistiek onderzoek, kunnen worden gezien als voorwaarden die op grond van
de verordening openbaar moet worden gemaakt op data.overheid.nl. Omdat de Woo van
toepassing is op de meeste documenten van de meeste bestuursorganen, kan hoofdstuk II
van de verordening daardoor via artikel 5.1 van de Woo ook van toepassing zijn op
de meeste documenten bij de meeste bestuursorganen, mits aan de toepasselijke voorwaarden
is voldaan.
Artikel 41 van de Wet op het Centraal bureau voor de statistiek bevat ook een grondslag.
Dit artikel bepaalt dat het Centraal bureau voor de statistiek (hierna: CBS) op verzoek
ten behoeve van statistisch of wetenschappelijk onderzoek toegang kan geven tot statistische
gegevens aan universiteiten, bij wet ingestelde organisaties voor wetenschappelijk
onderzoek en planbureaus, de Europese statistiekinstanties en onderzoeksafdelingen
van ministeries en andere organisaties. De verstrekking van deze gegevens valt onder
de wettelijke taak van de met een publieke taak belaste instelling CBS, maar de gegevens
worden beschikbaar gesteld voor doeleinden buiten het oorspronkelijke doel binnen
de openbare taak waarvoor de gegevens zijn geproduceerd. Het CBS heeft namelijk als
primaire wettelijke taak om zelf statistiek te produceren en te publiceren, terwijl
het beschikbaar stellen van achterliggende microdata voor andermans onderzoek slechts
een bijproduct is. Dit betekent dat gebruik door afnemers van de gegevens als «hergebruik»
is aan te merken onder artikel 2, tweede lid, van de verordening en dat hoofdstuk II
van de verordening van toepassing is, althans, niet is uitgesloten op grond van artikel 3,
tweede lid, onderdeel e, daarvan. Verder biedt bijvoorbeeld artikel 3.13 van de Wet
basisregistratie personen de mogelijkheid om gegevens uit de basisregistratie te verstrekken
voor historische, statistische of wetenschappelijke doeleinden. Aanvullende eisen
daaraan zijn gesteld in artikel 44 van het Besluit basisregistratie personen. Ook
artikel 22 van de Wet politiegegevens en artikel 15 van de Wet justitiële en strafvorderlijke
gegevens bieden ruimte om gegevens aan onderzoekers aan te bieden ten behoeve van
beleidsinformatie, wetenschappelijk onderzoek of statistiek, mits aan de (strikte)
voorwaarden wordt voldaan van artikel 4:7 van het Besluit politiegegevens, respectievelijk
artikel 31 van het Besluit justitiële en strafvorderlijke gegevens. Als deze gegevens
beschermd zijn om redenen van openbare veiligheid, defensie of nationale veiligheid,
vallen zij niet onder de verordening.
In alle voorgaande gevallen gaat het om gegevens die primair een ander doel dienen,
maar waarbij het aanbieden van de gegevens voor hergebruik nuttig kan zijn voor andere
doelen die voornamelijk het belang van de afnemer dienen. Aan de andere kant kent
het Nederlandse recht ook veel grondslagen voor de verstrekking van gegevens die niet
onder de verordening vallen. Te denken valt aan de verstrekking van gegevens onder
Hoofdstuk 4 van de Handelsregisterwet 2007. Het verstrekken van die gegevens is ook
onderdeel van de openbare taak van de betreffende met een publieke taak belaste instelling,
maar de verstrekking is puur bedoeld om gevolg te geven aan de primaire doeleinden
van het register zelf (bijvoorbeeld ter bevordering van de rechtszekerheid in het
economisch verkeer) en niet om afnemers het recht te geven om de gegevens verder te
verwerken voor andere doeleinden. Vergelijkbare regels vloeien voort uit de Kadasterwet.
Voor beide registers speelt mee dat daarin persoonsgegevens openbaar worden gemaakt.
Op grond van de AVG is verdere verwerking van persoonsgegevens in de regel niet zomaar
toegestaan. De datagovernanceverordening verzet zich er niet tegen dat ook hergebruik
van (persoons)gegevens uit dergelijke registers op termijn mogelijk zou worden gemaakt,
maar vooralsnog ontbreekt daartoe een grondslag. Overigens laat dit onverlet dat niet-persoonsgegevens
uit deze registers onder de werking van de Wet hergebruik van overheidsinformatie
kunnen vallen. Van een grondslag voor hergebruik als bedoeld in de verordening, is
pas sprake als de grondslag in kwestie ruimte biedt voor verdere verwerking van de
gegevens voor andere doeleinden dan het oorspronkelijk doel binnen de openbare taak
waarvoor de gegevens zijn geproduceerd. Met andere woorden, als een grondslag er primair
op is gericht om doeleinden van de met een publieke taak belaste instelling te verwezenlijken,
is er geen sprake van hergebruik. Als de grondslag erop is gericht dat de afnemer
van de gegevens grotendeels zelf de doeleinden van die verwerking mag bepalen (ook
als de wet daarvoor wel kaders biedt), is doorgaans wel sprake van hergebruik.
4.1.2 Bevoegde organen voor bijstand met een publieke taak belaste instellingen
In artikel 7, eerste lid, van de verordening wordt de rechtsgrondslag geschapen voor
het aanwijzen van een of meerdere bevoegde autoriteiten. Deze bevoegde autoriteiten
moeten openbare lichamen die een nationale grondslag hebben om toegang met het oog
op hergebruik in het kader van de verordening te verlenen of te weigeren, bijstaan
als zij dat wensen. De bedoelde bijstand staat omschreven in artikel 7, vierde lid,
van de verordening en ziet samengevat op:
• het leveren van technische steun in de vorm van een beveiligde verwerkingsomgeving
voor de gegevens;
• het bieden van richtsnoeren die zien op de structuur en opslag van gegevens;
• technische ondersteuning om de privacy, vertrouwelijkheid, integriteit en toegankelijkheid
van de gegevens te bewaken;
• in voorkomend geval het bijstaan van openbare lichamen wanneer deze hergebruikers
ondersteunen die aan derden toestemming willen vragen om bepaalde gegevens te hergebruiken;
en
• in voorkomend geval het bijstaan van openbare lichamen bij de beoordeling van contractuele
verbintenissen van hergebruikers die gegevens wensen door te sturen naar een derde
land.
De gegevensverwerking vindt plaats onder de verantwoordelijkheid van de met een publieke
taak belaste instelling die verantwoordelijk is voor het register dat de gegevens
bevat (overweging 26 van de verordening).
De verordening geeft de mogelijkheid om meerdere bevoegde organen aan te wijzen, die
zich kunnen beperken tot een sector. Bevoegde organen kunnen aparte organisaties zijn,
of interne afdelingen binnen openbare lichamen (overweging 26 van de verordening).
Het voornemen is om in ieder geval het CBS als bevoegd orgaan aan te wijzen voor wetenschappelijk
en statistisch hergebruik. Het CBS voert andere, statistische, taken uit op grond
van de Wet op het Centraal bureau voor de statistiek. Vanuit die werkzaamheden beschikt
het CBS over veel expertise op het gebied van data, onder meer over het ontsluiten
van data voor statistisch en wetenschappelijk onderzoek op een zodanige wijze dat
de privacy gewaarborgd blijft. In dit kader beschikt het CBS reeds over een beveiligde
verwerkingsomgeving. Het CBS zal voor deze nieuwe taak, de bijstandverlening aan met
een publieke taak belaste instellingen als hierboven genoemd, een aparte, gescheiden
beveiligde verwerkingsomgeving maken voor de gegevens van met een publieke taak belaste
instellingen.
Op basis van de bestaande grondslagen is het CBS aanwijzen voor wetenschappelijk en
statistisch hergebruik voldoende om te voldoen aan de gevraagde bijstand in de verordening.
Indien nieuwe grondslagen voor hergebruik buiten wetenschap en statistiek gecreëerd
worden zullen aanvullende bevoegde organen aangewezen worden krachtens algemene maatregel
van bestuur, waarbij het mogelijk is dat met een publieke taak belaste instellingen
zelf aangewezen worden als bevoegd orgaan.
4.1.3 Centraal Informatiepunt
De verordening stelt in artikel 8 dat een centraal informatiepunt aangewezen moet
worden. Dit informatiepunt bevat relevante informatie over de voorwaarden waaronder
gegevens die onder deze verordening vallen worden gedeeld en de criteria van de berekening
van kosten. Het centraal informatiepunt bevat een overzichtslijst met alle beschikbare
gegevensbronnen. Ook moet een centraal informatiepunt bevoegd zijn om verzoeken tot
informatie of hergebruik van data op basis van deze verordening te ontvangen en door
te zetten naar de relevante met een publieke taak belaste instellingen. De Commissie
richt ook een centraal toegangspunt op waar de gegevens uit de nationale centrale
informatiepunten doorzocht kunnen worden.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties wordt in de Uitvoeringswet
bevoegd om het centraal informatiepunt, bedoeld in artikel 8, eerste lid, van de verordening,
aan te wijzen. De Minister van Binnenlandse Zaken en Koninkrijksrelaties is reeds
opdrachtgever van het Nationale Dataportaal op data.overheid.nl. Daar worden al datasets
aangeboden voor hergebruik, zoals onder de Wet hergebruik overheidsinformatie. Dit
register maakt gebruik van standaarden voor uitwisseling met decentrale en Europese
registers. Het register biedt ook reeds de mogelijkheid dataverzoeken in te dienen,
zoals de verordening ook voorschrijft voor gegevenscategorieën onder deze verordening.
Door ook de gegevens die vallen onder de verordening aan te bieden, ontstaat voor
gebruikers één informatiepunt voor hergebruik van data in handen van publieke lichamen.
Het open dataregister wordt beheerd door het agentschap Logius van het Ministerie
van Binnenlandse Zaken en Koninkrijksrelaties.
4.1.4 Vergoedingen voor hergebruik overheidsgegevens
De verordening stelt dat openbare lichamen onder voorwaarden kosten in rekening mogen
brengen voor het hergebruik van data. Deze in rekening gebrachte vergoedingen moeten
transparant, niet-discriminerend, evenredig en objectief gerechtvaardigd zijn en mogen
niet concurrentiebeperkend zijn. Tevens moeten de kosten afgeleid zijn van de daadwerkelijk
gemaakte kosten voor het beschikbaar maken van de gegevens. De verordening somt daartoe
limitatief op welke handelingen in rekening mogen worden gebracht. De criteria en
de methode voor de berekening van de vergoedingen moeten door de lidstaten worden
vastgesteld en bekendgemaakt. Deze methodiek zal voor de meeste organisaties in een
algemene maatregel van bestuur worden vastgesteld. De Uitvoeringswet creëert hier
de basis voor. Sommige organisaties, zoals het Kadaster, de Kamer van Koophandel en
de RDW, kennen echter al eigen tariefregelingen. Tarieven voor hergebruik als bedoeld
in de verordening kunnen ook in die tariefregelingen worden geregeld, voor zover deze
regelingen in lijn zijn met de tariefregels van de verordening.
