Nota n.a.v. het (nader/tweede nader/enz.) verslag : Nota naar aanleiding van het verslag
36 451 Uitvoering van verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Uitvoeringswet datagovernanceverordening)
Nr. 6
NOTA NAAR AANLEIDING VAN HET VERSLAG
Ontvangen 7 maart 2024
Inhoudsopgave
ALGEMEEN DEEL
1
1.
Inleiding
1
2.
Beleidscontext
4
3.
Datagovernanceverordening
5
3.1
Hergebruik van beschermde gegevens die in het bezit zijn van openbare lichamen
5
3.2
Databemiddelingsdiensten
11
3.3.
Data-altruïsme
13
3.4.
Internationale datastromen
13
4.
Inhoud uitvoeringswet
14
4.1
Toezicht en handhaving
15
5.
Verhouding tot hoger recht
17
5.1
Bescherming van persoonsgegevens, AVG
17
6.
Uitvoerbaarheid en handhaafbaarheid
18
6.1
Adviescollege Openbaarheid en Informatiehuishouding
18
7.
Overgangsrecht en inwerktreding
19
OVERIG
19
ALGEMEEN DEEL
Graag beantwoord ik de vragen die zijn gesteld door de leden van de aan het woord
zijnde fracties, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties.
1. Inleiding
1
De leden van de PVV-fractie hebben kennisgenomen van de Uitvoering van verordening
(EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese
datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Uitvoeringswet datagovernanceverordening)
en de bijbehorende documenten. Naar aanleiding hiervan hebben deze leden nog enkele
vragen. Voorts merken de leden op dat de toelichting op het niet navolgen van de door
de Afdeling advisering van de Raad van State gedane aanbeveling inzake de verhouding
tussen de uitvoeringswet en de DGA tot de AVG niet ingaat op de mogelijke tegenstrijdigheden.
Kan een overzicht van deze conflicterende punten worden opgeleverd met de onderbouwing
waarom het prevaleren van de Algemene Verordening Gegevensbescherming tot conflict
zou kunnen leiden?
Antwoord
Ik heb met belangstelling kennisgenomen van de vragen en hoop met deze beantwoording
resterende onduidelijkheden weg te nemen. Artikel 1, derde lid, van de datagovernanceverordening
(hierna: verordening) bepaalt als algemene regel dat indien de verordening en de Algemene
Verordening Gegevensbescherming (hierna: AVG) tegenstrijdig zijn, de AVG voorgaat.
Doordat de AVG bij een eventuele tegenstrijdigheid altijd voorgaat zal dit niet tot
een conflict leiden. Op dit moment zijn geen tegenstrijdigheden bekend. De voorrang
van de AVG is leidend in de praktijk bij de verwerking van gegevens.
2
De leden van de GroenLinks-PvdA-fractie hebben met belangstelling kennisgenomen van
de uitvoeringswet. In een datagedreven samenleving vinden zij het van groot belang
om het uitwisselen van gegevens betrouwbaar, transparant en in dienst van de publieke
zaak te laten verlopen. Over de uitvoeringswet hebben de leden enkele opmerkingen
en vragen. De leden zijn van mening dat gevoelige data, indien het wordt hergebruikt,
moeten bijdragen aan de publieke zaak. Zij vinden het niet gepast als bedrijven gevoelige
data hergebruiken om meer winst te maken, omdat mensen dan producten worden verkocht
die tot stand zijn gekomen door hun eigen data. Dat vinden deze leden geen wenselijk
gebruik van persoonsgegevens. Welke financiële prikkels bevat deze uitvoeringswet
voor bedrijven? Hoe mogen private bedrijven gebruik maken van deze data voor economische
winst?
Antwoord
Ik heb met belangstelling kennisgenomen van uw vragen. Er zijn veel soorten gegevens,
naast persoonsgegevens zijn er ook andere soorten gegevens die niet herleidbaar zijn
tot een persoon. Bijvoorbeeld gegevens uit industriële machines, statistische gegevens,
logistieke gegevens, of landbouwgegevens. Deze gegevens vormen een belangrijke bron
voor potentiële oplossingen voor maatschappelijke uitdagingen en duurzame economische
groei. Een van de doelen van de verordening is om ervoor te zorgen dat dit soort gegevens
op een verantwoorde en betrouwbare manier kunnen worden hergebruikt, zowel door publieke
als private entiteiten. Daarbij is het van belang dat de overheid dergelijke partijen
op een eerlijke en gelijke wijze behandelt. Gegevens die met een private partij gedeeld
worden moeten ook voor andere relevante private partijen beschikbaar kunnen worden
gesteld, om zo machtsposities met betrekking tot gegevens te voorkomen.
Ten aanzien van persoonsgegevens geldt het kader van de AVG. Gaat het om persoonsgegevens
in bezit van overheden dan is in Europese of nationale wetgeving geregeld voor welke
doeleinden hergebruik mag plaatsvinden. Dit regelt de verordening niet. Op dit moment
kent Nederland geen grondslag voor commercieel hergebruik als bedoeld in de verordening
en is deze ook niet voorzien.
3
De leden van de VVD-fractie hebben kennisgenomen van de uitvoering van de verordening.
De leden hebben nog enkele vragen en opmerkingen. De leden lezen dat de Raad van State
verschillende opmerkingen en adviezen heeft gemaakt. Hoe leest de regering deze kanttekeningen?
Kunt u hier specifiek ingaan op de kritiek met betrekking tot de voorgestelde verhouding
tussen de Autoriteit Consument & Markt (ACM) en de Autoriteit Persoonsgegevens (AP)?
Antwoord
In het rapport heeft de regering uitgebreid gereageerd op het advies van de Afdeling
advisering van de Raad van State1 waaronder het advies om de standaard advisering door de AP te schrappen uit het wetsvoorstel
(hierna: Uitvoeringswet). Zowel de ACM als de AP hebben in het consultatieproces voor
deze Uitvoeringswet uitdrukkelijk de wens kenbaar gemaakt dat hun samenwerking en
hun respectievelijke rollen, waaronder de standaardadvisering, duidelijk vastgesteld
wordt in de Uitvoeringswet. Dit vanwege de nieuwe adviestaak voor de AP en de structurele
samenwerking bij deze werkzaamheden. De Afdeling vraagt zich af of de bedoelde regeling
wel wenselijk is. Het kabinet acht dit inderdaad wenselijk gezien de expliciete wens
van de toezichthouders om dit te formaliseren naast de bestaande praktijk van het
samenwerkingsprotocol. Door deze structurele samenwerking en advisering op te nemen
in de wet, worden de verantwoordelijkheden van de toezichthouders rondom de verwerking
van persoonsgegevens verduidelijkt. Bij deze verordening heeft de AP een andere rol
dan de andere toezichthouders waar eventueel mee wordt samengewerkt. Een aantal voorwaarden
uit de verordening ziet op de verwerking van persoonsgegevens en raakt daarmee aan
de expertise van de AP. De advisering door de AP aan de ACM betreft een ex ante advisering
bij de beoordeling of een databemiddelingsdienst of organisatie voor data-altruïsme
aan voorwaarden uit de verordening voldoet voor zover het gaat om de bescherming van
persoonsgegevens. Het betreft een nieuwe taak voor de AP op grond van de verordening
en het is wenselijk om dit op wetsniveau te regelen. Daarom is besloten om toch vast
te houden aan deze bepaling in de Uitvoeringswet.
4
Voorts vinden de leden van de VVD-fractie het goed om te horen dat bij de verwerking
van persoonsgegevens de regelgeving met betrekking tot persoonsgegevens altijd van
toepassing is. De leden van de VVD-fractie vragen zich af in hoeverre de AI-verordening
invloed heeft op wat er nu voor ligt. Kan de regering hier nader op ingaan?
Antwoord
Het kabinet heeft met belangstelling kennisgenomen van uw vragen en onderkent ook
dat het belangrijk is om duidelijk te maken hoe verschillende Europese wetgevingsinstrumenten
die betrekking hebben op de digitale economie zich tot elkaar verhouden. De AI-verordening
heeft geen invloed op de bepalingen uit de verordening en de voorliggende Uitvoeringswet,
noch op de toepassing hiervan, aangezien de AI-verordening betrekking heeft op risico’s
van AI en de kwaliteit van gegevens voor AI. De DGA gaat echter over het delen van
gegevens ongeacht het doel of de kwaliteit van gegevens. De DGA gaat dus niet over
de data zelf maar over hergebruik van bepaalde categorieën van gegevens in bezit van
de overheid, eisen aan databemiddelingsdiensten en een label voor data-altruïstische
organisaties.