Verder wordt opgemerkt dat artikel 25i, eerste lid, van de Mededingingswet buiten
toepassing wordt verklaard op de betreffende vergoedingen. Daarmee wordt zeker gesteld
dat de daarin genoemde verplichting tot het doorberekenen van integrale kosten ook
niet van toepassing is op het aanbieden van gegevens die het bestuursorgaan niet heeft
verkregen in het kader van de uitoefening van zijn publiekrechtelijke bevoegdheden.
Voor gegevens die bestuursorganen wel hebben verkregen in het kader van de uitoefening
van publiekrechtelijke bevoegdheden, was dit al geregeld in artikel 25i, tweede lid,
onderdeel c.
4.2 Aanwijzen bevoegde autoriteiten
4.2.1 Bevoegde autoriteit voor databemiddelingsdiensten
De verordening vereist dat aanbieders van databemiddelingsdiensten zich inschrijven
in een openbaar register. Een bevoegde autoriteit moet dit register beheren conform
artikel 13. Daarnaast moet de aangewezen bevoegde autoriteit toezicht houden op de
naleving van de in hoofdstuk III van de verordening gestelde eisen aan aanbieders
van databemiddelingsdiensten.
De Uitvoeringswet wijst de Autoriteit Consument en Markt (ACM) aan als bevoegde autoriteit
voor databemiddelingsdiensten. Het doel van hoofdstuk III van de verordening is de
totstandkoming van een betrouwbare markt voor databemiddelingsdiensten. Hiervoor is
het belangrijk dat er wordt voorkomen dat de ontwikkeling van de markt voor databemiddelingsdiensten
leidt tot grote concentraties van data bij een beperkt aantal partijen, met concurrentieverstoring
en ongewenste machtsposities als gevolg. Ook dient te worden voorkomen dat de gegevens
van klanten van databemiddelingsdiensten voor andere doeleinden dan overeengekomen
worden gebruikt. De verordening biedt hier de juiste kaders voor.
De ACM is hierbij de geschikte toezichthouder aangezien deze uit de Uitvoeringswet
voortvloeiende taken passen bij de missie van de ACM om markten, in dit geval de markt
voor databemiddelingsdiensten, goed te laten werken. Deze toezichtstaak sluit aan
bij bestaande toezichtstaken van de ACM, zowel inhoudelijk op het gebied van marktregulering
als wanneer het gaat om het bijhouden van registers. Dit betekent dat er expertise
bij de ACM aanwezig is om voldoende toegerust te raken op de nieuwe taken. De ACM
voldoet aan de eisen die in de verordening worden gesteld aan de toezichthouder, met
name als het gaat om onafhankelijkheid. Deze taken lenen zich goed voor toezicht door
een onafhankelijke toezichthouder en doen niets af aan deze onafhankelijkheid. De
ACM kan handhaven door middel van de bestaande bestuursrechtelijke instrumenten.
De verordening biedt in artikel 11, elfde lid, de ruimte aan lidstaten om kosten in
rekening te brengen voor de registratie van een databemiddelingsdienst bij de toezichthouder.
De verordening eist dat deze kosten evenredig, objectief en gebaseerd zijn op de administratieve
kosten voor het toezicht op de naleving en andere relevante markttoezichtsactiviteiten.
Vooralsnog is er voor gekozen om in de Nederlandse context voorlopig geen kosten in
rekening te brengen. Het gaat bij de bepalingen gericht op databemiddelingsdiensten
om een opkomende markt, daarom is het nog onduidelijk wat de effecten van dergelijke
kosten zullen zijn op de ontwikkeling van dienstverlening door databemiddelingsdiensten.
Daarnaast kan nog niet met zekerheid worden ingeschat welke kosten het toezicht op
dergelijke diensten met zich mee zal brengen voor de toezichthoudende autoriteit.
Ook is het nog niet zeker of andere lidstaten dergelijke kosten in rekening zullen
brengen die mogelijk een gelijk speelveld op de interne markt kunnen beïnvloeden.
Het is echter niet uit te sluiten dat in de toekomst het in rekening brengen van kosten
gewenst kan zijn. Daarom geeft de Uitvoeringswet de mogelijkheid om middels een algemene
maatregel van bestuur de kosten voor registratie in rekening te brengen bij de databemiddelingsdiensten.
Een eventueel besluit hiertoe zal worden gemaakt op basis van de Europese- en marktontwikkelingen
en in overleg met de toezichthouder.
4.2.2 Bevoegde autoriteit voor data-altruïsme
De verordening creëert een keurmerk voor data-altruïstische organisaties. In artikel 23
vereist de verordening dat voor deze registratie een openbaar nationaal register moet
komen bij een bevoegde autoriteit. De verordening stelt in artikel 24 ook dat de aangewezen
bevoegde autoriteit toezicht houdt op de naleving van de in hoofdstuk IV gestelde
eisen aan erkende organisaties voor data-altruïsme.
Het doel van hoofdstuk IV is om door het erkennen van organisaties voor data-altruïsme
het vertrouwen in datadelen te verhogen. Organisaties voor data-altruïsme kunnen een
Europees label krijgen indien ze aan bepaalde voorwaarden voldoen, zoals het opereren
zonder winstoogmerk. De verwachting is dat door het vertrouwen dat hierdoor ontstaat
deze organisaties beter en meer data kunnen ontvangen die vervolgens kunnen worden
gebruikt voor het algemeen belang.
De Uitvoeringswet wijst de ACM aan als bevoegde autoriteit voor data-altruïsme. De
ACM heeft veel ervaring en expertise rondom consumentenbescherming en het beschermen
tegen oneerlijke praktijken. Deze ervaring is relevant om effectief toezicht te houden
op organisaties voor data-altruïsme. Hoewel data-altruïstische organisaties niet commercieel
zijn, sluit het toezicht hierop toch aan bij de missie van de ACM om markten goed
te laten functioneren, waarbij in het geval van data-altruïsme toezicht gehouden wordt
op de onafhankelijkheid van deze organisaties. De verwachte activiteiten voor toezicht
op data-altruïsme zijn relatief gering. Door de toezichthouder op databemiddelingsdiensten
ook aan te wijzen als toezichthouder op data-altruïsme worden onnodige overheadkosten
vermeden en wordt synergie gecreëerd. Hierbij kan op de expertise van het toezicht
op databemiddelingsdiensten worden voortgebouwd. Ook kan een sterke kennispositie
opgebouwd worden, dit is minder het geval wanneer toezicht versnipperd wordt over
meerdere toezichthouders. Deze taken lenen zich goed voor toezicht door een onafhankelijke
toezichthouder en doen niets af aan deze onafhankelijkheid. De ACM kan handhaven door
middel van de bestaande bestuursrechtelijke instrumenten.
4.2.3 Bevoegde autoriteit voor toezicht op internationale datastromen
De verordening vereist in artikel 34 onder meer dat lidstaten sancties vaststellen
voor inbreuken op de verplichtingen inzake doorgifte van niet-persoonsgebonden gegevens
aan derde landen op grond van artikelen 5, veertiende lid, en 31 van de verordening.
Lidstaten moeten alle nodige maatregelen nemen om ervoor te zorgen dat die sancties
worden uitgevoerd. Dit betekent dat er ook een autoriteit toezicht houdt op het voorkomen
van de internationale doorgifte van of toegang tot in de Europese Unie bijgehouden
niet-persoonsgebonden data, wanneer deze doorgifte of toegang strijdig is met Europese
of nationale wetgeving. Dit toezicht heeft betrekking op natuurlijke personen en rechtspersonen
die op basis van hoofdstuk 2 van de verordening data hergebruiken, databemiddelingsdiensten
en data-altruïstische organisaties.
Om het toezicht op deze organisaties op een efficiënte manier vorm te geven en onnodige
procedures te voorkomen is ervoor gekozen om de bevoegde autoriteit voor databemiddelingsdiensten
en data-altruïstische organisaties ook bevoegd te maken voor toezicht op deze organisaties
als het gaat om de bepalingen in artikel 31 van de verordening. Dit houdt in dat de
ACM hierop toeziet voor deze organisaties. Op deze manier is er één aanspreekpunt,
wat versnippering van toezicht voorkomt.
4.3 Toezicht en handhaving
4.3.1 Bevoegdheden ACM als bevoegde autoriteit
In artikelen 14 en 24 van de verordening worden de taken en bevoegdheden van de bevoegde
autoriteit voor databemiddelingsdiensten en de bevoegde autoriteit voor data-altruïsme
beschreven. Deze bevoegde autoriteiten hebben de bevoegdheid om relevante informatie
op te vragen. Als de bevoegde autoriteit van oordeel is dat een aanbieder van databemiddelingsdiensten
respectievelijk de data-altruïstische organisatie niet voldoet aan de verordening
dan stelt zij die organisatie daarvan in kennis en geeft 30 dagen na ontvangst van
de kennisgeving om een standpunt kenbaar te maken. De bevoegde autoriteit kan eisen
dat een inbreuk wordt gestopt en neemt passende en evenredige maatregelen met het
oog op het garanderen van de naleving. Ten aanzien van databemiddelingsdiensten is
de toezichthouder waar passend bevoegd om sancties inclusief dwangsommen op te leggen
en de verlening van de databemiddelingsdienst uit te stellen of te schorsen. Bij ernstige
of herhaalde inbreuken wordt geëist de verlening van de databemiddelingsdienst te
stoppen en wordt de aanbieder van de databemiddelingsdienst door de Commissie geschrapt
uit het register. Organisaties voor data-altruïsme die na kennisgeving door de bevoegde
autoriteit niet voldoen aan de verordening verliezen het recht om het label te gebruiken
en worden verwijderd uit de registers.
De toezichthoudende ambtenaren van de ACM beschikken op grond van titel 5.2 van de
Algemene wet bestuursrecht (Awb) over een aantal standaardbevoegdheden die zij kunnen
inzetten bij het uitoefenen van hun toezichtstaak op grond van de Uitvoeringswet.
De bevoegdheid tot het vorderen van informatie (artikelen 14, tweede lid, en 24, tweede
lid, van de verordening) komt overeen met de bevoegdheid tot het vorderen van inlichtingen
(artikel 5:16 van de Awb).
De Instellingswet ACM kent de ACM een aantal handhavingsbevoegdheden toe in het kader
van het toezicht op en de handhaving van de wettelijke voorschriften waarmee de ACM
is belast. Het betreft onder meer de bevoegdheid tot het bindend verklaren van een
toezegging (artikel 12h van de Instellingswet ACM) en het opleggen van een bindende
aanwijzing (artikel 12j van de Instellingswet
ACM), waarbij concreet wordt aangegeven wat er van de normadressaat wordt gevraagd
ter nakoming van de open norm. De ACM zal deze bevoegdheden ook kunnen inzetten ten
behoeve van de uitvoering van haar taken op grond van de Uitvoeringswet, wanneer dat
verheven is tot wet. De bevoegdheid daartoe vloeit rechtstreeks voort uit de Instellingswet
ACM en er bestaat derhalve geen noodzaak om daarover iets te regelen in onderhavige
Uitvoeringswet.
4.3.2 Sanctionering
Om handhaving van de verordening effectief te maken vereist de verordening een vaststelling
van sancties bij het overtreden van de verordening. In artikel 8 van de Uitvoeringswet
wordt hiervoor een rechtsgrondslag gecreëerd. Sanctionering op het gebied van het
hergebruik van beschermde gegevenscategorieën, ziet specifiek op het verbod van artikel 5,
veertiende lid, van de verordening. De ACM kan sancties opleggen aan personen of organisaties
die dergelijke gegevens doorgeven aan derde landen die niet voldoen aan de eisen van
artikel 5, tiende tot en met twaalfde lid, van de verordening. Rondom het toezicht
op databemiddelingsdiensten en data-altruïsme krijgt de ACM de bevoegdheid om sancties
op te leggen bij overtreding van de relevante onderdelen van de verordening.
De hoogte van de boete sluit aan bij de bestaande praktijk rondom bestuurlijke boetes.
Voor een overtreding kan door de ACM een bestuurlijke boete worden opgelegd van ten
hoogste het bedrag dat is vastgesteld voor de zesde categorie, bedoeld in 23, vierde
lid, van het Wetboek van Strafrecht of, indien dat meer is, 10% van de jaaromzet van
de overtreder. Voor de hoogte van de maximale boete wordt aangesloten bij de huidige
boetebepalingen in de Telecommunicatiewet, welke wet kan worden gezien als aangrenzend
rechtsgebied gelet op de taken voor de ACM op het terrein van digitalisering. Er wordt
(tijdelijk) afgeweken van de Telecommunicatiewet boetes doordat die wet betrekking
heeft op een bestuurlijke boete van en hoogste € 900.000 en (nog) niet aansluit op
de boete categorieën uit het wetboek van Strafrecht. De Telecommunicatiewet is namelijk
nog niet in overeenstemming met het ongevraagde Raad van State advies over sanctiestelsels
(Stcrt. 2015, 30280) en het nader rapport van het kabinet (Stcrt. 2018, 31269). Dit wordt aangepast met het de beoogde Wet stroomlijning bestuurlijke boetemaxima
en termijnen en is vooruitlopend daarop al verwerkt in dit wetsvoorstel.
4.4 Samenwerking ACM en AP
Hoewel de verordening geen afbreuk doet aan andere relevante wetgeving (zie ook paragraaf 5),
kunnen toezichtstaken op basis van die wetgeving aanpalend zijn aan toezichttaken
voortkomend uit deze verordening. In het bijzonder is het mogelijk dat data die door
met een publieke taak belaste instellingen, databemiddelingsdiensten en data-altruïstische
organisaties wordt ontvangen, beheerd of gedeeld ook persoonsgegevens betreffen. In
dat geval houdt de Autoriteit Persoonsgegevens (AP) toezicht op basis van Algemene
verordening gegevensbescherming (AVG) naast het toezicht door de ACM op basis van
de verordening. Om deze toezichtstaken effectief uit te kunnen voeren kan samenwerking
tussen de aangewezen toezichthouder, in dit geval de ACM, en de AP noodzakelijk zijn.
De verordening bepaalt expliciet dat de bevoegdheden van de voor databemiddelingsdiensten
bevoegde autoriteiten geen afbreuk doen aan de bevoegdheden van de gegevensbeschermingsautoriteiten,
de nationale mededingingsautoriteiten, de autoriteiten die bevoegd zijn voor cyberbeveiliging
en andere relevante sectorale autoriteiten. Die autoriteiten bouwen een nauwe samenwerking
op en wisselen informatie uit, zoals nodig voor de uitoefening van hun taken in verband
met aanbieders van databemiddelingsdiensten, en streven er naar dat de bij de toepassing
van deze verordening genomen besluiten consistent zijn. Daarnaast bepaalt de verordening
dat de voor de registratie van organisaties voor data-altruïsme bevoegde autoriteit
van een lidstaat zijn taken uitvoert in samenwerking met de relevante gegevensbeschermingsautoriteit
indien die taken verband houden met de verwerking van persoonsgegevens, en met de
relevante sectorale autoriteiten van die lidstaat.
Om deze samenwerking te bewerkstellingen wordt een samenwerkingsprotocol opgesteld
voor de samenwerking bij deze verordening. Daarnaast vraagt de ACM de AP om advies
over de vraag of een aanbieder van databemiddelingsdiensten (indien een aanbieder
de ACM verzoekt om bevestiging dat deze voldoet aan de voorwaarden uit artikelen 11
en 12 van de verordening) of een erkende organisatie voor data-altruïsme (indien deze
een aanvraag tot registratie indient in de zin van artikel 19 van de verordening)
die persoonsgegevens verwerkt aan voorwaarden uit de verordening voldoet. De ACM moet
beoordelen of een databemiddelingsdienst of geregistreerde data-altruïstische organisatie
(naar verwachting) zal voldoen aan de eisen die de verordening aan de betreffende
organisatie stelt. Aangezien de AP echter de toezichthouder is op de AVG, is de AP
de aangewezen organisatie om advies te geven met betrekking tot die voorwaarden uit
de verordening die verband houden met de bescherming van persoonsgegevens. Zo staan
in de verordening voorwaarden die betrekking hebben op doelbinding, toestemming, gegevensbeschermingsrechten
van betrokkenen en de informatieplicht richting betrokkene (artikelen 12, onderdelen
e, h, m en n, 21, eerste en derde lid, en 22, eerste lid, onderdelen a en b, van de
verordening). Door de advisering van de AP is de ACM beter geïnformeerd over de vraag
of een aanbieder voldoet aan deze voorwaarden. Daarmee wordt voorkomen dat een databemiddelingsdienst
of geregistreerde data-altruïstische organisatie aan de slag gaat, terwijl op voorhand
al duidelijk is dat zij (waarschijnlijk) in strijd met de verordening zullen handelen
ten aanzien van de bescherming van persoonsgegevens.
Het betreffende advies komt overigens niet in de plaats van het normale toezicht dat
de AP uitvoert en ontslaat de databemiddelingsdienst of geregistreerde data-altruïstische
organisatie ook niet van diens verplichtingen onder de AVG.
5. Verhouding tot ander recht
De verordening sluit aan bij bestaande wetgeving waarin rechten omtrent gegevens worden
beschermd, zoals de AVG, en verandert niets aan de werking hiervan. Hieronder wordt
nader in gegaan op specifieke kaders.
5.1 Bescherming van persoonsgegevens, AVG
De verordening doet geen afbreuk aan Unieregelgeving zoals de Algemene Verordening
Gegevensverwerking (AVG)7, en nationale regelgeving met betrekking tot de bescherming van persoonsgegevens.
Bij verwerking van persoonsgegevens is de regelgeving met betrekking tot persoonsgegevens
altijd van toepassing en bij tegenstrijdigheid met de verordening prevaleert de regelgeving
met betrekking tot persoonsgegevens. Dit geldt ook voor de situatie waarin persoonsgegevens
en andere gegevens in een gegevensverzameling onlosmakelijk met elkaar verbonden zijn.
Omdat de AVG onverminderd van toepassing is, wordt ook de definitie van persoonsgegevens
uit de AVG gehanteerd en volgt het onderscheid tussen persoonsgegevens en niet-persoonsgegevens
uit deze definitie. De Autoriteit Persoonsgegevens is de toezichthouder met betrekking
tot persoonsgegevens op basis van de AVG, en blijft dat.
Omdat de AVG volledig van toepassing is, is ook het beginsel van doelbinding, zoals
verwoord in artikel 5, eerste lid, onderdeel b, van de AVG, volledig van toepassing.
Dit beginsel houdt in dat gegevens alleen voor welbepaalde, uitdrukkelijk omschreven
en gerechtvaardigde doeleinden mogen worden verzameld en vervolgens niet verder op
een met die doeleinden onverenigbare wijze mogen worden verwerkt. Dit beginsel is
in het bijzonder van belang in relatie tot het hergebruik uit hoofdstuk II van de
verordening. Hergebruik ziet juist op het gebruik van gegevens voor andere doeleinden
dan het oorspronkelijk doel binnen de openbare taak waarvoor de gegevens zijn geproduceerd.
Om te bepalen of het hergebruik van bepaalde gegevens in lijn is met de AVG, zal een
met een publieke taak belaste instelling de verwerking dus moeten toetsen aan het
doelbindingsbeginsel. Wanneer het hergebruik ziet op archivering in het algemeen belang,
wetenschappelijk of historisch onderzoek of statistische doeleinden, is op grond van
artikel 5, eerste lid, onderdeel b, van de AVG in ieder geval geen sprake van onverenigbaarheid.
Voor andere vormen van hergebruik zal artikel 6, vierde lid, van de AVG moeten worden
toegepast. Hergebruik op basis van toestemming van de betrokkene of op basis van een
Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische
samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de
in artikel 23, eerste lid, van de AVG bedoelde doelstellingen, levert volgens die
bepaling ook geen strijd op met het beginsel van doelbinding. Als het hergebruik een
andere basis heeft, zal moeten worden getoetst of dat valt te verenigen met de oorspronkelijke
verzameling. Daarbij moet onder meer rekening worden gehouden met ieder verband tussen
de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de
voorgenomen verdere verwerking, het kader waarin de persoonsgegevens zijn verzameld,
de aard van de persoonsgegevens, de mogelijke gevolgen van de voorgenomen verdere
verwerking voor de betrokkenen en het bestaan van passende waarborgen. Als ook die
toets negatief uitvalt, zal de met een publieke taak belaste instelling op zoek moeten
naar een andere afzonderlijke rechtsgrond dan die op grond waarvan de verzameling
van persoonsgegevens werd toegestaan. Daarbij wordt nogmaals benadrukt dat de verordening
zelf dergelijke grondslagen niet in het leven roept, maar dat er wel enkele bestaande
grondslagen zijn in het Nederlands recht (zie paragraaf 4.1.1). Die artikelen bepalen
vervolgens voor welke taken en doeleinden de verdere verwerking als rechtmatig en
verenigbaar met de aanvankelijke doeleinden moet worden beschouwd. Indien het hergebruik
bij die doeleinden aansluiting vindt, is die verwerking niet onverenigbaar. Indien
daarbij geen aansluiting kan worden gevonden, is hergebruik van persoonsgegevens niet
mogelijk. Een met een publieke taak belaste instelling kan er overigens ook voor kiezen
om de gegevens in kwestie te anonimiseren, alvorens hergebruik daarvan toe te staan.