De leden van de NSC-fractie hebben kennisgenomen van het wetsvoorstel en hebben hierover
enkele vragen en opmerkingen.
De leden van de D66-fractie hebben kennisgenomen van het wetsvoorstel en hebben hierover
enkele vragen en opmerkingen.
5
De leden van de BBB-fractie hebben met interesse de stukken gelezen en hebben over
een aantal onderdelen vragen. De leden van de BBB-fractie vragen waarom ervoor is
gekozen om geen internetconsultatie over dit wetsvoorstel te houden. Welke afwegingen
zijn hiervoor gemaakt?
Bij uitvoering van een Europese verordening is internetconsultatie optioneel.2 In de Uitvoeringswet wordt alleen geregeld wat strikt noodzakelijk is gelet op de
uitvoering van de verordening. Zoals het aanwijzen van bevoegde instanties en toezichthouders,
de samenwerking tussen de AP en de ACM en het vaststellen van de sancties. Het kabinet
heeft geconstateerd dat er relatief weinig ruimte is voor de wetgever om keuzes te
maken gezien de directe werking van een verordening. Dit maakt dat er ook weinig onderwerpen
zijn waarop een publieke consultatie tot andere resultaten of overwegingen zou kunnen
leiden. Dit heeft er samen met een de korte implementatietermijn van 15 maanden toe
geleid dat het kabinet in dit geval ervoor heeft gekozen geen internetconsulatie te
houden. Wel is gebruik gemaakt van informele consultatie van de betrokken toezichthouders
en zijn zij om een uitvoerbaarheid- en handhaafbaarheidstoets (UHT) gevraagd.
De leden van de SP-fractie hebben kennisgenomen van de (uitvoering van) de verordening
en hebben enkele vragen hierover.
2. Beleidscontext
6
De leden van de GroenLinks-PvdA-fractie lezen dat het begrip «data» niet altijd duidelijk
gedefinieerd is in beleidsinitiatieven. Welke definitie van «data» hanteert de regering
in deze uitvoeringswet?
Antwoord
De Uitvoeringswet gaat uit van de definitie uit de verordening. De verordening heeft
een rechtstreekse werking en daarmee is ook de definitie van «gegevens» van toepassing
in de uitvoering van de verordening in Nederland. De definitie uit artikel 2, eerste
lid, luidt: «elke digitale weergave van handelingen, feiten of informatie en elke
compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluidsopnames
of visuele of audiovisuele opnames».
7
De leden van de D66-fractie vragen of de regering kan toelichten in hoeverre het uiteindelijke
resultaat van de Uitvoeringswet datagovernanceverordening verschilt met de inzet als
opgenomen in het BNC-fiche en of de regering deze verschillen kan toelichten.
Antwoord
In de visie op datadeling tussen bedrijven uit 2019 signaleert het kabinet dat een
gebrek aan vertrouwen een reden is waarom het delen van niet-persoonsgebonden gegevens
tussen bedrijven slechts in beperkte mate tot stand komt waardoor de mogelijkheden
van gegevens onvoldoende benut worden. De verordening poogt gegevensdeling te vergemakkelijken.
Daarom verwelkomde het kabinet de verordening in het BNC-fiche.3 In hoofdlijnen is de verordening gelijk gebleven aan het voorstel van de Commissie.
Een aantal wijzigingen is onder meer door de inzet van Nederland doorgevoerd. Zo zijn
er eisen gekomen voor organisaties voor data-altruïsme en moeten deze voldoen aan
een «rulebook». Dit rulebook zal door de Commissie worden vastgesteld en zal onder
andere normen bevatten voor de informatievoorziening aan datasubjecten en gegevenshouders,
en beveiligingseisen voor de gegevens. Dat draagt bij aan het vertrouwen in organisaties
voor data-altruïsme die in de EU zijn erkend. Ten aanzien van databemiddelingsdiensten
waren er tijdens de onderhandeling vooral vragen over de definitie en over het verdienmodel.
De definitie is enigszins duidelijker geworden ten opzichte van het Commissievoorstel
maar bevat nog steeds een open norm die nader moet worden ingevuld door toezichthouders.
Nederland had graag gezien dat dit al in de verordening zou zijn ingevuld. Mogelijk
zal de Europese Commissie voor de invulling van deze norm nog richtsnoeren publiceren.
Ook is het voor aanbieders van databemiddelingsdiensten niet mogelijk om aanvullende
diensten te leveren aan de gegevenshouder. In de optiek van het kabinet had dit de
dienst tot een aantrekkelijker product kunnen maken, zonder dat de grip op gegevens
zou zijn verminderd. Hiermee had de verordening effectiever kunnen zijn. Tijdens de
onderhandelingen is echter gebleken dat hier geen meerderheid voor te vinden was.
Desalniettemin geeft de verordening een wettelijk kader waardoor het vertrouwen in
datadeling kan toenemen en burgers en bedrijven meer grip op hun gegevens krijgen.
Daarmee draagt de verordening dus bij aan een verantwoorde Europese data-economie
op basis van Europese waarden als consumentenbescherming, privacybescherming en versterking
van de onderhandelingspositie voor kleinere bedrijven.
In lijn met wat in het BNC-fiche was voorzien is een uitvoeringswet opgesteld waarin
bevoegde autoriteiten worden aangewezen en hun bevoegdheden worden geregeld, sancties
worden vastgesteld en de uitwisseling van gegevens tussen toezichthouders wordt beperkt
tot wat noodzakelijk is voor de toezichtstaak. Aanvullend op het BNC-fiche is gebleken
dat er meer geregeld moet worden voor de uitvoering van de verordening. Het is ook
noodzakelijk om regels vast te stellen over vergoedingen voor hergebruik van gegevens.
Voor het verzoek tot aanmelding als databemiddelingsdienst wordt geregeld binnen welke
termijn een beslissing moet worden genomen en daarnaast dat regels gesteld kunnen
worden voor wat betreft de vergoeding voor de aanmelding van aanbieders van databemiddelingsdiensten.
Daarnaast worden doeleinden van algemeen belang in verband met data-altruïsme vastgesteld.
Ook wordt de samenwerking tussen de AP en ACM verder geregeld. Tot slot is in lijn
met de Uitvoeringswet digitalemarktenverordening en de Uitvoeringswet digitaledienstenverordening
gekozen voor concentratie van de rechtspraak bij Rechtbank Rotterdam en het College
van Beroep voor het bedrijfsleven (CBb).
3. Datagovernanceverordening
3.1 Hergebruik van beschermde gegevens die in het bezit zijn van openbare lichamen
8
De leden van de GroenLinks-PvdA-fractie steunen de ambitie van de Europese Commissie
om de marktmachtsconcentratie van Big Tech-bedrijven op te breken. Dit achten zij
hard nodig om het speelveld op de digitale markt eerlijker te maken. De leden lezen
dat openbare lichamen verantwoordelijk worden voor het nemen van adequate technische
maatregelen om de gegevensbescherming, privacy en vertrouwelijkheid te borgen. Is
het duidelijk welke maatregelen er minimaal genomen moeten worden door openbare lichamen
om te voldoen aan de verordening?
Antwoord
Er bestaat geen vaste set aan maatregelen die in iedere situatie voldoende gegevensbescherming
oplevert. Er moet rekening worden gehouden met de stand van de techniek en de praktijk,
die aan constante ontwikkeling onderhevig zijn. Daarnaast moet de vorm van bescherming
worden afgestemd op de behoefte van de hergebruiker. Sommige hergebruikers zullen
bijvoorbeeld voldoende hebben aan een set volledig geanonimiseerde of geaggregeerde
gegevens. Andere hergebruikers kunnen hun beoogde activiteiten alleen uitvoeren met
een gegevensset waarin nog wel persoonsgegevens voorkomen. In zo’n geval kan pseudonimisering
– dat wil zeggen: het afschermen of versleutelen van direct herleidbare persoonsgegevens
– in combinatie met een beveiligde verwerkingsomgeving de beste oplossing bieden.
Om beter te bepalen in hoeverre gegevens zich lenen voor hergebruik en wat daarvoor
de meest geschikte maatregelen zijn, dient de overheidsorganisatie een gegevensbeschermingseffectbeoordeling/DPIA uit te voeren, wanneer het om persoonsgegevens gaat. Wanneer
het niet om persoonsgegevens gaat, kan de organisatie naar analogie van de DPIA een
vergelijkbare toets uitvoeren om bijvoorbeeld bedrijfsbelangen in kaart te brengen
en om op basis daarvan de beste maatregelen te onderzoeken. In alle gevallen blijft
sprake van maatwerk.