In dat geval zijn de gegevens geen persoonsgegevens meer en is de AVG niet meer van
toepassing. Ten overvloede wordt opgemerkt dat gegevens die onder de Wet politiegegevens
en de Wet justitiële en strafvorderlijke gegevens vallen, niet onder de AVG vallen,
maar dat beide wetten wel hun eigen vorm van doelbinding kennen.
5.2 Hergebruik van overheidsinformatie
Hoofdstuk II van de verordening en de Wet hergebruik van overheidsinformatie (hierna:
Who), zien beiden op hergebruik van overheidsgegevens. Het gaat daarbij echter om
verschillende soorten gegevens en verschillende vormen van hergebruik. De Who en haar
aankomende herziening, die is gebaseerd op de open data richtlijn (Richtlijn 2019/1024/EU),
zien op hergebruik van niet-gevoelige, openbare gegevens, die ook wel «open data»
worden genoemd. Open data zijn dusdanig ongevoelig dat openbare verspreiding en hergebruik
daarvan niet of nauwelijks aan beperkingen hoeft te worden onderworpen. Veel gegevens
zijn echter te gevoelig om zomaar openbaar te maken en/of voor alle doeleinden te
gebruiken. Zij zijn niet geschikt als open data en daarom uitgesloten van hergebruik
onder de Who. Een deel van die gegevens is zelfs zo gevoelig dat de kring van personen
die daartoe toegang hebben zo klein mogelijk moet worden gehouden. Denk daarbij bijvoorbeeld
aan informatie die, als zij in verkeerde handen zou vallen, de veiligheid van de Staat
zou kunnen schaden. Voor een ander deel van de gegevens geldt echter dat hergebruik
onder de Who niet mogelijk is, maar dat tegelijkertijd niet elke vorm van hergebruik
verboden hoeft te blijven. Hoofdstuk II van de verordening biedt een raamwerk waarbinnen
deze gegevens, onder bepaalde beschermende omstandigheden, alsnog kunnen worden hergebruikt.
Hoofdstuk II van de verordening is daarmee dus een aanvulling op de open data richtlijn.
Specifiek heeft hoofdstuk II van de verordening betrekking op gegevens die zijn beschermd
onder het handelsgeheim, statistisch geheim, de bescherming van intellectuele eigendomsrechten
van derden, of de bescherming van persoonsgegevens, voor zover die buiten het toepassingsgebied
van de Open data richtlijn vallen. Gegevens die zijn beschermd onder het handelsgeheim
of statistisch geheim, zijn in principe niet openbaar. Om onder de werking van de
Who te vallen, moeten gegevens juist wel openbaar zijn. Tevens moeten daarvoor geen
door intellectuele eigendomsrechten van derden op hen van toepassing zijn en moeten
zij geen betrekking hebben op openbare persoonsgegevens waarvan hergebruik onverenigbaar
is met de doeleinden waarvoor ze zijn verkregen. Om onder hoofdstuk II van de verordening
te vallen, moeten gegevens dus aan een aantal voorwaarden voldoen die tegengesteld
zijn aan de voorwaarden om onder de Who te vallen. De Who en hoofdstuk II van de verordening
kunnen daardoor nooit tegelijkertijd van toepassing zijn.
Om te bepalen of gegevens (in theorie) onder de werking van hoofdstuk II van de verordening
kunnen vallen, kan ofwel direct worden gekeken of de gegevens in kwestie zijn onder
te brengen in één of meer van de vier genoemde categorieën, ofwel eerst worden nagelopen
of de gegevens onder de werking van de Who vallen. Aangezien de Who een recht op hergebruik
in het leven roept, terwijl de verordening slechts kaders schept en de nationale grondslagen
voor hergebruik onder de verordening veel beperkter zijn, ligt het in de rede dan
een beoogd hergebruiker in eerste instantie een hergebruikverzoek onder de Who indient.
Eventueel kan deze belanghebbende het verzoek aanvullen met een subsidiair verzoek
via de verordening, in samenhang met de betreffende nationale grondslag, maar dat
heeft uiteraard alleen kans van slagen als de belanghebbende aan de relevante voorwaarden
voldoet en de nationale grondslag in kwestie ver genoeg reikt.
In de praktijk werkt de Who vaak in samenhang met de Woo. Openbaarheid is immers een
voorwaarde voor toepassing van de Who en de Woo is de belangrijkste wet die de openbaarmaking
van overheidsgegevens regelt. Daargelaten dat er ook veel gegevens in (deels) openbare
registers openbaar zijn, op basis van de grondslag die de werking van het register
in kwestie regelt. Als gegevens dus niet al openbaar zijn, doet een belanghebbende
er in de regel goed aan om een Woo-verzoek in te dienen, gecombineerd met een Who-verzoek.
Artikel 2.4, derde lid, onderdeel a, van de Woo verplicht de overheid overigens al
om gegevens ook zoveel mogelijk in herbruikbare vorm aan te bieden, maar door middel
van een Who-verzoek, wordt dat afdwingbaar. Mocht dat Woo- en/of Who-verzoek (gedeeltelijk)
worden afgewezen, dan kan de belanghebbende ervoor kiezen om alsnog een beroep te
doen op hergebruik als bedoeld in de verordening. Wederom: dat heeft alleen kans van
slagen als de belanghebbende iemand is die een beroep kan doen op een toepasselijke
nationale grondslag. Op het moment van schrijven, zijn alleen nationale grondslagen
bekend die betrekking hebben op mensen met een bijzondere onderzoeksfunctie, zoals
wetenschappers en journalisten. Daarnaast hebben al deze grondslagen eigen toegangscriteria
en zijn ze vrijblijvend van aard. Hergebruik kan op die manier dus niet worden afgedwongen.
5.3 Bescherming van intellectuele-eigendomsrechten
Volgens overwegingen 17 en 18 bij de verordening doet deze verordening geen afbreuk
aan de intellectueleeigendomsrechten van derde partijen. Zij mag evenmin gevolgen
hebben voor het bestaan of bezit van intellectuele-eigendomsrechten van openbare lichamen
en mag geen enkele beperking inhouden voor de uitoefening van die rechten. De overeenkomstig
deze verordening opgelegde verplichtingen zijn alleen van toepassing indien zij verenigbaar
zijn met de internationale overeenkomsten en met het Unierecht of het nationale recht
inzake intellectuele eigendom. Openbare lichamen dienen evenwel hun auteursrechten
op dusdanige wijze uit te oefenen dat hergebruik wordt gefaciliteerd. Gegevens die
onderworpen zijn aan intellectueleeigendomsrechten of die bedrijfsgeheimen bevatten,
mogen alleen aan een derde partij worden doorgegeven indien dat is toegestaan krachtens
het Unierecht of het nationale recht of mits de rechthebbende daarmee instemt. Openbare
lichamen die over het recht van de producent van een databank beschikken als bedoeld
in artikel 7, eerste lid, van de Databankrichtlijn8, mogen dat recht niet uitoefenen om hergebruik van gegevens te voorkomen of meer
te beperken dan bepaald in deze verordening.
5.4 Digitalemarktenverordening (DMA), Digitalediensteverordening (DSA), Artificiële
intelligentie verordening (AI Act) en Dataverordening (DA)
In ongeveer dezelfde tijdspanne heeft de Europese Commissie naast de verordening nog
een reeks andere voorstellen voor Europese verordeningen op het terrein van de digitale
economie gedaan. De verordening heeft een andere reikwijdte en ziet op andere normadressaten
dan deze verordeningen.
Zo bevat de digitalemarktenverordening (Digital Markets Act; hierna DMA) regels voor
de allergrootste online platforms. Deze platforms kwalificeren door hun aanzienlijke
marktpositie als zogenoemde poortwachters. Zakelijke gebruikers of eindgebruikers
kunnen vanwege die marktpositie niet of nauwelijks meer om poortwachters heen. Doel
van deze verordening is om gebruikers van poortwachters beter te beschermen en te
zorgen voor beter werkende digitale markten. Dit doet de DMA middels een reeks verplichtingen
en verboden voor poortwachters zoals een verbod om eigen diensten voor te trekken
op het eigen platform en beperkingen op het gebruik van persoonsgegevens. Een poortwachter
kan zowel onder de verordening (bijvoorbeeld als er een databemiddelingsdienst qua
grootte aan de eisen van de DMA voldoet) als de DMA vallen maar de eisen uit de verordeningen
zijn complementair aan elkaar. Het toezicht op de DMA wordt door de Europese Commissie
zelf gedaan. Nationale Autoriteiten hebben geen rol bij de handhaving, maar ondersteunen
de Commissie bij het toezicht op de naleving van de verordening. Op het moment van
schrijven lijken er in Nederland nog geen bedrijven te zijn die onder beide verordeningen
zullen vallen.
De digitaledienstenverordening (Digital Services Act; hierna: DSA) harmoniseert de
regels die van toepassing zijn op zogenaamde aanbieders van «tussenhandeldiensten»,
waaronder online platforms, online marktplaatsen, sociale mediadiensten en internetaanbieders.
De DSA heeft als doel te zorgen voor een veilige, voorspelbare en betrouwbare online
omgeving, waarin de verspreiding van illegale online-inhoud en de maatschappelijke
risico’s die de verspreiding van desinformatie of andere inhoud met zich kunnen brengen,
worden aangepakt en waarin de grondrechten doeltreffend worden beschermd en innovatie
wordt vergemakkelijkt. Daartoe bevat de DSA enerzijds een kader voor de aansprakelijkheid
van aanbieders van tussenhandeldiensten voor door hun gebruikers verstrekte informatie
en anderzijds een aantal zorgvuldigheidsverplichtingen waar deze aanbieders aan moeten
voldoen bij het verlenen van hun diensten. Tussenhandeldiensten vallen, blijkens artikel 3,
onderdeel g, van de DSA, uiteen in «mere conduit»-, «caching»-, en «hosting» diensten.