9
Welke «enkele andere uitzonderingen» bedoelt de regering bij het verbod op exclusieve
overeenkomsten? Waarom zijn deze uitgezonderd?
Antwoord
Artikel 4 van de verordening kent één uitdrukkelijke uitzondering op het verbod van
exclusieve overeenkomsten, namelijk de situatie waarin de exclusieve overeenkomst
nodig is voor de verlening van een dienst of de levering van een product in het algemeen
belang die anders niet mogelijk zou zijn. Zo’n exclusief recht moet worden verleend
bij administratieve handeling of een contractuele regeling in overeenstemming met
het toepasselijke Unierecht of nationale recht en met inachtneming van de beginselen
van transparantie, gelijke behandeling en non-discriminatie. Deze toekenning, alsmede
de redenen daartoe, moeten online openbaar worden gemaakt in een vorm die aansluit
bij het Unierecht inzake openbare aanbestedingen. Het exclusieve recht mag daarnaast
ten hoogste 12 maanden duren.
Overweging 13 van de verordening noemt daarbij als voorbeeld van zo’n gerechtvaardigd
en noodzakelijk exclusief recht, de situatie dat «het exclusief gebruik van de gegevens de enige manier is om de maatschappelijke voordelen
van de betrokken gegevens optimaal te benutten, bijvoorbeeld als er slechts één entiteit
(die gespecialiseerd is in de verwerking van een specifieke gegevensverzameling) is
die de dienst kan verlenen die of het product kan leveren dat het openbaar lichaam
in staat stelt in het algemeen belang een dienst te verlenen of een product te leveren.»
Naast de uitdrukkelijke uitzondering voor de dienst of de levering van een product
in het algemeen belang kent de verordening nog een overgangsregeling voor reeds bestaande
exclusieve overeenkomsten die niet onder de uitzondering vallen en die al waren gesloten
vóór 23 juni 2022 (datum van inwerkingtreding van de verordening). Zij vervallen aan
het einde van de toepasselijke overeenkomst en in elk geval uiterlijk op 24 december
2024. De verordening geeft niet uitdrukkelijk aan waarom voor deze termijn is gekozen,
maar aangenomen mag worden dat die deadline bestaat om partijen voldoende tijd te
geven om zich aan te passen aan de nieuwe situatie.
10
De leden van de VVD-fractie onderschrijven dat bij datadeling de bescherming van persoonsgegevens,
rechten van derden en wettelijke doelbinding goed geborgd moeten worden. De regering
stelt voor dat onafhankelijke derde partijen een belangrijke rol kunnen spelen in
de technische ondersteuning. Hoe wordt de bescherming van de gegevens bij deze partijen
ingebouwd?
Antwoord
Door enkele bevoegde organen aan te wijzen die openbare lichamen ondersteunen bij
binnengekomen verzoeken voor hergebruik wordt de kennis en ervaring omtrent het veilig
voor hergebruik beschikbaar maken van de gegevens geconcentreerd bij deze organen.
Openbare lichamen hoeven daardoor deze kennis niet zelf op te bouwen: zij kunnen zich
beroepen op ondersteuning door die bevoegde organen. De verordening verplicht om aan
hen voldoende middelen en expertise beschikbaar te stellen, zodat zij de bescherming
kunnen inbouwen. Denk daarbij bijvoorbeeld aan het beschikbaar stellen van een beveiligde
verwerkingsomgeving waarbinnen de hergebruiker met de gegevens kan werken. Het openbaar
lichaam kan vervolgens controleren en filteren welke resultaten uit die omgeving kunnen
worden meegenomen naar buiten toe, zodat er geen persoonsgegevens worden ontsloten.
11
De leden van de VVD-fractie lezen dat openbare lichamen technische maatregelen moeten
nemen om ervoor te zorgen dat de vertrouwelijkheid volledig wordt geborgd. Hoe wordt
deze borging gecontroleerd en hoe lang krijgen deze organisaties om deze aanpassing
door te voeren? Wat zijn de consequenties als niet alle organisaties tijdig aan deze
privacy eisen voldoen? Blijft deze data dan buiten de scope van de verordening?
Antwoord
De vertrouwelijkheid moet geborgd worden bij het beschikbaar maken voor hergebruik.
Dit vergt in beginsel geen aanpassingen door openbare lichamen / met een publieke
taak belaste instellingen. Zij worden op grond van bestaande regelgeving zoals de
Awb en de AVG al geacht om gegevens vertrouwelijk te behandelen. De vereisten van
de verordening zijn pas van toepassing als er een verzoek om hergebruik binnenkomt.
Dan moeten technische maatregelen genomen worden om het beschikbaar stellen op vertrouwelijke
wijze uit te voeren. Hiervoor kunnen openbare lichamen / met een publieke taak belaste
instellingen ondersteuning vragen van de bevoegde organen. Het is dus niet zo dat
organisaties buiten de scope vallen als het regulier beheer van gegevens niet voldoet
aan privacywetgeving.
12
De leden van de NSC-fractie verzoeken verduidelijking over het centrale contactpunt
binnen Nederland. Kan de regering nader toelichting geven over de instantie die tot
taak heeft om «onderzoekers en innovatieve bedrijven te ondersteunen bij het identificeren
van geschikte gegevens», en om «structuren op te zetten om zo openbare lichamen technische
en juridische bijstand te bieden»? In paragraaf 3.1 van de memorie van toelichting
(MvT) lijkt dit contactpunt gelijkgesteld te worden aan het centraal informatiepunt.
Klopt dit, en dient de MvT dan zo gelezen te worden dat het agentschap Logius de rol
toebedeeld zal krijgen van dit contactpunt c.q. informatiepunt, en daarmee zowel de
functie van portaal (data.overheid.nl) als die van algemeen ondersteunend/technisch/juridisch
loket zal krijgen? Zo niet, hoe zullen deze rollen dan ingevuld worden?
Antwoord
Waar contactpunt staat, wordt inderdaad informatiepunt bedoeld. Hiervoor is het inderdaad
het agentschap Logius beoogd, in het bijzonder het reeds bestaande portaal data.overheid.nl.
Met de «structuren op te zetten om zo openbare lichamen technische en juridische bijstand
te bieden» wordt niet het centraal informatiepunt bedoeld, maar de bevoegde organen
die openbare lichamen ondersteunen bij hergebruik. Bij algemene maatregel van bestuur
worden een of meerdere bevoegde organen aangewezen. Hiervoor wordt in ieder geval
gekeken naar het Centraal Bureau voor de Statistiek. Het gaat in die zin dus om twee
verschillende rollen voor verschillende organisaties.
13
De leden van de D66-fractie vragen in hoeverre de veronderstelling klopt dat de Datagovernanceverordening
toeziet op het delen van beschermde gegevens, waar de Open data richtlijn dit doet
op niet-beschermde gegevens.
Antwoord
De verordening gaat inderdaad over gegevens die beschermd zijn op basis van statistisch
geheim, bedrijfsgeheim, persoonsgegevens en intellectuele eigendomsrechten. De Open
data richtlijn ziet daar grotendeels niet op, hoewel ook die richtlijn in zeer beperkte
mate betrekking kan hebben op persoonsgegevens. Er kunnen echter andere redenen zijn
om gegevens te beschermen, zoals nationale veiligheid. Deze gegevens vallen zowel
buiten de verordening als de Open data richtlijn.
14
De leden van de D66-fractie zien graag een toelichting van de regering over hoe «het
algemeen» belang wordt gedefinieerd binnen deze context.
Antwoord
«Het algemeen belang» komt in de verordening en de Uitvoeringswet voornamelijk voor
in de context van data-altruïsme, maar is ook relevant bij hergebruik van gegevens
en exclusieve overeenkomsten.
De verordening noemt «het algemeen belang» enkele keren in de context van hergebruik.
Daarbij gaat het in een aantal overwegingen over (wetenschappelijk) onderzoek en innoverende
activiteiten in het algemeen belang. Aangenomen mag worden dat daarmee wordt gedoeld
op activiteiten die geen privaat of commercieel belang dienen, maar breed maatschappelijk
nut hebben.
Verder spreekt overweging 24 over het stellen van beperkingen aan de doorgifte van
gegevens aan derde landen om het algemeen belang te beschermen. Daar wordt bedoeld
dat misbruik van die gegevens door derde landen zou kunnen leiden tot schade voor
een veelheid aan Europese burgers of aan de EU, haar lidstaten of hun instituties.
Ook wordt het «algemeen belang» genoemd in de context van exclusieve overeenkomsten.
Deze zijn toegestaan om een dienst of een product in het algemeen belang te leveren
als dat anders niet mogelijk is. Hier lijkt het begrip raakvlakken te hebben met de
«dienst van algemeen economisch belang» uit het Europese mededingingsrecht. Daar gaat
het om een maatschappelijk op zichzelf waardevolle dienst die onder normale marktomstandigheden
niet, of niet onder acceptabele voorwaarden, tot stand komt. Overheidspartijen kunnen
dan (steun)maatregelen nemen om deze dienst toch in het leven te roepen. Dat is inmenging
in de markt, maar wordt niet gezien als verboden staatssteun.
Overheden hebben vaak veel ruimte om in de context van diensten van algemeen economisch
belang te beoordelen wat zij als het algemeen belang zien. Deze ruimte wordt echter
begrensd door de algemene beginselen van proportionaliteit en noodzakelijkheid en
het moet gaan om een vorm van marktfalen. Datzelfde geldt voor de exclusieve overeenkomsten
onder de verordening: ook die mogen alleen worden ingezet als de markt onvoldoende
tot oplossingen komt.
In de context van data-altruïsme noemt de verordening als voorbeelden: gezondheidszorg,
bestrijding van de klimaatverandering, mobiliteitsverbetering, facilitering van de
ontwikkeling, productie en verspreiding van officiële statistieken, verbetering van
openbare diensten, of openbare besluitvorming en steun voor wetenschappelijk onderzoek.
In de Uitvoeringswet is deze lijst samengevoegd met wat in artikel 5b derde lid, van
de Algemene wet inzake rijksbelastingen als «algemeen nut» wordt aangeduid. Het betreft
onderwerpen waarvan de bevordering als algemeen nuttig – en daarom in het algemeen
belang – wordt beschouwd.
15
De leden van de BBB-fractie constateren dat de lidstaten één contactpunt moeten oprichten
om onderzoekers en innovatieve bedrijven te ondersteunen bij het identificeren van
geschikte gegevens en structuren moeten opzetten om openbare lichamen technische en
juridische bijstand te bieden. De leden vragen de regering of dit contactpunt eenvoudig
te vinden is voor burgers en bedrijven, en in hoeverre verwacht wordt hoe vaak dit
contactpunt gebruikt gaat worden en of de middelen en capaciteiten van het contactpunt
hierop aansluiten.
Antwoord
Er is voor gekozen om dit te beleggen bij het reeds bestaande opendataportaal data.overheid.nl.
Dit portaal werd in 2023 gemiddeld ruim veertigduizend keer per maand bezocht. Door
dit portaal ook te gebruiken voor de verordening kunnen bedrijven voor al hun vragen
over gegevens van de overheid terecht op één punt. De regering heeft nog geen beeld
hoe vaak hiervan gebruik gemaakt zal worden. De inschatting is dat dit geen significante
extra middelen vereist. Als dit wel het geval blijkt, zal dit meegenomen worden in
de gesprekken met Logius over het beheer van het portaal.
16
De leden van de SP-fractie lezen dat een aantal beschermde categorieën van data, zoals
persoonsgegevens die buiten het toepassingsbeleid van de Open data richtlijn vallen
en data waarop intellectuele-eigendomsrechten van derden rusten, te gevoelig zijn
om als open data voor een ieder algemeen beschikbaar te stellen, maar niet zo gevoelig
dat elke vorm van hergebruik principieel moet worden uitgesloten. De leden zien niet
goed voor zich welk beeld de regering hier probeert te schetsen. In welke gevallen
acht de regering het wenselijk om deze beschermde categorieën van data voor hergebruik
beschikbaar te stellen? Hoe groot is het risico dat persoonsgegevens hierdoor de markt
op komen, waardoor een inbreuk op privacy wordt gemaakt?
Antwoord
Overheidsgegevens kunnen bijvoorbeeld gebruikt worden voor wetenschappelijk onderzoek.
Het Centraal Bureau voor de Statistiek biedt al de mogelijkheid voor wetenschappers
om de gegevens die het bureau verzameld heeft in het kader van zijn wettelijke taak,
onder strikte voorwaarden te gebruiken ten behoeve van statistisch en/of wetenschappelijk
onderzoek. De Wet open overheid bevat eveneens die mogelijkheid voor wetenschappelijk,
statistisch, historisch en journalistiek onderzoek. Zoals reeds genoemd in het antwoord
op vraag 2, kent Nederland op dit moment geen grondslag voor commercieel hergebruik
van dergelijke gegevens en is deze ook niet voorzien. Persoonsgegevens mogen verder
sowieso niet beschikbaar gesteld worden zonder waarborgen, zoals anonimisering. De
combinatie van de hoge vertrouwelijkheidseisen die de verordening stelt en het feit
dat er geen grondslag is voor commercieel gebruik maakt dat het risico dat persoonsgegevens
hierdoor op de markt komen zeer klein. Daarnaast blijft de AVG onverminderd van toepassing
en is er dus een verwerkingsgrondslag nodig om persoonsgegevens te mogen verwerken.
De AP blijft toezicht houden op het verwerken van persoonsgegevens op grond van de
AVG.
17
De leden van de SP-fractie lezen dat de Europese Commissie ziet dat nieuwe markten
voor gegevensdeling ontstaan en wil bevorderen dat deze markten zich op een verantwoorde
en betrouwbare manier ontwikkelen. De leden zien ook dat deze markten zijn ontstaan
en uitgegroeid tot gigantische proporties. Alhoewel de leden het nut zien van het
delen van data op altruïstische gronden en het hergebruik van data voor wetenschappelijke-
en onderzoeksdoeleinden of voor andere doeleinden in het publiek belang, hebben zij
fundamentele bezwaren tegen de privatisering van publieke data en verkoop van persoonsgegevens
die plaats kan vinden door deze verordening. Door data voor hergebruik beschikbaar
te stellen aan marktpartijen kan het voorkomen dat publiek gefinancierd onderzoek
wordt gebruikt door marktpartijen en daardoor publieke informatie geprivatiseerd wordt.
De publieke sector heeft hier weinig baat bij. Hoe gaat de regering voorkomen dat
publieke informatie op deze manier geprivatiseerd wordt? Persoonsgegevens worden nu
door grote techbedrijven als Meta, Amazon en Google verzameld, ingezet en verkocht
om zo efficiënt mogelijk te adverteren. Deze verordening creëert ruimte in de markt
voor zogenoemde databemiddelingsbedrijven om ook kleinere bedrijven mee te laten doen.
De verkoop van persoonsgegevens doet afbreuk aan privacy en geeft bedrijven te veel
macht. Faciliteren de Europese Commissie en de regering de verkoop van persoonsgegevens
met deze verordening?
Antwoord
Het klopt dat voor wetenschappelijk onderzoek gegevens onder voorwaarden hergebruikt
kunnen worden. De verordening legt geen beperkingen op aan het beschikbaar maken van
de wetenschappelijke inzichten die hier uit voortkomen. Dit acht de regering ook onwenselijk,
omdat dan de inzichten – al dan niet publiek gefinancierd- niet door andere wetenschappers
gebruikt kunnen worden terwijl de maatschappij daar juist baat bij heeft. Het publiceren
betekent inderdaad dat marktpartijen ook gebruik kunnen maken van deze inzichten.
De regering ziet dit niet als onwenselijk en ook niet als privatisering van publieke
informatie.
Databemiddelingsdiensten kopen of verkopen niet zelf gegevens maar zorgen voor de
totstandkoming van de gegevensdeelrelatie. Indien het gaat om een natuurlijk persoon
die een gegevensdeelrelatie aan wil gaan, heeft de databemiddelingsdienst de plicht
om ervoor te zorgen deze persoon zijn of haar rechten onder de AVG kan uitoefenen.
Het doel is dus dat personen juist meer grip op gun gegevens krijgen en de rechten
uit de AVG effectiever kunnen worden uitgeoefend als databemiddelingsdiensten meer
worden gebruikt.
18
De leden van de SP-fractie lezen dat de openbare lichamen die hergebruik toestaan
zelf technische maatregelen moeten nemen om gegevensbescherming, privacy en vertrouwelijkheid
te waarborgen. De regering geeft als voorbeeld dat een openbaar lichaam kan eisen
dat persoonsgegevens geanonimiseerd zijn. Moeten de leden hieruit concluderen dat
het aan openbare lichamen is om te besluiten of zij persoonsgegevens anonimiseren?
Zo ja, waarom wordt dit niet wettelijk verplicht?