Online platforms zijn een subcategorie van hostingdiensten, bestaande uit het op verzoek
van een afnemer opslaan van informatie en verspreiden bij het publiek. Databemiddelingsdiensten
worden in de DSA niet expliciet genoemd als voorbeeld van een mogelijke tussenhandeldienst.
Wel worden diensten die het online delen van informatie en inhoud mogelijk maken,
waaronder het opslaan en delen van bestanden, in de overwegingen genoemd als voorbeeld
van mogelijke «hostingdiensten». Of een specifieke dienst kwalificeert als tussenhandeldienst,
hangt af van de technische functies ervan, die in de loop van de tijd kunnen evolueren,
en moet per geval worden beoordeeld. Het is daarom niet uit te sluiten dat (sommige)
databemiddelingsdiensten ook onder de DSA zullen vallen. Hetzelfde geldt voor organisaties
voor data-altruïsme. In dat geval zijn de zorgvuldigheidsverplichtingen uit de DSA,
die zich onder meer richten op het terugdringen van de verspreiding van illegale inhoud,
complementair aan de eisen van de verordening die eisen stelt aan het proces van datadeling
als zodanig, dus ongeacht de inhoud van deze data.
De Artificiële Intelligentie verordening (Artificial Intelligence Act; hierna AI Act)
is op het moment van schrijven van deze toelichting een voorstel voor een verordening
waarover de onderhandelingen nog lopen. Het voorstel bevat geharmoniseerde regels
voor het in de handel brengen en het gebruik van AI-systemen in de Unie volgens een
risicogebaseerde aanpak op basis van risico’s voor gezondheid, veiligheid en fundamentele
rechten. Er wordt voorgesteld bepaalde AI-praktijken te verbieden vanwege onaanvaardbaar
risico. Andere AI-systemen worden geclassificeerd als hoog-risico en zullen moeten
voldoen aan een reeks dwingende voorschriften. Voor sommige specifieke AI-systemen
worden alleen transparantieverplichtingen voorgesteld. In het algemeen ondersteunt
het doel van de verordening het doel van de AI Act om innovatie met AI mogelijk te
maken door data op een vertrouwde manier beschikbaar te maken. Het is mogelijk dat
een databemiddelingsdienst gebruik gaat maken van AI en daarmee onder de AI Act kan
vallen. Echter een databemiddelingsdienst mag alleen gebruik maken van de via hen
gedeelde data indien de data worden gebruikt voor de verbetering van de datadeeldienst.
Het is dus verboden voor een databemiddelingsdienst om data te gebruiken voor het
ontwikkelen van een AI-systeem wat voor andere doeleinden wordt gebruikt dan het delen
van data via de databemiddelingsdienst. Hier zorgt de verordening voor een aanvullende
beperking van het gebruik van AI-systemen door databemiddelingsdiensten. Voor organisaties
voor data-altruïsme is het wel mogelijk dat data wordt gebruikt voor de ontwikkeling
van AI-systemen maar moet dit in het kader zijn van het gespecificeerde doel van algemeen
belang. Ook hier is dus een aanvullende beperking op hoe de data mag worden gebruikt
voor de ontwikkeling van AI-systemen indien een organisatie het vrijwillige label
van in de EU-erkende organisatie voor data-altruïsme wil ontvangen.
De dataverordening (hierna: Data Act) is een Europese verordening die nauw aansluit
bij de doelen van de verordening. Deze verordening komt ook voort uit de Europese
datastrategie, op het moment van schijven zijn de onderhandelingen afgerond maar moet
de definitieve tekst nog gepubliceerd worden. De Data Act heeft onder meer als doel
om zowel particulieren als bedrijven meer controle geven over hun data dankzij de
creatie van gebruiks- en toegangsrechten voor gebruikers waar de data worden gegenereerd
door het gebruik van slimme objecten, machines en apparaten. De Data Act geeft consumenten
en bedrijven meer zeggenschap over wat er kan worden gedaan met de data die door hun
gebruik van verbonden producten worden gegenereerd. Daarnaast legt de Data Act regels
vast voor concurrentie op de markt voor clouddiensten en regelt ze verschillende zaken
met betrekking tot data-interoperabiliteit. De verhouding tussen de twee verordeningen
is op hoofdlijnen als volgt: de verordening gaat over het kader voor het delen van
data waarbij wordt verondersteld dat het duidelijk is wie mag beslissen welke data
mag worden gedeeld en met wie dit mag. e Data Act reguleert wie de zeggenschap krijgt
over de data en vult daarmee een deel van de veronderstelling van de verordening in.
Daarnaast is er overlap tussen de verordeningen omdat ze beiden spreken over datahouders
en omdat het in de verordening opgerichte Europees Comité voor gegevensinnovatie ook
taken krijgt op basis van de Data Act. De rechten en plichten uit beide verordening
overlappen echter niet. Daarnaast staan zowel in de verordening als de Data Act bijna
dezelfde voorwaarden ten aanzien van internationale toegang en doorgifte van data.
Hierdoor is er een consistent wetgevend kader voor internationale datastromen op basis
van beide verordeningen.
6. Gevolgen
Op het moment van publicatie van deze wet zijn er in Nederland nog weinig concrete
casussen bekend waarop de verordening directe gevolgen heeft. Zo zijn er nog geen
bezwaren binnen gekomen van exclusieve overeenkomsten tussen overheden en derde partijen
rondom beschermde categorieën van data. Ook zijn er nog maar weinig organisaties die
als databemiddelingsdienst of als organisatie voor data-altruïsme onder de verordening
kunnen worden aangemerkt in Nederland. De onmiddellijke gevolgen zullen dus beperkt
zijn. Dit sluit ook aan bij de redenatie van de Europese Commissie dat met deze wetgeving
wordt geanticipeerd op ontwikkelende trends en dat de wet zelf ook tot doel heeft
om bepaalde marktontwikkelingen te stimuleren. Voor databemiddelingsdiensten en organisaties
voor data-altruïsme is het de intentie van de Europese Commissie om het ontstaan van
deze organisaties te stimuleren en te voorkomen dat de markt op een dusdanige manier
ontwikkeld dat er onwenselijke concentraties en gebruik van data ontstaat.
6.1 Regeldruk
De Uitvoeringswet heeft geen directe financiële gevolgen voor bedrijven, consumenten
en niet-gouvernementele organisaties. De verordening laat slechts beperkte beleidsruimte
aan lidstaten en deze wordt in de uitvoeringswet restrictief ingevuld. Nederland is
vooralsnog niet voornemens om nationale regelingen te treffen voor data-altruïsme
(artikel 16). Daarnaast maakt Nederland vooralsnog geen gebruik van de ruimte om kosten
in rekening brengen voor het registreren als databemiddelingsdienst (artikel 11).
Wel wordt de mogelijkheid geschapen om eventueel via een algemene maatregel van bestuur
deze kosten in rekening te brengen, de gevolgen voor regeldruk zullen op dat moment
in kaart worden gebracht. Daardoor voegt de uitvoeringswet geen extra regeldruk toe.
De verordening zorgt wel voor een toegenomen regeldruk. De Europese Commissie heeft
in haar impact assessment een analyse gegeven voor de gevolgen voor regeldruk van
de verordening op de gehele Europese Unie.9 In een eerder – strengere – versie van het voorstel raamde de Commissie de kosten
op voor databemiddelingsdiensten op eenmalig € 35.000–€ 75.000 en jaarlijks € 20.000–€ 50.000,
het uiteindelijke voorstel is minder streng en zal naar verwachting tot significant
minder kosten leiden.
De regeldruk die voortkomt uit de verplichte registratie van databemiddelingsdiensten
is naar verwachting zeer laag omdat het gaat om het verstrekken van handelsregistratiegegevens,
contactgegevens, beschrijving van de te leveren dienst, startdatum van de bedrijfsactiviteit
en de lidstaat waarin de dienstverlener van plan is de diensten te gaan leveren. De
eisen waaraan de databemiddelingsdienst moet voldoen kunnen meer gevolgen hebben voor
regeldruk aangezien dienstverleners maatregelen moeten nemen om de neutraliteit van
de data-bemiddelingsdienst te garanderen, waaronder het opzetten van een aparte juridische
entiteit en technische maatregelen om de veiligheid van data te garanderen. Aangezien
het om een opkomende markt gaat en er momenteel nog weinig databemiddelingsdiensten
bestaan is het lastig in te schatten voor hoeveel bedrijven in Nederland dit gevolgen
gaat hebben. Dit is ook afhankelijk van de specifieke bedrijfsmatige situatie: gaat
het om bestaande bedrijven die deze dienst gaan aanbieden of om bedrijven die worden
opgericht om in het bijzonder deze diensten aan te bieden.
Ten aanzien van data-altruïsme stelt het impact assessment bij de verordening dat
de kosten voor het verkrijgen van het Europese label tussen € 25.000–€ 50.000 liggen
en voor het behouden tussen de € 20.000–€ 35.000 per jaar ligt. Het gaat hier om een
vrijwillig label. Het is momenteel niet in te schatten hoeveel organisaties hier gebruik
van willen maken en de regeldruk hiervan kan niet worden vastgesteld.
Ook het hoofdstuk over hergebruik gaat uit van de vrijwillige keuze van hergebruikers
om een verzoek in te dienen. Met deze verordening wordt dit wel makkelijker en toegankelijker
gemaakt, zoals het inrichten van één centraal informatiepunt. Gemaakte kosten van
het behandelen van een verzoek om hergebruik, kunnen door overheidsorganisaties bij
hergebruikers in rekening worden gebracht. Het is momenteel nog niet in te schatten
hoeveel hier gebruik van zal worden gemaakt en de regeldruk hiervan kan niet worden
vastgesteld
Het ATR heeft het voorstel niet geselecteerd voor een formeel advies, omdat het geen
gevolgen voor de regeldruk heeft.
6.2 Gevolgen voor overheidsorganisaties
Ook voor overheidsorganisaties geldt dat de belangrijkste gevolgen direct voortvloeien
uit de verordening zelf. De gevolgen van de Uitvoeringswet zitten voornamelijk in
het feit dat er enkele organisaties worden aangewezen die een taak krijgen, of grondslagen
worden gemaakt om dat op een lager niveau te doen. Het voornemen is om het CBS aan
te wijzen als bevoegd orgaan als bedoeld in artikel 7, eerste lid, voor zover bijstand
moet worden verleend voor wetenschappelijke of statistische doeleinden. Of er daarnaast
nog andere bevoegde organen nodig zijn, wordt op het moment van schrijven nog onderzocht.