Antwoord
Openbare lichamen zijn verplicht ervoor te zorgen dat het beschermde karakter van
de gegevens, zoals persoonsgegevens, behouden blijft. Een mogelijkheid daarvoor is
het anonimiseren, maar andere manieren die de verordening noemt zijn het beschikbaar
stellen in een beveiligde digitale verwerkingsomgeving of het beschikbaar stellen
op een fysieke locatie. Voor alle mogelijkheden geldt dat ze de rechten van personen
over wie de gegevens gaan, moeten beschermen. Een openbaar lichaam kan het best per
verzoek inschatten welke manier van beschikbaar stellen het beste past bij het verzoek
en tegelijkertijd voor de beste bescherming zorgt. Het wettelijk verplichten van anonimiseren
zou verdere beperkingen opleggen aan mogelijk hergebruik en strijdig zijn met de verordening.
3.2. Databemiddelingsdiensten
19
De leden van de GroenLinks-PvdA-fractie hebben vragen over de «databemiddelingsdiensten»,
waarvan de definitie nog in ontwikkeling is. De aangedragen voorbeelden van wat wel
en geen databemiddelingsdiensten zijn, vinden de leden verhelderend maar nog niet
concreet genoeg. Kan de regering een concrete definitie geven van een databemiddelingsdienst?
Omvat dit ook bedrijven die een indirecte relatie hebben met de datahouder en de -gebruiker?
Antwoord
De Europese Commissie heeft beoogd een nieuw soort diensten in het leven te roepen
met de verordening. Op het moment dat het oorspronkelijke commissievoorstel uit werd
gebracht waren er weinig databemiddelingsdiensten. Momenteel wordt door beoogde toezichthouders
onderzocht welke partijen onder de definitie uit de verordening vallen. In eerste
instantie lijkt het nog om een beperkt aantal partijen te gaan.
Een van de geïdentificeerde redenen waarom een markt voor deze diensten niet van de
grond kwam was het gebrek aan vertrouwen in dergelijke diensten. De verordening vereist
dat databemiddelingsdienstverleners de gegevens die via hen worden gedeeld nergens
anders voor mogen gebruiken. Dit betekent dat de aanbieders van databemiddelingsdiensten
zowel op papier als in de praktijk hun databemiddelingsdiensten moeten scheiden van
andere dienstverlening. Door deze en andere maatregelen zou het vertrouwen in dergelijke
dienstverleners verhoogd moeten worden.
In algemene zin valt, als voorbeeld, te denken aan een datamarktplaats waarbij een
gegevenshouder een dataset aanbiedt en een eventuele gegevensgebruiker contact op
kan nemen met de gegevenshouder voor het gebruik van deze gegevens. De datamarktplaats
koopt of verkoopt geen gegevens, maar brengt bedrijven samen die geïnteresseerd zijn
in het genereren van inkomsten en het hergebruiken van gegevens, en bevordert de transparantie
tussen gegevensleveranciers en gebruikers door ervoor te zorgen dat zij rechtstreeks
op het platform met elkaar communiceren en de transactie uitvoeren. Een dergelijke
marktplaats kan een reeks tools ontwikkelen om zowel dataleveranciers als gebruikers
te helpen de gegevens te begrijpen, te beoordelen en erover te communiceren. Zo bieden
visualisatietools gegevensgebruikers verschillende vormen van informatie over een
volledige dataset die veilig kan worden gedeeld voordat een transactie is voltooid.
Sampling tools genereren automatisch representatieve gegevensvoorbeelden op basis
van algoritmen, om vertekening te voorkomen. Gegevensgebruikers en dataleveranciers
communiceren via een berichtentool die in het platform is ingebed. Bovendien kan een
datamarktplaats de onderhandelingen over de contractuele overeenkomst ondersteunen
door modelvoorwaarden die automatisch kunnen worden gegenereerd. Daarnaast is het
mogelijk dat bepaalde persoonlijke datamanagers onder de verordening vallen.
Belangrijk is dat een entiteit alleen een databemiddelingsdienst is als het via een
vorm van matchmaking een commerciële datadeelrelatie tot stand brengt. Het kan in
die zin niet gaan om een indirecte relatie omdat de matchmaking moet plaatsvinden
tussen de gegevenshouder en gegevensgebruiker. Als de gegevenshouder de gegevens en
de daaraan verbonden rechten overdraagt aan een andere partij, dan is die partij de
gegevenshouder geworden.
20
Wanneer handelt een databemiddelingsdienst «in het belang van de datasubjecten», zoals
beschreven in de MvT?
Antwoord
Overweging 30 van de verordening geeft aan wat er bedoeld wordt met een databemiddelingsdienst
die handelt in het belang van datasubjecten:
«Dergelijke aanbieders zouden personen helpen hun rechten uit hoofde van Verordening
(EU) 2016/679 uit te oefenen, met name het geven en intrekken van hun toestemming
voor de gegevensverwerking, het recht op toegang tot hun eigen gegevens, het recht
op rectificatie van onjuiste persoonsgegevens, het recht op het wissen van gegevens
of om «te worden vergeten», het recht om de verwerking te beperken en het recht op
gegevensoverdraagbaarheid, waardoor datasubjecten hun persoonsgegevens naar een andere
gegevensverwerkingsverantwoordelijke kunnen overbrengen. In dat verband is het belangrijk
dat het bedrijfsmodel van dergelijke aanbieders waarborgt dat er geen ongewenste prikkels
gegenereerd worden die personen ertoe aansporen dergelijke diensten te gebruiken om
meer gegevens beschikbaar te stellen voor verwerking dan in hun eigen belang is.
Dat kan onder meer betekenen dat personen advies krijgen over de mogelijke manieren
waarop hun gegevens worden gebruikt en dat zorgvuldigheidscontroles op gegevensgebruikers
worden uitgevoerd voordat zij contact mogen opnemen met datasubjecten, teneinde frauduleuze
praktijken te voorkomen. In bepaalde situaties kan het wenselijk zijn om feitelijke
gegevens te verzamelen in een persoonsgegevensruimte, zodat de verwerking binnen die
ruimte kan gebeuren zonder dat persoonsgegevens aan derden worden doorgegeven, teneinde
de persoonsgegevens en de persoonlijke levenssfeer maximaal te beschermen. Dergelijke
persoonsgegevensruimten kunnen statische persoonsgegevens zoals naam, adres of geboortedatum
bevatten, alsook dynamische gegevens die een persoon genereert, bijvoorbeeld door
gebruik te maken van een onlinedienst of een met het internet van de dingen verbonden
voorwerp. Zij kunnen ook worden gebruikt voor het opslaan van gecontroleerde identiteitsgegevens,
zoals paspoortnummers of socialezekerheidsinformatie, en van persoonlijke gegevens,
zoals rijbewijzen, diploma’s of bankrekeninginformatie.»
21
De leden van de D66-fractie zien dat in het voorbeeld over de databemiddelingsdiensten
wordt gesproken over een Frans bedrijf. In hoeverre zal toezicht vanuit de lidstaat
(de Nederlandse toezichthouder) mandaat hebben om een Frans (of een ander land binnen
de EU) bedrijf sancties op te leggen?
Antwoord
Een Nederlandse toezichthouder kan geen sancties opleggen aan een aanbieder van databemiddelingsdiensten
die zijn hoofdvestiging of zijn wettelijke vertegenwoordiger in een andere lidstaat
(bijvoorbeeld Frankrijk) heeft. Indien databemiddelingsdiensten in een andere lidstaat
(bijvoorbeeld Nederland) worden aangeboden, werken de toezichthouders (de voor databemiddelingsdiensten
bevoegde autoriteit uit beide lidstaten) samen en verlenen zij elkaar bijstand. Voor
deze bijstand moet de toezichthouder een gemotiveerd verzoek indienen bij de andere
toezichthouder. Vervolgens kunnen zij informatie uitwisselen voor zover dat nodig
is voor het toezicht op de verordening. Het is in dit voorbeeld aan de Franse toezichthouder
om waar nodig een sanctie op te leggen. Zie ook artikel 14, zevende lid, van de verordening.
3.3. Data-altruïsme
22
De leden van de NSC-fractie hebben een vraag aan de regering over de reikwijdte van
het data-altruïsme. Is het voor de in de Unie erkende organisaties voor data-altruïsme
toegestaan om gegevens die onder deze verordening of onder de Open data richtlijn
door enige instantie tegen vergoeding voor hergebruik beschikbaar zijn gesteld, kosteloos
breder beschikbaar te stellen?
Antwoord
Data-altruïstische organisaties hebben geen speciale positie ten opzichte van het
hergebruik van hoofdstuk II van deze verordening of ten opzichte van hergebruik van
de Open data richtlijn. Voor hen gelden in dit kader dus geen bijzondere regels. De
rechten die zij wel of niet hebben ten aanzien van het eventueel kosteloos breder
beschikbaar stellen van dergelijke gegevens, zijn afhankelijk van de wettelijke grondslag,
afspraken en voorwaarden waaronder zij die gegevens hebben verkregen. Dat kan van
geval tot geval verschillen.
3.4. Internationale datastromen
23
De leden van de GroenLinks-PvdA-fractie lezen dat de Europese Commissie gedelegeerde
handelingen mag vastleggen voor het overdragen van zeer gevoelige data naar derde
landen. Welke mogelijke voorwaarden betreft dit? Welke rechten heeft de datahouder,
naast het recht om geïnformeerd te worden? Mag de datahouder bezwaar maken?
Antwoord
Overweging 24 van de verordening stelt over die voorwaarden het volgende: «Het kan
gaan om voorwaarden voor de doorgifte of technische regelingen, zoals de verplichting
om een beveiligde verwerkingsomgeving te gebruiken, beperkingen met betrekking tot
het hergebruik van gegevens in derde landen of met betrekking tot categorieën van
personen die dergelijke gegevens mogen doorgeven aan derde landen of die in dat derde
land toegang kunnen krijgen tot de gegevens. In uitzonderlijke gevallen kunnen dergelijke
voorwaarden ook beperkingen op de doorgifte van gegevens aan derde landen omvatten
om het algemeen belang te beschermen.»
Naast het recht om geïnformeerd te worden, kent de verordening zelf geen andere directe
rechten toe aan de gegevenshouder wiens gegevens worden doorgegeven aan een derde
land. Wel volgt uit artikel 31 van de verordening een gelaagde set maatregelen, waaruit
mogelijk rechten voortvloeien voor de gegevenshouder. In de eerste plaats moeten betrokken
organisaties diverse maatregelen nemen, waaronder contractuele regelingen, om verboden
doorgifte te voorkomen. In die contractuele regelingen zouden afspraken kunnen worden
gemaakt over de rechten van gegevenshouders. In het tweede lid staat als hoofdregel
dat een eventuele doorgifte moet zijn gebaseerd op een internationale overeenkomst,
zoals een verdrag inzake wederzijdse rechtsbijstand. In zo’n internationale overeenkomst
kunnen ook rechten voor gegevenshouders zijn getroffen. Bij gebrek aan een dergelijke
internationale overeenkomst, kan volgens het derde lid alleen onder specifieke voorwaarden
sprake zijn van een legale doorgifte, waaronder het recht van de geadresseerde om
bezwaar te maken en dat te laten toetsen bij de rechter van dat derde land. Dit recht
ligt dan overigens niet bij de oorspronkelijke gegevenshouder, omdat deze geen partij
is in de betreffende zaak. Als ook van deze situatie geen sprake is, is de doorgifte
naar Europees recht verboden
4. Inhoud uitvoeringswet
24
De leden van de NSC-fractie verzoeken om toelichting waarom is gekozen om de Minister
van Economische Zaken en Klimaat verantwoordelijk te maken voor de databemiddelingsdiensten
en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties voor het hergebruik
van overheidsgegevens en de erkende organisaties voor data-altruïsme.4 Met welke reden is deze knip gemaakt?
Antwoord
De bredere juridische grondslag voor deze verordening is artikel 114 van het Verdrag
betreffende de werking van de Europese Unie dat ziet op de werking van de interne
markt. De gekozen grondslag onderstreept het economische karakter van deze wetgeving.
De regulering van databemiddelingsdiensten beoogt het ontwikkelen van een markt voor
vertrouwde commerciële datadeling. Dit doel sluit aan bij het kabinetsbeleid met betrekking
tot het stimuleren van onze data-economie, waarvoor het Ministerie van Economische
Zaken en Klimaat beleidsverantwoordelijk is. Zo heeft de Staatssecretaris van Economische
Zaken in 2019 «de Nederlandse visie op datadeling tussen bedrijven» naar uw Kamer
gestuurd en zijn er sindsdien meerdere beleidsinitiatieven geweest vanuit het Ministerie
van Economische Zaken en Klimaat rondom de data-economie zoals ook blijkt uit de Strategie
Digitale Economie.5 Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk
voor het open data beleid en de informatiehuishouding van de Rijksoverheid. Door aan
te sluiten bij bestaande beleidsverantwoordelijkheden wordt de inhoudelijke consistentie
gewaarborgd. Er is op meerdere digitale dossiers intensieve samenwerking tussen de
ministeries van Economische Zaken en Klimaat en Binnenlandse Zaken en Koninkrijksrelaties
waardoor de inhoudelijke knip goed te maken is maar er voor burgers en bedrijven geen
praktische gevolgen zijn.
25
De leden van de GroenLinks-PvdA-fractie lezen dat de Minister van Economische Zaken
en Klimaat verantwoordelijk is voor de databemiddelingsdiensten. Op welke manier is
de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties hierbij betrokken?
Zie het antwoord op vraag 24.
26
Ook lezen de leden dat kosten in rekening mogen worden gebracht voor het hergebruiken
van data. Is dat niet in strijd met de bedoeling van de wet, namelijk om data beter
toegankelijk te maken? Onder welke voorwaarden mag er een tarief worden gehanteerd?
Antwoord
Het klopt dat de verordening ernaar streeft gegevens toegankelijk te maken. Dat beogen
de verordening en de Uitvoeringswet te bereiken door een kader te stellen voor het
hergebruik van overheidsgegevens en ondersteuning te bieden door bevoegde organen
en het inrichten van een centraal informatiepunt. Dit type hergebruik vereist echter
– meer dan gegevens onder de wet hergebruik overheidsinformatie – capaciteit van de
overheid. Vooral om dit op een veilige manier uit te voeren. De regering vindt het
daarom redelijk om de kosten door te berekenen aan de hergebruiker. De verordening
staat dit toe.
27
De leden van de D66-fractie vragen in hoeverre het klopt het dat de Wet open overheid
(Woo) prevaleert boven deze verordening. Klopt het ook dat de Woo, wat geen intellectueel
eigendom van derden erkent als reden om documenten niet openbaar te maken, blijft
gelden?
Antwoord
Hoofdstuk II van de verordening stelt in artikel 3, derde lid, onderdeel a, dat het
hoofdstuk geen afbreuk doet aan het Unie- en nationaal recht inzake toegang tot documenten.
De Woo is dus van toepassing en het klopt dat de Woo in die zin prevaleert boven de
verordening.
De Woo erkent het intellectueel eigendomsrecht van derden niet afzonderlijk als reden
om documenten niet openbaar te maken. Echter, in geval een verzoek tot openbaarmaking
op grond van de Woo wordt gedaan, kunnen er andere weigeringsgronden van toepassing
zijn, zoals het feit dat het bedrijfs- en fabricagegegevens betreft die vertrouwelijk
aan de overheid zijn meegedeeld. Daarnaast gelden door auteurs gepubliceerde documenten
als reeds openbaar, ook als die documenten zich bijvoorbeeld bevinden achter een betaalmuur.
De Woo is niet van toepassing op reeds openbare documenten. Het is dus niet zo dat
ingevolge de Woo zomaar documenten waarop een intellectueel eigendomsrecht rust gratis
openbaar kunnen worden.
Voor zover documenten wel openbaar zijn of worden gemaakt (via de Woo of buiten de
Woo om), is daarop in principe de Wet hergebruik van overheidsinformatie van toepassing
(Who). De Who erkent intellectuele eigendomsrechten van derden echter wel uitdrukkelijk
als een reden om hergebruik niet toe te staan.
4.1 Toezicht en handhaving
28
De leden van de D66-fractie zien graag een meer uitgebreide toelichting van de regering
waarom het advies van de Raad van State om de verplichte samenwerking tussen de Autoriteit
Persoonsgegevens (AP) en de Autoriteit Consument & Markt (ACM) te schrappen, niet
wordt opgevolgd. In hoeverre wordt de ACM verplicht om het advies van de AP op te
volgen?
Antwoord
De ACM wordt aangewezen als bevoegde autoriteit voor de verordening met betrekking
tot de hoofdstukken III en IV. Bij de aanmelding als databemiddelingsdienst respectievelijk
registratie als erkende organisatie voor data-altruïsme wordt ex ante beoordeeld of
een databemiddelingsdienst of een organisatie voor data-altruïsme aan deze verordening
voldoet. De AP adviseert, gelet op haar expertise met betrekking tot de verwerking
van persoonsgegevens, de ACM over op dat vlak in deze verordening gestelde voorwaarden.