Logius zal naar verwachting het centraal informatiepunt in stand moeten houden. En
de ACM zal toezicht moeten houden op de naleving van de regels die zien op internationale
doorgifte van gegevens en de overige regels waar databemiddelingsdiensten en (erkende)
organisaties voor data-altruïsme zich aan moeten houden. Al deze overheidsorganisaties
voeren een uitvoeringstoets uit om de precieze gevolgen voor hun organisatie in kaart
te brengen. Voor alle overige overheidsorganisaties geldt dat zij mogelijk te maken
krijgen met de genoemde organisaties. In de voorlopige raming worden de kosten voor
de coördinerende rol die het bevoegd orgaan voor met een publieke taak belaste instellingen
uit zal gaan voeren, geraamd op € 5.400 per jaar. Omdat deze kosten bij hergebruikers
in rekening kunnen worden gebracht en het bevoegd orgaan werk uit handen kan nemen
van met een publieke taak belaste instellingen, is de inschatting in de voorlopige
raming dat netto de baten groter zijn.
De verordening laat geen ruimte om geen organisaties aan te wijzen, dus het enige
alternatief zou zijn geweest om andere organisaties aan te wijzen. De gevolgen voor
overheidsorganisaties die direct uit de Uitvoeringswet – en dus niet uit de verordening
zelf – voortvloeien, zijn daarom zeer beperkt.
7. Uitvoerbaarheid en handhaafbaarheid10
7.1 Autoriteit Consument en Markt
Het wetsvoorstel is voorgelegd aan de Autoriteit Consument en Markt (ACM) voor een
toets op uitvoerbaarheid en handhaafbaarheid. De ACM acht het wetsvoorstel uitvoerbaar
en handhaafbaar, mits de zes adviespunten in acht worden genomen.
Het eerste adviespunt gaat over het aanwijzen van de ACM als toezichthouder. De ACM
verzoekt de woorden «ambtenaren van de Autoriteit Consument en Markt» te vervangen
door «de Autoriteit Consument en Markt». Deze wijziging is in lijn met artikel 12a
van de Instellingswet Autoriteit Consument en Markt en wordt overgenomen in artikel 6
van de Uitvoeringswet.
Het tweede adviespunt gaat over de samenwerking met de Autoriteit Persoonsgegevens
(AP). De ACM gaf aan dat het verplichte advies van de AP in ieder geval moet worden
uitgebreid met artikel 12, onderdeel e, van de verordening, omdat dat onderdeel ziet
op doelbinding en toestemming. Daarnaast gaf de ACM aan dat het wenselijk is een grondslag
te hebben om niet-persoonsgegevens te kunnen delen met de AP in het kader van het
verplicht advies. Beide punten zijn overgenomen. Het eerste punt is overgenomen doordat
in artikel 7, eerste lid, van de Uitvoeringswet de reikwijdte voor het advies van
de AP open is gelaten zodat de ACM kan aangeven over welke voorwaarden advies wenselijk
is. De ACM en de AP kunnen hierover afspraken maken in het samenwerkingsprotocol.
In artikel 7, vierde lid, van de Uitvoeringswet is deze bevoegdheid voor gegevensuitwisseling
opgenomen.
Het derde adviespunt gaat over het begrip «algemeen belang» zoals dat wordt gebruikt
in het onderdeel over data-altruïstische organisaties. In de verordening wordt dit
niet gedefinieerd maar wordt verwezen naar nationaal recht. In Nederland is er nog
geen grondslag voor nationaal recht en de ACM gaf aan dat een wettelijke invulling
hiervoor wenselijk is. Dit advies is overgenomen en uitgewerkt in artikel 5 van de
Uitvoeringswet.
Het vierde adviespunt gaat over de boetebevoegdheid van de ACM en de AP. De ACM wees
erop dat de memorie van toelichting aangaf dat het niet mogelijk zou zijn om voor
dezelfde overtreding door dezelfde persoon of organisatie tegelijkertijd een boete
op te leggen op grond van de DGA door de ACM en op grond van de AVG door de AP. Dit
is volgens de ACM echter genuanceerder en stelde daarom voor dit onderdeel te schrappen.
Dit adviespunt is overgenomen.
Het vijfde adviespunt gaat over het klachtenrecht en recht op een doeltreffende voorziening
in rechte. De ACM constateert dat volgens artikelen 27 en 28 van de verordening een
persoon met een klacht richting de ACM het recht heeft om een doeltreffende voorziening
in rechte te verkrijgen of recht op toetsing door een onpartijdige instantie met de
nodige deskundigheid. De ACM vraagt om te verduidelijken wie deze onpartijdige instantie
is. Artikel 9 van de uitvoeringswet wijst de bestuursrechter van de Rechtbank Rotterdam
aan als bevoegde rechtbank voor beroep in eerste instantie tegen besluiten die worden
genomen door de ACM als bevoegde autoriteit – en het Cbb voor hoger beroep – en verwijst
naar heel artikel 28 van de verordening. De Verordening vereist niet dat klagers zowel
recht op een doeltreffende voorziening in rechte als recht op toetsing door een onpartijdige
instantie met de nodige deskundigheid hebben maar één van beiden. Daarom is dit adviespunt
niet overgenomen omdat aan de Verordening is voldaan door de bestuursrechter van de
Rechtbank Rotterdam aan te wijzen. Dit wordt in de artikelsgewijze toelichting bij
artikel 10 verduidelijkt.
Het laatste adviespunt gaat over de relatie tussen de Wet Markt en Overheid en hoofdstuk II
van de Verordening. De ACM signaleert dat er een raakvlak bestaat tussen de Wet Markt
en Overheid (WM&O), te vinden in hoofdstuk 4b van de Mededingingswet, en hoofdstuk II
van de verordening. In het bijzonder signaleert de ACM dat artikel 25i, eerste lid,
van de Mededingingswet mogelijk van toepassing is. Dat zou betekenen dat met een publieke
taak belaste instellingen in sommige gevallen de kosten voor hergebruik van gegevens
integraal zouden moeten doorberekenen en dat de ACM hierop toezicht zou moeten houden.
Om enige onduidelijkheid hierover weg te nemen, adviseert de ACM om de verhouding
tussen de verordening en artikel 25i van de Mededingingswet in de Uitvoeringswet te
verankeren. Hieraan is gevolg gegeven door artikel 25i buiten toepassing te verklaren
op vergoedingen voor gegevens die onder Hoofdstuk II van de verordening voor hergebruik
worden aangeboden. Zie daartoe artikel 3, tweede lid, van de Uitvoeringswet, alsmede
de daarbij behorende toelichting en de toelichting in paragraaf 4.1.4 van het algemeen
deel van de onderhavige memorie van toelichting.
7.2 Autoriteit Persoonsgegevens
De AP heeft in haar uitvoerings- en handhavingstoets geen bezwaren benoemd om de aan
haar toebedeelde adviseringstaak richting de ACM uit te voeren. Wel gaf de AP aan
dat de adviseringstaak ook moet toezien op artikel 12, onderdelen e en h, (met betrekking
tot instrumenten om gegevens te anonimiseren of pseudonimiseren en het waarborgen
van de continuïteit van de dienstverlening in geval van insolventie waaronder (gegevensbeschermings)rechten
door betrokkenen) en op artikel, 21 eerste lid, van de verordening (informatieplicht)
omdat die vereisten ook raken aan de bescherming van persoonsgegevens. Dit advies
is overgenomen door in artikel 7, eerste lid, van de Uitvoeringswet is de reikwijdte
voor het advies van de AP open te laten. De ACM kan aangeven over welke voorwaarden
advies wenselijk is. De ACM en de AP kunnen hierover afspraken maken in het samenwerkingsprotocol.
De opmerking van de AP dat de ACM alleen een label voor data-altruïsme kan verlenen
indien de AP positief adviseert, moet worden genuanceerd. Een bestuursorgaan is niet
verplicht om een advies op te volgen en kan daar gemotiveerd van afwijken (artikel 3:50
van de Algemene wet bestuursrecht).
7.3 Raad voor de Rechtspraak
De Raad voor de Rechtspraak heeft in zijn advies aangegeven dat het wetsvoorstel geen
aanleiding geeft tot het maken van inhoudelijke opmerkingen en dat het wetsvoorstel
naar verwachting niet leidt tot substantiële werklastgevolgen voor de rechtspraak.
7.4 Adviescollege Openbaarheid en Informatiehuishouding
Het Adviescollege Openbaarheid en Informatiehuishouding is gevraagd, op grond van
artikel 7.2 van de Wet open overheid, advies uit te brengen over de bepalingen die
raken aan hoofdstuk 2 van de datagovernanceverordening. Het Adviescollege heeft aangegeven
geen bezwaar te hebben tegen de wet. Het Adviescollege heeft verzocht om een toekomstig
wetsvoorstel met nieuwe rechtsgrondslagen aan hen voor te leggen voor advies. Ook
heeft het Adviescollege aangegeven te willen adviseren over de regels voor de berekening
van de vergoedingen voor het hergebruik, die bij algemene maatregel van bestuur geregeld
zullen worden.
Het Adviescollege vroeg daarnaast om in de memorie van toelichting op te nemen dat
bevoegde organen voorwaarden stellen aan het duurzaam toegankelijk aanbieden van de
gegevens. De verordening biedt bevoegde organen niet de mogelijkheid deze voorwaarden
te stellen. Wel kunnen bevoegde organen richtsnoeren verstrekken over hoe gegevens
het best kunnen worden gestructureerd en opgeslagen zodat ze gemakkelijk toegankelijk
zijn, en kunnen daarbij technische steun verlenen (artikel 7, vierde lid, onderdeel
b, van de verordening).
8. Overgangsrecht en inwerkingtreding
De implementatiedeadline van de verordening is vastgesteld op 24 september 2023. Artikel 10
sluit zoveel mogelijk aan bij deze implementatiedeadline. De inwerkingtreding van
dit wetsvoorstel wijkt af van het kabinetsbeleid inzake vaste verandermomenten (Kamerstukken II
2009/10, 29 515, nr. 309), inhoudende dat wetsvoorstellen op 1 januari of 1 juli in werking treden met een
minimuminvoeringstermijn van twee maanden. Volgens dit kabinetsbeleid kan een uitzondering
worden gemaakt indien het implementatie van een Europese verordening betreft.
Entiteiten die databemiddelingsdiensten verlenen op 23 juni 2022, moeten uiterlijk
op 24 september 2025 aan de verplichtingen van hoofdstuk III voldoen.