Uit de Awb volgt dat gemotiveerd van een advies kan worden afgeweken. Dat geldt ook
in dit geval. Er wordt nadrukkelijk niet gevraagd om een ex ante AVG-beoordeling:
de AP behoudt al haar AVG-bevoegdheden om in het kader van de AVG toezicht te houden.
Naar aanleiding van het advies van de Afdeling is de adviesplicht aangepast zodat
duidelijk wordt dat het advies van de AP ziet op het voldoen aan de relevante bepalingen
van de verordening en niet op het voldoen aan de AVG.
29
De leden van de BBB-fractie lezen in de MvT dat de Autoriteit Consument & Markt (ACM)
wordt aangewezen als toezichthouder. De ACM mag databemiddelingsdiensten sanctioneren,
schorsen en dwangsommen opleggen als die zich niet aan de regels houden. Ook houden
ze toezicht op inbreuken op verplichtingen m.b.t. deze doorgifte van niet-persoonsgebonden
gegevens aan derde landen wanneer deze doorgifte in strijd is met de Europese of nationale
wetgeving. De leden vragen de regering of er rekening mee is gehouden met de vraag,
wanneer databemiddelingsdiensten die zich bevinden in landen waarin boetes frequent
niet betaald worden en sancties worden genegeerd, hoe de ACM hiermee om kan gaan,
en wat mogelijke vervolgstappen zijn? Als de vervolgstap om recht te halen in landen
(waarin databemiddelingsdiensten zich bevinden) mislukt, wat zou dan het gevolg zijn
en hoe beperkt deze wetgeving in een dergelijke situatie? Is er een mogelijkheid om
een register van landen te maken van waaruit databemiddelingsdiensten geen toegang
hebben tot de Nederlandse en Europese data i.v.m. het mogelijk in gevaar brengen van
de nationale veiligheid of grootschalige schending van de privacy?
Antwoord
De ACM houdt toezicht op Nederlandse databemiddelingsdiensten. Indien een databemiddelingsdienst
is gevestigd in een andere lidstaat maar in Nederland de verordening overtreedt, dan
is de toezichthouder in het land van vestiging de toezichthouder die de verordening
moet handhaven. De ACM kan contact opnemen met de toezichthouder in een andere lidstaat
om informatie over een eventuele inbreuk op de verordening te delen. Indien een lidstaat
zich niet aan de Europese regels houdt, is het aan de Europese Commissie om bij het
Europese Hof een inbreukprocedure te starten tegen deze lidstaat. In het geval een
databemiddelingsdienst niet gevestigd is in de EU en ook geen wettelijke vertegenwoordiger
in de EU heeft, dan mag deze haar diensten niet in de EU aanbieden. De ACM mag deze
partijen dan ook weren van de Nederlandse markt.
Als het gaat om schending van de privacy is de AVG van toepassing en is de AP verantwoordelijk
voor het toezicht. De verordening is niet van toepassing in het geval van nationale
veiligheid omdat de verordening geen afbreuk doet aan de bevoegdheden van lidstaten
hierin (artikel 1, vijfde lid van de verordening). Daarnaast is het goed om te verhelderen
dat databemiddelingsdiensten zelf geen toegang kunnen regelen tot gegevens omdat een
databemiddelingsdienst moet worden afgenomen door een gegevenshouder en gegevensgebruiker
en de gegevenshouder zelf het initiatief moet nemen om gegevens aan te bieden bij
een databemiddelingsdienst. Bovendien mag een databemiddelingsdienst de gegevens ook
voor geen enkel ander doel gebruiken dan het delen met de gegevensgebruiker, in overeenstemming
met de wensen van de gegevenshouder.
30
De leden van de BBB-fractie lezen dat de ACM moet beoordelen of een databemiddelingsdienst
of geregistreerde data-altruïstische organisatie (naar verwachting) zal voldoen aan
de eisen die de verordening aan de betreffende organisatie stelt. Aangezien de AP
echter de toezichthouder is op de AVG, is de AP de aangewezen organisatie om advies
te geven met betrekking tot die voorwaarden uit de verordening die verband houden
met de bescherming van persoonsgegevens. De leden vragen de regering in hoeveel procent
van de gevallen de AVG van toepassing zal zijn bij het beoordelen van een databemiddelingsdienst
of geregistreerde data-altruïstische organisatie? Zou het kunnen dat de AP een grotere
hoeveelheid aanvragen moet gaan beoordelen dan dat nu verwacht wordt, en zo ja, tussen
hoeveel full time equivalent (FTE) schommelt dit en wat betekent dit voor de financiële
lasten voor de toezichthouder?
Antwoord
Het gaat bij databemiddelingsdiensten en data-altruïstische organisaties om een zeer
nieuw type dienstverlening. Het is nu dus nog lastig om in te schatten hoeveel databemiddelingsdienstverleners
en data-altruïstische organisaties zich in de komende jaren in Nederland zullen registreren.
Daarmee is het ook lastig in te schatten hoe vaak de AP om advies zal worden gevraagd
door de ACM. Op dit moment zijn er nog maar een zeer beperkt aantal entiteiten die
mogelijk een aanbieder van databemiddelingsdiensten zijn. Op basis van de inschattingen
van de ACM en de AP in de UHT’s is gebleken dat er structureel 2,5 FTE nodig is voor
de toezichtstaken van de ACM met betrekking tot de verordening. Op basis het geschatte
aantal adviesaanvragen van de ACM aan de AP is er aan de AP 1,5 FTE toegekend. Het
kabinet verwacht voldoende capaciteit te hebben georganiseerd bij de ACM en de AP
om de taken uit de Uitvoeringswet te vervullen. Los van de reguliere inhoudelijke
samenwerking tussen de beleidsverantwoordelijke departementen en de ACM en AP zal
ook de financieringsbehoefte op reguliere basis worden geëvalueerd. Als dat nodig
blijkt kan in de toekomst de capaciteit worden aangepast.
5. Verhouding tot ander recht
5.1 Bescherming van persoonsgegevens, AVG
31
De leden van de GroenLinks-PvdA-fractie merken op dat de wet in 2023 geïmplementeerd
had moeten zijn. Ook is er een nauwe samenhang met de Wet implementatie Open data
richtlijn. Welke gevolgen heeft het niet op tijd invoeren van deze wet? Welke risico’s
brengt het met zich mee als deze wet en de Wet implementatie Open data richtlijn niet
tegelijk worden ingevoerd? Vallen er op die manier geen gaten in het beleid?
Antwoord
Zolang deze Uitvoeringswet nog niet van kracht is in Nederland heeft Nederland niet
volledige uitvoering gegeven aan de Verordening. Zo kunnen de betrokken toezichthouders
en uitvoeringsorganisaties hun rol nog niet uitvoeren. Dit betekent dat Nederlandse
databemiddelingsdiensten en organisaties voor data-altruïsme zich niet kunnen aanmelden
en dus niet in en vanuit Nederland hun diensten kunnen aanbieden.
Het niet op tijd uitvoeren van de verordening betekent dat Nederland het risico loopt
op een inbreukprocedure van de Europese Commissie. Een inbreukprocedure kan leiden
tot een boete van de Europese Commissie. De Europese Commissie is op de hoogte gebracht
dat de Uitvoeringswet op 16 oktober 2023 naar uw Kamer is gestuurd.
Het niet tegelijk invoeren van de Wet implementatie Open data richtlijn en de Uitvoeringswet
heeft geen risico’s voor de uitvoering. Zij hebben immers betrekking op verschillende
typen gegevens. Voor een effectief hergebruik van overheidsinformatie is het echter
wel wenselijk dat beide zo snel mogelijk ingevoerd worden.
32
De leden van de D66-fractie vragen in hoeverre het klopt dat bij tegenstrijdigheid
tussen de verordening en de AVG de laatstgenoemde prevaleert?
Antwoord
Artikel 1, derde lid, van de verordening geeft expliciet aan dat deze verordening
geen afbreuk doet aan de AVG. De AVG prevaleert daarmee.
33
In hoeverre ondervindt dit wetsvoorstel last van het gegeven dat de Wet implementatie
Open data richtlijn nog niet is aangenomen? Kan de regering dit toelichten, zo vragen
deze leden?
Antwoord
Zoals toegelicht bij vraag 31, ondervindt het onderhavige wetsvoorstel geen last van
het verlate invoeren van de Wet implementatie Open data richtlijn.