II. Artikelen
Artikel 2. Aanwijzing bevoegd orgaan, centraal informatiepunt en bevoegde autoriteiten
In artikel 2 van de Uitvoeringswet worden ter uitvoering van de verordening de bevoegde
autoriteiten aangewezen. In artikel 2, eerste lid, van de Uitvoeringswet wordt de
mogelijkheid gecreëerd om bij algemene maatregel van bestuur bevoegde organen aan
te wijzen om met een publieke taak belaste instellingen die toegang met het oog op
hergebruik van de in artikel 3, eerste lid, van de verordening bedoelde gegevenscategorieën
verlenen of weigeren, bij te staan als zij dat wensen. Zie paragraaf 4.1.2 van het
algemene deel van deze memorie van toelichting voor meer informatie over deze taak.
Het betreft een ondersteunende taak om andere met een publieke taak belaste instellingen
te helpen. Het bevoegde orgaan moet daarbij handelen in overeenstemming met de instructies
van de met een publieke taak belaste instelling. Een dergelijke bijstandsstructuur
kan de datasubjecten en gegevenshouders bijstaan bij het beheer van de toestemming
of toelating tot hergebruik, met inbegrip van toestemming en toelating voor bepaalde
gebieden van wetenschappelijk onderzoek overeenkomstig erkende ethische normen voor
wetenschappelijk onderzoek. De bevoegde organen mogen geen toezichtfunctie hebben;
die is uit hoofde van Verordening (EU) 2016/679 voorbehouden aan toezichthoudende
autoriteiten. De gegevensverwerking moet plaatsvinden onder de verantwoordelijkheid
van de met een publieke taak belaste instelling die verantwoordelijk is voor het register
dat de gegevens bevat en dat, wat de persoonsgegevens betreft, de verwerkingsverantwoordelijke
blijft in de zin van Verordening (EU) 2016/679 (overweging 26 van de verordening).
Met het oog op het aanwijzen van bevoegde organen, waaronder het CBS, om op grond
van de verordening met een publieke taak belaste instellingen bij te staan die toegang
met het oog op hergebruik van bepaalde gegevens verlenen of weigeren, is het noodzakelijk
ook in deze uitvoeringswet aanvullende bepalingen op te nemen. Namelijk dat bevoegde
organen de gegevens die het verwerkt onder verantwoordelijkheid van de met een publieke
taak belaste instelling, alleen gebruikt in het kader van die bijstand en dus niet
gebruikt voor statistische, of andere, doeleinden. Zo is ook gewaarborgd dat er een
duidelijke scheiding is tussen deze verschillende gegevens enerzijds, en deze verschillende
taken van het CBS en andere bevoegde organen anderzijds.
In artikel 2, vijfde lid, van de Uitvoeringswet krijgt de Minister van Binnenlandse
Zaken en Koninkrijksrelaties de bevoegdheid om een organisatie aan te wijzen als het
centraal informatiepunt, bedoeld in artikel 8, eerste lid, van de verordening. Het
voornemen is om het Nationale Dataportaal op data.overheid.nl aan te wijzen, dat thans
door het agentschap Logius wordt beheerd.
In artikel 2, zesde lid, van de Uitvoeringswet wordt de ACM aangewezen als de voor
databemiddelingsdiensten bevoegde autoriteit, bedoeld in artikel 13, eerste lid, van
de verordening, en de voor de registratie van organisaties voor data-altruïsme bevoegde
autoriteit, bedoeld in artikel 23, eerste lid, van de verordening.
Artikel 3. Vergoedingen voor hergebruik van gegevens
Het eerste lid van artikel 3 van de Uitvoeringswet bepaalt dat bij of krachtens algemene
maatregel van bestuur de criteria en de methode voor de berekening worden vastgesteld
van de vergoedingen voor het hergebruik van de in artikel 3, eerste lid, van de verordening
bedoelde gegevenscategorieën. Deze inhoudelijke bepaling vloeit voort uit artikel 6,
zesde lid, van de verordening. Sommige overheidsorganisaties die bedrijfsmatig gegevens
aanbieden, hebben al eigen tariefregelingen. Voor hen is het mogelijk logischer om
de criteria op te nemen in die regelgeving. De mogelijkheid bestaat om, in plaats
van in deze algemene maatregel van bestuur te verwijzen naar de betreffende tariefregelingen.
In het tweede lid wordt de verhouding tussen de bovengenoemde vergoedingen en de Wet
markt en overheid geregeld. Artikel 25i van de Wet markt en overheid stelt dat bestuursorganen
die economische activiteiten verrichten, ten minste de integrale kosten van dat product
of die dienst in rekening brengen. Het tweede lid, onderdeel c, regelt daarop een
uitzondering indien de economische activiteit bestaat uit het verstrekken van gegevens
die het bestuursorgaan heeft verkregen in het kader van de uitoefening van zijn publiekrechtelijke
bevoegdheden of het verstrekken van gegevensbestanden die uit de genoemde gegevens
zijn samengesteld. Deze uitzondering is bedoeld om het verstrekken van gegevens door
bestuursorganen onder de kostprijs mogelijk te maken. De tekst van het betreffende
onderdeel levert echter onduidelijkheid op wanneer het gaat om het verstrekken van
gegevens die het bestuursorgaan niet heeft verkregen in het kader van de uitoefening
van zijn publiekrechtelijke bevoegdheden. Daarnaast is onduidelijk of bij het verstrekken
van gegevens voor hergebruik als bedoeld in de verordening sprake is van de uitoefening
van bevoegdheden van openbaar gezag. Daarop is artikel 25i van de Mededingingswet
in het algemeen niet van toepassing. En in de derde plaats is onduidelijk of de verordening,
als hogere regeling, in het algemeen de betreffende bepaling uit de Mededingingswet
niet buiten werking stelt, voor de toepassing op vergoedingen voor hergebruik. Om
deze onduidelijkheid weg te nemen, wordt artikel 25i van de Mededingingswet in het
algemeen buiten toepassing verklaard op de vergoedingen voor hergebruik onder de verordening.
Artikel 4. Aanmelding databemiddelingsdiensten
Artikel 4 van de Uitvoeringswet ziet op de aanmelding van databemiddelingsdiensten.
In het eerste lid wordt de termijn bepaald waarin de ACM over een aanmelding moet
besluiten. Artikel 19, vijfde lid, van de verordening bepaalt dat de voor de registratie
van organisaties voor data-altruïsme bevoegde autoriteit de entiteit binnen twaalf
weken na de datum van ontvangst van de registratieaanvraag moet registeren. Voor databemiddelingsdiensten
stelt de verordening geen beslistermijn. Om te zorgen voor uniformiteit, wordt in
deze wet die beslistermijn gelijkgetrokken. Het tweede lid maakt het mogelijk om de
beslistermijn eenmaal met acht weken te verlengen. Deze verlengingsmogelijkheid is
ingegeven door de complexiteit van de beoordeling van de aanvraag en het feit dat
voorgesteld wordt dat de ACM de AP advies kan vragen ter voorbereiding van het besluit.
Het derde lid bepaalt dat bij of krachtens algemene maatregel van bestuur regels kunnen
worden vastgesteld met betrekking tot de vergoeding voor de aanmelding van aanbieders
van databemiddelingsdiensten overeenkomstig artikel 11, elfde lid, van de Datagovernanceverordening.
Zie paragraaf 4.2.1 van het algemeen deel van de toelichting.
Artikel 5. Doeleinden van algemeen belang in verband met data-altruïsme
Op grond van artikel 18, onderdeel b, van de verordening, moet een organisatie zijn
opgericht voor een doel van algemeen belang, om in aanmerking te komen voor de status
van erkende organisatie voor data- altruïsme. In het nationale recht kan worden bepaald
wat onder algemeen belang wordt verstaan. O In het onderhavige artikel wordt daar
nader invulling aan gegeven.
De doeleinden van algemeen belang die in artikel 5 worden erkend, zijn gebaseerd op
de doeleinden die in artikel 2, zestiende lid, van de verordening zijn genoemd en
die in artikel 5b, derde lid, van de Wet inzake rijksbelastingen worden genoemd (omtrent
algemeen nut beogende instellingen). Met betrekking tot dat laatste lid is een uitzondering
gemaakt voor onderdeel m, omdat dat onderdeel specifiek ziet op het financieel ondersteunen
van een algemeen nut beogende instelling, wat daarmee niet van toepassing is op het
delen van data. Geprobeerd is om met dit artikel enerzijds zoveel mogelijk aan te
sluiten bij de bedoeling van de verordening en anderzijds bij wat in bestaande Nederlandse
wetgeving al als «algemeen nut» wordt gezien.
Artikel 6. Toezicht
Artikel 6 van de Uitvoeringswet betreft toezicht op de verordening. Hierin wordt de
ACM aangewezen als toezichthouder op artikel 6, veertiende lid, (hergebruik), 3 (databemiddelingsdiensten),
4 (data-altruïsme) en 7 (Internationale toegang en doorgifte) van de verordening.
Artikel 7. Samenwerking ACM en AP
Artikelen 13, derde lid, en 23, derde lid, van de verordening bepalen dat de bevoegde
autoriteiten moeten samenwerken. Zie paragraaf 4.4 van het algemeen deel van de toelichting.
Artikel 7, eerste lid, van de Uitvoeringswet ziet op verplichte advisering van de
AP aan de ACM over de vraag of een aanbieder van databemiddelingsdiensten of een erkende
organisatie voor data-altruïsme voldoet aan de voorwaarden uit de verordening voor
zover het gaat om de bescherming van persoonsgegevens. De AP en de ACM kunnen voor
de advisering nadere afspraken maken in het samenwerkingsprotocol. Artikel 7, tweede
lid, van de Uitvoeringswet bepaalt dat bij ministeriële regeling een termijn kan worden
bepaald waarbinnen het advies door de AP wordt gegeven. Van deze bepaling zal de Minister
gebruikmaken indien in de praktijk blijkt dat onderlinge afspraken niet tot de gewenste
uitkomsten leiden.
Artikel 7, derde lid, van de Uitvoeringswet bepaalt dat de ACM en de AP een samenwerkingsprotocol
opstellen, er kan ook worden gekozen om een bestaand samenwerkingsprotocol aan te
passen. Artikel 7, vierde lid, van de Uitvoeringswet voorziet – in aanvulling op artikel 19,
tweede lid, van de Uitvoeringswet Algemene verordening gegevensbescherming (uitwisseling
van persoonsgegevens tussen AP en andere toezichthouders) en artikel 7, derde lid,
onderdeel a, van de Instellingswet Autoriteit Consument en Markt (verstrekking van
gegevens door de ACM) – in een grondslag voor het delen van niet-persoonsgegevens.
Artikel 8. Sanctionering
Artikel 34 van de verordening verplicht lidstaten om sancties vast te stellen voor
bepaalde overtredingen van de verordening. Het betreft overtreding van de verplichtingen
inzake doorgifte van niet-persoonsgebonden gegevens aan derde landen (artikel 5, veertiende
lid, en artikel 31), de meldingsplicht voor aanbieders van databemiddelingsdiensten
(artikel 11), de voorwaarden voor het verlenen van databemiddelingsdiensten (artikel 12)
en de voorwaarden voor de registratie als een erkende organisatie voor data-altruïsme
(artikelen 18, 20, 21 en 22). Lidstaten moeten alle nodige maatregelen nemen om ervoor
te zorgen dat die sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig
en afschrikkend zijn.
Artikel 8 van de Uitvoeringswet bepaalt dat bij overtreding van de verordening de
ACM een last onder dwangsom, en daarmee ook een last onder bestuursdwang, en een bestuurlijke
boete kan opleggen.
Artikel 9. Wijziging Algemene wet bestuursrecht
In artikel 9 van de Uitvoeringswet wordt in bijlage 2, artikel 7, van de Algemene
wet bestuursrecht de Rechtbank Rotterdam aangewezen als bevoegde rechtbank voor beroep
in eerste instantie tegen besluiten die worden genomen door de ACM als bevoegde autoriteit
en toezichthouder binnen de verordening. In artikel 11 van die bijlage wordt het College
van Beroep voor het bedrijfsleven aangewezen als hoger beroepsinstantie voor deze
zelfde beslissingen. De reden om één bevoegde rechtbank aan te wijzen, is dat er specifieke
kennis is vereist voor de toepassing van de bepalingen uit de Uitvoeringswet en de
Datagovernanceverordening. Naar verwachting zal het aantal beroepen op grond van deze
wetgeving te beperkt zijn om bij elke rechtbank in Nederland voldoende specialisatie
te verkrijgen en te behouden, en eenheid in de gerechtelijke uitspraken te waarborgen.
Er is voor de rechtbank Rotterdam gekozen, omdat deze rechtbank reeds op verschillende
terreinen van het economisch publiekrecht als de bevoegde bestuursrechter is aangewezen.
Daarbij kan bijvoorbeeld worden gedacht aan de bevoegdheid in het kader van de Wet
handhaving consumentenbescherming, de Telecommunicatiewet, en de Wet beveiliging netwerk-
en informatiesystemen. In lijn met deze reeds bestaande bevoegdheid is de rechtbank
Rotterdam een voor de hand liggende keuze. Tegen een uitspraak van de rechtbank Rotterdam
staat om diezelfde reden hoger beroep open bij het College van Beroep voor het bedrijfsleven.
Ten overvloede wordt vermeld dat in geval van artikel 28, derde lid, van de verordening
van toepassing is, er alleen een voorziening in rechte openstaat bij de Rechtbank
Rotterdam en hoger beroep bij het CBb.
Voor beroep tegen besluiten die zien op hergebruik, is geen bijzondere rechter aangewezen.
Dergelijke beroepen dienen daarom conform de Awb te worden ingesteld bij de reguliere
bestuursrechter en hoger beroep dient te worden ingesteld bij de Afdeling Bestuursrechtspraak
van de Raad van State. Hoewel ervoor gekozen had kunnen worden om ook dit onderdeel
te beleggen bij de Rechtbank Rotterdam en het College van Beroep voor het bedrijfsleven,
woog zwaarder dat dit onderdeel raakvlakken vertoont met de Wet hergebruik van overheidsinformatie
(hierna: Who), waarvoor wel het normale Awb-regime geldt, en dat een verzoek om hergebruik
uit de Who in principe ook kan worden ingediend samen met een verzoek om hergebruik
onder de verordening. Het aanwijzen van een bijzondere bestuursrechter, zou in dat
geval leiden tot twee verschillende beroepsgangen in procedures tegen een besluit
dat wordt genomen naar aanleiding van zo’n gecombineerde aanvraag.
Artikel 10. Inwerkingtreding
Artikel 10 van de Uitvoeringswet betreft de inwerkingtreding van de Uitvoeringswet.
Zie paragraaf 8 van het algemeen deel van de toelichting.
De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens
III. Transponeringstabel
Bepalingen verordening
Bepaling in uitvoeringregeling of in bestaande regelgeving; toelichting indien niet
geïmplementeerd of uit zijn aard geen implementatie behoeft
Omschrijving beleidsruimte
Toelichting bij keuze(n) bij de invulling van beleidsruimte
Artikelen 1 t/m 3
Behoeft naar de aard van deze bepaling geen implementatie.
Artikel 4
Vereist geen implementatie. Betreft een onderwerp waarvoor geen Nederlands recht geldt
Artikel 5
Vereist geen implementatie. Betreft een onderwerp waarvoor geen Nederlands recht geldt
Artikel 6
Artikel 3
Op grond van het zesde lid moeten de lidstaten de criteria en de methode voor de berekening
van de vergoedingen voor hergebruik bekendmaken. Er is ruimte om zelf criteria en
berekeningsmethoden vast te stellen, mits deze voldoen aan de criteria die in de andere
leden van artikel 6 worden vermeld.
Er wordt een grondslag gecreëerd om dit bij of krachtens amvb uit te werken. Regelgeving
moet mogelijk gedetailleerd worden en met enige regelmaat worden gewijzigd, een lager
niveau is daarom passender.
Artikel 7
Artikel 2, eerste lid
Er moeten één of meerdere bevoegde organen worden aangewezen. De verordening laat
vrij hoeveel organen er worden aangewezen en of dit bestaande of nieuw op te richten
organen zijn, mits deze voldoen aan de criteria, genoemd in het derde lid van artikel 7.
Er wordt een grondslag gecreëerd om bij algemene maatregel van bestuur een of meerdere
bevoegde organen aan te wijzen.
Artikel 8
Artikel 2, vijfde lid
Er moet één centraal informatiepunt worden aangewezen. De verordening laat vrij of
dit bestaande of nieuw op te richten organen moeten zijn.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties krijgt de bevoegdheid om
het centraal informatiepunt aan te wijzen.
Artikel 9
Behoeft geen nadere implementatie, volgt reeds uit bestaande nationale wetgeving
In nationale wetgeving moet een recht op verhaal worden vastgelegd, met inbegrip van
de mogelijkheid tot herziening door een onpartijdige instantie die over de nodige
deskundigheid beschikt.
Beroep tegen beslissingen die zien op hergebruik, vindt conform de Algemene wet bestuursrecht
plaats bij de normale bestuursrechter en in hoger beroep bij de Afdeling Bestuursrechtspraak
van de Raad van State. Hoewel ook voor dit onderdeel gekozen had kunnen worden voor
belegging bij de Rechtbank Rotterdam en het CBb, weegt in dit geval zwaarder dat dit
onderdeel raakvlakken heeft met de Wet hergebruik van overheidsinformatie, waarvoor
het normale Awb-regime geldt.
Artikel 10
Behoeft naar de aard van deze bepaling geen implementatie.
Artikel 11
Artikel 4, derde lid
Het elfde lid bevat maakt het mogelijk dat de bevoegde autoriteit heffingen int, in
overeenstemming met het nationale recht. De mogelijkheid om dit eventueel via een
amvb te regelen wordt gecreëerd.
Nog niet mogelijk om in te schatten of dit wenselijk is, daarom alleen de mogelijkheid
gecreëerd om dit op een later moment eventueel te regelen.
Artikel 12
Behoeft naar de aard van deze bepaling geen implementatie.
Artikel 13, eerste en tweede lid
Artikel 2, zesde lid, onderdeel a
Aanwijzen van één of meer bevoegde autoriteiten voor het uitvoeren van de taken inzake
de kennisgeving van databemiddelingsdiensten
De ACM wordt aangewezen als bevoegde autoriteit (zie paragraaf 4.2.1 van de memorie
van toelichting).
Artikel 13, derde lid
Artikelen 7
Artikel 14
Artikel 6
Artikel 15
Behoeft naar de aard van deze bepaling geen implementatie.
Artikel 16
Behoeft naar de aard van deze bepaling geen implementatie.
Biedt lidstaten de mogelijkheid nationale regelingen te treffen voor data-altruïsme.
Nederland heeft geen beleidsvoornemen om een nationale regeling te treffen.
Artikel 17, eerste lid
Implementatie wordt vorm gegeven door feitelijk handelen.
Artikel 17, tweede lid
Behoeft naar de aard van deze bepaling geen implementatie.
Artikel 18, onderdelen a, c, d en e
Behoeft naar de aard van deze bepalingen geen implementatie.
Artikel 18, onderdeel b
Artikel 5
Lidstaten moeten bij nationaal recht bepalen welke doeleinden als doeleinden van van
algemeen belang worden beschouwd voor erkenning van organisaties voor data-altruïsme
Er wordt voor gekozen om grotendeels aan te sluiten bij de regels omtrent ANBI-instellingen.
Zie de toelichting bij artikel 5.
Artikelen 19 t/m 22
Behoeft naar de aard van deze bepaling geen implementatie.
Artikel 23, eerste lid
Artikel 2, zesde lid, onderdeel b
Lidstaten moeten één of meerdere bevoegde autoriteiten aanwijzen voor de bepalingen
over data-altruïsme
De ACM wordt aangewezen als bevoegde autoriteit (zie paragraaf 4.2.2 van de memorie
van toelichting).
Artikel 23, tweede lid
Implementatie wordt vorm gegeven door feitelijk handelen.
Artikel 23, derde lid
Artikelen 7
Artikel 24
Artikel 6
Artikel 25
Behoeft naar de aard van deze bepaling geen implementatie.
Artikel 26
Behoeft naar de aard van deze bepaling geen implementatie
Artikel 27
Behoeft naar de aard van deze bepaling geen implementatie
Dit artikel maakt mogelijk om als collectief een klacht in te dienen.
In Nederland kennen we dit niet bij handhavingsverzoeken.
Artikel 28
Artikel 9
Artikelen 29 t/m 33
Behoeft naar de aard van deze bepaling geen implementatie
Artikel 34
Artikel 8
Artikelen 35 t/m 38
Behoeft naar de aard van deze bepaling geen implementatie
Ondertekenaars
-
, -
Eerste ondertekenaar
M.A.M. Adriaansens, minister van Economische Zaken en Klimaat
Bijlagen
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.