34
De leden van de BBB-fractie lezen dat een met een publieke taak belaste instelling
er voor kan kiezen om de gegevens in kwestie te anonimiseren, alvorens hergebruik
daarvan toe te staan. Is het gebruik van «reverse engineering» voor geanonimiseerde
persoonsgegevens door middel van kwantum computers als risico meegenomen in deze afweging?
Antwoord
Bij anonimisering is heridentificatie of «reverse engineering» per definitie niet
mogelijk. Als hier wel nu of in de toekomst sprake van is, is er sprake van pseudonimisering.
Dat heridentificatie in de toekomst mogelijk is, kan komen door ontwikkelingen zoals
kwantum.6 Artikel 5, vijfde lid, van de verordening verbiedt heridentificatie door hergebruikers
en verplicht hen daartegen maatregelen te nemen. Het is uiteindelijk aan het openbaar
lichaam, al dan niet ondersteund door een bevoegd orgaan, om te beoordelen of de persoonsgegevens
voldoende beschermd zijn. Daarbij moeten zij het risico op heridentificatie meenemen
in de afweging.
6. Uitvoerbaarheid en handhaafbaarheid
6.1 Adviescollege Openbaarheid en Informatiehuishouding
35
De leden van de PVV-fractie merken op dat de beantwoording van de inbreng van het
Adviescollege Openbaarheid en Informatiehuishouding (ACOI) niet volledig is verwoord
in de MvT. Derhalve verzoeken de leden alsnog een toelichting op de door het ACOI
gedane voorstellen.
Antwoord
Het ACOI heeft vier adviezen gegeven. In de MvT is specifiek ingegaan op het derde
advies, omdat dit direct gerelateerd was aan de voorliggende Uitvoeringswet. Concreet
ging dat om het advies om in de MvT op te nemen dat de bevoegde organen eisen moeten
stellen aan de duurzame toegankelijkheid.
Het ACOI deed ook de aanbeveling om te onderzoeken welke aanvullende grondslagen voor
het hergebruik van beschermde gegevens van toegevoegde waarde kunnen zijn. Het hergebruikregime
van de verordening bevat immers geen zelfstandige grondslagen om hergebruik toe te
staan of verplicht te stellen, maar functioneert in afhankelijkheid van nationale
grondslagen. Ten tijde van het advies van de ACOI, was de indruk nog dat Nederlandse
regelgeving maar zeer beperkt dergelijke grondslagen kende. Het ACOI stelde daarom
voor om meer van dergelijke grondslagen toe te voegen. Na het uitbrengen van het advies
is echter duidelijk geworden dat artikel 5.7 van de Wet open overheid ook fungeert
als een grondslag voor hergebruik als bedoeld in de verordening. Omdat deze grondslag
zeer breed is, ziet de regering geen reden om op korte termijn aanvullende grondslagen
te creëren. Wanneer dit wel het geval is, zal de regering deze voorleggen aan het
ACOI.
Het ACOI doet tevens de aanbeveling om verschillende aspecten rond het centraal informatiepunt
te onderzoeken. Het beoogde portaal, data.overheid.nl, voldoet volgens de regering
aan deze aspecten. Dit portaal is reeds het portaal voor open data en wordt goed bezocht.
De vereiste ondersteuning past bij de rol die het portaal al heeft met betrekking
tot open data. Verder voldoet het portaal aan de minimale interoperabiliteit en wordt
er gewerkt aan een verbetering waarbij de laatste versie van de uitwisselingsstandaard
gebruikt wordt. Het laatste advies van ACOI heeft betrekking op de vergoeding voor
hergebruik. Het ACOI wil daar op adviseren. Er wordt nog gewerkt aan de AMvB en de
regering zegt toe deze AMvB voor te leggen aan het ACOI voor advies.
7. Overgangsrecht en inwerktreding
36
De leden van de NSC-fractie verzoeken de regering om nadere toelichting waarom de
verordening niet op een eerder moment is geïmplementeerd, aangezien de deadline van
24 september 2023 reeds is verstreken.
Antwoord
De verordening voorzag in een periode van 15 maanden voor uitvoering. Vanwege de nieuwe
thematiek waar deze wetgeving betrekking op heeft en de (mogelijke) samenhang met
de uitvoering van andere verordeningen op het terrein van digitalisering is deze periode
helaas te kort gebleken voor de zorgvuldige voorbereiding, afstemming met alle betrokken
partijen en behandeling van het voorstel voor de Uitvoeringswet. De Uitvoeringswet
is daardoor op 16 oktober 2023 aan uw Kamer aangeboden.
OVERIG
37
De leden van de PVV-fractie merken op dat er geen evaluatie zal plaatsvinden. Gezien
de regeldruk nog een onbekende factor is lijkt het voor de hand dat er een evaluatie
zal plaatsvinden. Waarom wordt afgezien van een evaluatie?
Zie het antwoord op vraag 38.
38
De leden van de GroenLinks-PvdA-fractie willen weten hoe vaak de Kamer geïnformeerd
wordt over de vordering op deze wet. Op welke termijn wordt de uitvoering geëvalueerd?
Antwoord
Artikel 35 van de verordening voorziet in een evaluatie van de verordening. Uiterlijk
op 24 september 2025 brengt de Commissie verslag uit aan het Europees Parlement, de
Raad en het Europees Economisch en Sociaal Comité over de evaluatie van de verordening.
Indien uit de evaluatie blijkt dat de uitvoering in Nederland moet worden aangepast,
kan er te zijner tijd worden gekeken hoe dit in Nederland het beste kan worden geadresseerd.
Overigens heeft de Uitvoeringswet zelf geen gevolgen voor de regeldruk omdat het gaat
om een zuivere en beleidsarme uitvoering. Bij bijzonderheden over de verordening of
de uitvoeringswet, kan dit in de jaarlijkse voortgangsrapportage van de Strategie
Digitale Economie worden meegenomen.
39
De leden van de vragen D66-fractie hoe er gecontroleerd zal worden dat data niet gebruikt
wordt door de inzet van Artificial Intelligence (AI), bijvoorbeeld bij Large Language
Models?
Antwoord
De verordening regelt niet voor welke toepassingen gegevens gebruikt mogen worden.
Zij regelt alleen onder welke voorwaarden gegevens mogen worden gedeeld. Het verschilt
per hoofdstuk om welke gegevens het gaat en wat de voorwaarden zijn. Zo gaat het hoofdstuk
over databemiddelingsdiensten over gegevens in bezit van gegevenshouders of datasubjecten
en gaat het om de voorwaarden gesteld aan databemiddelingsdienstverleners die kunnen
worden gebruikt door een gegevenshouder of datasubject om hun gegevens te delen met
een gegevensgebruiker.
Het is mogelijk dat de gegevensgebruiker de gegevens gebruikt voor de ontwikkeling
van AI. In beginsel is dit ook positief omdat er veel maatschappelijke en economische
kansen van AI zijn. Zo kan AI helpen bij diagnostisering in de zorg, vermindering
van files door slimme verkeerssystemen of het verlagen van CO2-uitstoot door procesoptimalisatie. Het delen van data moet natuurlijk wel verantwoord
gebeuren. Daarom is er een uitgebreid wettelijk kader voor gegevens met de AVG, de
verordening en binnenkort de Dataverordening waarin rechten van datasubjecten (personen
over wie de gegevens gaat) zijn vastgesteld. Ook worden daarin datamarkten gereguleerd
om deelnemers verantwoord met gegevens om te laten gaan én ongewenste machtsconcentraties
tegen te gaan. Dit kader geldt ook voor gegevens die worden gebruikt om AI mee te
trainen.
De AI-Verordening stelt daarnaast regels voor de verantwoorde ontwikkeling en gebruik
van AI-systemen. Voor hoog-risico AI-systemen gaan onder andere eisen gelden aan de
gegevens die gebruikt worden voor training. Grote AI-modellen (zoals Large Language
Models) die voor veel verschillende toepassingen gebruikt kunnen worden, moeten onder
andere een samenvatting van de gebruikte trainingsdata openbaar publiceren.
In het geval van hergebruik van overheidsinformatie ontbreekt het aan een grondslag
voor zulk hergebruik. Het gebruik daarvan voor Large Language Models zou ook op gespannen
voet staan met de vereiste dat het beschermde karakter van de informatie behouden
moet blijven. In het geval van persoonsgegevens is het verder aan de Autoriteit Persoonsgegevens
om toe te zien op eventueel misbruik van de gegevens.
De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens
Ondertekenaars
-
Eerste ondertekenaar
M.A.M. Adriaansens, minister van Economische Zaken en Klimaat
Bijlagen
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.